Kürzlich haben wir in der Zeitschrift
Inside über die langfristige Archivierung elektronischer Dokumente (ED) gesprochen, die durch elektronische Signatur (EP) zertifiziert sind. Der Artikel widmete sich einer Überprüfung verschiedener Gesichtspunkte zur Organisation dieses Prozesses und Ansätzen zur Verlängerung der Eigenschaften der rechtlichen Bedeutung von ED. Dabei haben wir uns auf den Ansatz konzentriert, der die Bildung von Dokumentenbelegen vorsieht. Es handelt sich um Metadaten, die die Ergebnisse der Überprüfungen sowie alle erforderlichen Attribute enthalten und die rechtliche Bedeutung des Dokuments zum Zeitpunkt der Überprüfung bestätigen.
Dieser Artikel enthüllt detaillierter einen anderen Ansatz für die Langzeitarchivierung (DAC) - die Bildung einer fortschrittlichen elektronischen Signatur (UEP), nämlich der digitalen Signatur in den Archivformaten CAdES-A und XAdES-A.
Versuchen wir genauer zu verstehen, wie und warum elektronische Archivdokumente den Lebenszyklus elektronischer Dokumente mit elektronischen Dokumenten verlängern können. Beginnen wir mit einem kleinen theoretischen Bildungsprogramm zu den Arten und Formaten digitaler Signaturen und betrachten dann in der Praxis das Verfahren zur Bildung eines elektronischen Archivzeichens für von Gazinformservice entwickelte Produkte.
Ein bisschen Theorie
Elektronische Signatur vom Typ CAdESCMS Advanced Electronic Signatures (CAdES) ist ein Standard für elektronische Signaturen, eine erweiterte Version des CMS-Standards (Cryptographic Message Syntax). Das Hauptdokument, das diesen Standard beschreibt, ist ETSI TS 101 733 Elektronische Signatur und Infrastruktur (ESI); CMS Advanced Electronic Signature (CAdES). "
CAdES war die Entwicklung von CMS, bei der grundlegende Mängel des Vorgängers wie das Fehlen eines Stempels vertrauenswürdiger Zeit für die Erstellung einer elektronischen Signatur, das Fehlen einer Art von Inhalt einer elektronischen Signatur und das Fehlen der Möglichkeit einer langfristigen Wahrung der Eigenschaften der rechtlichen Bedeutung elektronischer Briefe behoben wurden.
Der Standard definiert mehrere CAdES-Formate, von denen jedes das vorherige enthält (gemäß der unten dargestellten Reihenfolge) und erweitert es:
CAdES-Standardformate1. CAdES-BES (Basic Electronic Signature) - das grundlegende und einfachste Format des Standards, bietet grundlegende Authentifizierung von Daten und Schutz seiner Integrität. Es enthält die folgenden Attribute:
- Signierte Benutzerdaten (Absender ED);
- eine Reihe von obligatorischen signierten Attributen (Attribute werden als signiert bezeichnet, wenn die ES-Generierung aus einer Kombination dieser Attribute und Benutzerdaten stammt);
- ES-Wert berechnet für Benutzerdaten und signierte Attribute;
- eine Reihe zusätzlicher Attribute;
- eine Reihe von optionalen Signaturattributen.
2. CAdES-EPES (Explicit Policy-based Electronic Signature) ist ein Format, das eine explizite Angabe der ausgewählten ES-Regeln enthält. In CAdES-EPES wird das Signaturattribut Signatur-Richtlinienkennung hinzugefügt, die die Kennung der ausgewählten ES-Regeln definiert. Durch das Signieren dieser Kennung gibt der Absender ausdrücklich an, dass er beim Erstellen bestimmte Regeln angewendet hat. Dementsprechend muss der Empfänger die elektronische Signatur nach denselben Regeln überprüfen.
3. CAdES-T (Zeitstempel) ist ein ES-Format vom CAdES-Typ, in das ein Feld zum Festlegen der vertrauenswürdigen Zeit eingefügt wird.
4. CAdES-C (vollständig) enthält einen vollständigen Satz von Verifizierungsdaten. Es unterscheidet sich von CAdES-T durch das Hinzufügen der vorzeichenlosen Attribute "Complete-Certificate-Referenzen" und "Complete-Revocation-Referenzen".
Das erste Attribut enthält die Bezeichner aller Zertifikate, die zur Überprüfung des ES verwendet werden. Das zweite Attribut enthält die Kennungen von Zertifikaten aus der Liste der widerrufenen Zertifikate (Zertifikatsperrlisten, CRL, SOS) und / oder Antworten, die vom Protokoll zur Überprüfung des aktuellen Status von Zertifikaten empfangen wurden (Online Certificate Status Protocol (OCSP)).
Die Aufnahme dieser Attribute erleichtert das Abrufen von Informationen zu den Zertifikaten der ES-Überprüfungsschlüssel, die der Empfänger zur Überprüfung der ES benötigt, da die Daten zu den gültigen und ungültigen Zertifikaten bereits in der ES selbst enthalten sind.
5. CAdES-X (erweitert) ist ein CAdES-Typ-ES-Format, das die folgenden Unterformate enthält, die im CadES-C-Typ enthalten sind:
- CAdES-X Long ist ein langfristig erweitertes ES-Format, das Attribute für Zertifikatwerte und Sperrwerte hinzufügt. Sie stellen die vollständigen Daten von Zertifikaten und SOS dar, die zur Überprüfung der CAdES-C-Signatur erforderlich sind, auch wenn ihre ursprüngliche Quelle nicht verfügbar ist, und schließen die Möglichkeit des Verlusts dieser Informationen aus.
- CAdES-X Typ 1 - Fügt ein Zeitstempelattribut hinzu, das den Zeitstempel für die gesamte CAdES-C-Signatur enthält. Dies stellt die Integrität und Verfügbarkeit vertrauenswürdiger Zeit in allen Elementen des EA sicher. Mit diesem Attribut können Sie also Zertifikate, SOS und Antworten schützen, die im Rahmen des OCSP-Protokolls empfangen wurden. Informationen dazu werden im ES aufgezeichnet (relevant, wenn der Schlüssel für die Zertifizierungsstelle, der SOS-Herausgeberschlüssel oder der OCSP-Dienstschlüssel kompromittiert werden).
- CAdES-X Typ 2 - Fügt CAdES-C einen Zeitstempel hinzu, jedoch nicht für die gesamte ES, sondern nur für vollständige Links zu Zertifikaten und SOS.
6. CAdES-X Long Typ 1 - Dieses EP-Format ist eine Kombination aus CAdES-X Long und CAdES-X Typ 1
7. CAdES-X Long Typ 2 - Dieses EA-Format ist eine Kombination aus den Formaten CAdES-X Long und CAdES-X Typ 2.
8. CAdES-A (Archivierung) ist ein EP-Format vom CAdES-Typ, das auf der Grundlage von CAdES-X Long Typ 1 oder Typ 2 erstellt wurde, indem ein oder mehrere Archivzeitstempelattribute hinzugefügt werden, bei denen es sich um Archivzeitstempel handelt (Abbildung 1). Dieses EP-Format wird zur Archivierung langfristiger EPs und zur Bereitstellung von DAH verwendet, sofern die rechtliche Bedeutung der gespeicherten ED über einen langen Zeitraum überprüft werden kann (die sogenannte „Interoperabilität in der Zeit“).
Die archivierte Form der digitalen Signatur CAdES-A besteht aus folgenden Elementen:- vollständiger Satz von Verifizierungsdaten (CAdES-C);
- Werte von Zertifikaten und SOS (CAdES-X Typ 1 oder CAdES-X Typ 2), falls verwendet;
- signierte Benutzerdaten und ein zusätzlicher archivierter Zeitstempel für alle Daten.
Abbildung 1 - Diagramm zur Bildung der elektronischen Signatur im CAdES-A-FormatDie Probleme bei der Organisation von DAC hängen nicht nur mit der begrenzten Gültigkeitsdauer eines durch die russische Gesetzgebung festgelegten Benutzerzertifikats von 1 Jahr 3 Monaten zusammen, sondern auch mit Änderungen der kryptografischen Algorithmen, die wiederum durch die Verschlechterung ihrer Festigkeitseigenschaften aufgrund der Entwicklung von Kryptoanalysemethoden und der Computerindustrie verursacht werden.
Auf CAs im CAdES-A-Format kann ein zusätzlicher Zeitstempel angewendet werden, der den Inhalt schützt, wenn Schwachstellen der verwendeten kryptografischen Hash-Funktionen identifiziert werden, wenn die verwendeten kryptografischen Algorithmen beschädigt werden und wenn Schlüssel kompromittiert werden. Es sollte nicht vergessen werden, dass die Reihenfolge der Zeitstempel einen Schutz gegen elektronische Fälschungen bieten kann, vorausgesetzt, diese Stempel wurden angewendet, bevor der Zeitstempel-Serviceschlüssel kompromittiert wurde. Mit ES im CAdES-A-Format können Sie die Authentizität über einen sehr langen Zeitraum beibehalten, und die regelmäßige Platzierung von Archivstempeln bietet die Möglichkeit, ES bei der Aktualisierung kryptografischer Standards zu überprüfen.
Es ist auch wichtig zu beachten, dass die zusätzlichen Daten, die zum Erstellen der oben beschriebenen archivierten ES-Formulare erforderlich sind, als vorzeichenlose Attribute übertragen werden, die einem separaten ES zugeordnet sind, indem die SignerInfo-Struktur in das Feld unsignedeAttrs eingefügt wird. Somit sind alle Attribute des Archivs EP nicht signiert, wodurch seine mathematische Korrektheit nicht verletzt wird.
Stellen Sie sich alles, was oben beschrieben wurde, in einer visuelleren tabellarischen Form vor:
Vergleichende Analyse von CAdES EP-FormatenElektronische Signatur vom Typ XAdESXML Advanced Electronic Signatures (XAdES) ist ein elektronischer Signaturstandard, der eine erweiterte Version des XMLDSig-Standards (XML Digital Signature) ist. Das Hauptdokument, das diese Norm beschreibt, ist ETSI EN 319 132-1 „Elektronische Signatur und Infrastruktur (ESI); XAdES digitale Signaturen. "
Ähnlich wie bei EPs vom CAdES-Typ sind für EPs vom XAdES-Typ mehrere Formate definiert, von denen jedes das vorherige enthält (gemäß der unten dargestellten Reihenfolge) und es erweitert:
XAdES-Standardformate- XAdES-BES (Grundlegende elektronische Signatur)
- XAdES-EPES (Explizite elektronische Signaturen)
- XAdES-T (Zeitstempel)
- XAdES-C (vollständig)
- XAdES-X (Erweiterte Validierungsdaten)
- XAdES-XL (Langzeitverlängerung)
- XAdES-A (Archiv)
Wir werden die Unterschiede zwischen den einzelnen nachfolgenden Formaten in der Liste gegenüber dem vorherigen nicht im Detail beschreiben, da die Beschreibung für CAdES genau wiederholt wird, vorausgesetzt, die signierte Struktur wird mit ähnlichen Feldern und Attributen angereichert. Die Hauptunterschiede werden sofort in tabellarischer Form zusammengefasst:
Vergleichende Analyse von XAdES ES-FormatenNeue Funktionen von Litoria-Produkten für die Bereitstellung von DAH
Der Softwarekomplex (PC) „Litoria Desktop 2“ ist eine Weiterentwicklung des Unternehmens Gazinformservice, das dem Benutzer die Möglichkeit bietet, Papierkram vollständig abzulehnen und auf eine rechtlich bedeutsame und vertrauliche elektronische Interaktion umzusteigen. Die Erstellung und Überprüfung von UEP im CAdES-A-Format steht Benutzern des Softwarepakets bereits ab Version 2.2.3 zur Verfügung. Im gleichen Format bestätigt das EP die Belege und überprüft sie auch durch den Litoria DVCS Trusted Third Party Service-PC in Version 5.2.2.
Betrachten Sie den Prozess der Bildung von Archiv-UEP auf der Grundlage von Produktdaten.
1. Mit „Litoria Desktop 2“ erstellen wir ein UEP für ein elektronisches Dokument, das wir an das SDTS „Litoria DVCS“ senden, um eine Quittung zu erstellen:
Abbildung 1 - Bildung von UEP mit dem PC „Litoria Desktop 2“
Detaillierte Informationen zum gebildeten UEP können auf der Registerkarte „Prüfen und Extrahieren“ angezeigt werden. Wir sehen, dass das Unterzeichnerzertifikat bis zum 20. Oktober 2018 gültig ist (Abbildung 2) und das TSP-Serverzertifikat, das der Signatur tatsächlich einen Zeitstempel hinzugefügt und sie verbessert hat (Abbildung 3), bis zum 22. Dezember 2032.
Abbildung 2 - Informationen zu ES in der Benutzeroberfläche des PCs "Litoria Desktop 2" anzeigen (Benutzerzertifikat)
Abbildung 3 - Informationen zu ES auf der Schnittstelle des PCs „Litoria Desktop 2“ anzeigen (TSP-Serverzertifikat)
Die Gültigkeit des UEP, mit dem der ED zertifiziert ist, wird wiederum durch die Gültigkeitsdauer des Zeitstempelserverzertifikats bestimmt. Hier sollten Sie jedoch darauf achten, dass wir für den Artikel eine nicht akkreditierte Test-CA und einen Test-TSP verwendet haben, für die nicht qualifizierte Zertifikate ausgestellt wurden. In der russischen Realität sollte die Gültigkeitsdauer eines qualifizierten Zeitstempelserverzertifikats 15 Jahre nicht überschreiten.
Aber was sollen wir tun, wenn ein Dokument länger als 15 Jahre aufbewahrt werden soll? Hier kommt das Archivformat der auf Quittungen angebrachten elektronischen Signaturen ins Spiel (mit dem PC „SDS“ Litoria DVCS “).
2. Wir gehen zum persönlichen Konto des Benutzers des SDTS Litoria DVCS-PCs und senden die signierte ED, um den Bestätigungsbeleg zu bilden (Abbildungen 4, 5).
Abbildung 4 - Bildung einer Quittung für ED im PC „SDTS“ Litoria DVCS “
Abbildung 5 - Detaillierte Informationen zum Beleg im PC „SDTS“ Litoria DVCS “
Check ED abgeschlossen, Quittung gebildet. Nun analysiert der Komplex automatisch die Gültigkeit jedes der gespeicherten Belege, die durch die Gültigkeitsdauer des Zeitstempeldienstzertifikats bestimmt wird, und beim Auftreten des Ereignisses des Endes seiner Gültigkeit werden die Belege erneut ausgestellt, d. H. Es wird eine Kette rechtlich relevanter Dokumente gebildet: „Erstausgabe - Quittung 1 - Quittung 2 - .... - Quittung n "
Signatur im CAdES-A-Format mit Litoria Desktop 2 PC
Betrachten wir die zweite, bisher mechanisierte Methode zur Bildung von ES im CAdES-A-Format mit dem Litoria Desktop 2-PC.
1. Wir starten den Litoria Desktop 2 PC, wir bilden UEP auf bereits bekannte Weise
2. Wir gehen in das Verzeichnis „Archivspeicher“, kopieren unsere signierte ED in den Ordner „edsArch“ und führen das Dienstprogramm Gis.ArchUpgrade aus (die Installation erfolgt während der Installation des Komplexes in dem vom Benutzer angegebenen entsprechenden Verzeichnis, Abbildung 6).
Abbildung 6 - Vorbereitung der ED zur Bildung einer elektronischen Form im CAdES-Format
3. Nach Abschluss des Vorgangs wird auf dem Bildschirm des Benutzers in der Konsole eine Benachrichtigung angezeigt (Abbildung 7).
Abbildung 7 - Erfolgreiche Bildung von UEP im CAdES-A-FormatWir betonen noch einmal, dass das CAdES-A-Signaturformat das Hinzufügen von nicht signierten Attributen zum ursprünglichen ES beinhaltet, was die mathematische Korrektheit des ursprünglichen ES nicht verletzt.
4. Gehen Sie nun zum Ordner "edsArch" und überprüfen Sie die Datei, die durch das Ergebnis der Arbeit des Dienstprogramms auf dem Litoria Desktop 2-PC generiert wurde (Abbildungen 8, 9, 10).
Abbildung 8 - Eine Datei mit einer Archivsignatur, die vom Dienstprogramm Gis.ArchUpgrade generiert wurdeAbbildung 9 - Ergebnisse der Überprüfung des Archivs ES in Litoria Desktop 2 PC (Benutzerzertifikat)Abbildung 10 - Ergebnisse der Überprüfung des Archivs ES auf dem Litoria Desktop 2-PC (TSP-Servicezertifikat)Und schließlich - ein Code-Snippet ASN.1 archivierter Zeitstempel:
Daher gibt es bereits heute praktikable Optionen, um den gesamten Lebenszyklus elektronischer rechtlich relevanter Dokumente sicherzustellen, die eine langfristige Speicherung erfordern. Ausführlichere Informationen zu den Produkten zur Lösung des angegebenen Problems finden Sie auf der Website des Entwicklerunternehmens oder telefonisch unter 8 (812) 677-20-53, E-Mail: salespo@gaz-is.ru, an die Verkaufsabteilung.