Prejsť na hlavný obsah
Certyneo
Infografika architektúra

7 vrstiev zabezpečenia elektronického podpisu v súlade s eIDAS

Pochopte, čo sa deje pod kapotou, keď podpíšete dokument: 7 kryptomenných vrstiev, každá so svojou referenčnou normou (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).

Sedem vrstiev bezpečnostnej batérie

Každá vrstva prináša špecifickú záruku. Aby bola podpis eIDAS konformný a protiračiteľný, všetky 7 musia byť prítomné a správne implementované.

- Nechaj ma .1

Identifikácia signatára

Certifikovaný Certyneo

Pred podpisom je podpisca identifikovaný prostredníctvom SMS kódu, ID skenu alebo kvalifikovaného certifikátu (QES).

📜 eIDAS Annexe II §1.b

Bez spoľahlivej identifikácie nemá podpis žiadnu dôkaznú hodnotu (Občianský zákonník 1367).

- Nechaj ma .2

Bezpečnosť dopravy

Certifikovaný Certyneo

TLS 1.3 na všetkých komunikáciách klient server. Žiadna downgrade na TLS 1.0/1.1 povolená. EV certifikáty s štvrťročnou rotáciou.

📜 TLS 1.3 (RFC 8446)

Zabraňuje odposluchu dokumentu medzi odosielateľom a podpisovateľom ( MITM útok).

- Nechaj ma .3

Kryptografická podpisová sieť (PAdES)

Certifikovaný Certyneo

Podpis v formáte PAdES (PDF Advanced Electronic Signature) podľa ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Zabezpečuje, aby sa podpis nemohol odtrhnúť a prilepiť na iný dokument.

- Nechaj ma .4

Kvalifikované časové značenie

Certifikovaný Certyneo

Integrácia časového štampu RFC 3161 vydaného kvalifikovanou orgánom (TSA) zapísanou v EU LOTL. Presnosť do milisekúnd.

📜 RFC 3161 + ETSI EN 319 421

Dokazuje, že signatúra existuje v určitom okamihu T, nie je rekonštruovaná a posteriori.

- Nechaj ma .5

Modul HSM (hardvérová bezpečnostná jednotka)

Certifikovaný Certyneo

Podpisové súkromné kľúče sú uložené v HSM certifikovanom podľa štandardov EAL4+ a FIPS 140-2 úrovne 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Zabraňuje krádeži kľúčov, aj keď je kompromitovaný aplikácia server.

- Nechaj ma .6

Audit eIDAS trail

Certifikovaný Certyneo

Nezmenný protokol každej udalosti v cykle podpisovania (vytvorenie, odoslanie, podpis, zapečatenie) s IP, časovou značkou, identitou.

📜 ETSI EN 319 102-1

Poskytuje úplné dôkazy požadované súdom v prípade sporu.

- Nechaj ma .7

Archiva dôkazov

Certifikovaný Certyneo

Uloženie podpísaného dokumentu + audit trail + certifikátu na minimálne 10 rokov v systéme AFNOR NF Z42-013.

📜 AFNOR NF Z42-013

Doklad má dôkaznú hodnotu počas celej doby, počas ktorej sa koná zákonná preskripcia.

4 hlavné hrozby a ich zmiernenie

Silná architektúra je navrhnutá tak, aby odolala štyrom klasickým útokom.

  • Podvodná identita "iný podpísal za mňa"

    SMS autentifikácia / ID skenovanie + IP log a geolokácia.

    Vrstva 1 (Identifikácia)

  • Zmena dokumentu "podpísané obsah bol zmenený"

    Hash SHA-256 dokumentu podpísaného kľúčom HSM. Ak sa neskôr zmení, hash a podpis sa zrušia.

    V prípade, že sa použije metóda ISOFIX, sa použije metóda ISOFIX.

  • Man-in-the-middle "tretia osoba zachytila"

    Požadovaná TLS 1.3 s EV + HSTS certifikátmi prednaloženými vo všetkých oblastiach.

    Vrstva 2 (doprava)

  • Odmietnutie "Nikdy som nepodpísala / nie v tento deň"

    Audit nemenný sled + kvalifikované časové značenie RFC 3161 + evidenčné archivovanie AFNOR.

    Vrstva 4, 6 a 7 (Časové označenie + Audit + Archivácia)

Metodika

7 opisovaných vrstiev zodpovedá bezpečnostnej architektúre Certyneo, ktorá je v súlade s nariadením eIDAS z roku 2014 (EÚ 910/2014), štandardmi ETSI EN 319 (Signature and Cachets series), ANSSI Generálnym bezpečnostným referenčným systémom (GRS**) a AFNOR NF Z42-013 pre evidenčné archivovanie.

Na ďalší krok

Kryptograficky zapečatený elektronický podpis

Všetky 7 vrstv je implementovaných v rámci všetkých plánov Certyneo vrátane bezplatného plánu.