воскресенье, 17 марта 2019 г.

ИСО: Идёт обсуждение проекта стандарта ISO/DIS 14533-4 для атрибутов усиленных электронных подписей, способствующих перепроверке подписей в длительной перспективе


В 2012-2017 году Международная организации по стандартизации опубликовала первые три части стандарта ISO 14533 «Процессы, элементы данных и документы в коммерции, промышленности и государственном управлении – Варианты (профили) электронных подписей для долговременного использования» (Processes, data elements and documents in commerce, industry and administration - Long term signature profiles), а именно:
  • ISO 14533-1:2014 «Часть 1: Варианты для долговременной сохранности усиленных электронных подписей,  соответствующих синтаксису криптографических сообщений CMS (CAdES)» (Part 1: Long term signature profiles for CMS Advanced Electronic Signatures (CAdES)), см. https://www.iso.org/standard/64756.html и https://www.iso.org/obp/ui/#!iso:std:64756:en (это хорошо знакомые нам «обычные» усиленные электронные подписи – Н.Х.);

  • ISO 14533-2:2012 «Часть 2: Варианты для долговременной сохранности усиленных электронных XML-подписей (XAdES)» (Part 2: Long term signature profiles for XML Advanced Electronic Signatures (XAdES)), см. https://www.iso.org/standard/56025.html и https://www.iso.org/obp/ui/#!iso:std:56025:en ;

  • ISO 14533-3:2017 «Часть 3: Варианты для долговременной сохранности усиленных электронных PDF-подписей (PAdES)» (Part 3: Long term signature profiles for PDF Advanced Electronic Signatures (PAdES)), см. https://www.iso.org/standard/67937.html и https://www.iso.org/obp/ui/#!iso:std:67937:en .
К настоящему времени подготовлена и проходит публичное обсуждение проект четвёртой части данного стандарта ISO/DIS 14533-4 «Часть 4: Атрибуты, указывающие на используемые в форматах электронных подписей для долговременного использования доказывающие существование (внешние) объекты (PoEAttributes)» (Part 4: Attributes pointing to (external) proof of existence objects used in long term signature formats (PoEAttributes)), см. https://www.iso.org/standard/72835.html и https://www.iso.org/obp/ui/#iso:std:iso:14533:-4:dis:ed-1:v1:en , объёмом 35 страниц основного текста.

При желании ознакомиться с текстом проекта и принять участие в его обсуждении можно на сайте Британского института стандартов (см. https://standardsdevelopment.bsigroup.com/projects/2017-00959 ) до 25 марта 2019 года, для чего нужно на этом сайте зарегистрироваться.

Стандарт разработан техническим комитетом ИСО TC 154 «Процессы, элементы данных и документы в коммерции, промышленности и государственном управлении» (Processes, data elements and documents in commerce, industry and administration).

Во введении отмечается:
«Настоящий документ предоставляет детальную информацию, связанную с анализом, выбором и реализацией процедур, связанных с усиленными электронными подписями для длительного использования. Настоящий документ подготовлен согласно просьбе заинтересованных организаций предоставить сводную информацию об уже существующих объектах, описанных в технологических стандартах, технических отчетах и передовой отраслевой практике для электронных подписей, перепроверка которых возможна в течение длительного периода времени.

Целью данной части стандарта ISO 14533 является обеспечение функциональной совместимости решений, обеспечивающих проверяемость усиленных электронных подписей в течение длительного периода времени. В настоящем документе разъясняются используемые в процедуре проверки условия, направленные на получение полного и неизменяемого результата.»

…«Настоящая часть стандарта ISO 14533 описывает определенные в международных стандартах ISO / ITU-T, ETSI и IETF RFC элементы, которые позволяют, по крайней мере, доказать существование объектов данных и электронных цифровых подписей, и способствуют сохранению статуса достоверности электронных цифровых подписей в течение длительного периода времени.

Стандарт описывает атрибуты подтверждения существования (Proof of Existence, PoE) и разъясняет использование совместно с электронными цифровыми подписями и доверенными отметками времени (внешних) PoE-объектов, которые уже существовали и могут использоваться PoE-атрибутами, указывающими на (внешние) PoE-объекты, используемые при проверке или обеспечении долговременной сохранности электронных подписей в длительной перспективе.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. PoE-атрибуты
5. Типы PoE-объектов, с указанием их ключевых полей
Приложения
Библиография
Как обычно, мне были интересны термины и их определения. Я, в частности, обратила внимание на три из них:
3.7 Длительный период времени, длительная перспектива (long term): период времени, достаточно длительный для того, чтобы возникла озабоченность в связи с последствиями изменения технологий (например, криптографические алгоритмы могут стать нестойкими), включая поддержку новых носителей информации и форматов данных; а также в связи с изменениями в сообществе пользователей – для сохраняемой в хранилище информации.

3.6 Доказательная база (evidence record, ER): набор доказательств, созданных с течением времени в отношении одного или нескольких конкретных объектов данных, которые могут быть использованы для подтверждения целостности и существования объекта данных или группы объектов данных в определённый момент времени.
[Источник: IETF RFC 4998 /6283 / ETSI SR 019 510]

3.8 Долговременное сохранение (целостности) (long-term (integrity) preservation, LTI): расширение статуса действительности электронной цифровой подписи на длительные периоды времени и/или предоставление на протяжении длительных периодов времени доказательств существования данных, несмотря на устаревание криптографической технологии (например, криптоалгоритмов, длины ключей или функций хеширования), компрометацию ключей или утрату способности проверить статус действительности сертификатов открытых ключей.

Мой комментарий: данное определение, с моей точки зрения, малограмотное, поскольку его авторы спутали «бульдога с носорогом», не понимая разницы между целостностью и аутентичностью документов, между технологическими и правовыми аспектами проблемы. Впрочем, это обычная беда в случаях, когда ИТ-специалисты пытаются свести правовой вопрос правомочности документа и действительности подписи к чисто «техническим» проверкам …
Источник: сайт ИСО / сайт BSI
https://www.iso.org/standard/72835.html
https://standardsdevelopment.bsigroup.com/projects/2017-00959

Комментариев нет:

Отправка комментария