7 уровней безопасности электронной подписи, соответствующей eIDAS
Понимание того, что происходит под капотом, когда вы подписываете документ: 7 криптографических слоев, каждый со своим стандартным эталоном (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).
Семь слоев батареи безопасности
Для того чтобы подпись соответствовала eIDAS и была опровержимой, все 7 слоев должны быть присутствовать и правильно реализованы.
Идентификация подписанта
Сертифицированный CertyneoПеред любой подписью подписант идентифицируется посредством SMS-кода, сканирования идентификатора или квалифицированного сертификата (QES).
📜 eIDAS Annexe II §1.b
Без достоверной идентификации подпись не имеет доказательной силы (Гражданский кодекс 1367).
Безопасность транспорта
Сертифицированный CertyneoTLS 1.3 на всех коммуникациях клиент сервер. Не разрешено понижение до TLS 1.0/1.1. EV-сертификаты с квартальной ротацией.
📜 TLS 1.3 (RFC 8446)
Предотвращает перехватывание документа между отправителем и подписывающим (атака MITM).
Криптовалютная подпись (PAdES)
Сертифицированный CertyneoПодпись в формате PAdES (PDF Advanced Electronic Signature) согласно ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Гарантирует, что подпись не может быть отсоединена и приклеена к другому документу.
Квалифицированная временная печать
Сертифицированный CertyneoВключение RFC 3161 временной маркировки, выданной квалифицированным органом (TSA), зарегистрированным на EU LOTL.
📜 RFC 3161 + ETSI EN 319 421
Доказывает, что подпись существует в определенный момент T, не воссоздана впоследствии.
Модуль HSM (модуль безопасности оборудования)
Сертифицированный CertyneoЧастные ключи для подписи хранятся в HSM, сертифицированном по стандартам EAL4+ и FIPS 140-2 уровня 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Предотвращает кражу ключа даже при компрометировании сервера приложения.
Аудит eIDAS
Сертифицированный CertyneoНеизменный журнал каждого события цикла подписи (создание, отправка, подпись, печать) с IP, временной маркировкой, идентификацией.
📜 ETSI EN 319 102-1
Предоставляет полное доказательство, требуемое судом в случае спора.
Архивирование доказательств
Сертифицированный CertyneoХранение подписанного документа + аудит следа + сертификат на 10 лет минимум в системе, соответствующей AFNOR NF Z42-013. Периодическое перезапечатывание для борьбы с криптографическим устареванием.
📜 AFNOR NF Z42-013
Сохраняет доказательную силу документа на протяжении всего срока давности.
Четыре основные угрозы и их смягчение
Архитектура с прочной подписью разработана для того, чтобы противостоять четырем классическим атакам.
Умышленное самоидентификация "другой подписал за меня"
SMS аутентификация / сканирование ID + IP-регистрация и геолокация.
Класс 1 (Идентификация)
Изменение документа "подписанное содержание изменено"
Hash SHA-256 документа, подписанного ключем HSM. Любое последующее изменение недействительное для хеш и подписи.
Слои 3 & 5 (подпись + HSM)
Человек-в-среднем "третье перехватило"
TLS 1.3 обязательный с EV + HSTS сертификатами, загруженными на всех участках.
Лайвер 2 (транспорт)
Отречение "Я никогда не подписывал / не в эту дату"
Аудит неизменного следа + квалифицированный временной штамп RFC 3161 + архив доказательств AFNOR.
Условия 4, 6 и 7 (Стаминг + Аудит + Архивирование)
Методология
7 слоев, описанных в этом документе, соответствуют архитектуре безопасности Certyneo, соответствующей Регламенту eIDAS 2014 (ЕС 910/2014), стандартам ETSI EN 319 (серия подписи и кеши), ANSSI General Security Repository (GRS**) и стандарту AFNOR NF Z42-013 для хранения доказательств.
Чтобы пойти дальше
Криптографически запечатанная электронная подпись
Вышеперечисленные 7 уровней реализованы по умолчанию на всех планах Certyneo, включая бесплатный план.