Baru-baru ini, di majalah
Inside , kami berbicara tentang penyimpanan arsip dokumen elektronik (ED) jangka panjang yang disertifikasi oleh tanda tangan elektronik (EP). Artikel ini dikhususkan untuk tinjauan berbagai sudut pandang tentang organisasi proses ini dan pendekatan untuk memperpanjang sifat-sifat signifikansi hukum dari ED. Di dalamnya, kami fokus pada pendekatan yang menyediakan untuk pembentukan penerimaan dokumen. Mereka adalah metadata yang berisi hasil pemeriksaan, serta semua atribut yang diperlukan, yang menegaskan signifikansi hukum dari dokumen tersebut pada saat verifikasi.
Artikel ini mengungkapkan secara lebih rinci pendekatan lain untuk penyimpanan arsip jangka panjang (DAC) - pembentukan tanda tangan elektronik canggih (UEP), yaitu tanda tangan digital dalam format arsip CAdES-A dan XAdES-A.
Mari kita coba memahami secara lebih rinci bagaimana dan mengapa dokumen elektronik kearsipan dapat memperpanjang siklus hidup dokumen elektronik dengan dokumen elektronik. Mari kita mulai dengan program pendidikan teoretis kecil tentang jenis dan format tanda tangan digital, dan kemudian pertimbangkan dalam praktiknya prosedur untuk membentuk tanda elektronik arsip oleh produk yang dikembangkan oleh Gazinformservice.
Sedikit teori
Jenis tanda tangan elektronik CAdESCMS Advanced Electronic Signatures (CAdES) adalah standar tanda tangan elektronik yang merupakan versi lanjutan dari standar Cryptographic Message Syntax (CMS). Dokumen utama yang menjelaskan standar ini adalah ETSI TS 101 733 Electronic Signature and Infrastructure (ESI); CMS Advanced Electronic Signature (CAdES). "
CAdES adalah pengembangan CMS, di mana kekurangan mendasar seperti pendahulunya seperti kurangnya cap waktu tepercaya untuk membuat tanda tangan elektronik, tidak adanya jenis konten tanda tangan elektronik dan tidak adanya kemungkinan pelestarian jangka panjang dari sifat-sifat signifikansi hukum surat elektronik dikoreksi.
Standar mendefinisikan beberapa format CAdES, yang masing-masing mencakup yang sebelumnya (sesuai dengan urutan yang disajikan di bawah) dan meluaskannya:
Format Standar CAdES1. CAdES-BES (Basic Electronic Signature) - format standar yang paling dasar dan sederhana, menyediakan otentikasi dasar data dan perlindungan integritasnya. Ini berisi atribut berikut:
- Data pengguna yang ditandatangani (pengirim ED);
- seperangkat atribut yang ditandatangani wajib (atribut disebut ditandatangani jika generasi ES berasal dari kombinasi atribut ini dan data pengguna);
- Nilai ES dihitung untuk data pengguna dan atribut yang ditandatangani;
- satu set atribut tambahan;
- satu set atribut penandatanganan opsional.
2. CAdES-EPES (Tanda Tangan Elektronik Berbasis Kebijakan Eksplisit) adalah format yang berisi indikasi eksplisit dari aturan ES yang dipilih. Dalam CAdES-EPES, atribut signature signature-policy-identifier ditambahkan, yang mendefinisikan identifier dari aturan ES yang dipilih. Dengan menandatangani pengidentifikasi ini, pengirim secara eksplisit menunjukkan bahwa ia menerapkan aturan tertentu saat membuatnya. Oleh karena itu, penerima harus memverifikasi tanda tangan elektronik sesuai dengan aturan yang sama.
3. CAdES-T (Timestamp) adalah format ES tipe CAdES di mana bidang ditambahkan untuk memperbaiki waktu tepercaya.
4. CAdES-C (Lengkap) berisi satu set data verifikasi lengkap. Ini berbeda dari CAdES-T dengan penambahan atribut yang tidak ditandatangani, rujukan-sertifikat-lengkap dan rujukan-pencabutan lengkap.
Atribut pertama berisi pengidentifikasi semua sertifikat yang digunakan dalam memverifikasi ES. Atribut kedua berisi pengidentifikasi sertifikat dari daftar sertifikat yang dicabut (Daftar Pencabutan Sertifikat, CRL, SOS) dan / atau tanggapan yang diterima oleh protokol untuk memeriksa status sertifikat saat ini (Protokol Status Sertifikat Online (OCSP).
Dimasukkannya atribut-atribut ini memudahkan untuk memperoleh informasi tentang sertifikat kunci verifikasi ES, yang diperlukan bagi penerima untuk memverifikasi ES, karena data pada sertifikat yang valid dan tidak valid sudah akan terkandung dalam ES itu sendiri.
5. CAdES-X (Extended) adalah format ES tipe-CAdES yang mencakup sub-format berikut yang termasuk dalam jenis CadES-C:
- CAdES-X Long adalah format ES jangka panjang yang diperluas yang menambahkan atribut nilai sertifikat dan nilai revokasi. Mereka mewakili data lengkap sertifikat dan SOS yang diperlukan untuk memverifikasi tanda tangan CAdES-C, bahkan jika sumber aslinya tidak tersedia dan mengecualikan kemungkinan kehilangan informasi ini.
- CAdES-X Type 1 - Menambahkan atribut cap waktu yang berisi cap waktu pada seluruh tanda tangan CAdES-C. Ini memastikan integritas dan ketersediaan waktu tepercaya dalam semua elemen EA. Dengan demikian, atribut ini memungkinkan Anda untuk melindungi sertifikat, SOS, dan tanggapan yang diterima melalui protokol OCSP, informasi tentang yang dicatat dalam ES (relevan ketika mengkompromikan kunci otoritas sertifikat, kunci penerbit SOS, atau kunci layanan OCSP).
- CAdES-X Type 2 - menambahkan cap waktu ke CAdES-C, tetapi tidak untuk seluruh ES, tetapi hanya untuk tautan lengkap ke sertifikat dan SOS.
6. CAdES-X Long Type 1 - format EP ini adalah kombinasi dari CAdES-X Long dan CAdES-X Type 1
7. CAdES-X Long Type 2 - format EA ini adalah kombinasi dari format CAdES-X Long dan CAdES-X Type 2.
8. CAdES-A (Arsip) adalah format EP tipe-CAdES yang dibuat berdasarkan CAdES-X Long Tipe 1 atau Tipe 2 dengan menambahkan satu atau beberapa atribut stempel waktu-arsip, yang merupakan stempel waktu arsip (Gambar 1). Format EP inilah yang digunakan untuk mengarsipkan EP jangka panjang dan untuk menyediakan DAH, asalkan dimungkinkan untuk memverifikasi signifikansi hukum dari ED yang disimpan dalam periode waktu yang lama (yang disebut "interoperabilitas dalam waktu").
Bentuk arsip tanda tangan digital CAdES-A terdiri dari elemen-elemen berikut:- set lengkap data verifikasi (CAdES-C);
- Nilai sertifikat dan SOS (CAdES-X Type 1 atau CAdES-X Type 2), jika digunakan;
- data pengguna yang ditandatangani dan stempel waktu tambahan yang diarsipkan berlaku untuk semua data.
Gambar 1 - Diagram pembentukan tanda tangan elektronik dalam format CAdES-AMasalah pengorganisasian DAC terkait tidak hanya dengan periode validitas terbatas dari sertifikat pengguna yang ditetapkan oleh undang-undang Rusia pada 1 tahun 3 bulan, tetapi juga dengan modifikasi algoritma kriptografi, yang pada gilirannya disebabkan oleh penurunan sifat kekuatan mereka karena pengembangan metode kriptanalisis dan industri komputasi.
Cap waktu tambahan dapat diterapkan di atas CA dalam format CAdES-A, yang akan melindungi kontennya ketika mengidentifikasi kerentanan fungsi hash kriptografi yang digunakan, ketika melanggar algoritma kriptografi yang digunakan, dan ketika kunci dikompromikan. Tidak boleh dilupakan bahwa urutan perangko waktu dapat memberikan perlindungan terhadap pemalsuan elektronik, asalkan perangko ini diterapkan sebelum kunci layanan cap waktu dikompromikan. Dengan demikian, ES dalam format CAdES-A memungkinkan Anda mempertahankan keasliannya untuk jangka waktu yang sangat lama, dan penempatan perangko arsip secara berkala akan memberikan kesempatan untuk memverifikasi ES ketika memperbarui standar kriptografi.
Penting juga untuk dicatat bahwa data tambahan yang diperlukan untuk membuat formulir ES yang diarsipkan yang dijelaskan di atas ditransfer sebagai atribut yang tidak ditandatangani yang terkait dengan ES terpisah dengan menempatkan struktur SignerInfo di bidang unsignedeAttrs. Dengan demikian, semua atribut dari arsip EP tidak ditandatangani, karena itu kebenaran matematisnya tidak dilanggar.
Bayangkan semua yang dijelaskan di atas dalam bentuk tabel yang lebih visual:
Analisis komparatif format CAdES EPJenis Tanda Tangan Elektronik XAdESXML Advanced Electronic Signatures (XAdES) adalah standar tanda tangan elektronik yang merupakan versi standar XML Digital Signature (XMLDSig). Dokumen utama yang menjelaskan standar ini adalah ETSI EN 319 132-1 โTanda Tangan Elektronik dan Infrastruktur (ESI); XAdES tanda tangan digital. "
Mirip dengan EP tipe CAdES, beberapa format didefinisikan untuk EP tipe XAdES, yang masing-masing mencakup yang sebelumnya (sesuai dengan urutan yang disajikan di bawah) dan meluasnya:
Format Standar XAdES- XAdES-BES (Tanda Tangan Elektronik Dasar)
- XAdES-EPES (Kebijakan elektronik tanda tangan eksplisit)
- XAdES-T (Timestamp)
- XAdES-C (Lengkap)
- XAdES-X (Data Validasi Diperpanjang)
- XAdES-XL (Perpanjangan Jangka Panjang)
- XAdES-A (Arsip)
Kami tidak akan menjelaskan secara terperinci perbedaan antara setiap format berikutnya dalam daftar dari yang sebelumnya, karena ini mengulangi deskripsi untuk CAdES secara tepat, dengan asumsi pengayaan struktur yang ditandatangani dengan bidang dan atribut yang serupa. Perbedaan utama diringkas segera dalam bentuk tabel:
Analisis komparatif format XAdES ESFitur-fitur baru dari produk Litoria untuk menyediakan DAH
Kompleks perangkat lunak (PC) "Litoria Desktop 2" adalah pengembangan dari perusahaan layanan Gazinformer, yang memberi pengguna kesempatan untuk sepenuhnya menolak dokumen dan beralih ke interaksi elektronik yang bermakna secara hukum dan interaksi rahasia. Pembuatan dan verifikasi UEP dalam format CAdES-A sudah tersedia untuk pengguna paket perangkat lunak, dimulai dengan rilis 2.2.3. Dalam format yang sama, EP mengkonfirmasi tanda terima dan juga memverifikasinya oleh PC dari Layanan Pihak Ketiga Tepercaya "Litoria DVCS" dalam rilis 5.2.2.
Pertimbangkan proses pembentukan arsip UEP berdasarkan data produk.
1. Menggunakan "Litoria Desktop 2", kami akan membuat UEP untuk dokumen elektronik yang akan kami kirimkan ke SDTS "Litoria DVCS" untuk menghasilkan tanda terima:
Gambar 1 - Pembentukan UEP menggunakan PC "Litoria Desktop 2"
Informasi terperinci tentang UEP yang terbentuk dapat dilihat melalui tab โPeriksa dan Ekstrakโ. Kita melihat bahwa sertifikat penandatangan berlaku hingga 20 Oktober 2018 (Gambar 2), dan sertifikat server TSP, yang sebenarnya menambahkan cap waktu pada tanda tangan dan membuatnya ditingkatkan (Gambar 3), hingga 22 Desember 2032.
Gambar 2 - Menampilkan informasi tentang ES di antarmuka PC "Litoria Desktop 2" (sertifikat pengguna)
Gambar 3 - Menampilkan informasi tentang ES di antarmuka PC "Litoria Desktop 2" (sertifikat server TSP)
Pada gilirannya, validitas UEP, dengan mana ED disertifikasi, ditentukan oleh periode validitas sertifikat server cap waktu. Tapi di sini ada baiknya Anda memperhatikan bahwa untuk artikel kami menggunakan tes CA yang tidak terakreditasi dan menguji TSP, yang mengeluarkan sertifikat tanpa kualifikasi. Dalam realitas Rusia, masa berlaku sertifikat server waktu yang memenuhi syarat tidak boleh lebih dari 15 tahun.
Tetapi apa yang harus kita lakukan ketika dokumen harus disimpan selama lebih dari 15 tahun? Di sinilah format arsip tanda tangan elektronik yang dimasukkan pada kwitansi mulai digunakan (menggunakan PC "SDS" Litoria DVCS ").
2. Kami akan pergi ke akun pribadi pengguna komputer pribadi SDTS Litoria DVCS dan mengirimkan ED yang ditandatangani untuk membentuk tanda terima verifikasi (Gambar 4, 5).
Gambar 4 - Pembentukan tanda terima untuk ED di PC "SDTS" Litoria DVCS "
Gambar 5 - Informasi terperinci tentang tanda terima di PC โSDTSโ Litoria DVCS โ
Periksa ED selesai, tanda terima terbentuk. Sekarang kompleks akan secara otomatis menganalisis validitas masing-masing kwitansi tersimpan, yang ditentukan oleh periode validitas dari sertifikat layanan stempel waktu, dan pada saat terjadinya akhir validitasnya, kwitansi akan diterbitkan kembali, yaitu. rantai dokumen yang relevan secara hukum sedang dibentuk: "ED awal - penerimaan 1 - penerimaan 2 - .... - tanda terima n "
Tanda tangan dalam format CAdES-A menggunakan Litoria Desktop 2 PC
Mari kita perhatikan cara kedua, sejauh ini secara mekanis, untuk membentuk ES dalam format CAdES-A menggunakan Litoria Desktop 2 PC.
1. Kami meluncurkan PC Litoria Desktop 2, kami membentuk UEP dengan cara yang sudah diketahui
2. Kami pergi ke direktori "Penyimpanan arsip", salin ED kami yang sudah ditandatangani ke dalam folder "edsArch" dan jalankan utilitas Gis.ArchUpgrade (instalasi berlangsung selama instalasi kompleks di direktori terkait yang ditentukan oleh pengguna, Gambar 6)
Gambar 6 - Persiapan ED untuk pembentukan formulir elektronik dalam format CAdES
3. Setelah menyelesaikan prosedur, pemberitahuan akan ditampilkan pada layar pengguna di konsol (Gambar 7).
Gambar 7 - Pembentukan UEP yang sukses dalam format CAdES-AKami menekankan sekali lagi bahwa format tanda tangan CAdES-A melibatkan penambahan atribut yang tidak ditandatangani pada ES asli, yang tidak melanggar kebenaran matematis dari ES asli.
4. Sekarang kita pergi ke folder "edsArch" dan memeriksa file yang dihasilkan oleh hasil kerja utilitas di PC Litoria Desktop 2 (Gambar 8, 9, 10).
Gambar 8 - File dengan tanda tangan arsip yang dihasilkan oleh utilitas Gis.ArchUpgradeGambar 9 - Hasil dari pengecekan ES arsip di Litoria Desktop 2 PC (sertifikat pengguna)Gambar 10 - Hasil pengecekan ES arsip di Litoria Desktop 2 PC (sertifikat layanan TSP)Dan akhirnya - potongan kode ASN.1 diarsip waktu:
Dengan demikian, hari ini sudah ada opsi yang layak untuk memastikan siklus hidup lengkap dokumen yang relevan secara hukum elektronik yang membutuhkan penyimpanan jangka panjang. Anda dapat menemukan informasi lebih rinci tentang produk yang dirancang untuk memecahkan masalah yang ditentukan di situs web perusahaan pengembang atau dengan menghubungi departemen penjualan melalui telepon 8 (812) 677-20-53, email: salespo@gaz-is.ru.