Rozporządzenie eIDAS stworzyło system norm technicznych i prawnych, które zwiększają bezpieczeństwo, moc prawną i uznawalność transakcji elektronicznych dokonywanych w związku z prowadzeniem działalności gospodarczej online lub ponad granicami państw członkowskich UE.

Jednym z takich standardów jest stosowanie kwalifikowanego podpisu elektronicznego, ten zaś wymaga użycia kwalifikowanego urządzenia służącego do składania podpisu (QSCD).

Poniżej o tym, na czym polegają korzyści , które daje QSCD i dlaczego Cryptomathic Signer zapewnia najsilniejsze mechanizmy uwierzytelniania współpracujące z tymi urządzeniami.

Czym jest kwalifikowany podpis elektroniczny (QES), a czym kwalifikowane urządzenie do składania podpisu (QSCD)?

Najprościej mówiąc, kwalifikowany podpis elektroniczny to zaawansowany podpis elektroniczny z dołączonym kwalifikowanym certyfikatem cyfrowym. Poza tym podpis kwalifikowany musi zostać złożony za pomocą kwalifikowanego urządzenia. Zadaniem QSCD jest generowanie podpisów elektronicznych za pomocą odpowiedniego sprzętu i oprogramowania, które gwarantuje, że osoba podpisująca sprawuje pełną kontrolę nad swoim prywatnym kluczem (podpisu).

Oprócz tego kwalifikowany dostawca usług zaufania musi zarządzać danymi tworzonym podczas składania podpisu, te zaś muszą być jednoznaczne, poufne i nie mogą być narażone na manipulacje.

QSCD pełni kluczową rolę w zapewnieniu niepodważalności i bezpieczeństwa kwalifikowanego podpisu elektronicznego. Zgodnie z prawodawstwem unijnym podpis taki jest traktowany jako odpowiednik podpisu odręcznego. Dzięki temu międzynarodowe procedury administracyjne i prawne mogą być realizowane w całości przez internet, co z jednej strony znacznie ogranicza ryzyko oszustwa, a z drugiej eliminuje konieczność osobistych spotkań.

Cryptomathic Signer do urządzeń QSCD

Działanie kwalifikowanych urządzeń do składania podpisu opiera się zatem zarówno na sprzęcie, jak i oprogramowaniu. W obszarze oprogramowania Cryptomathic Signer nie ma sobie równych, jeśli chodzi o moc mechanizmów uwierzytelniających. Przeszedł więcej testów bezpieczeństwa niż jakiekolwiek inne rozwiązanie tego typu, w tym testy ochrony w głąb, testy pokrycia, testy funkcjonalne i badania niezależne.

Cryptomathic Signer był tworzony z myślą o spełnianiu najwyższych standardów wymaganych przez:

• EN 419 241-1: Trustworthy Systems Supporting Server Signing Part 1, General System Security Requirements, CEN, luty 2018 r.,

• EN 419 241-2: Trustworthy Systems Supporting Server Signing Part 2, Protection Profile for QSCD for Server Signing, CEN, kwiecień 2019 r.

Przeszedł także certyfikację na zgodność z tymi wymogami.

Znaczenie certyfikacji według Common Criteria

Cryptomathic Signer przeszedł proces certyfikacji według metodologii określonej w normie Common Criteria (ISO 15408). Zarówno certyfikat CC EAL 4+ AVA-VAN.5, jak i raport z badań są dostępne do wglądu. Dokumenty te można również pobrać ze strony Common Criteria Portal (https://www.commoncriteriaportal.org).

Certyfikacja zgodnie z normą Common Criteria daje użytkownikom Signera pewność, że proces rozwoju tego produktu odpowiadał bardzo rygorystycznym wymogom.

Cryptomathic Signer jest jedynym QSCD certyfikowanym zgodnie z umową o wzajemnym uznawaniu świadectw z oceny bezpieczeństwa informatycznego (SOG-IS), w ramach Common Criteria Recognition Arrangement (CCRA). Jego cel bezpieczeństwa odpowiada ściśle profilowi ochrony na poziomie kwalifikowanym określonemu w normie EN 419 241-2.

W odniesieniu do umowy SOG-IS Cryptomathic Signer:

• bardziej precyzyjnie interpretuje wymagania Common Criteria i nie pozwala środowisku na stanowienie wymagań funkcjonalnych bezpieczeństwa (SFR),

• uwzględnia dodatkowe wymagania, odnoszące się do elementów technicznych, np. kart elektronicznych i sprzętowych modułów bezpieczeństwa (HSM),

• uwzględnia rozległe doświadczenia z obszaru złożonej ewaluacji, odnoszącej się pierwotnie do kart elektronicznych,

• rozumie konsekwencje braku integracji oprogramowania i platform z punktu widzenia potencjalnych luk w zabezpieczeniach.

W czym Signer jest lepszy od innych produktów?

Szeroko zakrojone testy pokazały jasno przewagę Signera Cryptomathic nad innymi produktami dostępnymi na rynku.

Stanowi o niej:

• jedyna certyfikacja QSCD obejmująca “złożoną” ewaluację – konieczną z punktu widzenia normy EN 419 241-2,

• brak potrzeby wzmacniania serwera Signera, kiedy SAM działa wewnątrz HSM, jako rozszerzenie oprogramowania sprzętowego,

• lepsza wydajność dzięki zmniejszonej latencji,

• aktywacja klucza za pomocą asercji SAML powiązanej z podpisywanymi danymi za pomocą “haszy powiązania”, która oznacza:

-> rzeczywiste powierzenie uwierzytelniania,

-> agnostyczną metodę uwierzytelniania,

-> rzeczywistą zgodność z Załącznikiem II i normą CEN EN 419 241-1 (Sekcja 2.4, “Uwierzytelnianie”),

• rozwiązanie o wysokiej wydajności wspierające zarówno RSA, jak i ECC, umożliwiające dzięki temu znacznie szybsze generowanie kluczy,

• renomowane laboratoria i instytucja certyfikująca według Common Criteria, czyli Brightsight i TÜV Rheinland Nederland.