より便利でセキュアにドキュメント署名を行う方法

TrustedX eIDASは、トラストサービスプロバイダー向けのオンプレミスのソリューションです。Web API経由で簡単にアクセスでき、法的要件を満たしたクラウドベースの署名サービスを展開するために使用します。署名鍵はHSM内で一元的に保護され、ユーザーはハードウェアやソフトウェアトークンを必要とせずに、デバイスからドキュメント署名をリモートで承認できます。

TrustedX eIDASの利点

eIDAS規格(eIDAS規則)に準拠した署名

TrustedX eIDASはeIDAS規格(eIDAS規則)に準拠しており、Qualified Signature Creation Device(QSCD)で署名操作を実行します。

国際的に認められている署名の規格に準拠

このプラットフォームは、デジタル署名を必要とする業界製品との非常に高いレベルの信頼性と相互運用性を提供します。

ユーザー用のハードウェアやソフトウェアトークン不要

オンボーディングと署名のプロセスは、専門知識がなくても、どのデバイスからでも実行可能です。

動作の仕組み

  • アーキテクチャ
  • 処理
  • 技術仕様
  • その他のモジュール

アーキテクチャ

TrustedX eIDASにより、Trust Service Providerが運用するウェブサービス経由で、リモート署名および2FAベースで署名をアクティベートする機能を利用できるようになります。 次の図は、TrustedX eIDAS、オプションのMobile IDモジュール、お客様のインフラ間のやり取りを示しています。IdPは記載していません。

 

eIDASアーキテクチャの図

 

 

処理

サーバーベースの署名プロバイダーとして機能するTrustedX eIDASを使用すれば、キーをアクティベートしてドキュメントまたはドキュメントのハッシュの正当性を確認するために、ユーザーが認証を行うことができます。

電子署名プロバイダー(eSigP)

登録済みのユーザー用のPKIマテリアルは、セキュアなHSMベースのリポジトリ内でアイデンティティ属性として管理されます。各ユーザーが複数のデジタル証明書を持つことができ、認証後にリモートでドキュメントに署名を行えます。

ウェブAPI経由、または任意で TrustedX Desktop Virtual Card(VC)コンポーネント経由で署名機能を利用できます。

アイデンティティプロバイダー(IdP)

このプラットフォームはフェデレーションに対応した既存のアイデンティティプロバイダーを活用する設計になっていますが、一部のユースケースで、IdPとして機能させることもできます。 サードパーティ製の IdP のサポートについては、当社にお問い合わせください。

TrustedX eIDAS には、SMS/ E メール OTP や TrustedX Mobile ID など、2FA 認証方式が含まれています。

Entrust DatacardのIntelliTrustまたはIdentityGuardと統合するか、当社のSAML 2.0コネクタを使用している既存のIdPと統合すると、オーセンティケーターを増やすことができます。

技術仕様

  • 形態 仮想またはハードウェアのアプライアンスです。 Signature Activation モジュールの場合、ハードウェア アプライアンスが必要です。 サポートしているハードウェアや仮想マシンの情報については、当社にお問い合わせください。
  • Signature Activation モジュール(SAM) TrustedX eIDAS v4.2 は、CEN EN 419 241-2( Protection Profile for QSCD for Server Signing)に準拠した SAM を実装しています。
  • 認証規格 OASIS SAML 2.0 および OAuth 2.0/OpenID Connect。
  • ネイティブ認証方式 パスワード、デジタル証明書、SMS/ E メール OTP、TrustedX Mobile ID。
  • 拡張オーセンティケーター Entrust DatacardのIntelliTrustまたはIdentityGuardとの統合、あるいは付属のSAML 2.0コネクタまたはカスタムコネクタを使用したサードパーティ製のIdPとの統合。
  • 認証分類 eIDAS のアシュアランス レベル(LoA)、NIST のオーセンティケーターのアシュアランス レベル(AALs)、ITU-T X.1254、ISO/IEC 29115。
  • 電子署名規格 PAdES(ETSI TS 103 172 および ETSI EN 319 142)、XAdES(ETSI TS 103 171 および ETSI EN 319 132)、CAdES(ETSI TS 103 173 および ETSI EN 319 122)、RSA PKCS#1 および Cloud Signature Consortium/ETSI TS 119 432。
  • 外部 TSA および OCSP 最大でTSA証明書の有効期間にまで有効期間を延ばせるLTV署名を生成する、IETF TSAおよびIETF OCSP互換のサーバー、またはEntrust DatacardのTSAおよびOCSP製品。
  • 外部 PKI サービス 所定のカスタムコネクタ機構を使用するサードパーティ製のPKIまたはEntrust DatacardのPKI。
  • HSM サポート nShield Connect+ および nShield Connect XC。 選択したモデルに応じて利用できる機能が異なる場合があります(SAM では nShield Connect XC が必要)。
  • イベント監視 Simple Network Management Protocol(SNMP)。 外部 SIEM を伴う処理の場合、Syslog および生データ フォーマット。
  • データベース システム Oracle、Microsoft SQL Server、および PostgreSQL。 他のデータベースのサポートについては、当社にお問い合わせください。
  • SMS/ E メール ゲートウェイ OTP 方式では、単一の SMS ゲートウェイおよび SMTP サーバー、またはそのいずれかが必要。

その他のモジュール