7 рівнів безпеки електронної підписи, що відповідає eIDAS
Розуміння того, що відбувається під капотом, коли ви підписуєте документ: 7 криптографічних шарів, кожен із якими має свій стандарт відліку (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).
Сім шарів безпечної батареї
Для того, щоб підпис був відповідною eIDAS і протиставлявся, всі 7 повинні бути присутніми і правильно реалізовані.
Ідентифікація підписанта
Сертифікований CertyneoПеред будь-яким підписом підписант ідентифікується за допомогою SMS-коду, сканування ідентифікатора або кваліфікованого сертифікату (QES).
📜 eIDAS Annexe II §1.b
Без достовірного ідентифікації підпис не має доказової сили (цивільний кодекс 1367).
Безпека транспорту
Сертифікований CertyneoTLS 1.3 на всіх зв'язках клієнта сервера. Не дозволено доградування до TLS 1.0/1.1. EV-сертифікати з квартальною ротацією.
📜 TLS 1.3 (RFC 8446)
Захищає перехоплення документа між відправником і підписником (атака MITM).
Криптографічна підписка (PAdES)
Сертифікований CertyneoПідпис під форматированою формою PAdES (PDF Advanced Electronic Signature) відповідно до ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Гарантує, що підпис не може бути розв'язаний і приклеєний на інший документ.
Кваліфікована часові штампування
Сертифікований CertyneoІнтеграція RFC 3161 часового знаку, виданого кваліфікованим органом (КВУ), зареєстрованим на EU LOTL.
📜 RFC 3161 + ETSI EN 319 421
Доказує, що підпис існує в конкретний момент T, не реконструйований після.
Модуль HSM (Hardware Security Module)
Сертифікований CertyneoПриватні підписні ключі зберігаються в сертифікованому HSM за загальними критеріями EAL4+ і FIPS 140-2 рівня 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Захищає крадіжку ключів навіть у разі компрометації сервера додатків.
Аудит eIDAS
Сертифікований CertyneoНезмінний журнал кожної події циклу підписання (створення, відправка, підписання, печать) з IP, часовим штампом, ідентичністю.
📜 ETSI EN 319 102-1
Доставляє повне доказове підтвердження, яке вимагає суд у разі спору.
Архів доказів
Сертифікований CertyneoЗберігання підписаного документа + аудит трайлу + сертифікат протягом 10 років в системі, що відповідає AFNOR NF Z42-013.
📜 AFNOR NF Z42-013
Залишає доказову силу документа протягом усього цивільного строк давності.
4 основні загрози та їх зменшення
Сильна архітектура підпису розроблена для того, щоб протистояти чотирьох звичайних атак. Ось які з них і який шар їх нейтралізує.
Приманка особистості "інший підписав за мене"
SMS аутентифікація / ID-скан + IP-логів та геолокації.
Склад 1 (Ідентифікація)
Зміна документа "підписані змісти були змінені"
Hash SHA-256 документа, підписаного ключем HSM. Будь-яка подальша зміна недійсною для хешу та підпису.
Склади 3 і 5 (підпис + HSM)
Чоловік-в-середні "третя перехоплює"
TLS 1.3 обов'язковий з EV + HSTS сертифікатами, що завантажуються на всі області.
Склад 2 (транспорт)
Відмова "Я ніколи не підписував / не на цю дату"
Одит незмінного шляху + кваліфікований часовий штамп RFC 3161 + доказовий архів AFNOR.
Склади 4, 6 і 7 (Стапінг + Аудит + Архів)
Методологія
7 описаній шарів відповідають архітектурі безпеки Certyneo, відповідно до Регламенту eIDAS 2014 (ЄС 910/2014), стандартів ETSI EN 319 (серії підпису та кеши), ANSSI General Security Repository (GRS**) та стандарту AFNOR NF Z42-013 для архівації доказів.
Щоб піти далі
Електронна підписка, що є криптографічно запечатаною
Вищезгадані 7 шарів реалізовані за замовчуванням на всіх планах Certyneo, включаючи безкоштовний план.