Как организовать долгосрочное архивное хранение электронных документов

    Недавно в журнале «Инсайд» мы рассказывали о долгосрочном архивном хранении электронных документов (ЭД), заверенных электронной подписью (ЭП). Статья была посвящена обзору различных точек зрения на организацию этого процесса и подходах к пролонгации свойств юридической значимости ЭД. В ней мы акцентировали внимание на подходе, который предусматривает формирование квитанций документа. Они представляют собой метаданные, содержащие результаты выполненных проверок, а также все необходимые атрибуты, подтверждающие юридическую значимость документа в момент проверки.

    Настоящая статья более подробно раскрывает еще один подход к долгосрочному архивному хранению (ДАХ) – формирование усовершенствованной электронной подписи (УЭП), а именно ЭП в архивных форматах CAdES-A и XAdES-A.


    Попробуем более подробно разобраться, как и почему архивная ЭП может продлить жизненный цикл электронных документов с ЭП. Начнем с небольшого теоретического ликбеза по типам и форматам ЭП, а затем рассмотрим на практике порядок формирования архивной ЭП продуктами разработки компании «Газинформсервис».

    Немного теории


    Электронная подпись типа CAdES

    CMS Advanced Electronic Signatures (CAdES) — это стандарт ЭП, представляющий собой расширенную версию стандарта Cryptographic Message Syntax (CMS). Главным документом, описывающим данный стандарт, является ETSI TS 101 733 «Electronic Signature and Infrastructure (ESI); CMS Advanced Electronic Signature (CAdES)».

    CAdES стал развитием CMS, в котором были исправлены такие основные недостатки предшественника, как отсутствие штампа доверенного времени создания ЭП, отсутствие типа содержимого ЭП и отсутствие возможности долгосрочного сохранения свойств юридической значимости ЭП.

    Стандарт определяет несколько форматов CAdES, каждый из которых включает в себя предыдущий (в соответствии с представленной ниже последовательностью) и расширяет его:

    Форматы стандарта CAdES
    1. CAdES-BES (Basic Electronic Signature) — основной и простейший формат стандарта, обеспечивает базовую проверку подлинности данных и защиту их целостности. Он содержит следующие атрибуты:

    • подписываемые данные пользователя (ЭД отправителя);
    • набор обязательных подписываемых атрибутов (атрибуты называются подписанными, если генерация ЭП происходит от совокупности этих атрибутов и данных пользователя);
    • значение ЭП, вычисленное для данных пользователя и подписываемых атрибутов;
    • набор дополнительных атрибутов;
    • набор необязательных подписываемых атрибутов.

    2. CAdES-EPES (Explicit Policy-based Electronic Signature) — это формат, содержащий в себе явное указание на выбранный регламент ЭП. В CAdES-EPES добавляется подписываемый атрибут signature-policy-identifier, который определяет идентификатор выбранного регламента ЭП. Подписывая этот идентификатор, отправитель явно указывает, что он применил определенный регламент при её создании. Соответственно, получатель должен осуществить проверку ЭП по тому же регламенту.

    3. CAdES-T (Timestamp) — это формат ЭП типа CAdES, в который добавлено поле для фиксации доверенного времени.

    4. В CAdES-C (Complete) содержится полный наборо проверочных данных. Она отличается от CAdES-T добавлением неподписываемых атрибутов complete-certificate-references и complete-revocation-references.

    Первый атрибут содержит идентификаторы всех сертификатов, используемых при проверке ЭП. Второй атрибут содержит идентификаторы сертификатов из списка отозванных сертификатов (Certificate Revocation Lists, CRL, СОС) и/или ответы, полученные по протоколу проверки актуального статуса сертификатов (Online Certificate Status Protocol, OCSP).

    Включение этих атрибутов облегчает получение сведений о сертификатах ключей проверки ЭП, которые необходимы получателю для проверки ЭП, так как при этом данные о действительных и недействительных сертификатах уже будут содержаться в самой ЭП.

    5. CAdES-X (Extended) — это формат ЭП типа CAdES, включающий в себя следующие подформаты, включаемые в тип CadES-C:

    • CAdES-X Long — формат долгосрочной расширенной ЭП, который добавляет атрибуты certificate-values и revocation-values. Они представляют собой полные данные сертификатов и СОС, необходимых для проверки подписи CAdES-C даже если их исходный источник недоступен и исключает возможность утери этой информации.
    • CAdES-X Type 1 — добавляет атрибут time-stamp, который содержит штамп времени на всей подписи CAdES-C. Это обеспечивает целостность и наличие доверенного времени во всех элементах ЭП. Тем самым, этот атрибут позволяет защитить сертификаты, СОС и ответы, полученные по протоколу OCSP, информация о которых записана в ЭП (актуален при компрометации ключа центра сертификации, ключа издателя СОС или ключа сервиса OCSP).
    • CAdES-X Type 2 — добавляет в CAdES-C штамп времени, но не на всю ЭП, а только на полные ссылки на сертификаты и СОС.

    6. CAdES-X Long Type 1 — этот формат ЭП представляет собой объединение формата CAdES-X Long и CAdES-X Type 1

    7. CAdES-X Long Type 2 — этот формат ЭП представляет собой объединение формата CAdES-X Long и CAdES-X Type 2.

    8. CAdES-A (Archival) — это формат ЭП типа CAdES, сформированный на основе CAdES-X Long Type 1 или Type 2 путём добавления одного или нескольких атрибутов archive-time-stamp, представляющих собой архивные штампы времени (Рисунок 1). Именно этот формат ЭП используется для архивации долгосрочных ЭП и обеспечения ДАХ при условии возможной проверки юридической значимости хранимого ЭД на длительном временном промежутке (так называемая «интероперабельность во времени»).

    Архивная форма ЭП CAdES-A состоит из следующих элементов:

    • полный набор проверочных данных (CAdES-С);
    • значения сертификатов и СОС (CAdES-X Type 1 или CAdES-X Type 2), если они используются;
    • подписанные данные пользователя и дополнительный архивный штамп времени, примененный ко всем данным.


    Рисунок 1 – Схема формирования ЭП в формате CAdES-A

    Вопросы организации ДАХ связаны не только с ограниченным сроком действительности пользовательского сертификата, установленным российским законодательством в 1 год 3 месяца, но и модификациями криптографических алгоритмов, что в свою очередь обусловлено ухудшением свойства их стойкости в связи с развитием методов криптоанализа и вычислительной отрасли.

    Поверх ЭП в формате CAdES-A может быть наложен дополнительный штамп времени, что защитит ее содержимое при выявлении уязвимостей используемых криптографических хеш-функций, при взломе используемых криптографических алгоритмов и при компрометации ключей. При этом не стоит забывать, что последовательность штампов времени может предоставить защиту от подделки ЭП при условии, что эти штампы были применены до компрометации ключа службы штампов времени. Таким образом, ЭП в формате CAdES-A позволяет сохранить её подлинность на очень большие периоды времени, а периодическая простановка архивных штампов обеспечит возможность проверки ЭП при обновлении криптографичексих стандартов.

    Также важно отметить, что дополнительные данные, необходимые для создания описанных выше форм архивной ЭП, передаются как неподписанные атрибуты, связанные с отдельной ЭП за счет размещения в поле unsignedeAttrs структуры SignerInfo. Таким образом, все атрибуты архивной ЭП являются неподписанными за счет чего не нарушается ее математическая корректность.

    Представим все, что было описано выше, в более наглядном табличном виде:

    Сравнительный анализ форматов ЭП типа CAdES


    Электронная подпись типа XAdES

    XML Advanced Electronic Signatures (XAdES) — это стандарт ЭП, представляющий собой расширенную версию стандарта XML Digital Signature (XMLDSig). Главным документом, описывающим данный стандарт, является ETSI EN 319 132-1 «Electronic Signature and Infrastructure (ESI); XAdES digital signatures».

    Аналогично ЭП типа CAdES, для ЭП типа XAdES определено несколько форматов, каждый из которых включает в себя предыдущий (в соответствии с представленной ниже последовательностью) и расширяет его:

    Форматы стандарта XAdES
    • XAdES-BES (Basic Electronic Signature)
    • XAdES-EPES (Explicit policy electronic signatures)
    • XAdES-T (Timestamp)
    • XAdES-C (Complete)
    • XAdES-X (Extended Validation Data)
    • XAdES-X-L (Extended Long Term)
    • XAdES-A (Archival)


    Подробно отличия каждого последующего в списке формата от предыдущего расписывать не будем, поскольку оно в точности повторяет описание для CAdES, предполагая «обогащение» подписанной структуры аналогичными полями и атрибутами. Основные отличия сведем сразу в табличную форму:

    Сравнительный анализ форматов ЭП типа XAdES


    Новые возможности продуктов Litoria по обеспечению ДАХ


    Программный комплекс (ПК) «Litoria Desktop 2» — разработка компании «Газинформсервис», которая предоставляет пользователю возможность полного отказа от бумажного документооборота и перехода к электронному юридически значимому и конфиденциальному взаимодействию. Формирование и проверка УЭП в формате CAdES-A уже доступны пользователям программного комплекса, начиная с релиза 2.2.3. Таким же форматом ЭП заверяет квитанции, а также выполняет их проверку ПК Службы доверенной третьей стороны «Litoria DVCS» в релизе 5.2.2.

    Рассмотрим, процесс формирования архивных УЭП на базе данных продуктов.

    1. С помощью «Litoria Desktop 2» сформируем УЭП на электронный документ, который будем передавать в «СДТС «Litoria DVCS» для формирования квитанции:


    Рисунок 1 – Формирование УЭП с помощью ПК «Litoria Desktop 2»

    Подробную информацию о сформированной УЭП можно посмотреть через вкладку «Проверка и извлечение». Мы видим, что сертификат подписанта действителен по 20 октября 2018 года (рисунок 2), а сертификат сервера TSP, который собственно добавил в подпись штамп времени и сделал ее усовершенствованной (Рисунок 3), — до 22 декабря 2032 года.


    Рисунок 2 – Отображение информации об ЭП в интерфейсе ПК «Litoria Desktop 2» (сертификат пользователя)



    Рисунок 3 –Отображение информации об ЭП в интерфейсе ПК «Litoria Desktop 2» (сертификат сервера TSP)

    В свою очередь действительность УЭП, которой заверен ЭД, определяется сроком действительности сертификата сервера штампов времени. Но здесь стоит обратить Ваше внимание, что для статьи мы использовали тестовый неаккредитованный УЦ и тестовый TSP, для которых были выпущены неквалифицированные сертификаты. В российских реалиях срок действительности квалифицированного сертификата сервера штампов времени не должен превышать 15 лет.

    А что же нам делать, когда документ должен храниться более 15 лет? Как раз тут вступает в игру архивный формат ЭП, проставляемой на квитанции (с помощью ПК «СДТС «Litoria DVCS»).

    2. Зайдем в личный кабинет пользователя ПК «СДТС «Litoria DVCS» и отправим подписанный ЭД для формирования квитанции о проверке (Рисунки 4, 5).



    Рисунок 4 – Формирование квитанции на ЭД в ПК «СДТС «Litoria DVCS»



    Рисунок 5 – Детальная информация по квитанции в ПК «СДТС «Litoria DVCS»

    Проверка ЭД выполнена, квитанция сформирована. Теперь комплекс в автоматизированном режиме будет выполнять анализ действительности каждой из хранимых квитанций, которая определяется сроком действия сертификата сервиса штампов времени, и по наступлении события окончания его действия, квитанции будут перевыпускаться, т.е. формируется цепочка юридически значимых документов «исходный ЭД – квитанция 1 – квитанция 2 — …. – квитанция n»

    Подпись в формате CAdES-A с помощью ПК «Litoria Desktop 2»


    Рассмотрим упомянутый второй, пока что механизированный, способ формирования ЭП в формате CAdES-A посредством ПК «Litoria Desktop 2».

    1. Запускаем ПК «Litoria Desktop 2», формируем УЭП уже известным способом

    2. Заходим в директорию «Архивное хранение», в папку «edsArch» копируем наш подписанный ЭД и запускаем утилиту Gis.ArchUpgrade (установка проходит в процессе инсталляции комплекса в соответствующей директории, указанной пользователем, Рисунок 6)


    Рисунок 6 – Подготовка ЭД к формированию ЭП в формате CAdES

    3. По завершении процедуры на экране у пользователя в консоли будет выдано соответствующее уведомление (рисунок 7).


    Рисунок 7 – Успешное формирование УЭП в формате CAdES-A

    Еще раз подчеркнем, что формат подписи CAdES-A предполагает добавление в исходную ЭП неподписанных атрибутов, что не нарушает математической корректности исходной ЭП.

    4. Теперь переходим в папку «edsArch» и сформированный по итогу работы утилиты файл проверяем в ПК «Litoria Desktop 2» (Рисунки 8, 9, 10).

    Рисунок 8 – Сформированный утилитой Gis.ArchUpgrade файл с архивной подписью


    Рисунок 9 – Результаты проверки архивной ЭП в ПК «Litoria Desktop 2» (сертификат пользователя)


    Рисунок 10 – Результаты проверки архивной ЭП в ПК «Litoria Desktop 2» (сертификат сервиса TSP)

    И в завершение — фрагмент кода ASN.1 архивного штампа времени:



    Таким образом, на сегодняшний день уже есть жизнеспособные варианты для обеспечения полного жизненного цикла электронных юридически значимых документов, требующих долгосрочного хранения. Более подробную информацию о продуктах, призванных решить обозначенную задачу, Вы можете узнать на сайте компании-разработчика или обратившись в отдел продаж по телефону 8(812) 677-20-53, email: salespo@gaz-is.ru.
    Газинформсервис
    Надежные решения для безопасности бизнеса

    Комментарии 7

      0
      Актуальный вопрос: и здесь, и в статье вы ссылаетесь на то, что законодательно срок действия открытого сертификата установлен в 1 год 3 мес. После этого вы делаете следующий переход:
      Юридическая значимость ЭД в процессе ДАХ может быть сохранена посредством ряда действий:

      3. Посредством формирования и переподписания DVC-квитанций на исходный ЭД (сервис DVCS).DVCS (Data Validation and Certification Server) – это сервис проверки ЭП доверенной третьей стороной...

      Но, насколько мне известно, в законодательстве такие сервисы не упоминаются, не рассматриваются(?)
      Верно ли, что то возникает ситуация, когда сохранение юридической значимости ЭД реализуется через законодательно нерегламентированный механизм? Есть ли оценка рисков того, что таким образом подтвержденные ЭД будут игнорироваться судами?
      Как мне кажется, в такой ситуации регламентированным механизмом было бы повторное подписание новым действующим сертификатом (УКЭП) комплекта ЭД + ЭП, либо простая распечатка реестра хешей подписей ЭД и подписание этого реестра ответственным сотрудником. Причем 2ой вариант и уже используется в банковской сфере («Указание ЦБ РФ №2346-У от 25.11.2009»), и в общем устраняет необходимость регулярного пере-подписания ЭД.
        0
        Да, действительно, сегодня в российской нормативно-правовой базе нет упоминаний о службе DVCS. Однако, 63-ФЗ определяет, какой документ обладает юридической значимостью: служба DVCS реализуется в соответствии с международными рекомендациями (RFC3029), что допустимо и ничем не ограничено, а результат её работы (квитанция, содержащая доскональные результаты проверки ЭД) заверяется квалифицированной УЭП этой службы и, соответственно, обладает полной юридической значимостью на государственном уровне. И еще хотелось отметить, что изменения в 63-ФЗ (еще пока не утвержденные), вводят понятие доверенной третьей стороны, чем по сути является служба DVCS. Прецедентов обращения в суд с такими квитанциями на сегодняшний день нет, но на каком основании они могут быть не приняты к рассмотрению, когда полностью удовлетворяют требованиям закона об «Электронной подписи»?

        Если обратиться к Вашим предложениям:
        «повторное подписание новым действующим сертификатом (УКЭП) комплекта ЭД + ЭП»
        Да, действительно, так можно, почему бы и нет. Однако, потребуется механизм, который будет отслеживать действительность «комплекта ЭД+ЭП».
        «простая распечатка реестра хешей подписей ЭД и подписание этого реестра ответственным сотрудником»
        Также имеет место быть. Причем в обоих вариантах можно выполнить повторное подписание с помощью архивной подписи в формате XAdES-A, CAdES-A. Служба DVCS – это один из вариантов организации ДАХ, кстати, находящийся на сертификации.
        0
        И еще хотелось отметить, что изменения в 63-ФЗ (еще пока не утвержденные), вводят понятие доверенной третьей стороны, чем по сути является служба DVCS.

        Вот это было бы очень интересно. Не подскажите, где можно ознакомиться с черновыми вариантами или обсуждением?

        Однако, 63-ФЗ определяет, какой документ обладает юридической значимостью: служба DVCS реализуется в соответствии с международными рекомендациями (RFC3029), что допустимо и ничем не ограничено, а результат её работы (квитанция, содержащая доскональные результаты проверки ЭД) заверяется квалифицированной УЭП этой службы и, соответственно, обладает полной юридической значимостью на государственном уровне.

        Вы не могли бы уточнить, какой именно раздел в 63-ФЗ? В случае ст.7 уточняется, что подписи, выполненные в соответствии со нормами иностр права или стандартов, признаются соответствующими типам ЭП, к-рые введены в законе и признакам к-рого они соответствуют.
        При этом ЭП не может быть НЕ признана только на основании, что она иностранная. Других уточнений не нашел.
        Прецедентов обращения в суд с такими квитанциями на сегодняшний день нет, но на каком основании они могут быть не приняты к рассмотрению, когда полностью удовлетворяют требованиям закона об «Электронной подписи»?

        У меня вопрос, на основании чего DVCS может быть признано подтверждением того, что «квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа)»? Есть только некий иностранный стандарт — к-рый _пока_ не проецируется на текущий 63-ФЗ. С таким же успехом можно использовать любой черновик стандарта для подтверждения валидности ЭП. Т.к. этот стандарт _пока_ не принят на территории РФ, кто будет страховать на предмет ошибок в стандарте?
          0
          Вот это было бы очень интересно. Не подскажите, где можно ознакомиться с черновыми вариантами или обсуждением?

          Обсуждение и последняя версия документа доступны вот здесь regulation.gov.ru/projects#npa=83642

          Однако, 63-ФЗ определяет, какой документ обладает юридической значимостью: служба DVCS реализуется в соответствии с международными рекомендациями (RFC3029), что допустимо и ничем не ограничено, а результат её работы (квитанция, содержащая доскональные результаты проверки ЭД) заверяется квалифицированной УЭП этой службы и, соответственно, обладает полной юридической значимостью на государственном уровне.
          Вы не могли бы уточнить, какой именно раздел в 63-ФЗ? В случае ст.7 уточняется, что подписи, выполненные в соответствии со нормами иностр права или стандартов, признаются соответствующими типам ЭП, к-рые введены в законе и признакам к-рого они соответствуют.
          При этом ЭП не может быть признана только на основании, что она иностранная. Других уточнений не нашел.

          Здесь речь не про иностранные подписи, а про юридическую значимость квитанций, сформированных службой DVCS, которые обладают ей в соответствии со статьей 6 ФЗ-63.

          Прецедентов обращения в суд с такими квитанциями на сегодняшний день нет, но на каком основании они могут быть не приняты к рассмотрению, когда полностью удовлетворяют требованиям закона об «Электронной подписи»?

          У меня вопрос, на основании чего DVCS может быть признано подтверждением того, что «квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа)»? Есть только некий иностранный стандарт — к-рый _пока_ не проецируется на текущий 63-ФЗ. С таким же успехом можно использовать любой черновик стандарта для подтверждения валидности ЭП. Т.к. этот стандарт _пока_ не принят на территории РФ, кто будет страховать на предмет ошибок в стандарте?

          Не совсем так. Для того, чтобы квитанция DVCS была признана подтверждением того, что «квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа)», этот DVCS должен функционировать в соответствии с российской нормативно-правовой базой (что обеспечено, никаких противоречий ни ФЗ, ни рекомендациями, ни стандартам нет) и иметь сертификат соответствия нашего регулятора, отвечающего за все, что связано с криптографией.

            0
            В первой картинке CAdES-X, наверное, надо добавить?
              0
              Да, действительно, первое вложение — это CAdES-X. Спасибо, что очень внимательно подошли к изучению статьи!

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое