Данная заметка д-ра права Начо Аламильо (Nacho Alamillo) была опубликована 8 мая 2019 года в блоге «la DaDa» Ассоциации архивистов и специалистов по управлению документами испанской провинции Каталония (Associació d’Arxivers i Gestors de Documents de Catalunya).
Мой комментарий: В последнее время проблема обеспечения долговременной сохранности электронных документов, подписанных усиленными электронными подписями и/или снабжённых усиленными электронными печатями, всё больше привлекает внимание европейских специалистов. Данный пост отражает мнение коллег из испанской провинции Каталония, отличающейся сильными традициями в области управления документами и архивного дела.
Рассматривается ряд проблем, которые возникают в связи с использованием усиленных электронных подписей и электронных печатей, и ответ на них с точки зрения права. Отмечается необходимость технической стандартизации и расширения возможностей электронного архива.
Один из вопросов, которые обычно обсуждаются в связи с применением усиленной электронной подписи физических лиц и электронной печати юридических лиц, является проблема длительного сохранения этих артефактов.
Рис.1 Диаграмма из европейского предстандарта ETSI TS 119 511: Функциональная модель службы обеспечения долговременной сохранности (вариант с хранением данных).
Мой комментарий к рис.1: Речь идёт о разработанных Европейским институтом телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI) технических спецификациях ETSI TS 119 511 «Электронные подписи и инфраструктуры - Требования политики и требования по безопасности к поставщикам услуг доверия, обеспечивающих долговременную сохранность электронных цифровых подписей или произвольных данных с использованием технологии ЭЦП» (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques). Проект этого документа доступен по адресу https://docbox.etsi.org/ESI/Open/Latest_Drafts/TS_119_511_v0.0.5_preservation-policy.pdf
[Дополнение от 21.06.2019] Версия 1.1.1 утвержденного документа ETSI TS 119 511 доступна по адресу https://www.etsi.org/deliver/etsi_ts/119500_119599/119511/01.01.01_60/ts_119511v010101p.pdf
1. Введение
Проблема, как правило, возникает вследствие ограничений, связанных с технологиями, используемыми для создания электронных подписей и печатей, особенно когда те являются усиленными или квалифицированными. Поскольку алгоритмы усиленных электронных подписей во многом опираются на то, что определенные типы математических задач трудно решить в настоящее время, то - с учётом того, что в будущем их решение может упроститься, - гарантировать надёжность электронных подписей и печатей можно лишь не протяжении ограниченного периода времени. У традиционных чернильных подписей такой проблемы нет, при условии, что к документу применяются подходящие методы обеспечения сохранности.
Короче говоря, можно сказать, что с течением времени усиленные электронные подписи становятся потенциально всё более и более уязвимыми по мере того, как увеличиваются вычислительные мощности компьютеров и появляются новые методы криптографического анализа, что в конечном итоге подрывает доказательную силу данных правовых инструментов. Представьте себе, например, возможность появления метода, позволяющего изменить уже подписанный документ, не меняя его криптографического хеша, так что подпись и далее будет успешно проверяться с технической точки зрения. Само собой разумеется, в таком случае будет утрачено доверие к этой подписи и, следовательно, потеряна её доказательная сила.
Эту проблему в последнее время усугубило выявление в программном обеспечении уязвимостей, которые, как в случае с уязвимостью ROCA, позволяли восстановить закрытые ключи подписи («данные для создания подписи или печати», как о них говорит законодательство) по соответствующим открытым ключам. Это говорит о том, что сегодня существуют множество вполне реализуемых векторов атаки.
Мой комментарий: Уязвимость ROCA (от Return of the Coppersmith Attack – «возращение атаки Копперсмита») для алгоритма электронной подписи RSA позволяет восстановить закрытый ключ, зная соответствующий открытый ключ, если пара ключей создавалась на устройстве с этой уязвимостью. Она была выявлена в решениях, использующих библиотеку RSALib от компании Infineon Technologies, среди которые оказались ряд смарт-карт и доверенных аппаратных модулей. См. https://wiki2.org/en/ROCA_vulnerability
2. Отношение права к этой проблеме
Признавая, что в долговременной перспективе аутентичность электронных документов (а также электронных подписей и печатей) может быть обеспечена без необходимости также поддерживать криптографическую проверяемость содержащихся в них усиленных электронных подписей, - позиция правовой доктрины, которую я считаю миролюбивой - в доктрине также не менее очевидно, что на этапе активного использования документов в деловой деятельности абсолютно необходимо поддерживать доказательную силу электронных подписей и печатей с тем, чтобы иметь возможность использовать их в случае необходимости инициировать или отреагировать на судебное или административное разбирательство.
Законодатель обратил внимание на данную проблему как на национальном уровне, так и, в последнее время, на уровне Европейского Союза.
В Испании в этой связи можно упомянуть законодательство, регламентирующее электронные административные процедуры и электронные деловые операции организаций государственного сектора.
Прежде всего, это важный - и во многом игнорируемый - закон 11/2007 от 22 июня 2007 года об электронном доступе граждан к государственным услугам (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, http://www.boe.es/buscar/pdf/2007/BOE-A-2007-12352-consolidado.pdf ) в соответствии с положениями Королевского декрета 4/2010 от 8 января 2010 года о Национальной концепции интероперабельности в области электронного правительства (Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, http://www.boe.es/buscar/pdf/2010/BOE-A-2010-1331-consolidado.pdf ), - а позднее закон 39/2015 от 1 октября 2015 года о типовых административных процедурах, осуществляемых государственными органами (Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, http://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-10565 ) и закон 40/2015 от 1 октября 2015 года о правовом режиме государственного сектора (Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, http://www.boe.es/boe/dias/2015/10/02/pdfs/BOE-A-2015-10566.pdf ).
Это было частичное нормативно-правовое регулирование, которое, хотя оно и являлось передовым для своего времени, делало ставку на методы сохранения усиленной электронной подписи, которые в настоящее время частично устарели, особенно в свете появления новых методов, также позволяющих решать данную задачу.
Сравнительно недавно Регламент № 910-2014 Европейского парламента и Совета от 23 июля 2014 года «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке, и об отмене Директивы 1999/93/EC»» (Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, см. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ENG , об этом законе см. также пост http://rusrim.blogspot.ru/2014/09/blog-post_95.html - Н.Х.), иначе известный как закон eIDAS, - в числе услуг доверия регламентировал согласованным образом для правовых систем всех стран-членов Евросоюза оказание услуги по обеспечению долговременной сохранности усиленных электронных подписей и печатей. Данное регулирование должно содействовать сохранности подписей и печатей, укрепляя тем самым правовую защищённость и упрощая её достижение.
Хотя в законе eIDAS нет детального описания этой услуги, в п.1 статьи 34 сказано, что такая услуга предусматривает использование процедур и технологий, способных расширить период доверия к квалифицированной электронной подписи за рамки периода технологической действительности - что также применимо и в отношении электронной печати в соответствии со статьёй 40.
3. Техническая стандартизация и расширение возможностей электронного архива
Благодаря введённой законом eIDAS модели регулирования, которая отводит особую роль саморегулированию отрасли посредством технических стандартов, мы можем с удовлетворением приветствовать выпуск Европейским институтом телекоммуникационных стандартов первых технических спецификаций ETSI, специально предназначенных для содействия обеспечению долговременной сохранности подписей и печатей, - причём наблюдается значительная согласованность с архивными услугами, с которыми спецификации взаимосвязаны и оказанию которых способствует.
Таким образом, технические спецификация ETSI TS 119 511, которые в настоящее время находится на последней стадии утверждения, устанавливают требования политик и требования по безопасности для службы обеспечения долговременной сохранности усиленной электронной подписи или печати (будь то квалифицированной или неквалифицированной). Особенно важно Приложение C, которое определяет взаимоотношения между данной службой и архивом электронных документов (его нет в проекте 2018 года – Н.Х.). Это делается по той причине, что услуга обеспечения сохранности может оказываться с сохранением самого документа, с временным его сохранением или без сохранения.
Инновационность данных технических спецификаций также заключается в их технологически нейтральном подходе, который вращается вокруг концепций объектов сохранения и свидетельств существования в определенные моменты времени, которые могут быть получены несколькими способами, хотя и всегда на основе технологии электронных цифровых подписей. Поэтому допускается использовать отметки времени, включенные в состав самой электронной подписи; но документ также может быть зарегистрирован в блокчейне или сохранен в электронном архиве в соответствии с действующим законодательством.
Более того, в ряде стран национальные законодательства (в основном бельгийское) включили архивные услуги в число услуг доверия, придавая тем самым юридические последствия вводу документов в эти электронные архивы. С правовой точки зрения это следует понимать таким образом, что электронный документ был сохранен правильно, если он был передан на хранение в эту усовершенствованную службу электронного архива. Это является преимуществом с точки зрения снижения правового риска для лиц, создающих имеющие юридическую силу документы.
Глядя на эти тенденции ... кто сказал, что профессия архивиста не имеет будущего в мире технологий?
Начо Аламильо (Nacho Alamillo)
Источник: блог «la DaDa» Ассоциации архивистов и специалистов по управлению документами испанской провинции Каталония
http://arxivers.com/ladada/a-voltes-amb-la-conservacio-de-la-signatura-i-el-segell-electronic-dels-documents/