Pojdite na glavno vsebino
Certyneo
Grafična grafika arhitektura

7 varnostnih slojev eIDAS-uskladjenega elektronskega podpisa

Razumeti, kaj se dogaja pod pokrovom, ko podpisujete dokument: 7 vrst šifriranja, vsaka z referenčnim standardom (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Skupna merila EAL4+).

Sedem plastov varnostne baterije

Za podpis, ki je skladen z eIDAS in je lahko nasprotovan, morajo biti vsi 7 prisotni in pravilno implementirani.

Spalnica1

Identifikacija podpisnika

Certificirano zdravilo Certyneo

Pred podpisom se podpisnik identificira s pomočjo SMS kode, skeniranja ID ali kvalificiranega potrdila (QES).

📜 eIDAS Annexe II §1.b

Podpis brez zanesljive identifikacije ni dokazljiv (Civilni zakonik 1367).

Spalnica2

Varnost v prometu

Certificirano zdravilo Certyneo

TLS 1.3 za vse kliente strežnike. Brez posodobitve na TLS 1.0/1.1 dovoljeno. EV certifikati s četrtletno rotacijo.

📜 TLS 1.3 (RFC 8446)

Preprečuje zasledovanje dokumenta med pošiljateljem in podpisnikom (MITM napad).

Spalnica3

Kriptografski podpis (PAdES)

Certificirano zdravilo Certyneo

Podpis v obliki PAdES (PDF Advanced Electronic Signature) v skladu z standardom ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Zagotovlja, da se podpis ne more odtrgati in prilepiti na drug dokument.

Spalnica4

Strokovno časovno označevanje

Certificirano zdravilo Certyneo

Vgradnja časovnega žiga RFC 3161, ki ga izda kvalificiran organ (TSA) registriran na EU LOTL.

📜 RFC 3161 + ETSI EN 319 421

Dokaže, da je podpis obstajal v trenutku T, ne pa je bil naknadno rekonstruiran.

Spalnica5

HSM modul (Hardware Security Module)

Certificirano zdravilo Certyneo

Podpisni zasebni ključi so shranjeni v HSM, certificiranem po standardnih standardih EAL4+ in FIPS 140-2 na ravni 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Preprečuje krajo ključev, tudi če je aplikacijski strežnik ogrožen.

Spalnica6

Audit eIDAS poti

Certificirano zdravilo Certyneo

Nepremenljiv dnevnik vsakega dogodka v poteku podpisovanja (ustvarjanje, pošiljanje, podpis, pečat) z IP, časovnim žigom, identiteto.

📜 ETSI EN 319 102-1

Zagotavlja popolno dokazno gradivo, ki ga zahteva sodišče v primeru spora.

Spalnica7

Arhiviranje dokazov

Certificirano zdravilo Certyneo

Shranjevanje podpisanega dokumenta + revizije sledi + potrdila za najmanj 10 let v sistemu, ki je skladen z AFNOR NF Z42-013.

📜 AFNOR NF Z42-013

Dokumenta ohranja dokazno vrednost v času celotne omejitve.

4 glavne grožnje in njihovo blažitev

Močna arhitektura je zasnovana tako, da lahko vzdrži štiri klasične napade.

  • Podkupljanje identitete "neko drug je podpisal namesto mene"

    SMS avtentikacija / skeniranje ID + IP dnevnik in geolokalizacija.

    Vrsta 1 (Identifikacija)

  • Sprememba dokumenta "podpisana vsebina je bila spremenjena"

    Hash SHA-256 dokumenta, ki je podpisan s ključem HSM. Vse nadaljnje spremembe neveljavljata hash in podpis.

    Strani 3 in 5 (podpis + HSM)

  • Človek v sredini "trejca je presegla"

    Obvezno TLS 1.3 z EV + HSTS potrdili, prednaloženimi na vseh področjih.

    2. plast (prevoz)

  • Odrekanje "nikdar nisem podpisal / ne na ta datum"

    Neprekinjeni prehod + kvalificirani časovni žig RFC 3161 + dokazno arhiviranje AFNOR.

    Strani 4, 6 in 7 (Časovni zapis + revizija + arhiviranje)

Metodologija

7 opisanih slojev ustreza varnostni arhitekturi Certyneo, ki je skladna z Uredbo o eIDAS 2014 (EU 910/2014), standardi ETSI EN 319 (signatura in zapisi), ANSSI General Security Repository (GRS**) in standardom AFNOR NF Z42-013 za evidenčno arhiviranje.

Da bi šli dlje

Kriptografsko zapečateni elektronski podpis

Zgoraj navedena 7 slojev je privzeto izvedena na vseh načrtih Certyneo, vključno z brezplačnim načrtom.