Перейти до основного вмісту
Certyneo
Інфографіка архітектура

7 рівнів безпеки електронної підписи, що відповідає eIDAS

Розуміння того, що відбувається під капотом, коли ви підписуєте документ: 7 криптографічних шарів, кожен із якими має свій стандарт відліку (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).

Сім шарів безпечної батареї

Для того, щоб підпис був відповідною eIDAS і протиставлявся, всі 7 повинні бути присутніми і правильно реалізовані.

Поклади1

Ідентифікація підписанта

Сертифікований Certyneo

Перед будь-яким підписом підписант ідентифікується за допомогою SMS-коду, сканування ідентифікатора або кваліфікованого сертифікату (QES).

📜 eIDAS Annexe II §1.b

Без достовірного ідентифікації підпис не має доказової сили (цивільний кодекс 1367).

Поклади2

Безпека транспорту

Сертифікований Certyneo

TLS 1.3 на всіх зв'язках клієнта сервера. Не дозволено доградування до TLS 1.0/1.1. EV-сертифікати з квартальною ротацією.

📜 TLS 1.3 (RFC 8446)

Захищає перехоплення документа між відправником і підписником (атака MITM).

Поклади3

Криптографічна підписка (PAdES)

Сертифікований Certyneo

Підпис під форматированою формою PAdES (PDF Advanced Electronic Signature) відповідно до ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Гарантує, що підпис не може бути розв'язаний і приклеєний на інший документ.

Поклади4

Кваліфікована часові штампування

Сертифікований Certyneo

Інтеграція RFC 3161 часового знаку, виданого кваліфікованим органом (КВУ), зареєстрованим на EU LOTL.

📜 RFC 3161 + ETSI EN 319 421

Доказує, що підпис існує в конкретний момент T, не реконструйований після.

Поклади5

Модуль HSM (Hardware Security Module)

Сертифікований Certyneo

Приватні підписні ключі зберігаються в сертифікованому HSM за загальними критеріями EAL4+ і FIPS 140-2 рівня 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Захищає крадіжку ключів навіть у разі компрометації сервера додатків.

Поклади6

Аудит eIDAS

Сертифікований Certyneo

Незмінний журнал кожної події циклу підписання (створення, відправка, підписання, печать) з IP, часовим штампом, ідентичністю.

📜 ETSI EN 319 102-1

Доставляє повне доказове підтвердження, яке вимагає суд у разі спору.

Поклади7

Архів доказів

Сертифікований Certyneo

Зберігання підписаного документа + аудит трайлу + сертифікат протягом 10 років в системі, що відповідає AFNOR NF Z42-013.

📜 AFNOR NF Z42-013

Залишає доказову силу документа протягом усього цивільного строк давності.

4 основні загрози та їх зменшення

Сильна архітектура підпису розроблена для того, щоб протистояти чотирьох звичайних атак. Ось які з них і який шар їх нейтралізує.

  • Приманка особистості "інший підписав за мене"

    SMS аутентифікація / ID-скан + IP-логів та геолокації.

    Склад 1 (Ідентифікація)

  • Зміна документа "підписані змісти були змінені"

    Hash SHA-256 документа, підписаного ключем HSM. Будь-яка подальша зміна недійсною для хешу та підпису.

    Склади 3 і 5 (підпис + HSM)

  • Чоловік-в-середні "третя перехоплює"

    TLS 1.3 обов'язковий з EV + HSTS сертифікатами, що завантажуються на всі області.

    Склад 2 (транспорт)

  • Відмова "Я ніколи не підписував / не на цю дату"

    Одит незмінного шляху + кваліфікований часовий штамп RFC 3161 + доказовий архів AFNOR.

    Склади 4, 6 і 7 (Стапінг + Аудит + Архів)

Методологія

7 описаній шарів відповідають архітектурі безпеки Certyneo, відповідно до Регламенту eIDAS 2014 (ЄС 910/2014), стандартів ETSI EN 319 (серії підпису та кеши), ANSSI General Security Repository (GRS**) та стандарту AFNOR NF Z42-013 для архівації доказів.

Щоб піти далі

Електронна підписка, що є криптографічно запечатаною

Вищезгадані 7 шарів реалізовані за замовчуванням на всіх планах Certyneo, включаючи безкоштовний план.