BIS Journal №4(19)/2015

17 декабря, 2015

Время доверия

Вопросы организации доверия во времени, а вернее вопросы подтверждения действительности электронной подписи (ЭП), которой заверен электронный документ (ЭД) на момент ее формирования, по прошествии времени действительности сертификата ключа проверки ЭП (СКПЭП), весьма актуальны. Настоящая является продолжением дискуссий на XIII международной конференции по проблематике инфраструктуры открытых ключей и электронной подписи — «PKI-Форум Россия 2015», которая прошла 15–17 сентября 2015 года в Санкт-Петербурге. 


Эти вопросы родились из практики при тесном взаимодействии технических специалистов и юристов, так как с одной стороны документы электронные, а с другой, мы говорим о том, что необходимо обеспечить их юридическую силу. И при тесном взаимодействии юристов, IT-специалистов и специалистов по ИБ эта проблематика развивается.

Можно выделить следующие основные вопросы, связанные с организацией доверия во времени:
  1. 1. по состоянию на какое время следует проверять действительность СКПЭП, который был использован при подписании ЭД;
  2. 2. закрывают ли все проблемные вопросы хранения электронных юридически значимых документов архивные форматы ЭД с ЭП;
  3. 3. есть ли решения, которые дополняют применение этих архивных форматов, т. е. если какие-то проблемы остаются даже в том случае, когда мы применяем специальный архивный формат.
В первую очередь, необходимо определиться в терминах и в том, как связаны такие понятия как «время» и «документ».

В российском стандарте ГОСТ Р 7.0.8–2013 «СИБИД. Делопроизводство и архивное дело. Термины и определения» понятие «документ» определено как: «зафиксированная на носителе информация с реквизитами, позволяющими ее идентифицировать». Соответственно «время (дата) документа — один из реквизитов документа, обозначающий время подписания документа или зафиксированного в нем события».

Необходимо подчеркнуть, что в определении «время документа» («дата документа») ничего не сказано о том, что оно каким-либо образом связано с моментом времени, когда мы проверяем подпись. При этом в стандарте речь идет о документах вообще, не только об ЭД, но к ЭД это тоже относится. Т.е. такой важный реквизит документа как «время» — это время подписания, а не время проверки. И нам этот реквизит нужно будет проверять

Таким образом, проверка ЭП ЭД должна выполняться на момент подписания: ЭП действительна, если документ целостный (сравниваем хеш) и аутентичный (валидный СКПЭП). А действительность СКПЭП с юридической точки зрения более правильно проверять на момент, когда документ подписывался. В отношении ЭД такой сущности как «время проверки» нет, есть только сущность «время подписания» документа.

Проверять документ можно всегда, в любой момент его жизненного цикла. Пример с завещанием. Человек умер. Что говорить о действительности его подписи на момент проверки? Человека нет. Поэтому мы проверяем его подпись на тот момент, когда он составил завещание, а нотариус его заверил. Человека в живых нет, но подпись его была действительна на момент подписания.

Проверка же ЭП, а именно действительности СКП, на момент проверки (получения) ЭД является эрзац-подписью. Родилась эта технология, потому что зафиксировать момент времени подписания иногда бывает сложно: либо организатор системы этого не понимает, либо разработчик не умеет этого делать, либо инфраструктура не позволяет.

Нормативное европейское регулирование в этой части обгоняет РФ и страны евразийского союза. Если посмотреть положение 910, то в статье 32 четко определено, что все проверки в частности СКПЭП, которым подписан документ и требования к этому СКПЭП, изложенные в ст. 26, выполняются на момент подписания документа. Тут никаких разночтений нет. Европейские нормативы все это очень правильно определяют.

Что же касается российского законодательства, то исторически как было определено в ФЗ?1 статья 4: «ЭЦП в ЭД равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении нескольких условий (одно из этих условий): 1) СКП, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания ЭД при наличии доказательств, определяющих момент подписания». Здесь даже приоритет сущностей проверки «момент проверки» и «момент подписания» важен.

На первом месте стоит «момент проверки»! Но это не важно, какой статус имеет СКПЭП на момент проверки. Это технологические издержки, которые удобны, т. к. не все информационные системы умеют правильно фиксировать момент подписания. Момент проверки подписи — это проще, но это не правильно. Нужно отметить, что мы не предлагаем вносить поправки в старый закон, который к тому же отменен, мы говорим, как правильно.

В ФЗ?63 «Об Электронной подписи», действующем на территории РФ в настоящее время, в статье 11 «Признание квалифицированной электронной подписи сказано»: «Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий (одно из этих условий): квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен».

Таким образом, в ФЗ?63 поменяли местами сущности «момент подписания» и «момент проверки», но тем не менее «момент проверки» остался. Это допущение имеет место для регламентации признания квалифицированной ЭП в информационных системах, где технически не реализована возможность привязать время проверки действительности СКПЭП к моменту подписания.

Также в ФЗ?63 есть новинка, приведенная также в статье 11: «Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий (одно из условий): квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром (УЦ), аккредитация которого действительна на день выдачи указанного сертификата (момент подписания ЭД)». Т.е. необходимо проверить, что УЦ, выдавший сертификат, был аккредитован на момент выдачи сертификата.

При проверке в конкретном ЭД СКПЭП, который использован для подписи ЭД, проверка был ли аккредитован УЦ, когда он выдавал сертификат, является необходимой, но не достаточной. В этой статье нет проверки, что УЦ был аккредитован на момент подписания ЭД. Эта проверка нужна, но она технически сложна. Смысл в том, что УЦ обслуживает выпущенные сертификаты в режиме 24/7.

Но возможен такой вариант, что УЦ выдал квалифицированный СКПЭП и на следующий день его аккредитацию приостановили, например, потому что он не опубликовал список отозванных сертификатов. Это значит, что все пользователи этого УЦ находятся под риском. В этом случае, аккредитация УЦ приостанавливается, т. е. выдавал СКПЭП аккредитованный УЦ, а на момент подписания этот УЦ уже не аккредитован. Регулятор приостановил аккредитацию.

Это зона риска. СКП — это живая сущность, она может каждую минуту изменить свой статус. Все время аккредитация УЦ должна быть валидна. Это идеальная картинка. В РФ такая проверка на данный момент не осуществляется.

Технических проблем реализации проверки подписи на момент формирования подписи при оперативном хранении (срок хранения документа сравним со сроком действия сертификатов, в том числе корневых) нет. Т.е. если мы научимся фиксировать время, будем использовать специальный архивный формат и сертификаты у нас будут долгосрочными (например, корневой 30 лет, а выданные 20, 25, 30 лет), то тогда для организации доверия во времени просто используем архивный формат, а внутри подписи ставим метку времени.

Переходим к вопросу архивных форматов — закрывают ли все вопросы хранения архивные форматы ЭД с ЭП?

В качестве примера рассмотрим формат электронной подписи CAdES-A (см. рисунок), используемый для обеспечения возможности проверки ЭП как можно более долгое время.
 

Разберемся для начала в том, что же такое штамп времени? Это хеш документа, к которому привязано значение времени, подписанное сервисом времени. Следовательно, чтобы поддерживать такой формат, нам нужно постоянно шифровать (хешировать) документ. Это требует больших вычислительных ресурсов, но это возможно.

Есть другое решение: проверка действительности цепочки сертификатов (в случае если срок действия сертификата подходит к концу, то мы выполняем операцию подписания заново, при этом выполняется хеширование всей цепочки). А может быть так, что просто проставлен архивный штамп времени (CAdES-A), документ отправлен в архив и забыт. Тогда, на момент, когда истечет сертификат сервера штампов времени, который выдал последний архивный штамп, весь документ утратит свою значимость. Т.е. у нас не будет точки доверия, которая была бы действительна.

Следовательно, формат CAdES-A хорош, когда время хранения документа сравнимо с длительностью действительности самого длинного сертификата. В данном случае сертификат сервера штампа времени. Если же у нас документ хранится вечно или 75 лет, а действительность СКПЭП сервера штампов времени 30 лет, то мы ровно через 30 лет после изготовления этого сертификата получим проблему, и не будем знать, как дальше пролонгировать документ, как проверять действительность СКПЭП. Что же тогда делать?

Перейдем к вопросу — есть ли решения, которые дополняют применение архивных форматов, т. е. тогда, когда документы хранятся дольше, чем действителен самый долгосрочный сертификат в штампах времени?

Ответ — да. Это процедура длительного архивного хранения документов. Она постоянная. Это цикл. Мы надежно храним документ со всеми метаданными, при этом отслеживаем актуальность цепочки сертификатов, парсим их и когда находим цепочку, которая должна через какое-то контрольное значение времени истечь (завтра, через неделю), выдаем некое обновление — это архивный штамп времени (например, CAdES-A).

Для экономии вычислительных ресурсов (CAdES-A требует щифрования документа), предлагается такое решение: необходимо хранить документы в архиве надежно с точки зрения целостности (какими-то решениями мы обеспечиваем то, что все ЭД, отправленные в архив, целостны). У нас остается одна задача — обеспечить валидность цепочки сертификатов. Это можно делать без хеширования. Т.е. истекает срок действия цепочки, мы это парсингом отслеживаем, и в этот момент выдаем квитанцию сервиса DVCS — vpkc, которая требует проверить действительность цепочки сертификатов.
 

Результат такой проверки — квитанция, которая становится новыми метаданными документа, прикладывается к нему, и далее документ хранится в архиве вместе с квитанцией. В следующий раз мы будем проверять квитанцию, т. к. проверить цепочку в самом документе мы уже не сможем, она истечет. Будем доверять документу на основе действительности ЭП и сертификата DVCS, который проверил накануне истечения документ и выдал свою квитанцию. И таким образом пролонгируем жизненный цикл документа.


 
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам
26.03.2024
Банки попросили не вводить оборотные штрафы за утечки. Опять

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных