7 lớp bảo mật của chữ ký điện tử phù hợp với eIDAS
Hiểu những gì xảy ra bên dưới nắp khi bạn ký một tài liệu: 7 lớp mã hóa chồng lên nhau, mỗi lớp có tiêu chuẩn tham khảo của nó (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Tiêu chuẩn chung EAL4+).
7 lớp pin an toàn
Mỗi lớp mang lại một bảo đảm cụ thể. Để một chữ ký phù hợp với eIDAS và có thể chống lại, tất cả 7 phải có mặt và được thực hiện đúng cách. Certyneo được chứng nhận trên mỗi lớp.
Định danh người ký
Certyneo được chứng nhậnTrước khi ký tên, người ký tên được xác định thông qua mã SMS, quét ID hoặc chứng chỉ có trình độ (QES).
📜 eIDAS Annexe II §1.b
Nếu không có chứng minh xác thực, chữ ký không có giá trị bằng chứng (Luật dân sự 1367).
An toàn giao thông
Certyneo được chứng nhậnTLS 1.3 trên tất cả các giao tiếp khách hàng máy chủ. Không có sự hạ cấp sang TLS 1.0/1.1 được phép. Giấy chứng nhận EV được luân chuyển hàng quý.
📜 TLS 1.3 (RFC 8446)
Ngăn chặn việc chặn tài liệu giữa người gửi và người ký (sự tấn công MITM).
Chữ ký mật mã (PAdES)
Certyneo được chứng nhậnChữ ký bằng định dạng PAdES (PDF Advanced Electronic Signature) theo ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Đảm bảo rằng chữ ký không thể được tách ra và dán vào tài liệu khác.
Nhãn thời gian có trình độ
Certyneo được chứng nhậnTích hợp dấu thời gian RFC 3161 do một cơ quan có thẩm quyền (TSA) đăng ký trên EU LOTL.
📜 RFC 3161 + ETSI EN 319 421
Chứng minh rằng chữ ký tồn tại tại thời điểm T, không được tái tạo sau này.
Mô-đun bảo mật phần cứng (Hardware Security Module)
Certyneo được chứng nhậnCác khóa cá nhân ký tên được lưu trữ trong một HSM được chứng nhận tiêu chuẩn EAL4+ và FIPS 140-2 cấp 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Ngăn chặn việc đánh cắp khóa ngay cả khi máy chủ ứng dụng bị xâm nhập.
Kiểm tra eIDAS
Certyneo được chứng nhậnLưu trữ bất biến của mỗi sự kiện trong chu kỳ ký (tạo, gửi, ký, niêm phong) với IP, thời gian, danh tính.
📜 ETSI EN 319 102-1
Cung cấp bằng chứng đầy đủ mà tòa án yêu cầu trong trường hợp tranh chấp.
Lưu trữ bằng chứng
Certyneo được chứng nhậnLưu trữ tài liệu đã ký + kiểm tra đường mòn + chứng chỉ trong tối thiểu 10 năm trong một hệ thống tuân thủ AFNOR NF Z42-013.
📜 AFNOR NF Z42-013
Nó giữ giá trị chứng minh của tài liệu trong suốt thời gian bị cấm.
Bốn mối đe dọa chính và giảm thiểu chúng
Một kiến trúc chữ ký mạnh được thiết kế để chống lại 4 cuộc tấn công thông thường.
Đánh giá giả mạo "người khác đã ký thay cho tôi"
Xác thực SMS / quét ID + đăng nhập IP và vị trí địa lý. Đối với các hành vi liên quan, chứng chỉ QES do một PSCo có trình độ cấp.
Lớp 1 (Định dạng)
Sự thay đổi của tài liệu "nội dung đã được ký đã được thay đổi"
Hash SHA-256 của tài liệu được ký bằng khóa HSM. Bất kỳ thay đổi nào sau đó sẽ vô hiệu hóa hash và chữ ký.
Lớp 3 & 5 (Hymn + HSM)
Man-in-the-middle "một phần ba đã chặn"
TLS 1.3 bắt buộc với EV + HSTS chứng chỉ được tải trước trên tất cả các lĩnh vực.
Lớp 2 (Giao thông vận tải)
Từ chối "tôi chưa bao giờ ký / không vào ngày đó"
Kiểm tra theo dõi không thay đổi + thời gian đánh dấu đủ điều kiện RFC 3161 + lưu trữ bằng chứng AFNOR.
Lớp 4, 6 & 7 (Đánh dấu thời gian + Kiểm toán + lưu trữ)
Phương pháp
7 lớp được mô tả phù hợp với kiến trúc bảo mật Certyneo, phù hợp với Quy định eIDAS 2014 (EU 910/2014), tiêu chuẩn ETSI EN 319 (Dòng chữ ký và mật khẩu), Cổ phiếu bảo mật chung (GRS**) của ANSSI và tiêu chuẩn AFNOR NF Z42-013 cho lưu trữ bằng chứng. Mỗi lớp được kiểm toán hàng năm bởi một bên thứ ba độc lập.
Để đi xa hơn
Hình chữ ký điện tử được niêm phong mật mã
7 lớp trên được thực hiện mặc định trên tất cả các kế hoạch Certyneo, bao gồm cả kế hoạch miễn phí.