четверг, 23 мая 2019 г.

Новые технические спецификации ETSI, относящиеся к обеспечению доверия к усиленным электронным подписям в длительной перспективе


Европейский институт телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI) подготовил к публикации две новые технические спецификации, выход в свет которых ожидается в ближайшее время.

Технические спецификации ETSI TS 119 511 «Электронные подписи и инфраструктуры - Требования политики и требования по безопасности к поставщикам услуг доверия, обеспечивающих долговременную сохранность электронных цифровых подписей или произвольных данных с использованием технологии ЭЦП» (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques).

Опубликованный в декабре 2018 года проект документа объёмом 34 страницы доступен по адресу https://docbox.etsi.org/ESI/Open/Latest_Drafts/TS_119_511_v0.0.5_preservation-policy.pdf

[Дополнение от 21.06.2019] Версия 1.1.1 утвержденного документа ETSI TS 119 511 доступна по адресу https://www.etsi.org/deliver/etsi_ts/119500_119599/119511/01.01.01_60/ts_119511v010101p.pdf

Спецификации опираются на европейский закон eIDAS, полное название которого -  «Регламент № 910-2014 Европейского парламента и Совета от 23 июля 2014 года «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке, и об отмене Директивы 1999/93/EC»» (Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, см. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ENG , об этом законе см. также пост http://rusrim.blogspot.ru/2014/09/blog-post_95.html - Н.Х.).

Во вводной части документа, в частности, отмечается следующее:
«С одной стороны, основанные на криптографических механизмах электронные цифровые подписи (также усиленные электронные подписи - digital signatures – Н.Х.), а также отметки времени всё чаще используются в нашей повседневной жизни и являются краеугольным камнем для электронной коммерции.

С другой стороны, хорошо известно, что надёжность и пригодность криптографических механизмов со временем меняется, и необходимо использовать подходящие механизмы обеспечения долговременной сохранности, способные поддерживать статус верности/действительности подписанного объекта в течение длительных периодов времени, в рамках которых могут применяться различные технологии хранения и криптографические алгоритмы.

Потребность в обеспечения долговременной сохранности, среди прочего, признается европейским законом eIDAS, в преамбуле которого в п.(61) говорится: «Настоящий Регламент должен обеспечивать долговременную сохранность информации, с целью обеспечить юридическую силу электронных подписей и электронных печатей в течение длительных периодов времени и гарантировать возможность их проверки независимо от будущих технологических изменений».

Далее, в статье 34 закона eIDAS сказано, что «квалифицированная услуга по обеспечению долговременной сохранности квалифицированных электронных подписей может оказываться только квалифицированным поставщиком услуг доверия, использующим процедуры и технологии, способные продлить период доверия к квалифицированной электронной подписи за пределы периода её технологической действительности»; и что «Еврокомиссия может, посредством  принятия подзаконных нормативных актов, устанавливать номера базовых стандартов для квалифицированных услуг по обеспечению долговременной сохранности квалифицированных электронных подписей».

Настоящий документ направлен на удовлетворение общих потребностей международного сообщества в обеспечении доверия и уверенности в услугах по обеспечению долговременной сохранности, которые могут использоваться для сохранения статуса верности ЭЦП/УЭП или для обеспечения сохранности электронных объектов с использованием методов ЭЦП/УЭП, - учитывая, среди прочего, применимые требования из статей 34 и 40 закона eIDAS, устанавливающие правовые рамки для квалифицированной услуги по обеспечению долговременной сохранности квалифицированных электронных подписей и, соответственно, квалифицированных электронных печатей.

… Настоящий документ основан на общих политических требованиях, установленных европейским стандартом EN 319 401, в котором сформулированы требования политики и требования по безопасности к поставщикам услуг доверия, обеспечивающих долговременную сохранность ЭЦП/УЭП и произвольных данных (то есть подписанных и неподписанных данных), с использованием технологии ЭЦП.

Мой комментарий: Речь идёт о подготовленном ETSI стандарте ETSI EN 319 401 «Электронные подписи и инфраструктуры: Общие требования к политике поставщиков доверенных услуг» (Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers), самая свежая редакция которого выложена по адресу https://www.etsi.org/deliver/etsi_en/319400_319499/319401/02.02.01_60/en_319401v020201p.pdf .

В настоящем документе рассматриваются два основных случая:
  • Обеспечение сохранения на протяжении длительных периодов времени, с использованием технологии ЭЦП, способности проверять электронную цифровую подпись, поддерживать ее статус верности и получать подтверждение неизменности соответствующих подписанных данных с момента представления их в службу обеспечения сохранности, - даже если со временем ключ подписания (закрытый ключ) будет скомпрометирован, истечёт срок действия сертификата или станут возможными криптографические атаки на алгоритм подписания или алгоритм хеширования, используемые в представленной подписи.

  • Предоставление доказательства существования электронных объектов (как подписанных, так и неподписанных) с использованием технологии ЭЦП (электронные цифровые подписи, отметки времени, записи с подтверждающими сведениями -  evidence records, и т.д.).

    Примечание: В данном случае, даже если основным сохраняемым объектом является подпись, он обрабатывается так же, как и любой другой файл. В настоящем документе не рассматривается доказывание существования электронного объекта без использования технологий ЭЦП.
Как следует из последнего примечания, документ ограничивается узкотехническим подходом, игнорируя традиционные архивные и судебные методы подтверждения подлинности на основе в одном случае – архивной взаимосвязи документов, а в другом – совокупности косвенных доказательств.

В документе поясняется, что сервис обеспечения сохранности – это не сервис подтверждения верности усиленной электронной подписи, и его главная задача – сохранить в длительной перспективе все необходимые для проверки подписи данные.

В выложенном проекте видно, что до конца не согласован следующий интересный момент: что делать поставщику услуг, если он по каким-либо причинам не смог обеспечить сохранность всех необходимых для перепроверки подписи данных? Пока что рассматриваются три варианта:
  • Признать провал усилий по обеспечении сохранности подписи,

  • Делать то, что в силах поставщика услуг – сохранять ту информацию, которую ему удалось собрать,

  • Постараться, при возможности, впоследствии собрать недостающую информацию.
Замечу, что без привлечения архивных / судебных методов, данную проблему вряд ли удастся решить.

В документе рассмотрены три варианта услуги: с хранением у себя соответствующих данных, с временным их хранением и без хранения.

Содержание проекта документа следующее:
Предисловие
Использование модальных глаголов
Введение
1. Область применения
2. Литература
3. Определения терминов, символов и сокращений
4. Общие понятия
5. Оценка рисков
6. Политики и практики
7. Менеджмент и оперативная деятельность поставщика услуг обеспечения сохранности
8. Протоколы оперативной деятельности и оповещения
9. Процесс обеспечения сохранности
Приложение A (нормативное): Квалифицированный сервис обеспечения сохранности для квалифицированных электронных подписей в соответствии со ст.34 закона eIDAS
Приложение B (нормативное): Перекрестные ссылки требований на положения закона eIDAS
Технические спецификации ETSI TS 119 512 «Электронные подписи и инфраструктуры – Протоколы для поставщиков услуг доверия, оказывающих услуги по обеспечению долговременной сохранности данных» (Electronic Signatures and Infrastructures (ESI); Protocols for trust service providers providing long-term data preservation services).

Источник: сайт ETSI
https://docbox.etsi.org/ESI/Open/Latest_Drafts/TS_119_511_v0.0.5_preservation-policy.pdf

Комментариев нет:

Отправить комментарий