пятница, 31 мая 2019 г.

Вопросы обеспечения сохранности электронных подписей и печатей документов


Данная заметка д-ра права Начо Аламильо (Nacho Alamillo) была опубликована 8 мая 2019 года в блоге «la DaDa» Ассоциации архивистов и специалистов по управлению документами испанской провинции Каталония (Associació d’Arxivers i Gestors de Documents de Catalunya).

Мой комментарий: В последнее время проблема обеспечения долговременной сохранности электронных документов, подписанных усиленными электронными подписями и/или снабжённых усиленными электронными печатями, всё больше привлекает внимание европейских специалистов. Данный пост отражает мнение коллег из испанской провинции Каталония, отличающейся сильными традициями в области управления документами и архивного дела.

Рассматривается ряд проблем, которые возникают в связи с использованием усиленных электронных подписей и электронных печатей, и ответ на них с точки зрения права. Отмечается необходимость технической стандартизации и расширения возможностей электронного архива.

Один из вопросов, которые обычно обсуждаются в связи с применением усиленной электронной подписи физических лиц и электронной печати юридических лиц, является проблема длительного сохранения этих артефактов.

Рис.1 Диаграмма из европейского предстандарта ETSI TS 119 511: Функциональная модель службы обеспечения долговременной сохранности (вариант с хранением данных).

Мой комментарий к рис.1: Речь идёт о разработанных Европейским институтом телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI) технических спецификациях ETSI TS 119 511 «Электронные подписи и инфраструктуры - Требования политики и требования по безопасности к поставщикам услуг доверия, обеспечивающих долговременную сохранность электронных цифровых подписей или произвольных данных с использованием технологии ЭЦП» (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques). Проект этого документа доступен по адресу https://docbox.etsi.org/ESI/Open/Latest_Drafts/TS_119_511_v0.0.5_preservation-policy.pdf

[Дополнение от 21.06.2019] Версия 1.1.1 утвержденного документа ETSI TS 119 511 доступна по адресу https://www.etsi.org/deliver/etsi_ts/119500_119599/119511/01.01.01_60/ts_119511v010101p.pdf

1. Введение

Проблема, как правило, возникает вследствие ограничений, связанных с технологиями, используемыми для создания электронных подписей и печатей, особенно когда те являются усиленными или квалифицированными. Поскольку алгоритмы усиленных электронных подписей во многом опираются на то, что определенные типы математических задач трудно решить в настоящее время, то - с учётом того, что в будущем их решение может упроститься, - гарантировать надёжность электронных подписей и печатей можно лишь не протяжении ограниченного периода времени. У традиционных чернильных подписей такой проблемы нет, при условии, что к документу применяются подходящие методы обеспечения сохранности.

Короче говоря, можно сказать, что с течением времени усиленные электронные подписи становятся потенциально всё более и более уязвимыми по мере того, как увеличиваются вычислительные мощности компьютеров и появляются новые методы криптографического анализа, что в конечном итоге подрывает доказательную силу данных правовых инструментов. Представьте себе, например, возможность появления метода, позволяющего изменить уже подписанный документ, не меняя его криптографического хеша, так что подпись и далее будет успешно проверяться с технической точки зрения. Само собой разумеется, в таком случае будет утрачено доверие к этой подписи и, следовательно, потеряна её доказательная сила.

Эту проблему в последнее время усугубило выявление в программном обеспечении уязвимостей, которые, как в случае с уязвимостью ROCA, позволяли восстановить закрытые ключи подписи («данные для создания подписи или печати», как о них говорит законодательство) по соответствующим открытым ключам. Это говорит о том, что сегодня существуют множество вполне реализуемых векторов атаки.

Мой комментарий: Уязвимость ROCA (от Return of the Coppersmith Attack – «возращение атаки Копперсмита») для алгоритма электронной подписи RSA позволяет восстановить закрытый ключ, зная соответствующий открытый ключ, если пара ключей создавалась на устройстве с этой уязвимостью. Она была выявлена в решениях, использующих библиотеку RSALib от компании Infineon Technologies, среди которые оказались ряд смарт-карт и доверенных аппаратных модулей. См. https://wiki2.org/en/ROCA_vulnerability

2. Отношение права к этой проблеме

Признавая, что в долговременной перспективе аутентичность электронных документов (а также электронных подписей и печатей) может быть обеспечена без необходимости также поддерживать криптографическую проверяемость содержащихся в них усиленных электронных подписей, - позиция правовой доктрины, которую я считаю миролюбивой - в доктрине также не менее очевидно, что на этапе активного использования документов в деловой деятельности абсолютно необходимо поддерживать доказательную силу электронных подписей и печатей с тем, чтобы иметь возможность использовать их в случае необходимости инициировать или отреагировать на судебное или административное разбирательство.

Законодатель обратил внимание на данную проблему как на национальном уровне, так и, в последнее время, на уровне Европейского Союза.

В Испании в этой связи можно упомянуть законодательство, регламентирующее электронные административные процедуры и электронные деловые операции организаций государственного сектора.

Прежде всего, это важный - и во многом игнорируемый - закон 11/2007 от 22 июня 2007 года об электронном доступе граждан к государственным услугам (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, http://www.boe.es/buscar/pdf/2007/BOE-A-2007-12352-consolidado.pdf ) в соответствии с положениями Королевского декрета 4/2010 от 8 января 2010 года о Национальной концепции интероперабельности в области электронного правительства (Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, http://www.boe.es/buscar/pdf/2010/BOE-A-2010-1331-consolidado.pdf ), - а позднее закон 39/2015 от 1 октября 2015 года о типовых административных процедурах, осуществляемых государственными органами (Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, http://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-10565 ) и закон 40/2015 от 1 октября 2015 года о правовом режиме государственного сектора (Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, http://www.boe.es/boe/dias/2015/10/02/pdfs/BOE-A-2015-10566.pdf ).

Это было частичное нормативно-правовое регулирование, которое, хотя оно и являлось передовым для своего времени, делало ставку на методы сохранения усиленной электронной подписи, которые в настоящее время частично устарели, особенно в свете появления новых методов, также позволяющих решать данную задачу.

Сравнительно недавно Регламент № 910-2014 Европейского парламента и Совета от 23 июля 2014 года «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке, и об отмене Директивы 1999/93/EC»» (Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, см. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ENG , об этом законе см. также пост http://rusrim.blogspot.ru/2014/09/blog-post_95.html - Н.Х.), иначе известный как закон eIDAS, - в числе услуг доверия регламентировал согласованным образом для правовых систем всех стран-членов Евросоюза оказание услуги по обеспечению долговременной сохранности усиленных электронных подписей и печатей. Данное регулирование должно содействовать сохранности подписей и печатей, укрепляя тем самым правовую защищённость и упрощая её достижение.

Хотя в законе eIDAS нет детального описания этой услуги, в п.1 статьи 34 сказано, что такая услуга предусматривает использование процедур и технологий, способных расширить период доверия к квалифицированной электронной подписи за рамки периода технологической действительности  -  что также применимо и в отношении электронной печати в соответствии со статьёй 40.

3. Техническая стандартизация и расширение возможностей электронного архива

Благодаря введённой законом eIDAS модели регулирования, которая отводит особую роль саморегулированию отрасли посредством технических стандартов, мы можем с удовлетворением приветствовать выпуск Европейским институтом телекоммуникационных стандартов первых технических спецификаций ETSI, специально предназначенных для содействия обеспечению долговременной сохранности подписей и печатей, - причём наблюдается значительная согласованность с архивными услугами, с которыми спецификации взаимосвязаны и оказанию которых способствует.

Таким образом, технические спецификация ETSI TS 119 511, которые в настоящее время находится на последней стадии утверждения, устанавливают требования политик и требования по безопасности для службы обеспечения долговременной сохранности усиленной электронной подписи или печати (будь то квалифицированной или неквалифицированной). Особенно важно Приложение C, которое определяет взаимоотношения между данной службой и архивом электронных документов (его нет в проекте 2018 года – Н.Х.). Это делается по той причине, что услуга обеспечения сохранности может оказываться с сохранением самого документа, с временным его сохранением или без сохранения.

Инновационность данных технических спецификаций также заключается в их технологически нейтральном подходе, который вращается вокруг концепций объектов сохранения и свидетельств существования в определенные моменты времени, которые могут быть получены несколькими способами, хотя и всегда на основе технологии электронных цифровых подписей. Поэтому допускается использовать отметки времени, включенные в состав самой электронной подписи; но документ также может быть зарегистрирован в блокчейне или сохранен в электронном архиве в соответствии с действующим законодательством.

Более того, в ряде стран национальные законодательства (в основном бельгийское) включили архивные услуги в число услуг доверия, придавая тем самым  юридические последствия вводу документов в эти электронные архивы. С правовой точки зрения это следует понимать таким образом, что электронный документ был сохранен правильно, если он был передан на хранение в эту усовершенствованную службу электронного архива. Это является преимуществом с точки зрения снижения правового риска для лиц, создающих имеющие юридическую силу документы.

Глядя на эти тенденции ... кто сказал, что профессия архивиста не имеет будущего в мире технологий?

Начо Аламильо (Nacho Alamillo)

Источник: блог «la DaDa» Ассоциации архивистов и специалистов по управлению документами испанской провинции Каталония
http://arxivers.com/ladada/a-voltes-amb-la-conservacio-de-la-signatura-i-el-segell-electronic-dels-documents/

2 комментария:

  1. Вы пишете: "Данный пост отражает мнение коллег из испанской провинции Каталония, отличающейся сильными традициями в области управления документами и архивного дела". Хотелось бы познакомиться с этими "сильными традициями" на конкретных примерах.

    ОтветитьУдалить
    Ответы
    1. Испанская провинция Каталония – земля древняя, которая, как и вся Испания, богата и собраниями документов, которые ведут начало с тех времен, когда России ещё не было в проекте, и архивными учреждениями, по сравнению с которыми самый старый архив нашей страны – дитятко малое :)

      Помимо старых традиций, есть и огромный интерес к новым документам, новым технологиям и новой теории, который, наверное, естественен для всякой территории, желающей стать самостоятельной и использующей архивы как старых, так и новых материалов в качестве важного инструмента пропаганды.

      Мы многому могли бы поучиться у Каталонии в плане обеспечения поддержки архивного дела на государственном уровне, поддержки архивной теории, архивного образования, статуса и условий труда архивистов, проведения международных конференций разного уровня. Пожалуй, нет такого международного проекта, связанного с вопросами архивного дела, где бы не участвовали представители провинции.

      Найти материалы о деятельности каталонских архивистов несложно, достаточно спросить Google или Ваших коллег по школе в Триесте-Мариборе. У меня на блоге выложена подборка переводных материалов, дающих определенное представление о том, что сейчас делается в провинции, см. https://rusrim.blogspot.com/search?q=Каталония

      Удалить