De sju säkerhetslagerna för en eIDAS-kompatibel e-signal
Förstå vad som händer under huven när du skriver under ett dokument: 7 krypteringslager staplade, var och en med sin referensstandard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).
De sju skikten av säkerhetssamlaren
För att en signatur ska vara eIDAS-kompatibel och motsägelsebar måste alla 7 vara närvarande och korrekt implementerade.
Identifiering av undertecknaren
Certifierad CertyneoInnan alla signaturer görs identifieras undertecknaren via SMS-kod, ID-skanning eller kvalificerat certifikat (QES).
📜 eIDAS Annexe II §1.b
Utan en pålitlig identifiering är en underskrift inte bevisbar (civilkodex 1367).
Transportsäkerhet
Certifierad CertyneoTLS 1.3 på alla klient-server-kommunikationer. Ingen nedgradering till TLS 1.0/1.1 tillåten. EV-certifikat med kvartalsrotation.
📜 TLS 1.3 (RFC 8446)
Förhindrar att dokumentet kan avlyssnas mellan sändaren och undertecknaren (MITM-attack).
Kryptografisk signatur (PAdES)
Certifierad CertyneoAnbringande av signaturen i PAdES (PDF Advanced Electronic Signature) format enligt ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Säkergör att signaturen inte kan lossnas och klistras på ett annat dokument.
Kvalificerad tidsstämpling
Certifierad CertyneoIntegration av en tidsstämpel RFC 3161 utfärdad av en kvalificerad myndighet (TSA) som är registrerad på EU LOTL.
📜 RFC 3161 + ETSI EN 319 421
Bevisar att signaturen existerade vid ett exakt tillfälle, inte byggdes upp efteråt.
HSM-modul (Hardware Security Module)
Certifierad CertyneoDe privata nycklarna för signatur lagras i ett HSM som är certifierat enligt EAL4+ och FIPS 140-2 nivå 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Förhindrar att nyckelstöld sker även om applikationsservern kompromitteras.
eIDAS-trail-audit
Certifierad CertyneoEtt oföränderligt logg över varje händelse i signaturcykeln (skapande, sändning, signering, försegling) med IP, tidsstämpel, identitet.
📜 ETSI EN 319 102-1
Tillhandahåller fullständigt bevis som krävs av en domstol vid en tvist.
Bevisarkiv
Certifierad CertyneoLagring av det undertecknade dokumentet + audit trail + certifikatet under minst 10 år i ett AFNOR NF Z42-013-konformt system.
📜 AFNOR NF Z42-013
Bevarar dokumentets bevisvärde under hela den civila preskriptionen.
De fyra största hoten och hur man kan minska dem
En stark signaturarkitektur är konstruerad för att motstå fyra vanliga attacker.
Förfalskning "andra har skrivit under för mig"
SMS-autentisering/ID-skanning + IP-logg och platsanpassning.
Layer 1 (identifiering)
Ändring av dokumentet "det undertecknade innehållet har ändrats"
Hash SHA-256 av dokumentet som är signerat med HSM-nyckeln.
Layer 3 & 5 (signatur + HSM)
Man-in-the-middle "en tredje har avlyssnat"
TLS 1.3 obligatoriskt med EV + HSTS-certifikat för laddning på alla områden.
Layer 2 (Transporter)
Avsägning "jag har aldrig undertecknat / inte den dagen"
RFC 3161 + AFNOR-bevisarkiv.
Layer 4, 6 & 7 (Tidstämpelning + revision + arkivering)
Metod
De 7 lagrarna som beskrivs motsvarar Certyneo-säkerhetsarkitekturen, i enlighet med eIDAS-förordningen 2014 (EU 910/2014), ETSI EN 319 (Signature and Cachets-serien), ANSSI:s General Security Repository (GRS**) och AFNOR NF Z42-013 för evidensarkiv. Varje lager granskas årligen av en oberoende tredje part.
För att gå vidare
En krypterad elektronisk signatur
De 7 lagerna ovan är implementerade som standard på alla Certyneo-planer, inklusive den gratis planen.