Сервис проверки и улучшения электронной подписи

В статье рассматриваются различные форматы фодписи PadES, CadES и XadES. Более подробно освещается стандарт CAdES (CMS Advanced Electronic Signatures) для создания улучшенной подписи. Предлагается вариант создания сервиса проверки и улучшения подписи на основе программного продукта КриптоАРМ Server. В качестве прмера иллюстрируется проверка подписи и ее улучшение через пользовательский интерфейс сервиса.

Форматы подписи PadES, CadES и XadES

PadES, CadES и XadES — это наиболее распространенных форматы электронной подписи:

1. Формат PadES

   PAdES означает PDF Advanced Electronic Signature и является самым простым форматом. Фактически, присоединение электронной подписи PAdES к PDF создает криптографический конверт, который сам является PDF документом. Другими словами, электронная подпись PAdES — это PDF.

   У него есть несколько достоинств:

   • нет программного обеспечения или ридера для открытия PDF-конверта,

   • позволяет подписывать документ, не делая недействительными предыдущие подписи,

   • позволяет добавлять в документ видимую графическую подпись в дополнение к цифровой подписи.

   Однако PAdES позволяет подписывать только файлы PDF.

2. Формат CadES

   CAdES означает CMS Advanced Electronic Signature (расширенная электронная подпись CMS), а CMS означает «криптографический синтаксис сообщения».

   После прикрепления подписи CAdES генерируется криптографический конверт, содержащий исходный файл. Расширение этого нового файла — .p7m.

   Эту электронную подпись можно прикрепить к любому типу файла : текстовым файлам ( .doc, .docx ), электронным таблицам ( .xls, .xlsx ), изображениям ( .jpg, .png, .gif ) и PDF-файлам. Эта характеристика делает ее универсальной и широко используемой подписью.

   Однако у CAdES есть недостатки:

   • пользователям необходимо специальное программное обеспечение для цифровой подписи , чтобы открыть конверт p7m,

   • в случае наличия нескольких подписей на одном документе пользователям приходится заново создавать конверт p7m для каждой проставленной подписи (создавая так называемый эффект матрешки),

   • не позволяет добавлять видимую графическую подпись на документ.

3. Формат XAdES

   XAdES означает XML Advanced Electronic Signature (расширенная электронная подпись XML), а XML — расширяемый язык разметки. Фактически, это стандарт для электронного подписания документов в формате XML.

   XAdES считывается как человеком, так и компьютером и используется для подписи электронных документов, таких как изображения (. jpeg, .png ), звуковые файлы .mp3 , двоичные данные (.exe ), PDF-файлы.

   С помощью XAdES можно выполнить подпись двумя способами:

   • Создав XML- файл для подписи без изменения исходного файла, таким образом, чтобы подпись и подписываемые данные были разделены;

   • Создав XML- файл, включающий подпись и данные.

   Этот формат цифровой подписи имеет свои преимущества:

   • не требует процесса конвертирования,

   • позволяет ставить несколько подписей, не делая предыдущие недействительными и не создавая эффекта матрешки.

Стандарт и формат подписи CAdES

CAdES определяет восемь профилей, которые предлагают различные уровни защиты для использования с подписанными данными CMS. С CAdES документы с электронной подписью могут оставаться действительными в течение многих лет, даже если подписывающий или проверяющий документ попытается оспорить его действительность в будущем.

В соответствии со спецификациями ETSI TS 101 733 V2.2.1 (2013-04) подписывающая сторона должна создать свою подпись в одном из двух форматов: базовая электронная подпись CAdES ( CAdES-BES ) или электронная подпись с явной политикой CAdES ( CAdES -EPES ).

Подпись, созданная с помощью базовой электронной подписи CAdES, будет содержать:

• Подписанные данные пользователя (отправляемый документ)

• Коллекция обязательных подписанных атрибутов

  • Тип контента
  • Дайджест сообщения
  • Сертификат подписи ESS или сертификат подписи ESS -v2

• Дополнительные обязательные подписанные атрибуты (как определено в отправленном документе)

• Значение цифровой подписи, вычисленное на основе пользовательских данных и подписанных атрибутов

Кроме того, базовая электронная подпись CAdES может содержать необязательные подписанные атрибуты, включая:

• Время подписания (Signing-time)
• Комментарии (Content-hints)
• Ссылки (Content-reference)
• Идентификатор (Content-identifier)
• Указание типа обязательства (Commitment-type-indication)
• Местоположение подписавшего (Signer-location)
• Атрибуты подписчика (Signer-attributes)
• Штамп времени (Content-time-stamp)
• Тип кодировки MIME (Mime-type)

Электронная подпись CAdES Explicit Policy использует подписанный атрибут (sigPolicyID) для дальнейшего расширения определения электронной подписи с целью ее соответствия идентифицированной политике подписи.

Политика подписи

Политики подписи, связанные с CAdES, могут использоваться для установления согласованности проверенных электронных подписей. Когда проверяющий использует комплексную политику подписи, указанную подписывающим или подразумеваемую подписанными данными, он получит согласованный результат при попытке проверки электронной подписи.

Однако, если подписывающий или подписанные данные не указывают, какая политика подписи была использована, или если политика подписи выглядит неполной, результаты, достигнутые проверяющими, могут быть непоследовательными. Рекомендуется, чтобы для поддержания согласованности и подписывающий, и проверяющий согласовали одну и ту же всеобъемлющую политику подписи.

Дополнительные данные проверки

Дополнительные данные проверки могут быть добавлены в форматы CAdES-BES и CAdES-EPES для дальнейшей проверки электронной подписи. Эти данные собираются подписывающим лицом или проверяющим лицом, или обоими. Эти дополнительные данные включают:

• Сертификаты открытых ключей (PKC)

• Информация о статусе отзыва для отдельных PKC

• Доверенная временная метка в дополнение к временной метке по умолчанию

• Если применимо, информация о политике подписи, используемой для проверки электронной подписи

В зависимости от выбранных выше проверочных данных при использовании форматов CAdES-BES или CAdES-EPES для создания электронной подписи применяются форматы CAdES:

• CAdES-T – электронная подпись со временем. Этот формат применяется, когда доверенное время связано с электронной подписью либо путем добавления неподписанного атрибута временной метки, либо поставщик доверенных услуг предоставляет временную метку.

• CAdES-C – электронная подпись с полными ссылками на данные проверки. Этот формат добавляет атрибуты complete-certificate-references и complete-revocation-references к CAdES-T.

• CAdES-C – расширенные форматы электронной подписи. Форматы этой категории расширяют проверку CAdES-C, добавляя неподписанные атрибуты к электронной подписи, которые используются, когда требуется проверка подписанного документа в течение очень длительного периода.

  • CAdES-X Long – расширенная длинная электронная подпись. Эта опция добавляет атрибуты certificate-values ​​и revocation-values, которые предоставляют информацию о сертификате и отзыве для проверки и средства предотвращения потери этой информации.

  • CAdES-X Type 1 – расширенная электронная подпись с типом времени 1. Эта опция добавляет атрибут временной метки, основанный на токене временной метки, созданном с помощью CAdES-C, и может защитить ключи от компрометации.

  • CAdES-X Type 2 — расширенная электронная подпись с типом времени 2. Этот параметр добавляет атрибут CAdES-C-time-stamped-cert-crls-reference, который предоставляет токен временной метки в отношении пути сертификации и информации об отзыве для защиты ключей от будущей компрометации.

  • CAdES-X Long Type 1 или 2 – расширенная электронная подпись со временем. Этот вариант объединяет CAdES-X Long либо с CAdES-X Type 1, либо с CAdES-X Type 2.

• CAdES-A – архивная электронная подпись. Форматы этой категории обеспечивают обратную совместимость и сохранение долгосрочной проверки подписи для архивных документов.

  • CAdES-A – архивная электронная подпись с атрибутом archive-time-stamp (ATSv2). Эта опция добавляет один или несколько атрибутов archive-time-stamp к CAdES-X Long или CAdES-X Long Type 1 или 2.

  • CAdES-A – архивная электронная подпись с атрибутом archive-time-stamp (ATSv2). Эту опцию можно добавить к CAdES-BES, CAdES-EPES, CAdES-T, CAdES-C, CAdES-X, CAdES-XL или CAdES-A для долгосрочного архивирования подписей.

• CAdES-LT – Долгосрочная электронная подпись. Этот формат добавляет один или несколько атрибутов долгосрочной проверки к CAdES-T, CAdES-C, CAdES-X Long, CAdES-X Long Type 1 или 2 или CAdES-A, чтобы обеспечить архивирование долгосрочных подписей. Его можно использовать для защиты всего документа и подписи перед отправкой в ​​службу сохранения.

Полное техническое описание расширенных электронных подписей CMS см. в документе ETSI TS 101 733 Электронная подпись и инфраструктура (ESI) – Расширенная электронная подпись CMS (CAdES).

Сервис проверки и улучшения подписи на SDK КриптоАРМ Server

С помощью программного продукта КриптоАРМ Server (используется SDK продукта) можно реализовать сервис проверки электронной подписи для различных видов документов и предоставить функцию создания улучшеной подписи, используя форматы CAdES.

Рассмотрим один из вариантов программного интерфейса подобного сервиса. Ниже представлен интерфейс загрузки документов для проверки и улучшения подписи. Используя этот интерфейс пользователь может выбрать и загрузить набор документов (подпись документов может быть как отделенная, так и присоединенная).

В примере использованы два файла - один исходный документ формата PDF, другой - отделенная подпись этого документа. После выполнения команды проверки подписи формируется отчет, где приводятся результаты валидности подписи (с отображением атрибутов), а также определяется ее формат. Со страница результатов проверки подписи можно скачать сертификат подписчика, документ с наложенным визуальным штампом времени (визуальное представление штампа на первой странице свидетельствует о наличии электронной подписи документа), посмотреть доступные форматы CAdES и выполнить улучшение до требуемого формата и скачать отчет о подписи документа в формате PDF.

На следующей иллюстрации показано скачивание отчета о подписи в формате PDF-документа.

Для улучшения подписи пользователь может выбрать требуемый формат подписи CAdES из предложенного списка на странице результатов проверки подписи и выьрать команду ее улучшения. Подпись документа будет преобразована к этому формату. В примере показоно улучшение подписи с формата CAdES-BES до формата CAdES-T.

Сервис проверки и улучшения электронной подписи формата CAdES, в сочетании с использованием штампов времени, представляет собой мощный инструмент для обеспечения безопасности и доверия в цифровом документообороте. В условиях стремительного роста объемов электронных транзакций и документации, надежная электронная подпись становится критически важной для защиты интересов как бизнеса, так и частных лиц.

Интеграция штампов времени в процесс подписания документов добавляет дополнительный уровень уверенности, позволяя точно фиксировать момент подписания и подтверждая юридическую силу документа на протяжении всего его срока действия. Это особенно актуально в контексте соблюдения нормативных требований и защиты прав сторон.

Таким образом, использование сервиса проверки и улучшения электронной подписи формата CAdES вместе со штампами времени не только повышает уровень безопасности и доверия к цифровым документам, но и способствует более эффективному и прозрачному ведению дел.

Первоисточники

1. Избранные статьи о цифровых подписях (2014–2016 гг.) Ашика Д, Дона М. Тернера, Гийома Форже, Питера Лэндрока и Торбена Педерсена

2. Trust Services и eID (получено 11.01.2016) Европейской комиссией

3. РЕГЛАМЕНТ (ЕС) № 910/2014 об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC (2014) Европейского парламента и Европейской комиссии

4. Электронные подписи и инфраструктуры (ESI) - CMS Advanced Electronic Signature (CAdES). (2013) Европейского института стандартов в области телекоммуникаций

Предыдущая

Следующая