تحدثنا مؤخرًا في مجلة
إنسايد عن التخزين الأرشفي طويل الأجل للوثائق الإلكترونية (ED) المعتمدة من خلال التوقيع الإلكتروني (EP). تم تخصيص المقالة لمراجعة وجهات النظر المختلفة حول تنظيم هذه العملية والأساليب لإطالة خصائص الأهمية القانونية للضعف الجنسي. في ذلك ، ركزنا على النهج الذي ينص على تشكيل إيصالات الوثيقة. هي بيانات وصفية تحتوي على نتائج الشيكات ، بالإضافة إلى جميع السمات اللازمة ، مما يؤكد الأهمية القانونية للوثيقة في وقت التحقق.
تكشف هذه المقالة بمزيد من التفصيل عن نهج آخر لتخزين الأرشيف طويل المدى (DAC) - تشكيل توقيع إلكتروني متقدم (UEP) ، وهو التوقيعات الرقمية في تنسيقات الأرشيف CAdES-A و XAdES-A.
دعونا نحاول أن نفهم بمزيد من التفصيل كيف ولماذا يمكن للمستندات الإلكترونية الأرشيفية أن تمد دورة حياة المستندات الإلكترونية بالمستندات الإلكترونية. لنبدأ ببرنامج تعليمي نظري صغير حول أنواع وأشكال التوقيعات الرقمية ، ثم نفكر عمليًا في إجراءات تشكيل لافتة إلكترونية لأرشفة المنتجات التي طورتها شركة Gazinformservice.
جزء من النظرية
نوع CAdES التوقيع الإلكترونيCMS Advanced Electronic Signatures (CAdES) هو معيار توقيع إلكتروني وهو نسخة موسعة من معيار بناء جملة الرسائل المشفرة (CMS). الوثيقة الرئيسية التي تصف هذا المعيار هي ETSI TS 101 733 التوقيع الإلكتروني والبنية التحتية (ESI) ؛ التوقيع الإلكتروني المتقدم CMS (CMS). "
كان CAdES هو تطوير CMS ، حيث تم تصحيح هذه العيوب الأساسية للسلف مثل عدم وجود طابع زمني موثوق لإنشاء توقيع إلكتروني ، وغياب نوع من محتوى التوقيع الإلكتروني وغياب إمكانية الحفاظ على خصائص الأهمية القانونية للخطابات الإلكترونية على المدى الطويل.
يحدد المعيار العديد من تنسيقات CAdES ، كل منها يتضمن التنسيق السابق (وفقًا للتسلسل المعروض أدناه) ويمتد إليه:
تنسيقات CAdES القياسية1. CAdES-BES (التوقيع الإلكتروني الأساسي) - التنسيق الأساسي والأبسط للمعيار ، يوفر المصادقة الأساسية للبيانات وحماية سلامتها. يحتوي على السمات التالية:
- بيانات المستخدم الموقعة (المرسل ED) ؛
- مجموعة من السمات الموقعة الإلزامية (تسمى السمات الموقعة إذا كان توليد ES يأتي من مجموعة من هذه السمات وبيانات المستخدم) ؛
- قيمة ES محسوبة لبيانات المستخدم والسمات الموقعة ؛
- مجموعة من السمات الإضافية ؛
- مجموعة من سمات التوقيع الاختيارية.
2. CAdES-EPES (التوقيع الإلكتروني المستند إلى سياسة صريحة) هو تنسيق يحتوي على إشارة صريحة لقواعد ES المحددة. في CAdES-EPES ، يضاف معرف سمة التوقيع - سياسة - التعريف ، الذي يحدد معرف قواعد ES المحددة. من خلال التوقيع على هذا المعرف ، يشير المرسل بشكل صريح إلى أنه طبق قواعد معينة عند إنشائه. وبناءً على ذلك ، يجب على المستلم التحقق من التوقيع الإلكتروني وفقًا لنفس القواعد.
3. CAdES-T (الطابع الزمني) هو تنسيق ES من نوع CAdES تتم إضافة حقل إليه لتحديد الوقت الموثوق به.
4. يحتوي CAdES-C (مكتمل) على مجموعة كاملة من بيانات التحقق. وهو يختلف عن CAdES-T عن طريق إضافة السمات غير الموثقة للشهادات الكاملة ومراجع الإلغاء الكاملة للسمات غير الموقعة.
تحتوي السمة الأولى على معرفات جميع الشهادات المستخدمة في التحقق من ES. تحتوي السمة الثانية على معرفات الشهادات من قائمة الشهادات التي تم إبطالها (قوائم إبطال الشهادات ، CRL ، SOS) و / أو الاستجابات التي يستلمها البروتوكول للتحقق من الحالة الحالية للشهادات (بروتوكول حالة الشهادة عبر الإنترنت (OCSP).
يسهّل تضمين هذه السمات الحصول على معلومات حول شهادات مفاتيح التحقق من ES ، والتي تعتبر ضرورية للمستلم للتحقق من ES ، لأن البيانات الموجودة على الشهادات الصالحة وغير الصالحة سيتم تضمينها بالفعل في ES نفسها.
5. CAdES-X (موسع) هو تنسيق ES من نوع CAdES يتضمن التنسيقات الفرعية التالية المضمنة في نوع CadES-C:
- CAdES-X Long هو تنسيق ES طويل الأمد يضيف قيم الشهادات وقيم الإبطال. تمثل البيانات الكاملة للشهادات و SOS المطلوبة للتحقق من توقيع CAdES-C ، حتى إذا لم يكن مصدرها الأصلي متاحًا ويستبعد إمكانية فقدان هذه المعلومات.
- CAdES-X Type 1 - يضيف سمة طابع زمني تحتوي على الطابع الزمني على توقيع CAdES-C بالكامل. هذا يضمن سلامة وتوافر الوقت الموثوق به في جميع عناصر EA. وبالتالي ، تتيح لك هذه السمة حماية الشهادات ، و SOS ، والردود التي يتم تلقيها عبر بروتوكول OCSP ، والمعلومات التي يتم تسجيلها في ES (ذات صلة عند اختراق مفتاح المرجع المصدق ، أو مفتاح ناشر SOS ، أو مفتاح خدمة OCSP).
- CAdES-X Type 2 - يضيف طابعًا زمنيًا إلى CAdES-C ، ولكن ليس لـ ES بالكامل ، ولكن فقط للروابط الكاملة للشهادات و SOS.
6. CAdES-X Long Type 1 - تنسيق EP هذا هو مزيج من CAdES-X Long و CAdES-X Type 1
7. CAdES-X Long Type 2 - تنسيق EA هذا هو مزيج من تنسيقات CAdES-X Long و CAdES-X Type 2.
8. CAdES-A (أرشيفي) هو تنسيق EP من نوع CAdES تم إنشاؤه على أساس CAdES-X Long Type 1 أو Type 2 عن طريق إضافة واحد أو أكثر من سمات طابع وقت الأرشفة ، وهي طوابع زمنية للأرشيف (الشكل 1). يتم استخدام تنسيق EP هذا لأرشفة EPs طويلة الأمد ولتوفير DAH ، شريطة أن يكون من الممكن التحقق من الأهمية القانونية للضعف الجنسي المخزن على مدى فترة زمنية طويلة (ما يسمى "التشغيل المتبادل في الوقت المناسب").
يتكون الشكل المؤرشف لتوقيع CAdES-A الرقمي من العناصر التالية:- مجموعة كاملة من بيانات التحقق (CAdES-C) ؛
- قيم الشهادات و SOS (CAdES-X Type 1 أو CAdES-X Type 2) ، إذا تم استخدامها ؛
- بيانات المستخدم الموقعة والطابع الزمني المؤرشف الإضافي المطبق على جميع البيانات.
الشكل 1 - رسم تخطيطي لتشكيل القوة الكهربائية في شكل CAdES-Aلا ترتبط مشكلات تنظيم DAC فقط بفترة الصلاحية المحدودة لشهادة المستخدم التي أنشأتها التشريعات الروسية في عام واحد 3 أشهر ، ولكن أيضًا بتعديلات خوارزميات التشفير ، والتي تنتج بدورها عن تدهور خصائص قوتها بسبب تطوير طرق تحليل التشفير وصناعة الحوسبة.
يمكن تطبيق طابع زمني إضافي فوق CAs بتنسيق CAdES-A ، والذي سيحمي محتوياته عند تحديد نقاط الضعف في وظائف التجزئة المشفرة المستخدمة ، وعند كسر خوارزميات التشفير المستخدمة ، وعندما يتم اختراق المفاتيح. لا ينبغي أن ننسى أن تسلسل الطوابع الزمنية يمكن أن يوفر الحماية ضد التزييف الإلكتروني ، شريطة أن يتم تطبيق هذه الطوابع قبل اختراق مفتاح خدمة الطابع الزمني. وبالتالي ، تتيح لك ES في تنسيق CAdES-A الحفاظ على أصالتها لفترات طويلة جدًا ، وسيوفر التنسيب الدوري لأختام الأرشيف الفرصة للتحقق من ES عند تحديث معايير التشفير.
من المهم أيضًا ملاحظة أن البيانات الإضافية اللازمة لإنشاء نماذج ES المؤرشفة الموضحة أعلاه يتم نقلها كسمات غير موقعة مرتبطة بـ ES منفصلة عن طريق وضع بنية SignerInfo في الحقل غير الموقع. وبالتالي ، فإن جميع سمات EP المحفوظات غير موقعة ، والتي لا تنتهك صحتها الرياضية.
تخيل كل ما تم وصفه أعلاه في شكل جدول مرئي أكثر:
تحليل مقارن لصيغ CAdES EPXAdES نوع التوقيع الإلكترونيXML تواقيع إلكترونية متقدمة (XAdES) هو معيار توقيع إلكتروني وهو نسخة موسعة من معيار التوقيع الرقمي XML (XMLDSig). الوثيقة الرئيسية التي تصف هذا المعيار هي ETSI EN 319 132-1 "التوقيع الإلكتروني والبنية التحتية (ESI) ؛ XAdES التوقيعات الرقمية. "
على نحو مماثل لنماذج EP من نوع CAdES ، يتم تحديد العديد من التنسيقات لأحرف من نوع XAdES ، كل منها يتضمن التنسيق السابق (وفقًا للتسلسل المعروض أدناه) ويمتد إليه:
تنسيقات XAdES القياسية- XAdES-BES (التوقيع الإلكتروني الأساسي)
- XAdES-EPES (التوقيعات الإلكترونية للسياسة الصريحة)
- XAdES-T (الطابع الزمني)
- XAdES-C (كاملة)
- XAdES-X (بيانات التحقق الممتدة)
- XAdES-XL (طويل الأجل ممتد)
- XAdES-A (أرشيفي)
لن نصف بالتفصيل الاختلافات بين كل تنسيق لاحق في القائمة من السابقة ، لأنه يكرر وصف CAdES بالضبط ، بافتراض إثراء البنية الموقعة بحقول وسمات متشابهة. يتم تلخيص الاختلافات الرئيسية على الفور في شكل جدولي:
تحليل مقارن لصيغ XAdES ESميزات جديدة لمنتجات Litoria لتوفير DAH
مجمع البرامج (PC) “Litoria Desktop 2” هو تطوير شركة Gazinformservice ، التي تتيح للمستخدم فرصة رفض الأعمال الورقية تمامًا والتحول إلى التفاعل الإلكتروني ذي المغزى القانوني والسري. إنشاء والتحقق من UEP بتنسيق CAdES-A متاح بالفعل لمستخدمي حزمة البرامج ، بدءًا من الإصدار 2.2.3. في نفس التنسيق ، يؤكد EP على الإيصالات ويتحقق منها أيضًا بواسطة الكمبيوتر الخاص بخدمة الطرف الثالث الموثوق بها "Litoria DVCS" في الإصدار 5.2.2.
النظر في عملية تشكيل UEP الأرشيفية على أساس بيانات المنتج.
1. باستخدام "Litoria Desktop 2" ، سننشئ UEP لمستند إلكتروني سنرسله إلى SDTS "Litoria DVCS" لإنشاء إيصال:
الشكل 1 - تشكيل UEP باستخدام الكمبيوتر "Litoria Desktop 2"
يمكن الاطلاع على معلومات تفصيلية حول UEP المتشكل من خلال علامة التبويب "فحص واستخراج". نرى أن الشهادة الموقعة صالحة حتى 20 أكتوبر 2018 (الشكل 2) ، وشهادة خادم TSP ، التي أضافت في الواقع طابعًا زمنيًا للتوقيع وحسنته (الشكل 3) ، حتى 22 ديسمبر 2032.
الشكل 2 - عرض معلومات حول ES في واجهة الكمبيوتر "Litoria Desktop 2" (شهادة المستخدم)
الشكل 3 - عرض معلومات حول ES في واجهة الكمبيوتر "Litoria Desktop 2" (شهادة خادم TSP)
في المقابل ، يتم تحديد صلاحية UEP ، التي تم اعتماد ED بها ، من خلال فترة صلاحية شهادة خادم الطابع الزمني. ولكن هنا يجدر الانتباه إلى أنه بالنسبة للمقالة ، استخدمنا اختبار CA غير معتمد واختبار TSP ، حيث تم إصدار شهادات غير مؤهلة. في الوقائع الروسية ، يجب ألا تتجاوز فترة صلاحية شهادة خادم الطابع الزمني المؤهلة 15 عامًا.
ولكن ماذا نفعل عندما يجب تخزين المستند لأكثر من 15 عامًا؟ وهنا يأتي دور تنسيق أرشيف التوقيعات الإلكترونية الموضوعة على الإيصالات (باستخدام جهاز الكمبيوتر "SDS" Litoria DVCS ").
2. سنذهب إلى الحساب الشخصي لمستخدم الكمبيوتر الشخصي SDTS Litoria DVCS ونرسل ED الموقّع لتكوين إيصال التحقق (الأشكال 4 ، 5).
الشكل 4 - تشكيل إيصال للضعف الجنسي في الكمبيوتر "SDTS" Litoria DVCS
الشكل 5 - معلومات تفصيلية عن الاستلام في جهاز الكمبيوتر "SDTS" Litoria DVCS
تم الانتهاء من الشيك ED ، وتم تكوين الإيصال الآن سيقوم المجمع تلقائيًا بتحليل صلاحية كل إيصالات مخزنة ، والتي يتم تحديدها من خلال فترة صلاحية شهادة خدمة الطابع الزمني ، وعند حدوث حالة انتهاء صلاحيتها ، سيتم إعادة إصدار الإيصالات ، أي يتم تشكيل سلسلة من الوثائق ذات الصلة من الناحية القانونية: "ED الأولي - الإيصال 1 - الإيصال 2 - .... - إيصال ن "
التوقيع بتنسيق CAdES-A باستخدام الكمبيوتر Litoria Desktop 2
دعونا نفكر في الطريقة الثانية ، الآلية حتى الآن ، لتشكيل ES في تنسيق CAdES-A باستخدام Litoria Desktop 2 PC.
1. أطلقنا كمبيوتر Litoria Desktop 2 ، ونشكل UEP بطريقة معروفة بالفعل
2. نذهب إلى دليل "تخزين أرشيفي" ، وننسخ ED الخاص بنا الموقع في مجلد "edsArch" ونشغل أداة Gis.ArchUpgrade (يتم التثبيت أثناء تثبيت المجمع في الدليل المقابل المحدد من قبل المستخدم ، الشكل 6)
الشكل 6 - إعداد ED لتشكيل شكل إلكتروني في شكل CAdES
3. عند الانتهاء من الإجراء ، سيتم عرض إشعار على شاشة المستخدم في وحدة التحكم (الشكل 7).
الشكل 7 - تشكيل ناجح ل UEP في شكل CAdES-Aنشدد مرة أخرى على أن تنسيق توقيع CAdES-A ينطوي على إضافة سمات غير موقعة إلى ES الأصلي ، والذي لا ينتهك الصحة الحسابية لـ ES الأصلي.
4. ننتقل الآن إلى مجلد "edsArch" ونتحقق من الملف الذي تم إنشاؤه نتيجة عمل الأداة المساعدة في Litoria Desktop 2 PC (الأشكال 8 ، 9 ، 10).
الشكل 8 - ملف بتوقيع أرشيف تم إنشاؤه بواسطة أداة Gis.ArchUpgradeالشكل 9 - نتائج فحص الأرشيف ES في الكمبيوتر المكتبي Litoria Desktop 2 (شهادة المستخدم)الشكل 10 - نتائج فحص الأرشيف ES في كمبيوتر Litoria Desktop 2 (شهادة خدمة TSP)وأخيرًا - طابع زمني مؤرشف لمقتطف الشفرة ASN.1:
وبالتالي ، توجد اليوم خيارات قابلة للتطبيق بالفعل لضمان دورة الحياة الكاملة للمستندات الإلكترونية ذات الصلة من الناحية القانونية والتي تتطلب تخزينًا طويل الأمد. يمكنك العثور على معلومات أكثر تفصيلاً حول المنتجات المصممة لحل المشكلة المعينة على موقع الشركة المطورة أو عن طريق الاتصال بقسم المبيعات عبر الهاتف 8 (812) 677-20-53 ، البريد الإلكتروني: salespo@gaz-is.ru.