시큐어 시그니처 작성 장치

Secure signature creation device

SSCD(Secure Signature Creation Device)는 전자서명 작성에 사용되는 특정 유형의 컴퓨터 하드웨어 또는 소프트웨어입니다.안전한 시그니처 작성 장치로 사용하기 위해서는 규제(EU) No 910/2014(eIDAS)의 Annex II에 기재된 엄격한 요건을 충족해야 합니다.여기에는 적격(전자) 시그니처 작성 장치(QSCD)라고 불립니다.안전한 시그니처 작성 디바이스를 사용하면 공공부문 [1][2] 민간부문에서 이루어지는 트랜잭션으로 시간과 비용을 절약하는 온라인 비즈니스 프로세스를 촉진할 수 있습니다.[3]

묘사

전자서명 작성 디바이스를 안전한 서명 작성 디바이스 수준으로 끌어올리기 위해 충족해야 하는 최소 요건은 eIDAS의 Annex II에 기재되어 있습니다.기기는 적절한 절차적 및 기술적 수단을 통해 전자서명 작성에 사용된 데이터의 기밀성을 합리적으로 보장해야 한다.또한 전자서명 작성에 사용되는 데이터가 고유하고 한 번만 사용되는지 확인해야 합니다.마지막으로 서명인전자서명 자료를 [2]작성 또는 관리할 수 있는 것은 적격신탁서비스 제공자 또는 인증기관뿐입니다.

보안을 확보하기 위해 SSCD가 전자서명을 작성하기 위해 사용하는 서명 작성 데이터는 서명 위조 또는 복제를 방지하기 위해 현행 기술을 통해 합리적인 보호를 제공해야 합니다.무단 사용을 방지하기 위해 작성 데이터는 서명자의 단독 관리 하에 있어야 합니다.SSCD 자체는 서명의 첨부 [1]데이터를 변경할 수 없습니다.

트러스트 서비스 프로바이더 또는 인증국은 SSCD를 가동시킬 때 다음 3가지 [4][1]조건에 완전히 준거하여 eIDAS의 Annex II에 따라 디바이스를 안전하게 준비해야 합니다.

  1. SSCD는 사용 중 또는 보관 중 안전성을 유지해야 합니다.
  2. 또한 SSCD의 재활성화 및 비활성화는 안전한 조건에서 이루어져야 한다.
  3. 모든 사용자 활성화 데이터(포함 PIN 코드 포함)는 안전하게 준비된 후 SSCD와 별도로 전달됩니다.

SSCD의 국제 보안 보증 요건

또, 시큐어인 시그니처 작성 디바이스는, 컴퓨터 시큐러티 인증의 국제 규격(ISO/IEC 15408)[5]을 만족시킬 필요가 있습니다.이 표준은 컴퓨터 시스템 사용자에게 보안기능요건(SFR) 및 보안보증요건(SAR)[1][3]에 대한 보호프로파일(PP)을 통해 보안요건을 지정할 수 있는 권한을 부여합니다.지정된 요구 사항을 구현하고 제품의 보안 속성을 증명하려면 신뢰 서비스 공급자 또는 인증 기관이 필요합니다.그런 다음 서드파티 테스트랩이 디바이스를 평가하여 [6]프로바이더가 요구하는 수준의 보안을 확보합니다.

중앙 인증 서비스

시큐어 시그니처 작성 디바이스가 Central Authentication Service(CAS; 중앙인증서비스)의 일부로서 사용되는 경우, 복수의 계층 인증 시나리오에서는 CAS 서버로서 기능하는 경우가 있습니다.CAS 소프트웨어 프로토콜을 사용하면 웹 응용 프로그램에 서명할 때 사용자를 인증할 수 있습니다.

CAS 프로토콜의 일반적인 방식에는 클라이언트의 웹 브라우저, 인증을 요구하는 응용 프로그램 및 CAS 서버가 포함됩니다.인증이 필요한 경우, 애플리케이션은 CAS 서버에 요구를 송신합니다.그런 다음 서버는 사용자의 자격 증명을 데이터베이스와 비교합니다.정보가 일치하면 CAS는 사용자가 [1][3]인증되었다고 응답합니다.

안전한 시그니처 작성 디바이스에 관한 법적 영향

eIDAS는 전자서명의 법적 의미를 판단하기 위한 계층적 접근 방식을 제공했습니다.안전한 시그니처 작성 디바이스를 사용하여 작성된 시그니처는 가장 강력한 확률값을 가진 것으로 간주됩니다.이러한 기기로 서명된 문서 또는 메시지는 평판이 좋지 않습니다.즉,[2] 서명인은 서명 작성에 대한 책임을 부인할 수 없습니다.

규정(EU) No 910/2014(eIDAS)는 지침 1999/93/EC, 전자 서명 지침에서 발전되었습니다.이 지령의 목적은 유럽연합의 전자서명 시스템을 만들 수 있는 법률을 제정할 책임을 EU 회원국에 부여하는 것이었다.eIDAS 규정은 모든 회원국이 2016년 [7][8]7월 1일까지 전자서명 규격을 준수하도록 요구하였다.

레퍼런스

  1. ^ a b c d e Turner, Dawn M. "What is a secure signature creation device". Cryptomathic. Retrieved 18 November 2016.
  2. ^ a b c Turner, Dawn. "Understanding eIDAS". Cryptomathic. Retrieved 12 April 2016.
  3. ^ a b c "Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC". EUR-Lex. The European Parliament and the Council of the European Union. Retrieved 18 March 2016.
  4. ^ "Electronic Signatures and Infrastructures: Policy requirements for certification authorities issuing qualified certificates" (PDF). European Telecommunications Standards Institute. Retrieved 18 November 2016.
  5. ^ "ISO/IEC 15408-1:2009 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model". International Organization for Standardization (ISO). Retrieved 18 November 2016.
  6. ^ Turner, Dawn M. "Trust service providers according to eIDAS". Cryptomathic. Retrieved 18 November 2016.
  7. ^ Turner, Dawn M. "eIDAS from Directive to Regulation - Legal Aspects". Cryptomathic. Retrieved 18 March 2016.
  8. ^ "Regulations, Directives and other acts". Europa.eu. The European Union. Archived from the original on 12 December 2013. Retrieved 18 March 2016.

외부 링크