Gå till huvudinnehål
Certyneo
Arkitektur

De sju säkerhetslagerna för en eIDAS-kompatibel e-signal

Förstå vad som händer under huven när du skriver under ett dokument: 7 krypteringslager staplade, var och en med sin referensstandard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).

De sju skikten av säkerhetssamlaren

För att en signatur ska vara eIDAS-kompatibel och motsägelsebar måste alla 7 vara närvarande och korrekt implementerade.

Lägg dig.1

Identifiering av undertecknaren

Certifierad Certyneo

Innan alla signaturer görs identifieras undertecknaren via SMS-kod, ID-skanning eller kvalificerat certifikat (QES).

📜 eIDAS Annexe II §1.b

Utan en pålitlig identifiering är en underskrift inte bevisbar (civilkodex 1367).

Lägg dig.2

Transportsäkerhet

Certifierad Certyneo

TLS 1.3 på alla klient-server-kommunikationer. Ingen nedgradering till TLS 1.0/1.1 tillåten. EV-certifikat med kvartalsrotation.

📜 TLS 1.3 (RFC 8446)

Förhindrar att dokumentet kan avlyssnas mellan sändaren och undertecknaren (MITM-attack).

Lägg dig.3

Kryptografisk signatur (PAdES)

Certifierad Certyneo

Anbringande av signaturen i PAdES (PDF Advanced Electronic Signature) format enligt ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Säkergör att signaturen inte kan lossnas och klistras på ett annat dokument.

Lägg dig.4

Kvalificerad tidsstämpling

Certifierad Certyneo

Integration av en tidsstämpel RFC 3161 utfärdad av en kvalificerad myndighet (TSA) som är registrerad på EU LOTL.

📜 RFC 3161 + ETSI EN 319 421

Bevisar att signaturen existerade vid ett exakt tillfälle, inte byggdes upp efteråt.

Lägg dig.5

HSM-modul (Hardware Security Module)

Certifierad Certyneo

De privata nycklarna för signatur lagras i ett HSM som är certifierat enligt EAL4+ och FIPS 140-2 nivå 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Förhindrar att nyckelstöld sker även om applikationsservern kompromitteras.

Lägg dig.6

eIDAS-trail-audit

Certifierad Certyneo

Ett oföränderligt logg över varje händelse i signaturcykeln (skapande, sändning, signering, försegling) med IP, tidsstämpel, identitet.

📜 ETSI EN 319 102-1

Tillhandahåller fullständigt bevis som krävs av en domstol vid en tvist.

Lägg dig.7

Bevisarkiv

Certifierad Certyneo

Lagring av det undertecknade dokumentet + audit trail + certifikatet under minst 10 år i ett AFNOR NF Z42-013-konformt system.

📜 AFNOR NF Z42-013

Bevarar dokumentets bevisvärde under hela den civila preskriptionen.

De fyra största hoten och hur man kan minska dem

En stark signaturarkitektur är konstruerad för att motstå fyra vanliga attacker.

  • Förfalskning "andra har skrivit under för mig"

    SMS-autentisering/ID-skanning + IP-logg och platsanpassning.

    Layer 1 (identifiering)

  • Ändring av dokumentet "det undertecknade innehållet har ändrats"

    Hash SHA-256 av dokumentet som är signerat med HSM-nyckeln.

    Layer 3 & 5 (signatur + HSM)

  • Man-in-the-middle "en tredje har avlyssnat"

    TLS 1.3 obligatoriskt med EV + HSTS-certifikat för laddning på alla områden.

    Layer 2 (Transporter)

  • Avsägning "jag har aldrig undertecknat / inte den dagen"

    RFC 3161 + AFNOR-bevisarkiv.

    Layer 4, 6 & 7 (Tidstämpelning + revision + arkivering)

Metod

De 7 lagrarna som beskrivs motsvarar Certyneo-säkerhetsarkitekturen, i enlighet med eIDAS-förordningen 2014 (EU 910/2014), ETSI EN 319 (Signature and Cachets-serien), ANSSI:s General Security Repository (GRS**) och AFNOR NF Z42-013 för evidensarkiv. Varje lager granskas årligen av en oberoende tredje part.

För att gå vidare

En krypterad elektronisk signatur

De 7 lagerna ovan är implementerade som standard på alla Certyneo-planer, inklusive den gratis planen.