7 varnostnih slojev eIDAS-uskladjenega elektronskega podpisa
Razumeti, kaj se dogaja pod pokrovom, ko podpisujete dokument: 7 vrst šifriranja, vsaka z referenčnim standardom (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Skupna merila EAL4+).
Sedem plastov varnostne baterije
Za podpis, ki je skladen z eIDAS in je lahko nasprotovan, morajo biti vsi 7 prisotni in pravilno implementirani.
Identifikacija podpisnika
Certificirano zdravilo CertyneoPred podpisom se podpisnik identificira s pomočjo SMS kode, skeniranja ID ali kvalificiranega potrdila (QES).
📜 eIDAS Annexe II §1.b
Podpis brez zanesljive identifikacije ni dokazljiv (Civilni zakonik 1367).
Varnost v prometu
Certificirano zdravilo CertyneoTLS 1.3 za vse kliente strežnike. Brez posodobitve na TLS 1.0/1.1 dovoljeno. EV certifikati s četrtletno rotacijo.
📜 TLS 1.3 (RFC 8446)
Preprečuje zasledovanje dokumenta med pošiljateljem in podpisnikom (MITM napad).
Kriptografski podpis (PAdES)
Certificirano zdravilo CertyneoPodpis v obliki PAdES (PDF Advanced Electronic Signature) v skladu z standardom ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Zagotovlja, da se podpis ne more odtrgati in prilepiti na drug dokument.
Strokovno časovno označevanje
Certificirano zdravilo CertyneoVgradnja časovnega žiga RFC 3161, ki ga izda kvalificiran organ (TSA) registriran na EU LOTL.
📜 RFC 3161 + ETSI EN 319 421
Dokaže, da je podpis obstajal v trenutku T, ne pa je bil naknadno rekonstruiran.
HSM modul (Hardware Security Module)
Certificirano zdravilo CertyneoPodpisni zasebni ključi so shranjeni v HSM, certificiranem po standardnih standardih EAL4+ in FIPS 140-2 na ravni 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Preprečuje krajo ključev, tudi če je aplikacijski strežnik ogrožen.
Audit eIDAS poti
Certificirano zdravilo CertyneoNepremenljiv dnevnik vsakega dogodka v poteku podpisovanja (ustvarjanje, pošiljanje, podpis, pečat) z IP, časovnim žigom, identiteto.
📜 ETSI EN 319 102-1
Zagotavlja popolno dokazno gradivo, ki ga zahteva sodišče v primeru spora.
Arhiviranje dokazov
Certificirano zdravilo CertyneoShranjevanje podpisanega dokumenta + revizije sledi + potrdila za najmanj 10 let v sistemu, ki je skladen z AFNOR NF Z42-013.
📜 AFNOR NF Z42-013
Dokumenta ohranja dokazno vrednost v času celotne omejitve.
4 glavne grožnje in njihovo blažitev
Močna arhitektura je zasnovana tako, da lahko vzdrži štiri klasične napade.
Podkupljanje identitete "neko drug je podpisal namesto mene"
SMS avtentikacija / skeniranje ID + IP dnevnik in geolokalizacija.
Vrsta 1 (Identifikacija)
Sprememba dokumenta "podpisana vsebina je bila spremenjena"
Hash SHA-256 dokumenta, ki je podpisan s ključem HSM. Vse nadaljnje spremembe neveljavljata hash in podpis.
Strani 3 in 5 (podpis + HSM)
Človek v sredini "trejca je presegla"
Obvezno TLS 1.3 z EV + HSTS potrdili, prednaloženimi na vseh področjih.
2. plast (prevoz)
Odrekanje "nikdar nisem podpisal / ne na ta datum"
Neprekinjeni prehod + kvalificirani časovni žig RFC 3161 + dokazno arhiviranje AFNOR.
Strani 4, 6 in 7 (Časovni zapis + revizija + arhiviranje)
Metodologija
7 opisanih slojev ustreza varnostni arhitekturi Certyneo, ki je skladna z Uredbo o eIDAS 2014 (EU 910/2014), standardi ETSI EN 319 (signatura in zapisi), ANSSI General Security Repository (GRS**) in standardom AFNOR NF Z42-013 za evidenčno arhiviranje.
Da bi šli dlje
Kriptografsko zapečateni elektronski podpis
Zgoraj navedena 7 slojev je privzeto izvedena na vseh načrtih Certyneo, vključno z brezplačnim načrtom.