C贸mo organizar el almacenamiento de archivos a largo plazo de documentos electr贸nicos

Recientemente, en la revista Inside , hablamos sobre el almacenamiento de archivos a largo plazo de documentos electr贸nicos (ED), certificados por firma electr贸nica (EP). El art铆culo se dedic贸 a una revisi贸n de varios puntos de vista sobre la organizaci贸n de este proceso y enfoques para prolongar las propiedades de la importancia legal de la disfunci贸n er茅ctil. En 茅l, nos centramos en el enfoque que prev茅 la formaci贸n de recibos de documentos. Son metadatos que contienen los resultados de las comprobaciones, as铆 como todos los atributos necesarios, que confirman la importancia legal del documento en el momento de la verificaci贸n.

Este art铆culo revela con m谩s detalle otro enfoque para el almacenamiento de archivos a largo plazo (DAC): la formaci贸n de una firma electr贸nica avanzada (UEP), a saber, firmas digitales en formatos de archivo CAdES-A y XAdES-A.


Tratemos de comprender con m谩s detalle c贸mo y por qu茅 los documentos electr贸nicos de archivo pueden extender el ciclo de vida de los documentos electr贸nicos con documentos electr贸nicos. Comencemos con un peque帽o programa educativo te贸rico sobre los tipos y formatos de firmas digitales, y luego consideremos en la pr谩ctica el procedimiento para formar una se帽al electr贸nica de archivo por productos desarrollados por Gazinformservice.

Poco de teor铆a


CADES tipo firma electr贸nica

CMS Advanced Electronic Signatures (CAdES) es un est谩ndar de firma electr贸nica que es una versi贸n extendida del est谩ndar Cryptographic Message Syntax (CMS). El documento principal que describe esta norma es ETSI TS 101 733 Firma electr贸nica e infraestructura (ESI); CMS Advanced Electronic Signature (CAdES) ".

CAdES fue el desarrollo de CMS, en el cual se corrigieron deficiencias b谩sicas del predecesor como la falta de un sello de tiempo confiable para crear una firma electr贸nica, la ausencia de un tipo de contenido de una firma electr贸nica y la posibilidad de preservaci贸n a largo plazo de las propiedades de la importancia legal de las cartas electr贸nicas.

El est谩ndar define varios formatos CAdES, cada uno de los cuales incluye el anterior (de acuerdo con la secuencia presentada a continuaci贸n) y lo extiende:

Formatos est谩ndar de CAdES
1. CAdES-BES (Firma electr贸nica b谩sica): el formato b谩sico y m谩s simple del est谩ndar, proporciona autenticaci贸n b谩sica de datos y protecci贸n de su integridad. Contiene los siguientes atributos:

  • Datos de usuario firmados (remitente ED);
  • un conjunto de atributos firmados obligatorios (los atributos se denominan firmados si la generaci贸n ES proviene de una combinaci贸n de estos atributos y datos de usuario);
  • Valor ES calculado para datos de usuario y atributos firmados;
  • un conjunto de atributos adicionales;
  • Un conjunto de atributos de firma opcionales.

2. CAdES-EPES (Firma electr贸nica basada en pol铆ticas expl铆citas) es un formato que contiene una indicaci贸n expl铆cita de las reglas ES seleccionadas. En CAdES-EPES, se agrega el atributo de firma signature-policy-identifier, que define el identificador de las reglas ES seleccionadas. Al firmar este identificador, el remitente indica expl铆citamente que aplic贸 ciertas reglas al crearlo. En consecuencia, el destinatario debe verificar la firma electr贸nica de acuerdo con las mismas reglas.

3. CAdES-T (Timestamp) es un formato ES de tipo CAdES en el que se agrega un campo para fijar el tiempo de confianza.

4. CAdES-C (Completo) contiene un conjunto completo de datos de verificaci贸n. Se diferencia de CAdES-T por la adici贸n de los atributos sin firmar complete-certificados-referencias y referencias-revocaci贸n completas.

El primer atributo contiene los identificadores de todos los certificados utilizados para verificar el ES. El segundo atributo contiene los identificadores de certificados de la lista de certificados revocados (Listas de revocaci贸n de certificados, CRL, SOS) y / o respuestas recibidas por el protocolo para verificar el estado actual de los certificados (Protocolo de estado de certificado en l铆nea (OCSP).

La inclusi贸n de estos atributos facilita la obtenci贸n de informaci贸n sobre los certificados de las claves de verificaci贸n de ES, que son necesarias para que el destinatario verifique el ES, ya que los datos de los certificados v谩lidos e inv谩lidos ya estar谩n contenidos en el propio ES.

5. CAdES-X (Extendido) es un formato ES de tipo CAdES que incluye los siguientes subformatos incluidos en el tipo CadES-C:

  • CAdES-X Long es un formato ES extendido a largo plazo que agrega valores de certificado y atributos de valores de revocaci贸n. Representan los datos completos de los certificados y SOS necesarios para verificar la firma CAdES-C, incluso si su fuente original no est谩 disponible y excluye la posibilidad de perder esta informaci贸n.
  • CAdES-X Tipo 1: agrega un atributo de marca de tiempo que contiene la marca de tiempo en toda la firma CAdES-C. Esto garantiza la integridad y disponibilidad de tiempo confiable en todos los elementos de la EA. Por lo tanto, este atributo le permite proteger los certificados, SOS y las respuestas recibidas a trav茅s del protocolo OCSP, cuya informaci贸n se registra en el ES (relevante cuando se compromete la clave de la autoridad del certificado, la clave del editor SOS o la clave del servicio OCSP).
  • CAdES-X Tipo 2: agrega una marca de tiempo a CAdES-C, pero no para todo el ES, sino solo para enlaces completos a certificados y SOS.

6. CAdES-X Long Tipo 1: este formato EP es una combinaci贸n de CAdES-X Long y CAdES-X Tipo 1

7. CAdES-X Long Tipo 2: este formato EA es una combinaci贸n de los formatos CAdES-X Long y CAdES-X Tipo 2.

8. CAdES-A (Archivado) es un formato EP de tipo CAdES creado sobre la base de CAdES-X Long Tipo 1 o Tipo 2 mediante la adici贸n de uno o m谩s atributos de marca de tiempo de archivo, que son marcas de tiempo de archivo (Figura 1). Es este formato de EP el que se utiliza para archivar EP a largo plazo y para proporcionar DAH, siempre que sea posible verificar la importancia legal del ED almacenado durante un largo per铆odo de tiempo (la llamada "interoperabilidad en el tiempo").

La forma archivada de la firma digital CAdES-A consta de los siguientes elementos:

  • conjunto completo de datos de verificaci贸n (CAdES-C);
  • Valores de certificados y SOS (CAdES-X Tipo 1 o CAdES-X Tipo 2), si se utilizan;
  • datos de usuario firmados y una marca de tiempo archivada adicional aplicada a todos los datos.


Figura 1 - Diagrama de la formaci贸n de la fuerza electromotriz en formato CAdES-A

Los problemas de la organizaci贸n de DAC est谩n asociados no solo con el per铆odo de validez limitado de un certificado de usuario establecido por la legislaci贸n rusa en 1 a帽o y 3 meses, sino tambi茅n con modificaciones de los algoritmos criptogr谩ficos, que a su vez se debe al deterioro de sus propiedades de resistencia debido al desarrollo de m茅todos de criptoan谩lisis y la industria inform谩tica.

Se puede aplicar una marca de tiempo adicional sobre las CA en el formato CAdES-A, que proteger谩 su contenido al identificar vulnerabilidades de las funciones hash criptogr谩ficas utilizadas, al romper los algoritmos criptogr谩ficos utilizados y cuando las claves se vean comprometidas. No debe olvidarse que la secuencia de marcas de tiempo puede proporcionar protecci贸n contra la falsificaci贸n electr贸nica, siempre que estas marcas se hayan aplicado antes de que se comprometiera la clave del servicio de marca de tiempo. Por lo tanto, ES en el formato CAdES-A le permite mantener su autenticidad durante per铆odos de tiempo muy largos, y la colocaci贸n peri贸dica de sellos de archivo brindar谩 la oportunidad de verificar ES al actualizar est谩ndares criptogr谩ficos.

Tambi茅n es importante tener en cuenta que los datos adicionales necesarios para crear los formularios ES archivados descritos anteriormente se transfieren como atributos sin signo asociados con un ES separado colocando la estructura SignerInfo en el campo unsignedeAttrs. Por lo tanto, todos los atributos del archivo EP no est谩n firmados, por lo que no se viola su correcci贸n matem谩tica.

Imagine todo lo que se describi贸 anteriormente en una forma tabular m谩s visual:

An谩lisis comparativo de los formatos EP de CAdES


Firma electr贸nica tipo XAdES

XML Advanced Electronic Signatures (XAdES) es un est谩ndar de firma electr贸nica que es una versi贸n extendida del est谩ndar XML Digital Signature (XMLDSig). El documento principal que describe esta norma es ETSI EN 319 132-1 鈥淔irma electr贸nica e infraestructura (ESI); Firmas digitales XAdES ".

De manera similar a los EP de tipo CAdES, se definen varios formatos para los EP de tipo XAdES, cada uno de los cuales incluye el anterior (de acuerdo con la secuencia presentada a continuaci贸n) y lo extiende:

Formatos est谩ndar XAdES
  • XAdES-BES (firma electr贸nica b谩sica)
  • XAdES-EPES (firma electr贸nica de pol铆ticas expl铆citas)
  • XAdES-T (Marca de tiempo)
  • XAdES-C (Completo)
  • XAdES-X (Datos de validaci贸n extendida)
  • XAdES-XL (largo plazo extendido)
  • XAdES-A (Archivo)


No describiremos en detalle las diferencias entre cada formato posterior en la lista del anterior, ya que repite exactamente la descripci贸n de CAdES, asumiendo el enriquecimiento de la estructura firmada con campos y atributos similares. Las principales diferencias se resumen inmediatamente en forma de tabla:

An谩lisis comparativo de los formatos XAdES ES


Nuevas caracter铆sticas de los productos Litoria para proporcionar DAH


El complejo de software (PC) "Litoria Desktop 2" es el desarrollo de la compa帽铆a de servicios Gazinforms, que brinda al usuario la oportunidad de rechazar completamente el papeleo y cambiar a una interacci贸n electr贸nica legalmente significativa y confidencial. La creaci贸n y verificaci贸n de UEP en formato CAdES-A ya est谩n disponibles para los usuarios del paquete de software, comenzando con la versi贸n 2.2.3. En el mismo formato, el EP confirma los recibos y tambi茅n los verifica en la PC del Servicio de terceros de confianza "Litoria DVCS" en la versi贸n 5.2.2.

Considere el proceso de formaci贸n de archivo UEP sobre la base de los datos del producto.

1. Usando "Litoria Desktop 2", crearemos un UEP para un documento electr贸nico que transmitiremos al SDTS "Litoria DVCS" para generar un recibo:


Figura 1 - Formaci贸n de UEP usando la PC "Litoria Desktop 2"

La informaci贸n detallada sobre el UEP formado se puede ver a trav茅s de la pesta帽a "Verificar y extraer". Vemos que el certificado del firmante es v谩lido hasta el 20 de octubre de 2018 (Figura 2), y el certificado del servidor TSP, que en realidad agreg贸 una marca de tiempo a la firma y lo mejor贸 (Figura 3), hasta el 22 de diciembre de 2032.


Figura 2 - Muestra informaci贸n sobre ES en la interfaz de la PC "Litoria Desktop 2" (certificado de usuario)



Figura 3 - Muestra informaci贸n sobre ES en la interfaz de la PC "Litoria Desktop 2" (certificado del servidor TSP)

A su vez, la validez de la UEP, con la cual el ED est谩 certificado, est谩 determinada por el per铆odo de validez del certificado del servidor de sello de tiempo. Pero aqu铆 vale la pena prestar atenci贸n a que para el art铆culo utilizamos una prueba CA no acreditada y una prueba TSP, para la cual se emitieron certificados no calificados. En las realidades rusas, el per铆odo de validez de un certificado de servidor de sello de tiempo calificado no debe exceder los 15 a帽os.

Pero, 驴qu茅 debemos hacer cuando un documento debe almacenarse durante m谩s de 15 a帽os? Es aqu铆 donde entra en juego el formato de archivo de firmas electr贸nicas puestas en los recibos (usando la PC "SDS" Litoria DVCS ").

2. Ingresaremos a la cuenta personal del usuario de la computadora personal SDTS Litoria DVCS y enviaremos el ED firmado para formar el recibo de verificaci贸n (Figuras 4, 5).



Figura 4 - Formaci贸n de un recibo para DE en la PC "SDTS" Litoria DVCS "



Figura 5 - Informaci贸n detallada sobre el recibo en la PC "SDTS" Litoria DVCS "

Cheque ED completado, recibo formado. Ahora, el complejo analizar谩 autom谩ticamente la validez de cada uno de los recibos almacenados, que est谩 determinado por el per铆odo de validez del certificado de servicio de sello de tiempo, y al ocurrir el evento del final de su validez, los recibos se volver谩n a emitir, es decir, se est谩 formando una cadena de documentos legalmente relevantes: "ED inicial - recibo 1 - recibo 2 - .... - recibo n "

Firma en formato CAdES-A con Litoria Desktop 2 PC


Consideremos la segunda forma, hasta ahora mecanizada, de formar ES en formato CAdES-A usando Litoria Desktop 2 PC.

1. Lanzamos la PC Litoria Desktop 2, formamos UEP de una manera ya conocida

2. Vamos al directorio "Almacenamiento de archivo", copiamos nuestro ED firmado en la carpeta "edsArch" y ejecutamos la utilidad Gis.ArchUpgrade (la instalaci贸n se lleva a cabo durante la instalaci贸n del complejo en el directorio correspondiente especificado por el usuario, Figura 6)


Figura 6 - Preparaci贸n de ED para la formaci贸n de forma electr贸nica en formato CAdES

3. Al finalizar el procedimiento, se mostrar谩 una notificaci贸n en la pantalla del usuario en la consola (Figura 7).


Figura 7 - Formaci贸n exitosa de UEP en formato CAdES-A

Una vez m谩s, enfatizamos que el formato de firma CAdES-A implica la adici贸n de atributos sin signo al ES original, lo que no viola la correcci贸n matem谩tica del ES original.

4. Ahora vamos a la carpeta "edsArch" y verificamos el archivo generado por el resultado del trabajo de la utilidad en la PC Litoria Desktop 2 (Figuras 8, 9, 10).

Figura 8 - Un archivo con una firma de archivo generado por la utilidad Gis.ArchUpgrade


Figura 9 - Resultados de verificar el archivo ES en Litoria Desktop 2 PC (certificado de usuario)


Figura 10 - Resultados de verificar el archivo ES en la PC Litoria Desktop 2 (certificado de servicio TSP)

Y, por 煤ltimo, una marca de tiempo archivada de fragmento de c贸digo ASN.1:



Por lo tanto, hoy ya hay opciones viables para garantizar el ciclo de vida completo de los documentos electr贸nicos legalmente relevantes que requieren almacenamiento a largo plazo. Puede encontrar informaci贸n m谩s detallada sobre los productos dise帽ados para resolver el problema indicado en el sitio web de la empresa desarrolladora o comunic谩ndose con el departamento de ventas por tel茅fono 8 (812) 677-20-53, correo electr贸nico: salespo@gaz-is.ru.

Source: https://habr.com/ru/post/es426081/


All Articles