Entrust Remote Signing Engine
Eine praktische und sicherere Lösung für qualifizierte Signaturen
Entrust Remote Signing Engine ist eine lokale Lösung für Trust Services Provider zur Bereitstellung eines rechtssicheren cloudbasierten Signierdienstes, der über eine Web-API einfach zugänglich ist. Die Signierschlüssel werden zentral in einem HSM geschützt, und die Dokumentensignaturen werden von den Anwendern per Fernzugriff von ihrem Gerät aus genehmigt, ohne dass ein Hardware- oder Software-Token erforderlich ist.
Vorteile von Entrust Remote Signing Engine
Entrust Remote Signing Engine ist auf die eIDAS-Standards abgestimmt und führt Signiervorgänge auf einem Qualified Signature Creation Device (QSCD) durch.
Die Plattform bietet ein sehr hohes Maß an Vertrauen und Interoperabilität mit den Branchenprodukten, die qualifizierte Signaturen erfordern.
Der Onboarding- und Signierungsprozess erfordert keine speziellen Kenntnisse und kann von jedem Gerät aus durchgeführt werden.
Funktionsweise
- Architektur
- Betrieb
- Technische Daten
- Optionale Module
Architektur
Entrust Remote Signing Engine bietet Möglichkeiten zur Fernsignierung und 2FA-basierten Signaturaktivierung über Webdienste, die von einem Trust Service Provider betrieben werden. Die folgende Abbildung veranschaulicht die Interaktionen zwischen Entrust Remote Signing Engine, dem optionalen Mobile-ID-Modul und Ihrer Infrastruktur. Der Identitätsanbieter ist nicht dargestellt:
Betrieb
Entrust Remote Signing Engine fungiert als serverbasierter Signaturanbieter und ermöglicht die Authentifizierung von Benutzern, um ihre Schlüssel zu aktivieren und die Signatur von Dokumenten oder Dokumentenhashes zu autorisieren.
Anbieter elektronischer Signaturen (eSigP)
PKI-Materialen für angemeldete Benutzer werden als Identitätsattribute in einem sicheren HSM-basierten Repository verwaltet. Jeder Benutzer kann über ein oder mehrere digitale Zertifikate verfügen, um Dokumente nach der Authentifizierung per Fernzugriff mit einer digitalen Signatur zu versehen.
Die Signierfunktionen sind über eine Web-API oder optional über die Komponente TrustedX Desktop Virtual Card (VC) verfügbar.
Identitätsanbieter (IdP)
Die Plattform ist darauf ausgelegt, einen bestehenden föderierten Identitätsanbieter (Identity Provider) zu nutzen, kann aber auch als IdP für einige Anwendungsfälle fungieren. Wenden Sie sich an uns, um weitere Informationen über unterstützte IdPs von Drittanbietern zu erhalten.
Entrust Remote Signing Engine umfasst 2FA-Authentifizierungsmethoden wie einmalige Zugangscodes per SMS/E-Mail und TrustedX Mobile ID.
Weitere Authentifikatoren können dank der Integration mit IntelliTrust oder IdentityGuard von Entrust oder mit bestehenden IdPs über unseren SAML 2.0 Connector eingebunden werden.
Technische Daten
- Format: Virtuelle Maschinen oder Hardware-Appliance. Für das Signature Activation Module ist eine Hardware-Appliance erforderlich. Kontaktieren Sie uns, wenn Sie weitere Informationen über unterstützte Hardware oder virtuelle Maschinen benötigen.
- Signature Activation Module (SAM): Entrust Remote Signing Engine v4.2 implementiert ein SAM, das der CEN EN 419 241-2 entspricht: Schutzprofil für QSCD zum Signieren von Servern.
- Authentifizierungsstandards: OASIS SAML 2.0 und OAuth 2.0/OpenID Connect.
- Native Authentifizierungsmethoden: Passwörter, digitale Zertifikate, SMS/E-Mail OTP, TrustedX Mobile ID.
- Erweitern von Authentifikatoren: Integration mit IntelliTrust- oder IdentityGuard-Produkten von Entrust oder mit IdP von Drittanbietern unter Verwendung des mitgelieferten SAML 2.0-Konnektors oder eines eigenen Konnektors.
- Klassifizierung der Authentifizierung: Levels of Assurance (LoA) von eIDAS, Authenticator Assurance Levels (AALs), ITU-T X.1254, ISO/IEC 29115.
- Standards für elektronische Signaturen: PAdES (ETSI TS 103 172 und ETSI EN 319 142), XAdES (ETSI TS 103 171 und ETSI EN 319 132), CAdES (ETSI TS 103 173 und ETSI EN 319 122), RSA PKCS#1 und Cloud Signature Consortium/ETSI TS 119 432.
- Externe TSA und OCSPs: TSA- und OCSP-Produkte von Entrust oder mit IETF TSA und IETF OCSP kompatible Server zur Erstellung von LTV-Signaturen mit verlängerter Lebensdauer bis zur TSA Zertifikatsgültigkeit.
- Externe PKI-Dienste: Die PKI von Entrust oder die PKI eines Drittanbieters unter Verwendung des bereitgestellten Mechanismus der kundenspezifischen Konnektoren.
- HSM-Unterstützung: nShield Connect+ und nShield Connect XC. Die verfügbaren Funktionen können je nach gewähltem Modell variieren (nShield Connect XC ist für das SAM erforderlich).
- Ereignisüberwachung: Simple Network Management Protocol (SNMP). Syslog und Rohformat zur Verarbeitung mit einem externen SIEM.
- Datenbanksysteme: Oracle, Microsoft SQL Server und PostgreSQL. Wenden Sie sich an uns, wenn Sie Unterstützung für andere Datenbanken benötigen.
- SMS/E-Mail-Gateway: Für OTP-Methoden ist ein SMS-Gateway und/oder SMTP-Server erforderlich.
Optionale Module
Ein optionales Modul, das die Signaturaktivierung über ein mobiles Gerät ermöglicht. Es wird entweder als dedizierte App oder als SDK zur Integration in Ihre eigene App angeboten.
Ein leichtes Plug-in, das auf dem Computer des Benutzers installiert wird und es ihm ermöglicht, Dokumente direkt vom Computer aus zu signieren, indem er Remote-Schlüssel verwendet, die sicher in der Entrust Remote Signing Engine-Plattform gespeichert sind.
Antel baut eine sichere, landesweite elektronische Identitäts- und Signierinfrastruktur auf, die die Bürger von Uruguay über verschiedene Geräte nutzen können. Dabei kommen die PKI und digitalen Signierlösungen von Entrust zum Einsatz.