(Окончание. начало см. http://rusrim.blogspot.com/2025/05/qpres-qea-1.html )
Техническая проблема: Истечение срока действия криптографических инструментов и алгоритмов
Все криптографические сертификаты и алгоритмы со временем деградируют:
- Срок действия сертификатов истекает по истечении определенного периода времени, часто спустя небольшое число лет,
- Сертификаты могут быть отозваны, что делает недействительной любую ассоциированную с ними подпись или печать.
Мой комментарий: Здесь, с моей точки зрения, допущена грубая ошибка: как истечение срока действия, так и отзыв сертификатов делают невозможным создание новых юридически значимых подписей и печатей на основе этих сертификатов, а также проверку уже существующих подписей и печатей с использованием широко распространенных инструментов, предназначенных для оперативной работы. Однако, с правовой точки зрения, созданные в период действительности сертификатов подписи и печати сохраняют свою юридическую и доказательную силу – и могут быть проверены с помощью специальных средств, обычно имеющихся в распоряжении удостоверяющих центров. - Алгоритмы хеширования становятся уязвимыми по мере роста вычислительных мощностей.
Это приводит к ситуации, когда электронные подписи или печати станет невозможно перепроверить спустя несколько лет после их создания, - если не будут предприняты специальные усилия по обеспечению их «долговременной сохранности».
Мой комментарий: На самом деле такая ситуация вполне может возникнуть прямо в день подписания – если в этот день закончится срок действия сертификата либо тот будет отозван (что иногда делается и умышленно).
Статья 34 Регламента ЕС № 910/214 (eIDAS 1) решает эту проблему, требуя наличия механизмов, способных продлить срок действительности (validity, на самом деле, проверяемости – Н.Х.) электронных подписей и печатей после того, как истёк срок действия либо произошёл отзыв лежащих в их основе криптографических инструментов и алгоритмов. Предусмотренный ещё в законе eIDAS 1 сервис QPres позволяет выполнить это требование посредством применения методов проставления дополнительных отметок времени и генерации дополнительных доказательств.
Важно обратить внимание на то, что сервис QPres сфокусирован только на сохранении действительности электронных подписей и электронных печатей, а не на обеспечении сохранности самого подписанного документа.
Выход за рамки сохранения подписей: Обеспечение сохранности данных с помощью сервиса QeA
Хотя сервис QPres и обеспечивает сохранение во времени действительности подписей и печатей, он не обеспечивает сохранение доступности, читаемости и аутентичности самого подписанного документа.
Но зачем вообще нужно ассоциировать сертификат, печать или подпись с информацией? Чтобы доказать аутентичность и происхождение информации – так же, как и в аналоговом мире!
Для удовлетворения этой более широкой потребности в соответствии со статьей 45j Регламента ЕС 2024/1183 (eIDAS 2) был введён новый сервис по обеспечению доверия – «квалифицированное электронное архивирование» (Qualified Electronic Archiving, QeA).
Сервис квалифицированного электронного архивирования QeA обеспечивает:
- Долговременную сохранность целостности документов (как подписанных электронными подписями, так и неподписанных),
- Проверяемость аутентичности информации,
- Поддержание доступности документов с течением времени,
- Обеспечение читабельности документов, даже в случае эволюции файловых форматов, программное обеспечение и технологий.
Короче говоря, сервис QeA обеспечивает долгосрочную юридическую ценность и значимость данных, независимо от того, были ли они изначально подписаны [электронными подписями и печатями – Н.Х.] или нет.
Таким образом, сервис QeA имеет критически-важное значение для актов гражданского состояния, для архивов имеющих долговременную ценность юридических документов, для контрактов, страховых полисов и государственных документов.
Обращаю внимание ещё раз: Сервис QeA не ограничивается поддержанием действительности сертификатов и подписей; он обеспечивает сохранность всего контента, а также сохранение возможности доверять этому контенту и его доступность.
Фредерик Россел (Frederik Rosseel)
Источник: сайт LinkedIn
https://www.linkedin.com/pulse/trust-services-explained-long-term-preservation-qpres-rosseel-jmxme/
Комментариев нет:
Отправить комментарий