Структура электронной подписи и ее форматы. Cades-A — подпись, продлевающая жизнь. 1 часть
Сохраняется ли юридическая значимость документов после того, как истекает срок действия сертификатов последних штампов времени? Чтобы ответить на этот вопрос, разберем формат Cades-A.
Александр Евтушенко, системный аналитик
Сохраняется ли юридическая значимость документов после того, как истекает срок действия сертификатов последних штампов времени? Чтобы ответить на этот вопрос, предлагаю разобраться в структуре электронной подписи и в ее форматах. Так как для долгосрочного хранения документов подходит формат Cades-A, о нем и пойдет речь.
Поднимаемая тема не проста и требует детальной проработки, поэтому предлагаю разобрать ее в два подхода. В первой части поговорим о базовой теории электронной подписи (далее — ЭП), ключах, сертификатах, критериях действительности, службе штампов времени. Во второй, более технической, я подробно остановлюсь на форматах электронных подписей, расскажу об архивном штампе времени и интересующем нас Cades-A, используемом для долговременного хранения юридически значимых документов.
Электронная подпись: простая и усиленная
Обратимся к Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее — 63-ФЗ). Исходя из него, ЭП — это сущность, которая:
● является информацией;
● связана с подписываемой информацией;
● позволяет определить подписанта.
Признаки усиленной квалифицированной электронной подписи (далее — УКЭП):
● является информацией;
● связана с подписываемой информацией;
● предоставляет возможность определить подписанта;
● получена с помощью ключа ЭП (закрытого) в результате криптографического преобразования информации;
● позволяет установить факт внесения изменений в подписываемые данные;
● ключ проверки ЭП (открытый) указан в квалифицированном сертификате;
● для создания и проверки подписи используются сертифицированные средства ЭП.
Всё вышеперечисленное накладывает дополнительные ограничения, в том числе и на техническую часть. В процессе работы с электронной подписью должны присутствовать открытый и закрытый ключи, квалицированный сертификат, средства создания и проверки ЭП.
Удостоверяющие центры (далее — УЦ), аккредитованные Минкомсвязью России, по запросам пользователей выпускают для них сертификаты. Требования к форме последних, средствам УЦ и средствам электронной подписи устанавливает ФСБ России (Приказ ФСБ РФ от 27 декабря 2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»; Приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра»). Примером сертифицированных ФСБ средств ЭП служит средство криптографической защиты «КриптоПро CSP».
Действительность подписи
В соответствии с 63-ФЗ (Статья 11) документ с УКЭП обладает юридической силой, если:
● квалифицированный сертификат был действителен на момент подписания либо в момент проверки подписи;
● сертификат соответствует сформированной подписи;
● в подписанный документ не вносили изменения.
С технической точки зрения, с помощью открытого ключа проверяется соответствие значения ЭП подписанным данным (соответствие предоставленного открытого ключа закрытому, с помощью которого производились «криптографические преобразования»). Также устанавливается действительность сертификата либо на день проверки, либо на момент подписания документа. Если срок действия квалифицированного сертификата истек, появляется необходимость достоверно установить время подписания.
Сертификаты
Мы уже выяснили, что квалифицированные сертификаты выдают удостоверяющие центры, аккредитованные головным УЦ (Минкомсвязь России). Квалифицированный сертификат хранит открытые сведения: данные владельца закрытого ключа, открытый ключ (создается в пару к закрытому), срок действия сертификата, уникальный номер, ограничения по его использованию и др. Эту информацию подписывает удостоверяющий центр, которому в свою очередь тоже был выдан квалифицированный сертификат, подписанный другим вышестоящим УЦ. Таким образом, формируется цепочка сертификатов, приводящая к головному УЦ. Он априори является доверенной стороной для всех остальных участников процесса.
В ряде случаев удостоверяющий центр может отозвать выпущенный ранее сертификат до завершения его срока действия. Такое может произойти при компрометации закрытого ключа пользователя. Информацию по отзыву конкретного сертификата можно узнать, отправив запрос и получив OCSP-ответ со статусом действительности данного конкретного экземпляра или запросив от УЦ список отозванных сертификатов за все время его существования. CRL (Certificate Revocation List) также подписывается удостоверяющим центром, и снова по цепочке мы должны прийти к Минкомсвязи, чтобы убедиться в подлинности полученных данных.
Служба штампов времени
Вернемся к проблеме того, как определить время подписания документа. Если ЭП проверяют после истечения срока действия сертификата, то необходимо установить момент подписания. Технически возможно указать его в структуре самой подписи, но доверять этому значению мы не можем, так как оно формируется на стороне подписанта. Например, берется из настроек компьютера пользователя. Поэтому существует еще одна доверенная сторона — служба штампов времени (Time stamping authority, TSA).
Штампом времени называют подписанный ответ TSA с фиксацией момента, в котором существовала штампуемая информация. Данные, а строго говоря их хэш, отправляются запросом по протоколу TSP (Time stamp protocol). Служба штампов формирует ответ, в котором в определенном формате фиксируется точное время существования полученного в запросе хэша.
После формирования подписи, чтобы зафиксировать момент ее создания, устанавливается штамп времени. Если в будущем сертификат подписанта истечет или закрытый ключ будет скомпрометирован, документ не потеряет юридическую значимость (при условии, что в указанное время сертификат подписанта был действителен).
А достаточно ли штампа?
Простая проштамповка подписи сразу после ее формирования — необходимое, но недостаточное условие того, чтобы доказать ее действительность через длительное время. При проверке нужно будет убедиться, что в зафиксированный момент подписания сертификат был не отозван. Для этого потребуется получить списки отзывов. Но что делать, если удостоверяющий центр ко времени проверки расформировался, и получить CRL уже невозможно? А если сертификат службы штампов времени уже истек?
На эти и другие вопросы я отвечу во второй части статьи, где разберу на составляющие электронную подпись и различные ее форматы.
См. также Обзор форматов стандарта CAdES (pdf)
Источник: Synerdocs
Комментарии 8
Александр, добрый день! У меня возник вопрос, связанный с кадровым документооборотом. Представим, что документ, например, заявление, был подписан электронной подписью физического лица - сотрудника. Через пару лет сотрудник уволился. Какой (чьей) подписью будет производиться перештамповка данного документа для потверждения его юридической значимости?"
Евгения, берется подпись - отправляется в службу штампов времени. Служба формирует ответ, где подтверждает, что эта подпись существовала в определенный момент. Этот ответ подписан самой службой штампов, то есть используется сертификат службы штампов времени. Сертификат пользователя для установки штампа не требуется.
Интересная тема. Хотелось бы получить комментарии на два вопроса:
1. В статье делается акцент в основном на «продление жизни» квалифицированной ЭП. А если в организации используются неквалифицированные ЭП (например, для подписания внутренних документов), то как поступать в этом случае?
2. Еще один вопрос связан со службой штампов времени. В статье говорится, что для того чтобы обеспечить доверие ко времени подписания документа необходима «еще одна доверенная сторона – служба штампов времени (Time stamping authority, TSA)». Кто может выступать в качестве доверенной стороны? Другими словами, что нужно сделать чтобы обеспечить доверие к штампам времени?
1. Работа с неквалифицированной ЭП или с простой ЭП выходит за рамки данной статьи и требует какого-то отдельного анализа и рассмотрения. Наш сервис (Synerdocs) является оператором ЭДО счетов-фактур, а счета-фактуры должны передаваться по строго определенному регламенту , который определяет обязательность использования УКЭП (Приказ Минфина России от 10.11.2015 года №174н; пункт 9 статьи 169 части второй Налогового кодекса Российской Федерации).
Но, если обратиться к первоисточнику (63-ФЗ Статья 5 п. 3), мы не увидим никаких прямых ограничений, накладываемых на время жизни созданной неквалифицированной ЭП. То есть неквалифицированную ЭП можно сформировать без участия сертификата и его сроков действия. Тогда как в определении квалифицированной ЭП уже присутствуют слова "квалифицированный сертификат", который и накладывает дальнейшие ограничения на время действия созданной подписи.
2. Чтобы получить возможность устанавливать штампы времени, необходимо получить соответствующий квалифицированный сертификат в аккредитованном УЦ. В самом сертификате будет что-то вроде: "Установка метки времени (1.3.6.1.5.5.7.3.8)". То есть часть ответственности по доверию ложится на УЦ, выпустивший сертификат для TSA, с помощью которого будут проставляться все штампы.
А можете подсказать, какими нормативными актами регулируется деятельность сервисов штампа времени?
А также можете привести ссылки на судебные преценденты, в которых были признаны документы с ЭП, для которых срок действия сертификата истек, но подписи были заверены службой штампа времени?
Я бы начал с выяснения вопроса правогого статуса служб штампа времени. На сколько я помню, приведенные в статье регламенты УЦ определяют только вопросы выдачи/отзыва сертификатов, но не установку и проверку штампов времени.
А вот чем регламентируется они - я, к сожалению, не в курсе. Но, возможно, Александр сможет подсказать ответ на данный вопрос.
Такие НПА мне неизвестны. Не утверждаю, что их нет, нужно как-то более досконально шерстить приказы ФСБ, может быть что-то там и можно найти не совсем напрямую.
Вообще, сертификат с возможностью простановки штампа+служба TSA от сертифицированного Криптопро + проверка усовершенствованной подписи сертифицированными средствами - такое решение не противоречит 63-ФЗ.
Не совсем мой профиль, так что так сходу не смогу помочь. Опять же нужно полноценное исследование. Но вообще попадались случаи, когда простая переписка по электронной почте принималась в качестве доказательств в суде. Там не все так просто, и много вопросов есть, так как судебная практика в данной области еще только формируется, особенно в тонких технических моментах.
К сожалению, для меня это не очевидный момент, поэтому я интересовался нормативными актами которые бы явно устанавливали значимость подписи, завизированной службой штампов времени и (или) прецендентами, когда такая подпись была принята к рассмотрению.
А технологические аспекты как раз не так интересны - практика применения квалифицированной подписи в мире достаточно обширна, поэтому можно надеяться, что столкнуться с нерешенными вопросами не придется.