Введение в форматы и стандарты электронной подписи#

• Обзор форматов PadES, CadES и XadES
• Стандарт и формат подписи CAdES
• Политика подписи
• Дополнительные данные проверки

Обзор форматов PadES, CadES и XadES#

1. Формат PAdES (PDF Advanced Electronic Signature)#

PAdES - специализированный стандарт для электронного подписания PDF-документов, разработанный с учетом особенностей этого формата.

Технические особенности:

• Встраивание подписи непосредственно в структуру PDF-файла
• Сохранение всех свойств исходного документа после подписания

Ключевые преимущества:

• Совместимость - подписанные документы открываются в любом PDF-ридере без дополнительного ПО
• Многоуровневое подписание - возможность последовательного добавления подписей без потери предыдущих
• Визуализация - поддержка графического представления подписи (штамп, подпись, печать)
• Юридическая сила - соответствие требованиям ГОСТ Р и другим регуляторным нормам

Ограничения применения:

• Работает только с PDF-файлами
• Ограниченные возможности для сложных бизнес-процессов, требующих работы с разными типами файлов

2. Формат CAdES (CMS Advanced Electronic Signature)#

CAdES - универсальный стандарт электронной подписи на основе криптографического синтаксиса сообщений (CMS).

Особенности реализации:

• Создание контейнера, который содержит:

  • Исходный документ в неизменном виде
  • Криптографические данные подписи
  • Метаданные и атрибуты подписания

• Поддержка различных уровней защиты (BES, EPES, T, C, X, A, LT)

Области применения:

• Офисные документы (Word, Excel)
• Графические файлы (JPG, PNG)
• Мультимедийный контент (MP3, MP4)
• PDF-документы
• Исполняемые файлы и архивы

Основные недостатки:

• Необходимость специального ПО для просмотра файлов
• Сложности при множественном подписании ("эффект матрешки")
• Отсутствие встроенной визуализации подписи в документе

3. Формат XAdES#

XAdES (XML Advanced Electronic Signature (расширенная электронная подпись XML)) - стандарт для подписания XML-документов.

XAdES считывается как человеком, так и компьютером и используется для подписи электронных документов, таких как изображения (. jpeg, .png ), звуковые файлы .mp3 , двоичные данные (.exe ), PDF-файлы.

Варианты реализации:

1. Отделенная подпись:

   • Подпись хранится в отдельном файле
   • Исходный документ остается неизменным

2. Включенная подпись:

   • Подпись встраивается в XML-структуру документа
   • Создается единый файл, содержащий и данные, и подпись

Преимущества:

• Машинно-читаемый формат - удобен для автоматической обработки
• Поддержка множественных подписей - без эффекта матрешки

Стандарт и формат подписи CAdES#

Стандарт CAdES (CMS Advanced Electronic Signature) определяет 8 профилей, обеспечивающих различные уровни защиты для подписанных данных в формате CMS. Эти профили гарантируют, что документы с электронной подписью остаются действительными в течение длительного времени.

Согласно спецификации ETSI TS 101 733 V2.2.1 (2013-04), подписывающая сторона должна создавать подпись в одном из двух форматов:

• CAdES-BES (Basic Electronic Signature) – базовая электронная подпись.
• CAdES-EPES (Explicit Policy Electronic Signature) – подпись с явной политикой.

Подпись CAdES-BES включает:

1. Обязательные элементы:

   • Подписанные данные (документ или хеш документа).

   • Обязательные подписанные атрибуты:

   • Тип контента (Content-Type)

   • Хеш сообщения (Message Digest)
   • Сертификат подписи ESS (ESSCertID) или ESS-v2

2. Дополнительные подписанные атрибуты (опционально):

   • Время подписания (Signing-Time)
   • Комментарии (Content-Hints)
   • Ссылки (Content-Reference)
   • Идентификатор (Content-Identifier)
   • Тип обязательства (Commitment-Type-Indication)
   • Местоположение подписавшего (Signer-Location)
   • Атрибуты подписчика (Signer-Attributes)
   • Штамп времени (Content-Time-Stamp)
   • Тип кодировки MIME (MIME-Type)

Формат CAdES-EPES расширяет CAdES-BES, добавляя:

• Атрибут sigPolicyID – явное указание политики подписи (например, соответствие eIDAS, ГОСТ или корпоративным стандартам).
• Дополнительные атрибуты проверки, обеспечивающие соответствие нормативным требованиям.

Политика подписи#

Политики подписи, связанные с CAdES, могут использоваться для установления согласованности проверенных электронных подписей. Когда проверяющий использует комплексную политику подписи, указанную подписывающим или подразумеваемую подписанными данными, он получит согласованный результат при попытке проверки электронной подписи.

Однако, если подписывающий или подписанные данные не указывают, какая политика подписи была использована, или если политика подписи выглядит неполной, результаты, достигнутые проверяющими, могут быть непоследовательными. Рекомендуется, чтобы для поддержания согласованности и подписывающий, и проверяющий согласовали одну и ту же всеобъемлющую политику подписи.

Дополнительные данные проверки#

Дополнительные данные проверки могут быть добавлены в форматы CAdES-BES и CAdES-EPES для дальнейшей проверки электронной подписи. Эти данные собираются подписывающим лицом или проверяющим лицом, или обоими. Эти дополнительные данные включают:

• Сертификаты открытых ключей (PKC);
• Информация о статусе отзыва для отдельных PKC;
• Доверенная временная метка в дополнение к временной метке по умолчанию;
• Если применимо, информация о политике подписи, используемой для проверки электронной подписи.

В зависимости от выбранных выше проверочных данных при использовании форматов CAdES-BES или CAdES-EPES для создания электронной подписи применяются форматы CAdES:

CAdES-T#

CAdES-T – электронная подпись со временем. Этот формат применяется, когда доверенное время связано с электронной подписью либо путем добавления неподписанного атрибута временной метки, либо поставщик доверенных услуг предоставляет временную метку.

CAdES-C#

CAdES-C – электронная подпись с полными ссылками на данные проверки. Этот формат добавляет атрибуты complete-certificate-references и complete-revocation-references к CAdES-T.

CAdES-C– расширенные форматы электронной подписи#

Форматы этой категории расширяют проверку CAdES-C, добавляя неподписанные атрибуты к электронной подписи, которые используются, когда требуется проверка подписанного документа в течение очень длительного периода.

• CAdES-X Long – расширенная длинная электронная подпись. Эта опция добавляет атрибуты certificate-values ​​и revocation-values, которые предоставляют информацию о сертификате и отзыве для проверки и средства предотвращения потери этой информации.
• CAdES-X Type 1 – расширенная электронная подпись с типом времени 1. Эта опция добавляет атрибут временной метки, основанный на токене временной метки, созданном с помощью CAdES-C, и может защитить ключи от компрометации.
• CAdES-X Type 2 — расширенная электронная подпись с типом времени 2. Этот параметр добавляет атрибут CAdES-C-time-stamped-cert-crls-reference, который предоставляет токен временной метки в отношении пути сертификации и информации об отзыве для защиты ключей от будущей компрометации.
• CAdES-X Long Type 1 или 2 – расширенная электронная подпись со временем. Этот вариант объединяет CAdES-X Long либо с CAdES-X Type 1, либо с CAdES-X Type 2.

CAdES-A#

• CAdES-A – архивная электронная подпись. Форматы этой категории обеспечивают обратную совместимость и сохранение долгосрочной проверки подписи для архивных документов.
• CAdES-A – архивная электронная подпись с атрибутом archive-time-stamp (ATSv2). Эта опция добавляет один или несколько атрибутов archive-time-stamp к CAdES-X Long или CAdES-X Long Type 1 или 2.
• CAdES-A – архивная электронная подпись с атрибутом archive-time-stamp (ATSv2). Может применяться к любой существующей CAdES подписи (включая BES, EPES, T, C, X, XL или даже другую CAdES-A).

🔍 Полное техническое описание расширенных электронных подписей CMS описано в документе ETSI TS 101 733 Электронная подпись и инфраструктура (ESI) – Расширенная электронная подпись CMS (CAdES).