Перейти к основному содержимому
Certyneo
Инфографика архитектура

7 уровней безопасности электронной подписи, соответствующей eIDAS

Понимание того, что происходит под капотом, когда вы подписываете документ: 7 криптографических слоев, каждый со своим стандартным эталоном (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).

Семь слоев батареи безопасности

Для того чтобы подпись соответствовала eIDAS и была опровержимой, все 7 слоев должны быть присутствовать и правильно реализованы.

Положи1

Идентификация подписанта

Сертифицированный Certyneo

Перед любой подписью подписант идентифицируется посредством SMS-кода, сканирования идентификатора или квалифицированного сертификата (QES).

📜 eIDAS Annexe II §1.b

Без достоверной идентификации подпись не имеет доказательной силы (Гражданский кодекс 1367).

Положи2

Безопасность транспорта

Сертифицированный Certyneo

TLS 1.3 на всех коммуникациях клиент сервер. Не разрешено понижение до TLS 1.0/1.1. EV-сертификаты с квартальной ротацией.

📜 TLS 1.3 (RFC 8446)

Предотвращает перехватывание документа между отправителем и подписывающим (атака MITM).

Положи3

Криптовалютная подпись (PAdES)

Сертифицированный Certyneo

Подпись в формате PAdES (PDF Advanced Electronic Signature) согласно ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Гарантирует, что подпись не может быть отсоединена и приклеена к другому документу.

Положи4

Квалифицированная временная печать

Сертифицированный Certyneo

Включение RFC 3161 временной маркировки, выданной квалифицированным органом (TSA), зарегистрированным на EU LOTL.

📜 RFC 3161 + ETSI EN 319 421

Доказывает, что подпись существует в определенный момент T, не воссоздана впоследствии.

Положи5

Модуль HSM (модуль безопасности оборудования)

Сертифицированный Certyneo

Частные ключи для подписи хранятся в HSM, сертифицированном по стандартам EAL4+ и FIPS 140-2 уровня 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Предотвращает кражу ключа даже при компрометировании сервера приложения.

Положи6

Аудит eIDAS

Сертифицированный Certyneo

Неизменный журнал каждого события цикла подписи (создание, отправка, подпись, печать) с IP, временной маркировкой, идентификацией.

📜 ETSI EN 319 102-1

Предоставляет полное доказательство, требуемое судом в случае спора.

Положи7

Архивирование доказательств

Сертифицированный Certyneo

Хранение подписанного документа + аудит следа + сертификат на 10 лет минимум в системе, соответствующей AFNOR NF Z42-013. Периодическое перезапечатывание для борьбы с криптографическим устареванием.

📜 AFNOR NF Z42-013

Сохраняет доказательную силу документа на протяжении всего срока давности.

Четыре основные угрозы и их смягчение

Архитектура с прочной подписью разработана для того, чтобы противостоять четырем классическим атакам.

  • Умышленное самоидентификация "другой подписал за меня"

    SMS аутентификация / сканирование ID + IP-регистрация и геолокация.

    Класс 1 (Идентификация)

  • Изменение документа "подписанное содержание изменено"

    Hash SHA-256 документа, подписанного ключем HSM. Любое последующее изменение недействительное для хеш и подписи.

    Слои 3 & 5 (подпись + HSM)

  • Человек-в-среднем "третье перехватило"

    TLS 1.3 обязательный с EV + HSTS сертификатами, загруженными на всех участках.

    Лайвер 2 (транспорт)

  • Отречение "Я никогда не подписывал / не в эту дату"

    Аудит неизменного следа + квалифицированный временной штамп RFC 3161 + архив доказательств AFNOR.

    Условия 4, 6 и 7 (Стаминг + Аудит + Архивирование)

Методология

7 слоев, описанных в этом документе, соответствуют архитектуре безопасности Certyneo, соответствующей Регламенту eIDAS 2014 (ЕС 910/2014), стандартам ETSI EN 319 (серия подписи и кеши), ANSSI General Security Repository (GRS**) и стандарту AFNOR NF Z42-013 для хранения доказательств.

Чтобы пойти дальше

Криптографически запечатанная электронная подпись

Вышеперечисленные 7 уровней реализованы по умолчанию на всех планах Certyneo, включая бесплатный план.