Recentemente, na revista
Inside , falamos sobre armazenamento de arquivos de documentos eletrônicos (ED) a longo prazo, certificado por assinatura eletrônica (EP). O artigo foi dedicado a uma revisão de vários pontos de vista sobre a organização desse processo e abordagens para prolongar as propriedades do significado jurídico da DE. Nele, focamos na abordagem que prevê a formação de recebimentos de documentos. São metadados que contêm os resultados das verificações e todos os atributos necessários, confirmando a importância legal do documento no momento da verificação.
Este artigo revela mais detalhadamente outra abordagem para o armazenamento de arquivos de longo prazo (DAC) - a formação de uma assinatura eletrônica avançada (UEP), ou seja, assinaturas digitais nos formatos de arquivo CAdES-A e XAdES-A.
Vamos tentar entender com mais detalhes como e por que documentos eletrônicos de arquivo podem prolongar o ciclo de vida de documentos eletrônicos com documentos eletrônicos. Vamos começar com um pequeno programa educacional teórico sobre os tipos e formatos de assinaturas digitais e, em seguida, considerar na prática o procedimento para formar um sinal eletrônico de arquivo de produtos desenvolvidos pela Gazinformservice.
Pouco de teoria
Assinatura eletrônica do tipo CAdESO CAdES (CMS) é um padrão de assinatura eletrônica que é uma versão estendida do padrão CMS (Cryptographic Message Syntax). O documento principal que descreve esta norma é a ESTS (ETSI TS 101 733 Electronic Signature and Infrastructure); CMS Advanced Electronic Signature (CAdES). "
O CAdES foi o desenvolvimento do CMS, no qual foram corrigidas deficiências básicas do antecessor, como a falta de um carimbo de tempo confiável para a criação de uma assinatura eletrônica, a ausência de um tipo de conteúdo de uma assinatura eletrônica e a ausência da possibilidade de preservação a longo prazo das propriedades do significado legal das cartas eletrônicas.
A norma define vários formatos CAdES, cada um dos quais inclui o anterior (de acordo com a sequência apresentada abaixo) e o estende:
Formatos padrão do CAdES1. CAdES-BES (Assinatura Eletrônica Básica) - o formato básico e mais simples da norma, fornece autenticação básica de dados e proteção de sua integridade. Ele contém os seguintes atributos:
- Dados do usuário assinado (remetente ED);
- um conjunto de atributos assinados obrigatórios (os atributos são chamados de assinados se a geração de ES vier de uma combinação desses atributos e dados do usuário);
- Valor ES calculado para dados do usuário e atributos assinados;
- um conjunto de atributos adicionais;
- um conjunto de atributos de assinatura opcionais.
2. O CAdES-EPES (assinatura eletrônica explícita baseada em políticas) é um formato que contém uma indicação explícita das regras de ES selecionadas. No CAdES-EPES, o atributo de assinatura signature-policy-identifier é adicionado, o que define o identificador das regras ES selecionadas. Ao assinar esse identificador, o remetente indica explicitamente que ele aplicou certas regras ao criá-lo. Consequentemente, o destinatário deve verificar a assinatura eletrônica de acordo com as mesmas regras.
3. CAdES-T (registro de data e hora) é um formato ES do tipo CAdES no qual um campo é adicionado para corrigir o tempo confiável.
4. O CAdES-C (Completo) contém um conjunto completo de dados de verificação. Difere do CAdES-T pela adição dos atributos não assinados complete-certificate-reference e complete-revocation-reference.
O primeiro atributo contém os identificadores de todos os certificados usados na verificação do ES. O segundo atributo contém identificadores de certificado da lista de certificados revogados (Listas de Revogação de Certificados, CRL, SOS) e / ou respostas recebidas pelo Online Certificate Status Protocol (OCSP).
A inclusão desses atributos facilita a obtenção de informações sobre os certificados das chaves de verificação do ES, necessárias para que o destinatário verifique o ES, uma vez que os dados nos certificados válidos e inválidos já estarão contidos no próprio ES.
5. O CAdES-X (estendido) é um formato ES do tipo CAdES que inclui os seguintes sub-formatos incluídos no tipo CadES-C:
- O CAdES-X Long é um formato ES estendido a longo prazo que adiciona atributos de valores de certificado e valores de revogação. Eles representam os dados completos dos certificados e do SOS necessários para verificar a assinatura do CAdES-C, mesmo que sua fonte original não esteja disponível e exclui a possibilidade de perda dessas informações.
- CAdES-X Tipo 1 - Adiciona um atributo de carimbo de data / hora que contém o carimbo de data / hora em toda a assinatura do CAdES-C. Isso garante a integridade e a disponibilidade de tempo confiável em todos os elementos do EA. Portanto, esse atributo permite proteger certificados, SOS e respostas recebidas por meio do protocolo OCSP, informações sobre as quais são registradas no ES (relevante ao comprometer a chave da autoridade de certificação, a chave do editor SOS ou a chave do serviço OCSP).
- CAdES-X Tipo 2 - adiciona um carimbo de data / hora ao CAdES-C, mas não para todo o ES, mas apenas para links completos para certificados e SOS.
6. CAdES-X Long Type 1 - este formato EP é uma combinação de CAdES-X Long e CAdES-X Type 1
7. CAdES-X Long Type 2 - este formato EA é uma combinação dos formatos CAdES-X Long e CAdES-X Type 2.
8. CAdES-A (arquivamento) é um formato EP do tipo CAdES criado com base no CAdES-X Long Type 1 ou Type 2, adicionando um ou mais atributos de carimbo de data / hora do arquivo morto, que são carimbos de data / hora do arquivo morto (Figura 1). É este formato de EP usado para arquivar EPs de longo prazo e fornecer DAH, desde que seja possível verificar a importância legal do ED armazenado por um longo período de tempo (a chamada "interoperabilidade no tempo").
O formato arquivado da assinatura digital CAdES-A consiste nos seguintes elementos:- conjunto completo de dados de verificação (CAdES-C);
- Valores de certificados e SOS (CAdES-X Tipo 1 ou CAdES-X Tipo 2), se usados;
- dados do usuário assinados e um carimbo de data / hora adicional arquivado aplicado a todos os dados.
Figura 1 - Diagrama da formação da assinatura eletrônica no formato CAdES-AOs problemas de organização do DAC estão associados não apenas ao período de validade limitado de um certificado de usuário estabelecido pela lei russa em 1 ano e 3 meses, mas também a modificações de algoritmos criptográficos, que por sua vez se devem à deterioração de suas propriedades de força devido ao desenvolvimento de métodos de criptoanálise e à indústria de computação.
Um carimbo de data / hora adicional pode ser aplicado sobre as CAs no formato CAdES-A, que protegerá seu conteúdo ao identificar vulnerabilidades das funções hash criptográficas usadas, ao quebrar os algoritmos criptográficos usados e quando as chaves forem comprometidas. Não se esqueça que a sequência de carimbos de data / hora pode fornecer proteção contra a falsificação eletrônica, desde que esses carimbos tenham sido aplicados antes que a chave do serviço de carimbo de data / hora fosse comprometida. Portanto, o ES no formato CAdES-A permite manter sua autenticidade por períodos muito longos, e a colocação periódica de carimbos de arquivo fornecerá a oportunidade de verificar o ES ao atualizar os padrões criptográficos.
Também é importante observar que os dados adicionais necessários para criar os formulários ES arquivados descritos acima são transmitidos como atributos não assinados associados a um ES separado, colocando a estrutura SignerInfo no campo unsignedeAttrs. Assim, todos os atributos do arquivo EP não são assinados, devido aos quais sua correção matemática não é violada.
Imagine tudo o que foi descrito acima em uma forma tabular mais visual:
Análise comparativa dos formatos CAdES EPAssinatura eletrônica do tipo XAdESXML Advanced Electronic Signatures (XAdES) é um padrão de assinatura eletrônica que é uma versão estendida do padrão XML Digital Signature (XMLDSig). O documento principal que descreve esta norma é a ETSI EN 319 132-1 “Assinatura e infraestrutura eletrônica (ESI); Assinaturas digitais XAdES ".
Da mesma forma que os EPs do tipo CAdES, vários formatos são definidos para os EPs do tipo XAdES, cada um dos quais inclui o anterior (de acordo com a sequência apresentada abaixo) e o estende:
Formatos padrão XAdES- XAdES-BES (assinatura eletrônica básica)
- XAdES-EPES (assinaturas eletrônicas de política explícita)
- XAdES-T (registro de data e hora)
- XAdES-C (Completo)
- XAdES-X (dados de validação estendida)
- XAdES-XL (longo prazo)
- XAdES-A (arquivamento)
Não descreveremos em detalhes as diferenças entre cada formato subsequente na lista do anterior, pois ele repete a descrição para o CAdES exatamente, assumindo o enriquecimento da estrutura assinada com campos e atributos semelhantes. As principais diferenças são resumidas imediatamente em forma de tabela:
Análise comparativa dos formatos XAdES ESNovos recursos dos produtos Litoria para fornecer DAH
O complexo de software (PC) "Litoria Desktop 2" é o desenvolvimento da empresa Gazinformservice, que oferece ao usuário a oportunidade de rejeitar completamente a papelada e mudar para uma interação eletrônica significativa e confidencial, juridicamente relevante. A criação e a verificação do UEP no formato CAdES-A já estão disponíveis para os usuários do pacote de software, começando com a liberação 2.2.3. No mesmo formato, o EP confirma os recibos e também os verifica pelo PC do Serviço de Terceiros Confiáveis “Litoria DVCS” no release 5.2.2.
Considere o processo de formação da UEP arquivada com base nos dados do produto.
1. Usando o "Litoria Desktop 2", criaremos um UEP para um documento eletrônico que transmitiremos ao SDTS do "Litoria DVCS" para gerar um recibo:
Figura 1 - Formação da UEP usando o PC “Litoria Desktop 2”
Informações detalhadas sobre o UEP formado podem ser visualizadas na guia "Verificar e extrair". Vemos que o certificado do assinante é válido até 20 de outubro de 2018 (Figura 2) e o certificado do servidor TSP, que realmente adicionou o carimbo de data / hora à assinatura e o aperfeiçoou (Figura 3), até 22 de dezembro de 2032.
Figura 2 - Exibir informações sobre ES na interface do PC "Litoria Desktop 2" (certificado de usuário)
Figura 3 - Exibir informações sobre ES na interface do PC “Litoria Desktop 2” (certificado de servidor TSP)
Por sua vez, a validade do UEP para o qual o DE está certificado é determinada pelo período de validade do certificado do servidor de carimbo de data / hora. Mas aqui vale a pena prestar atenção que, para o artigo, usamos uma CA não testada e um TSP para os quais foram emitidos certificados não qualificados. Nas realidades russas, o período de validade de um certificado qualificado de servidor de carimbo de data / hora não deve exceder 15 anos.
Mas o que devemos fazer quando um documento deve ser armazenado por mais de 15 anos? É aqui que entra em jogo o formato de arquivo das assinaturas eletrônicas colocadas nos recibos (usando o PC “SDS“ Litoria DVCS ”).
2. Iremos para a conta pessoal do usuário do computador pessoal SDTS Litoria DVCS e enviaremos o ED assinado para formar o recibo de verificação (Figuras 4, 5).
Figura 4 - Formação de um recibo para ED no PC “SDTS“ Litoria DVCS ”
Figura 5 - Informações detalhadas sobre o recebimento no PC “SDTS“ Litoria DVCS ”
Cheque ED concluído, recebimento formado. Agora, o complexo analisará automaticamente a validade de cada um dos recibos armazenados, que é determinado pelo período de validade do certificado de serviço de carimbo de data e hora e, após a ocorrência do evento de término de sua validade, os recibos serão reemitidos, ou seja, uma cadeia de documentos legalmente relevantes está sendo formada: “ED inicial - recebimento 1 - recebimento 2 - .... - recibo n "
Assinatura no formato CAdES-A usando o Litoria Desktop 2 PC
Vamos considerar a segunda maneira, até agora mecanizada, de formar ES no formato CAdES-A usando o Litoria Desktop 2 PC.
1. Lançamos o PC Litoria Desktop 2, formamos a UEP de uma maneira já conhecida
2. Vamos para o diretório “Armazenamento de arquivamento”, copiamos nosso ED assinado na pasta “edsArch” e executamos o utilitário Gis.ArchUpgrade (a instalação ocorre durante a instalação do complexo no diretório correspondente especificado pelo usuário, Figura 6)
Figura 6 - Preparação do DE para a formação do formulário eletrônico no formato CAdES
3. Após a conclusão do procedimento, uma notificação será exibida na tela do usuário no console (Figura 7).
Figura 7 - Formação bem-sucedida de UEP no formato CAdES-AEnfatizamos mais uma vez que o formato de assinatura CAdES-A envolve a adição de atributos não assinados ao ES original, o que não viola a correção matemática do ES original.
4. Agora vamos para a pasta "edsArch" e verificamos o arquivo gerado pelo resultado do trabalho do utilitário no PC Litoria Desktop 2 (Figuras 8, 9, 10).
Figura 8 - Um arquivo com uma assinatura de arquivo morto gerada pelo utilitário Gis.ArchUpgradeFigura 9 - Resultados da verificação do arquivo ES no Litoria Desktop 2 PC (certificado de usuário)Figura 10 - Resultados da verificação do arquivo ES no PC Litoria Desktop 2 (certificado de serviço TSP)E finalmente - um trecho de código ASN.1 do registro de data e hora arquivado:
Assim, hoje já existem opções viáveis para garantir o ciclo de vida completo de documentos eletrônicos relevantes legalmente que exigem armazenamento a longo prazo. Você pode encontrar informações mais detalhadas sobre os produtos projetados para resolver o problema designado no site da empresa desenvolvedora ou entrando em contato com o departamento de vendas pelo telefone 8 (812) 677-20-53, e-mail: salespo@gaz-is.ru.