メインコンテンツまでスキップ
画像
紫色の六角形のパターン
画像
携帯端末でタイピングする人物

より便利でセキュアにドキュメント署名を行う方法

Entrust Remote Signing Engineは、トラストサービスプロバイダー向けのオンプレミスのソリューションです。Web API経由で簡単にアクセスでき、法的要件を満たしたクラウドベースの署名サービスを展開するために使用します。 署名鍵はHSM内で一元的に保護され、ユーザーはハードウェアやソフトウェアトークンを必要とせずに、デバイスからドキュメント署名をリモートで承認できます。

仕組み

アーキテクチャ

Entrust Remote Signing Engineにより、Trust Service Providerが運用するウェブサービス経由で、リモート署名および 2FA ベースで署名をアクティベートする機能を利用できるようになります。 次の図は、Entrust Remote Signing Engine、オプションのMobile IDモジュール、お客様のインフラ間のやり取りを示しています。IdPは記載していません:

eIDASアーキテクチャの図

処理

サーバーベースの署名プロバイダーとして機能するEntrust Remote Signing Engineを使用すれば、キーをアクティベートしてドキュメントまたはドキュメントのハッシュの正当性を確認するために、ユーザーが認証を行うことができます。

電子署名プロバイダー(eSigP)

登録済みのユーザー用のPKIマテリアルは、セキュアなHSMベースのリポジトリ内でアイデンティティ属性として管理されます。各ユーザーが複数のデジタル証明書を持つことができ、認証後にリモートでドキュメントに署名を行えます。

ウェブAPI経由、または任意で TrustedX Desktop Virtual Card(VC)コンポーネント経由で署名機能を利用できます。

アイデンティティプロバイダー(IdP)

このプラットフォームはフェデレーションに対応した既存のアイデンティティプロバイダーを活用する設計になっていますが、一部のユースケースで、IdPとして機能させることもできます。 サードパーティ製の IdP のサポートについては、当社にお問い合わせください。

Entrust Remote Signing Engineには、SMS/EメールOTPやTrustedX Mobile IDなど、2FA認証方式が含まれています。

EntrustのIntelliTrustまたはIdentityGuardと統合するか、当社のSAML 2.0コネクタを使用している既存のIdPと統合すると、オーセンティケーターを増やすことができます。

技術仕様

  • 形態 仮想またはハードウェアのアプライアンスです。 Signature Activation モジュールの場合、ハードウェア アプライアンスが必要です。 サポートしているハードウェアや仮想マシンの情報については、当社にお問い合わせください。
  • Signature Activation モジュール(SAM): Entrust Remote Signing Engine v4.2は、CEN EN 419 241-2に準拠したSAMを実装しています: Protection Profile for QSCD for Server Signing)に準拠した SAM を実装しています。
  • 認証規格 OASIS SAML 2.0 および OAuth 2.0/OpenID Connect。
  • ネイティブ認証方式 パスワード、デジタル証明書、SMS/ E メール OTP、TrustedX Mobile ID。
  • 拡張オーセンティケーター: EntrustのIntelliTrustまたはIdentityGuardとの統合、あるいは付属のSAML 2.0コネクタまたはカスタムコネクタを使用したサードパーティ製のIdPとの統合。
  • 認証分類 eIDAS のアシュアランス レベル(LoA)、NIST のオーセンティケーターのアシュアランス レベル(AALs)、ITU-T X.1254、ISO/IEC 29115。
  • 電子署名規格 PAdES(ETSI TS 103 172 および ETSI EN 319 142)、XAdES(ETSI TS 103 171 および ETSI EN 319 132)、CAdES(ETSI TS 103 173 および ETSI EN 319 122)、RSA PKCS#1 および Cloud Signature Consortium/ETSI TS 119 432。
  • 外部TSAおよびOCSP: 有効期間が最大でTSA証明書の有効期間にまで延びるLTV署名を生成する、IETF TSAおよびIETF OCSP互換のサーバーまたはEntrustのTSAおよびOCSP製品。
  • 外部 PKI サービス: 提供しているカスタム コネクタのメカニズムを使用するサードパーティのPKIまたはEntrustのPKI。
  • HSM サポート nShield Connect+ および nShield Connect XC。 選択したモデルに応じて利用できる機能が異なる場合があります(SAM では nShield Connect XC が必要)。
  • イベント監視 Simple Network Management Protocol(SNMP)。 外部 SIEM を伴う処理の場合、Syslog および生データ フォーマット。
  • データベース システム Oracle、Microsoft SQL Server、および PostgreSQL。 他のデータベースのサポートについては、当社にお問い合わせください。
  • SMS/ E メール ゲートウェイ OTP 方式では、単一の SMS ゲートウェイおよび SMTP サーバー、またはそのいずれかが必要。

その他のモジュール

Mobile ID

モバイル機器を使って署名をアクティベートできるようにするオプションのモジュールです。専用アプリのもの、または SDK としてお客様自身のアプリに統合できるものがあります。

データシートを読む

Desktop VirtualCard

軽量なプラグインがユーザーのコンピュータにインストールされ、Entrust Remote Signing Engineプラットフォームで安全に保管されたリモート鍵を使ってコンピュータからドキュメントに直接署名できるようになります。

データシートを読む

画像
Antelのロゴ
署名エンジン

デジタルIDと署名基盤の構築

Antelは、EntrustのPKIとデジタル署名ソリューションを使用して、ウルグアイの人々がさまざまなデバイスから使用でき、アクセスできるように、セキュアで全国的な電子IDと署名のインフラストアクチャを構築しています。