Entrust Remote Signing Engine
Un moyen plus pratique et plus sûr de signer des documents
Entrust Remote Signing Engine est une solution sur site pour les fournisseurs de services de confiance, pour le déploiement d’un service de signature conforme à la loi et basée sur le Cloud, facilement accessible via une API Web. Les clés de signature sont protégées de manière centralisée dans un HSM, et les signatures de documents sont approuvées à distance par les utilisateurs depuis leur périphérique, sans avoir besoin d’un jeton matériel ou logiciel.
Avantages d’Entrust Remote Signing Engine
Entrust Remote Signing Engine est aligné avec les normes eIDAS et effectue des opérations de signature sur un périphérique de création de signature qualifié (QSCD).
La plateforme offre un très haut niveau de confiance et d’interopérabilité avec les produits de l’industrie qui nécessitent des signatures numériques.
Le processus d’intégration et de signature ne nécessite pas de connaissances spécifiques et peut être effectué à partir de n’importe quel périphérique.
Fonctionnement
- Architecture
- Opération
- Caractéristiques techniques
- Modules disponibles en option
Architecture
Entrust Remote Signing Engine fournit des options de signature à distance et d’activation de signature sur la base de la technologie 2FA au moyen de services Web exploités par un fournisseur de services de confiance. La figure suivante illustre les interactions entre Entrust Remote Signing Engine, le module optionnel Mobile ID, et votre infrastructure - l’IdP (Fournisseur d’identité) n’est pas représenté :
Opération
Entrust Remote Signing Engine agit comme un fournisseur de signature basé sur le serveur, permettant aux utilisateurs de s’authentifier afin d’activer leurs clés et d’autoriser la signature de documents ou de hachages de documents.
Fournisseur de signature électronique (eSigP)
Le matériel PKI pour les utilisateurs inscrits est géré en tant qu’attributs d’identité dans un référentiel sécurisé basé sur HSM. Chaque utilisateur peut posséder un ou plusieurs certificats numériques pour signer des documents à distance une fois authentifié.
Les fonctions de signature sont disponibles via une API Web ou autrement via le composant de carte virtuelle de bureau TrustedX.
Fournisseur d’identité (FdI)
La plateforme est conçue pour tirer parti d’un fournisseur d’identité fédéré existant, mais elle peut également servir de FdI dans certains cas. Consultez-nous pour en savoir plus sur les FdI tiers pris en charge.
Entrust Remote Signing Engine comprend des méthodes d’authentification de type 2FA telles que SMS/Email OTP et TrustedX Mobile ID.
D’autres authentificateurs peuvent être incorporés grâce à l’intégration avec IntelliTrust ou IdentityGuard d’Entrust Datacard, ou avec les FdI existants à l’aide de notre connecteur SAML 2.0.
Caractéristiques techniques
- Format : Dispositif virtuel ou matériel. Un dispositif matériel est requis avec le module d’activation de signature. Contactez-nous pour en savoir plus sur le matériel ou les machines virtuelles pris en charge.
- Signature Activation Module (SAM) (Module d’activation de signature) : Entrust Remote Signing Engine v4.2 met en œuvre un SAM conforme à la norme CEN EN 419 241-2 : Profil de protection pour QSCD pour la signature de serveur.
- Normes d’authentification : OASIS SAML 2.0 et OAuth 2.0/OpenID Connect.
- Méthodes d’authentification natives : Mots de passe, certificats numériques, OTP SMS/e-mail, TrustedX Mobile ID.
- Extension des authentificateurs : Intégration avec les produits IntelliTrust ou IdentityGuard d’Entrust, ou avec un FdI tiers à l’aide du connecteur SAML 2.0 fourni ou d’un connecteur personnalisé.
- Classification d’authentification : Niveaux d’assurance (LoA) d’eIDAS, niveaux d’assurance d’authentificateur (AAL) du NIST, UIT-T X.1254, ISO/CEI 29115.
- Normes de signature électronique : PAdES (ETSI TS 103172 et ETSI EN 319142), XAdES (ETSI TS 103171 et ETSI EN 319132), CAdES (ETSI TS 103173 et ETSI EN 319122), RSA PKCS#1 et Cloud Signature Consortium/ETSI TS 119 432.
- TSA et OCSP externes : Produits TSA et OCSP d’Entrust ou serveurs compatibles IETF TSA et IETF OCSP pour créer des signatures VLT avec une durée de validité étendue jusqu’à la validité du certificat TSA.
- Services de PKI externes : PKI d’Entrust ou d’un tiers en utilisant le mécanisme fourni de connecteurs personnalisés.
- Prise en charge des HSM : HSM nShield Connect+ et HSM nShield Connect XC. Les fonctions disponibles peuvent varier en fonction du modèle choisi (HSM nShield Connect XC est requis pour le SAM).
- Surveillance des événements : Protocole de gestion de réseau simple (SNMP). Syslog et format brut pour le traitement avec un SIEM externe.
- Systèmes de base de données : Oracle, Microsoft SQL Server et PostgreSQL. Consultez-nous pour connaître la prise en charge d’autres bases de données.
- Passerelle SMS/E-mail : Une passerelle SMS et/ou un serveur SMTP sont requis pour les méthodes avec code à usage unique.
Modules disponibles en option
Un module disponible en option qui permet l’activation de la signature à l’aide d’un appareil mobile. Il s’agit d’une application dédiée ou d’un kit de développement logiciel à intégrer à votre propre application.
Un plug-in léger installé sur l’ordinateur de l’utilisateur, qui lui permet de signer des documents directement depuis l’ordinateur en utilisant des clés distantes stockées en toute sécurité dans la plateforme Entrust Remote Signing Engine.
Antel construit une infrastructure nationale d’identité et de signature électronique sécurisée à laquelle les Uruguayens peuvent accéder et qu’ils peuvent également utiliser à partir de différents périphériques, à l’aide des solutions PKI et de signature numérique d’Entrust.