Ответ на вопрос коллеги: Проблема обеспечения проверки подлинности электронной подписи на протяжении всего срока хранения документа

Вопрос: Прокомментируйте пожалуйста проблему обеспечения проверки подлинности электронной подписи на протяжении всего срока хранения документа.

Ответ: Основная задача при долговременном хранении документов – это сохранение их целостности, аутентичности, надёжности, пригодности к использованию и конфиденциальности; и, соответственно, сама по себе задача обеспечения перепроверки электронной подписи является вспомогательной – в зависимости от выбранных подходов её, возможно, и не потребуется решать.

Корень проблемы перепроверки заключается в том, что ввиду быстрого устаревания технологий, форматов и программного обеспечения подлинник электронного документа, даже если его удастся сохранить в неприкосновенном виде, с большой вероятностью не будет читаться уже через 10 лет. Из-за этого через определенные промежутки времени придётся проводить конвертацию электронных документов в новые форматы и их миграцию в новые информационные системы. При конвертации хеш документа изменяется, и в результате мы получим незаверенную копию электронного документа, поскольку электронная подпись остаётся при подлиннике. Иными словами, в длительной перспективе мы просто не сможем использовать оригинальный документ, и голова у нас будет болеть не о перепроверке исходных подписей, а о создании работоспособных заверенных копий, имеющих ту же юридическую и доказательную силу.

Таким образом, в среднесрочной и длительной перспективе для обеспечения юридической значимости электронных документов нам необходимо будет проработать процесс проведения конверсии и миграции с правовой точки зрения таким образом, чтобы полученная копия обладала юридической силой, равной оригиналу.

Ещё одна причина трудностей, которая в настоящее время более остро встаёт в оперативной работе, связана с тем, что практически всё массовое ПО рассчитано на проверку действительности подписей в период, когда ещё не истёк срок действия сертификатов ключей проверки. Как только срок действия сертификата заканчивается, приходится либо использовать специально разработанное ПО (примеры тому имеются), либо прибегать к услугам удостоверяющих центров, цифровых криминалистов или иных доверенных третьих сторон, располагающих необходимыми инструментами и поддерживающими документами для перепроверки исторических подписей. Такие услуги довольно широко используются, но они, как правило, возможны лишь на среднесрочных интервалах времени, поскольку необходимо иметь определённые документы, создаваемые и хранимые соответствующим УЦ (сертификаты, списки отозванных сертификатов или квитанции онлайн-проверки верности подписей).

Повысить вероятность успешной перепроверки исторических подписей можно, например, используя т.н. «архивные» варианты усиленных электронных подписей либо самостоятельно сохраняя сертификаты, списки отозванных сертификатов или квитанции онлайн-проверки верности подписей.

В последнее время в качестве решения данной проблемы рекламируется метод переподписания, когда документ регулярно переподписывается (например, отметками времени, до истечения срока действия сертификата, на котором основывается предыдущая отметка). Технически такой подход реализуем, однако под ним пока что нет надёжной правовой базы, и, как следствие, его можно применять только по соглашению заинтересованных сторон. В мировой практике переподписание используется крайне редко, хотя для этого даже есть соответствующие стандарты.

Следует отметить, что в среднесрочной перспективе возникают также дополнительные проблемы – истечение срока сертификатов УЦ и корневых сертификатов, ликвидация УЦ, устаревание криптографии и в целом инфраструктуры открытых ключей.

Архивные учреждения предпочитают идти по традиционному пути – они либо проверяют подписи в момент приёма документа на архивное хранение, либо получают иные подтверждения его подлинности (такую функцию может выполнять подписанный сторонами акт приёма-передачи). В дальнейшем архивное учреждение обеспечивает долговременную сохранность и доступность электронных документов в качестве доверенной третьей стороны, не занимаясь перепроверкой подписей, но гарантируя, что пользователь получит из хранилища документ, идентичный исходному по содержанию и ключевым метаданным.

Резюмируя сказанное, можно отметить, что методы перепроверки хорошо отработаны для актуальных электронных подписей и для исторических подписей, созданных сравнительно недавно. Нигде в мире нет апробированного решения для перепроверки электронных подписей в долговременной перспективе, и его появление пока что не ожидается.