Основная задача при долговременном хранении документов – это сохранение их целостности, аутентичности, надежности, пригодности к использованию и конфиденциальности; и, соответственно, сама по себе задача обеспечения перепроверки электронной подписи является вспомогательной – в зависимости от выбранных подходов ее, возможно, и не потребуется решать.
Корень проблемы перепроверки заключается в том, что ввиду быстрого устаревания технологий, форматов и программного обеспечения подлинник электронного документа, даже если его удастся сохранить в неприкосновенном виде, с большой вероятностью не будет читаться уже через 10 лет. Из-за этого через определенные промежутки времени придется проводить:
- конвертацию электронных документов в новые форматы и
- их миграцию в новые информационные системы.
При конвертации хеш документа изменяется, и в результате мы получим незаверенную копию электронного документа, поскольку электронная подпись остается при подлиннике. Иными словами, в длительной перспективе мы просто не сможем использовать оригинальный документ, и голова у нас будет болеть не о перепроверке исходных подписей, а о создании работоспособных заверенных копий, имеющих ту же юридическую и доказательную силу.
Таким образом, в среднесрочной и длительной перспективе для обеспечения юридической значимости электронных документов нам необходимо будет проработать процесс проведения конверсии и миграции с правовой точки зрения таким образом, чтобы полученная копия обладала юридической силой, равной оригиналу. Сейчас коллегами возлагаются большие надежды на законопроект № 1173189-7 «О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты». Он формулирует условия, при соблюдении которых дубликат документа сможет сохранить юридическую значимость (подразумевается пролонгация валидности документа нанесением дополнительных ЭП). Но данный законопроект Правительство РФ внесло в Госдуму еще 17 мая 2021 года, и он пока прошел только 1-е чтение, вызвав много вопросов у ИТ-компаний и банковского сообщества. Поэтому спрогнозировать, когда он будет принят, сейчас сложно.
Еще одна причина трудностей, которая в настоящее время более остро встает в оперативной работе, связана с тем, что практически все массовое ПО рассчитано на проверку действительности подписей в период, когда еще не истек срок действия сертификатов ключей проверки.
Как только срок действия сертификата заканчивается, приходится либо использовать специально разработанное ПО (примеры тому имеются), либо прибегать к услугам удостоверяющих центров, цифровых криминалистов или иных доверенных третьих сторон, располагающих необходимыми инструментами и поддерживающими документами для перепроверки исторических подписей. Такие услуги довольно широко используются, но они, как правило, возможны лишь на среднесрочных интервалах времени, поскольку необходимо иметь определенные документы, создаваемые и хранимые соответствующим УЦ (сертификаты, списки отозванных сертификатов или квитанции онлайн-проверки верности подписей).
Повысить вероятность успешной перепроверки исторических подписей можно, например, используя т.н. «архивные» варианты усиленных электронных подписей либо самостоятельно сохраняя сертификаты, списки отозванных сертификатов или квитанции онлайн-проверки верности подписей.
В последнее время в качестве решения данной проблемы рекламируется метод переподписания, когда документ регулярно переподписывается (например, отметками времени, до истечения срока действия сертификата, на котором основывается предыдущая отметка). Технически такой подход реализуем, однако под ним пока что нет надежной правовой базы, и, как следствие, его можно применять только по соглашению заинтересованных сторон. В мировой практике переподписание используется крайне редко, хотя для этого даже есть соответствующие стандарты.
Следует отметить, что в среднесрочной перспективе возникают также дополнительные проблемы – истечение срока сертификатов УЦ и корневых сертификатов, ликвидация УЦ, устаревание криптографии и в целом инфраструктуры открытых ключей.
Архивные учреждения предпочитают идти по традиционному пути:
- они либо проверяют подписи в момент приема документа на архивное хранение,
- либо получают иные подтверждения его подлинности (такую функцию может выполнять подписанный сторонами акт приема-передачи).
В дальнейшем архивное учреждение обеспечивает долговременную сохранность и доступность электронных документов в качестве доверенной третьей стороны, не занимаясь перепроверкой подписей, но гарантируя, что пользователь получит из хранилища документ, идентичный исходному по содержанию и ключевым метаданным.
Резюмируя сказанное, можно отметить, что методы перепроверки хорошо отработаны для актуальных электронных подписей и для исторических подписей, созданных сравнительно недавно. Нигде в мире нет апробированного решения для перепроверки электронных подписей в долговременной перспективе, и его появление пока что не ожидается.
