КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Реализация длительного архивного хранения электронных документов с использованием усовершенствованной электронной подписи Эффективный архив в управлении декабря 2011 года
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Общие положения В данной презентации не будут рассматриваться все проблемы архивного хранения документов в электронной форме Не будут рассматриваться вопросы технического обеспечения работы с электронным документом (включая средства электронной подписи), находящемся на длительном архивном хранении. Будут рассматриваться проблемы и способы их решения, связанные с применением электронной подписи, являющейся реквизитом электронного документа, находящемся на длительном архивном хранении.
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации В настоящий момент действуют два Федеральных закона, регулирующих отношения в области использования электронных подписей (электронных цифровых подписей) Федеральный закон от ФЗ «Об электронной цифровой подписи» Федеральный закон от ФЗ «Об электронной подписи» Неквалифицированная электронная подпись Квалифицированная электронная подпись С применением сертификатов ключей проверки ЭП (реализацией PKI)
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации О чем нам говорит 1-ФЗ «Об электронной цифровой подписи»? Статья 4 «Условия признания равнозначности электронной цифровой подписи и собственноручной подписи» Часть 1 - сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания - подтверждена подлинность электронной цифровой подписи в электронном документе; - …
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации О чем нам говорит 63-ФЗ «Об электронной подписи»? Статья 11 «Признание квалифицированной электронной подписи» - квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации А теперь проблемы: Проблема 1: Обеспечить, что бы сертификат ключа подписи, относящийся к этой ЭЦП (ЭП), не утратил силу (действовал) на момент проверки ЭЦП (ЭП) Текущее положение дел для средств ЭП (предполагаем, что аналогичное требование останется и для средств квалифицированной ЭП) Максимально разрешенный срок действия сертификата ключа подписи при использовании ЭП – 15 лет. Это установлено для большинства программных средств ЭП (самых распространенных), сертифицированных ФСБ России (СКЗИ Крипто Про CSP 3.6). Выводы: Максимальный срок хранения - не более срока действия сертификата ключа подписи На протяжении архивного хранения в течении этого срока нужно обеспечить наличие сертификата соответствия на средство ЭП, которое используется для проверки ЭП Максимально разрешенный срок действия сертификата ключа подписи для неквалифицированной ЭП – вообще говоря никаким документом не ограничен, но данный срок должен устанавливаться, исходя из общих требований к средству ЭП, изложенному в ФЗ «Об ЭП», а именно: Статья 12, п. 1 – «Обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа её проверки»
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации А теперь проблемы: Проблема 2: Обеспечить наличие доказательств, определяющих момент подписания электронного документа Использование штампов времени позволяет создавать доказательство факта существования документа на определённый момент времени. Штамп времени (time-stamp) - это подписанный ЭП документ, которым Служба штампов времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции документа. Само значение хэш-функции также указывается в штампе. Служба штампов времени (Time Stamping Authority - TSA) - доверенный субъект ИОК, обладающий точным и надёжным источником времени и оказывающий услуги по созданию штампов времени. Выводы: Сохранение в электронном документе штампа времени, полученного сразу после создания ЭЦП обеспечит доказательство, что документ был подписан не позднее времени, указанного в штампе времени
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации А теперь проблемы: Проблема 3: Обеспечить наличие доказательств действия сертификата ключа подписи на момент подписания электронного документа Использование службы OCSP для распространения информации о статусах сертификатов клиентам имеет следующие преимущества по сравнению со списками отзыва сертификатов (CRL): Актуальность информации о статусе. Служба может получать информацию об изменении статусов сертификатов в реальном времени и распространять её клиентам. Меньший объём OCSP-ответа. Объём ответа службы фиксирован и сравнительно мал, тогда как списки отзыва сертификатов могут иметь большой объём. Выводы: Сохранение в электронном документе CRL или OCSP-ответов, полученных сразу после создания ЭЦП обеспечит доказательство, что документ был подписан действующим сертификатом ключа подписи
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Наиболее оптимально – использовать формат усовершенствованной ЭЦП (ЭП): Данный формат включает в себя: Подписываемый документ (может храниться отдельно от всех остальных полей). Подписываемые атрибуты. Электронную подпись. Штамп времени, полученный на значение ЭЦП. Хэш-коды доказательств подлинности. Внешний штамп времени, полученный на все вышеперечисленное. Доказательства подлинности (сертификаты и информация об их статусе).
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации А можно ли реализовать: Для реализации формата усовершенствованной ЭП необходимо: 1. Развернуть Сервис OCSP Крипто Про OCSP Server 2. Развернуть Сервис TSP Крипто Про TSP Server 3. Встроить функционал усовершенствованной ЭП в систему ЭДО Крипто Про ЭЦП SDK
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации А какие варианты реализации: I.Усовершенствованная ЭП формируется непосредственно пользователем II. Усовершенствованная ЭП формируется в два этапа: 1. Формирование классической подписи пользователем; 2. Сбор доказательств подлинности ЭП на сервере электронного документооборота
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации А как реализовать II Вариант: В середине 2009 года компания КРИПТО-ПРО реализовала в Крипто Про ЭЦП SDK поддержку подписи типа CAdES BES, что обеспечило возможность разнесения по времени процедуры создания ЭЦП и дополнение ЭЦП до формата усовершенствованной подписи. ЭЦП Штамп времени на ЭЦП Цепочка сертификатов до корневого и OCSP-ответов по каждому сертификату в цепочке Штамп времени на сертификаты и OCSP-ответы Вот это сделает сам пользователь на своём рабочем месте А об этом позаботится система ЭДО
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации А какие финансовые затраты: 1. Создание служб OCSP и TSP 2. Дооснащение сервера ЭДО 3. Инструментарий разработчика 4. Остается только встроить функционал Усовершенствованной ЭП в функционал сервера системы ЭДО
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации СПАСИБО ЗА ВНИМАНИЕ! Вопросы Фураков Александр Заместитель коммерческого директора ООО «КРИПТО-ПРО» Тел./факс: +7 (495)