跳转至主要内容
Certyneo
建筑信息图

符合eIDAS的电子签名的七层安全

了解在签署文件时发生了什么: 7个加密层堆叠在一起,每个层都有自己的参考标准 (ETSI EN 319,RFC 3161,AFNOR NF Z42-013,EAL4+常见标准).

七层安全电池

每个层都有自己的保证.如果要让一个签名符合eIDAS并可以被抵触,必须有7个层,并且要正确地实现.Certyneo在每个层上都获得认证.

睡觉1

签名人的身份

经过认证的Certyneo

在任何签名之前,签名者通过SMS代码,ID扫描或合格证书 (QES) 识别.

📜 eIDAS Annexe II §1.b

如果没有可靠的身份证,签名就没有证据价值 (民法1367).

睡觉2

交通安全

经过认证的Certyneo

所有客户端与服务器通信都使用TLS 1.3. 没有降级到TLS 1.0.1.1允许. EV证书每季度轮换.

📜 TLS 1.3 (RFC 8446)

防止发送者和签名者之间的文件被拦截 (MITM攻击).

睡觉3

密码签名 (PAdES)

经过认证的Certyneo

根据 ETSI EN 319 142 的PAdES (PDF高级电子签名) 形式签名.

📜 ETSI EN 319 142 (PAdES)

确保签名不能被拆开,粘贴到另一个文件上.

睡觉4

合格的时间标记

经过认证的Certyneo

集成由EU LOTL上注册的合格管理机构 (TSA) 发行的RFC 3161时刻标.

📜 RFC 3161 + ETSI EN 319 421

证明了这个签名存在于一个特定的时刻, 而不是后续重建.

睡觉5

硬件安全模块

经过认证的Certyneo

密钥存储在标准 EAL4+ 和 FIPS 140-2 级别 3 认证的HSM中.

📜 Critères Communs EAL4+ / FIPS 140-2

防止密钥被盗,即使应用服务器被破坏.

睡觉6

通过电子身份证的追踪

经过认证的Certyneo

永久记录签名周期中的每一个事件 (创建,发送,签名,封印) 包含IP,时间标记,身份.

📜 ETSI EN 319 102-1

提供法院在争议中要求的完整证据.

睡觉7

证据存档

经过认证的Certyneo

存储签名文件 + 审计痕迹 + 证书至少10年,在符合AFNOR NF Z42-013的系统中.

📜 AFNOR NF Z42-013

保存文件在整个违法处罚过程中的证据性.

四大威胁与减轻

强大的签名架构是设计成能够抵御四种常见攻击.

  • 假冒身份 "别人替我签名"

    通过短信验证/ID扫描 + IP日志和地理位置.

    层1 (识别)

  • 文件的变化 "已更改了签名内容"

    通过HSM密钥签署的文档的SHA-256哈希.任何后续更改都会使哈希和签名无效.

    层3和5 (签名+HSM)

  • 中间人"第三方截获"

    必须使用所有领域的EV+HSTS证书.

    其他类型的物资

  • 拒绝"我从未签署/没有在这个日期"

    无可改变的审计轨迹+合格的时间标志 RFC 3161 + AFNOR证据存档.

    层 4,6 和 7 (时间标记 + 审计 + 档案)

方法

描述的7个层符合Certyneo安全架构,符合2014年eIDAS法规 (EU 910/2014),ETSI EN 319标准 (签名和密码系列),ANSSI的通用安全准则 (RGS**) 和AFNOR NF Z42-013证据存储标准.每个层每年都会由独立的第三方审计.

为了更进一步

一个密码密封的电子签名

上面的7层是所有Certyneo计划的默认实现,包括免费计划.