КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

Реализация длительного архивного хранения

электронных документов с

использованием усовершенствованной электронной подписи

Эффективный архив в управлении

08-09 декабря 2011 года

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

Общие положения

В данной презентации не будут рассматриваться все проблемы архивного хранения документов в электронной форме

Не будут рассматриваться вопросы технического обеспечения работы с электронным документом (включая средства электронной подписи), находящемся на длительном архивном хранении.

Будут рассматриваться проблемы и способы их решения, связанные с применением электронной подписи, являющейся реквизитом электронного документа, находящемся на длительном архивном хранении.

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

В настоящий момент действуют два Федеральных закона, регулирующих отношения в области

использования электронных подписей (электронных цифровых подписей)

Федеральный законот 10.01.2001 №1-ФЗ«Об электронной цифровой подписи»

Федеральный законот 06.04.2001 №63-ФЗ«Об электронной подписи»

Неквалифицированная электронная подпись

Квалифицированная электронная подпись

С применением сертификатов ключей проверки ЭП (реализацией PKI)

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

О чем нам говорит 1-ФЗ «Об электронной цифровой подписи»?

Статья 4 «Условия признания равнозначности электронной цифровой подписи и собственноручной подписи»

Часть 1 - сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания- подтверждена подлинность электронной цифровой подписи в электронном документе;- …

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

О чем нам говорит 63-ФЗ «Об электронной подписи»?

Статья 11 «Признание квалифицированной электронной подписи»

<…> - квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;<…>

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

А теперь проблемы:

Проблема 1: Обеспечить, что бы сертификат ключа подписи, относящийся к этой ЭЦП (ЭП), не утратил силу (действовал) на момент проверки ЭЦП (ЭП)

Текущее положение дел для средств ЭП (предполагаем, что аналогичное требование останется и для средств квалифицированной ЭП)Максимально разрешенный срок действия сертификата ключа подписи при использовании ЭП – 15 лет. Это установлено для большинства программных средств ЭП (самых распространенных), сертифицированных ФСБ России (СКЗИ КриптоПро CSP 3.6).

Выводы: Максимальный срок хранения - не более срока действия сертификата

ключа подписиНа протяжении архивного хранения в течении этого срока нужно обеспечить наличие сертификата соответствия на средство ЭП, которое используется для проверки ЭП

Максимально разрешенный срок действия сертификата ключа подписи для неквалифицированной ЭП – вообще говоря никаким документом не ограничен, но данный срок должен устанавливаться, исходя из общих требований к средству ЭП, изложенному в ФЗ «Об ЭП», а именно: Статья 12, п. 1 – «Обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа её проверки»

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

А теперь проблемы:

Проблема 2: Обеспечить наличие доказательств, определяющих момент подписания электронного документа

Использование штампов времени позволяет создавать доказательство факта существования документа на определённый момент времени.Штамп времени (time-stamp) - это подписанный ЭП документ, которым Служба штампов времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции документа. Само значение хэш-функции также указывается в штампе.Служба штампов времени (Time Stamping Authority - TSA) - доверенный субъект ИОК, обладающий точным и надёжным источником времени и оказывающий услуги по созданию штампов времени.

Выводы: Сохранение в электронном документе штампа времени, полученного

сразу после создания ЭЦП обеспечит доказательство, что документ был подписан не позднее времени, указанного в штампе времени

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

А теперь проблемы:

Проблема 3: Обеспечить наличие доказательств действия сертификата ключа подписи на момент подписания электронного документа

Использование службы OCSP для распространения информации о статусах сертификатов клиентам имеет следующие преимущества по сравнению со списками отзыва сертификатов (CRL):•Актуальность информации о статусе. Служба может получать информацию об изменении статусов сертификатов в реальном времени и распространять её клиентам.•Меньший объём OCSP-ответа. Объём ответа службы фиксирован и сравнительно мал, тогда как списки отзыва сертификатов могут иметь большой объём.

Выводы: Сохранение в электронном документе CRL или OCSP-ответов,

полученных сразу после создания ЭЦП обеспечит доказательство, что документ был подписан действующим сертификатом ключа подписи

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

Наиболее оптимально – использовать формат усовершенствованной ЭЦП (ЭП):

Данный формат включает в себя:•Подписываемый документ (может храниться отдельно от всех остальных полей).•Подписываемые атрибуты.•Электронную подпись.•Штамп времени, полученный на значение ЭЦП.•Хэш-коды доказательств подлинности.•Внешний штамп времени, полученный на все вышеперечисленное.•Доказательства подлинности (сертификаты и информация об их статусе).

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

А можно ли реализовать:

Для реализации формата усовершенствованной ЭП необходимо:

1. Развернуть Сервис OCSP

Информация о статусах сертификатов

Домен Windows

Контроллер домена

Запрос статуса по протоколу OCSP

Распространение групповых политик

КриптоПро OCSP

УЦ 1

УЦ 2

OCSP-клиент

Revocation Provider

КриптоПро OCSP Server

2. Развернуть Сервис TSP

Домен Windows

Контроллер домена

Запрос штампа времени по

протоколу TSP

Распространение групповых политик

Пользователь

КриптоПро TSP

Часы точного времени

КриптоПро TSP Server

3. Встроить функционал усовершенствованной ЭП в систему ЭДО

КриптоПро ЭЦП SDK

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

А какие варианты реализации:

I. Усовершенствованная ЭП формируется непосредственно пользователем

II. Усовершенствованная ЭП формируется в два этапа:1.Формирование классической подписи пользователем;2.Сбор доказательств подлинности ЭП на сервере электронного документооборота

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

А как реализовать II Вариант:

В середине 2009 года компания КРИПТО-ПРО реализовала в КриптоПро ЭЦП SDK поддержку подписи типа CAdES BES, что обеспечило возможность разнесения по времени процедуры создания ЭЦП и дополнение ЭЦП до формата усовершенствованной подписи.

ЭЦП

Штамп временина ЭЦП

Цепочка сертификатов до корневого и OCSP-ответов по каждому сертификату в цепочке

Штамп временина сертификаты и OCSP-ответы

Вот это сделает сам пользователь на своём рабочем месте

А об этом позаботится система ЭДО

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

А какие финансовые затраты:1. Создание служб OCSP и TSP

2. Дооснащение сервера ЭДО

3. Инструментарий разработчика

4. Остается только встроить функционал Усовершенствованной ЭП в функционал сервера системы ЭДО

КОМПАНИЯ КРИПТО-ПРОключевое слово в защите информации

www.cryptopro.ru

СПАСИБО ЗА ВНИМАНИЕ!

ВопросыФураков Александр

Заместитель коммерческого директора ООО «КРИПТО-ПРО»

http://www.cryptopro.ruinfo@cryptopro.ru

Тел./факс:+7 (495) 780-48-20