—   сервис обмена электронными документами

Cades-A. Подпись, продлевающая жизнь. 1 часть

30.05.2018

Сохраняется ли юридическая значимость документов после того, как истекает срок действия сертификатов последних штампов времени? Чтобы ответить на этот вопрос, предлагаю разобраться в структуре электронной подписи и в ее форматах. Так как для долгосрочного хранения документов подходит формат Cades-A, о нем и пойдет речь.

Поднимаемая тема не проста и требует детальной проработки, поэтому предлагаю разобрать ее в два подхода. В первой части поговорим о базовой теории электронной подписи (далее – ЭП), ключах, сертификатах, критериях действительности, службе штампов времени. Во второй, более технической, я подробно остановлюсь на форматах электронных подписей, расскажу об архивном штампе времени и интересующем нас Cades-A, используемом для долговременного хранения юридически значимых документов.

 

Электронная подпись: простая и усиленная

Обратимся к Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – 63-ФЗ). Исходя из него, ЭП – это сущность, которая:

●    является информацией;

●    связана с подписываемой информацией;

●    позволяет определить подписанта.

 

Признаки усиленной квалифицированной электронной подписи (далее – УКЭП):

●    является информацией;

●    связана с подписываемой информацией;

●    предоставляет возможность определить подписанта;

●    получена с помощью ключа ЭП (закрытого) в результате криптографического преобразования информации;

●    позволяет установить факт внесения изменений в подписываемые данные;

●    ключ проверки ЭП (открытый) указан в квалифицированном сертификате;

●    для создания и проверки подписи используются сертифицированные средства ЭП.

Всё вышеперечисленное накладывает дополнительные ограничения, в том числе и на техническую часть. В процессе работы с электронной подписью должны присутствовать открытый и закрытый ключи, квалицированный сертификат, средства создания и проверки ЭП.

Удостоверяющие центры (далее – УЦ), аккредитованные Минкомсвязью России, по запросам пользователей выпускают для них сертификаты. Требования к форме последних, средствам УЦ и средствам электронной подписи устанавливает ФСБ России (Приказ ФСБ РФ от 27 декабря 2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»; Приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра»). Примером сертифицированных ФСБ средств ЭП служит средство криптографической защиты «КриптоПро CSP».

 

Действительность подписи

В соответствии с 63-ФЗ (Статья 11) документ с УКЭП обладает юридической силой, если:

●    квалифицированный сертификат был действителен на момент подписания либо в момент проверки подписи;

●    сертификат соответствует сформированной подписи;

●    в подписанный документ не вносили изменения.

С технической точки зрения, с помощью открытого ключа проверяется соответствие значения ЭП подписанным данным (соответствие предоставленного открытого ключа закрытому, с помощью которого производились «криптографические преобразования»). Также устанавливается действительность сертификата либо на день проверки, либо на момент подписания документа. Если срок действия квалифицированного сертификата истек, появляется необходимость достоверно установить время подписания.

 

Сертификаты

Мы уже выяснили, что квалифицированные сертификаты выдают удостоверяющие центры, аккредитованные головным УЦ (Минкомсвязь России). Квалифицированный сертификат хранит открытые сведения: данные владельца закрытого ключа, открытый ключ (создается в пару к закрытому), срок действия сертификата, уникальный номер, ограничения по его использованию и др. Эту информацию подписывает удостоверяющий центр, которому в свою очередь тоже был выдан квалифицированный сертификат, подписанный другим вышестоящим УЦ. Таким образом, формируется цепочка сертификатов, приводящая к головному УЦ. Он априори является доверенной стороной для всех остальных участников процесса.

В ряде случаев удостоверяющий центр может отозвать выпущенный ранее сертификат до завершения его срока действия. Такое может произойти при компрометации закрытого ключа пользователя. Информацию по отзыву конкретного сертификата можно узнать, отправив запрос и получив OCSP-ответ со статусом действительности данного конкретного экземпляра или запросив от УЦ список отозванных сертификатов за все время его существования. CRL (Certificate Revocation List) также подписывается удостоверяющим центром, и снова по цепочке мы должны прийти к Минкомсвязи, чтобы убедиться в подлинности полученных данных.

 

Служба штампов времени

Вернемся к проблеме того, как определить время подписания документа. Если ЭП проверяют после истечения срока действия сертификата, то необходимо установить момент подписания. Технически возможно указать его в структуре самой подписи, но доверять этому значению мы не можем, так как оно формируется на стороне подписанта. Например, берется из настроек компьютера пользователя. Поэтому существует еще одна доверенная сторона – служба штампов времени (Time stamping authority, TSA).

Штампом времени называют подписанный ответ TSA с фиксацией момента, в котором существовала штампуемая информация. Данные, а строго говоря их хэш, отправляются запросом по протоколу TSP (Time stamp protocol). Служба штампов формирует ответ, в котором в определенном формате фиксируется точное время существования полученного в запросе хэша.

После формирования подписи, чтобы зафиксировать момент ее создания, устанавливается штамп времени. Если в будущем сертификат подписанта истечет или закрытый ключ будет скомпрометирован, документ не потеряет юридическую значимость (при условии, что в указанное время сертификат подписанта был действителен).

 

А достаточно ли штампа?

Простая проштамповка подписи сразу после ее формирования – необходимое, но недостаточное условие того, чтобы доказать ее действительность через длительное время. При проверке нужно будет убедиться, что в зафиксированный момент подписания сертификат был не отозван. Для этого потребуется получить списки отзывов. Но что делать, если удостоверяющий центр ко времени проверки расформировался, и получить CRL уже невозможно? А если сертификат службы штампов времени уже истек?

На эти и другие вопросы я отвечу во второй части, где разберу на составляющие электронную подпись и различные ее форматы.

Автор: Александр Евтушенко, системный аналитик Synerdocs