Top.Mail.Ru

Как проверять подлинность электронной подписи?

Вопрос
Прокомментируйте, пожалуйста, проблему обеспечения проверки подлинности электронной подписи на протяжении всего срока хранения документа.
Отвечает

Основная задача при долговременном хранении документов – ​это сохранение их целостности, аутентичности, надежности, пригодности к использованию и конфиденциальности; и, соответственно, сама по себе задача обеспечения перепроверки электронной подписи является вспомогательной – ​в зависимости от выбранных подходов ее, возможно, и не потребуется решать.

Корень проблемы перепроверки заключается в том, что ввиду быстрого устаревания технологий, форматов и программного обеспечения подлинник электронного документа, даже если его удастся сохранить в неприкосновенном виде, с большой вероятностью не будет читаться уже через 10 лет. Из-за этого через определенные промежутки времени придется проводить:

  • конвертацию электронных документов в новые форматы и
  • их миграцию в новые информационные системы.

При конвертации хеш документа изменяется, и в результате мы получим незаверенную копию электронного документа, поскольку электронная подпись остается при подлиннике. Иными словами, в длительной перспективе мы просто не сможем использовать оригинальный документ, и голова у нас будет болеть не о перепроверке исходных подписей, а о создании работоспособных заверенных копий, имеющих ту же юридическую и доказательную силу.

Таким образом, в среднесрочной и длительной перспективе для обеспечения юридической значимости электронных документов нам необходимо будет проработать процесс проведения конверсии и миграции с правовой точки зрения таким образом, чтобы полученная копия обладала юридической силой, равной оригиналу. Сейчас коллегами возлагаются большие надежды на законопроект № 1173189-7 «О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты». Он формулирует условия, при соблюдении которых дубликат документа сможет сохранить юридическую значимость (подразумевается пролонгация валидности документа нанесением дополнительных ЭП). Но данный законопроект Правительство РФ внесло в Госдуму еще 17 мая 2021 года, и он пока прошел только 1-е чтение, вызвав много вопросов у ИТ-компаний и банковского сообщества. Поэтому спрогнозировать, когда он будет принят, сейчас сложно.

Еще одна причина трудностей, которая в настоящее время более остро встает в оперативной работе, связана с тем, что практически все массовое ПО рассчитано на проверку действительности подписей в период, когда еще не истек срок действия сертификатов ключей проверки.

Как только срок действия сертификата заканчивается, приходится либо использовать специально разработанное ПО (примеры тому имеются), либо прибегать к услугам удостоверяющих центров, цифровых криминалистов или иных доверенных третьих сторон, располагающих необходимыми инструментами и поддерживающими документами для перепроверки исторических подписей. Такие услуги довольно широко используются, но они, как правило, возможны лишь на среднесрочных интервалах времени, поскольку необходимо иметь определенные документы, создаваемые и хранимые соответствующим УЦ (сертификаты, списки отозванных сертификатов или квитанции онлайн-проверки верности подписей).

Повысить вероятность успешной перепроверки исторических подписей можно, например, используя т.н. «архивные» варианты усиленных электронных подписей либо самостоятельно сохраняя сертификаты, списки отозванных сертификатов или квитанции онлайн-проверки верности подписей.

В последнее время в качестве решения данной проблемы рекламируется метод переподписания, когда документ регулярно переподписывается (например, отметками времени, до истечения срока действия сертификата, на котором основывается предыдущая отметка). Технически такой подход реализуем, однако под ним пока что нет надежной правовой базы, и, как следствие, его можно применять только по соглашению заинтересованных сторон. В мировой практике переподписание используется крайне редко, хотя для этого даже есть соответствующие стандарты.

Следует отметить, что в среднесрочной перспективе возникают также дополнительные проблемы – ​истечение срока сертификатов УЦ и корневых сертификатов, ликвидация УЦ, устаревание криптографии и в целом инфраструктуры открытых ключей.

Архивные учреждения предпочитают идти по традиционному пути:

  • они либо проверяют подписи в момент приема документа на архивное хранение,
  • либо получают иные подтверждения его подлинности (такую функцию может выполнять подписанный сторонами акт приема-передачи).

В дальнейшем архивное учреждение обеспечивает долговременную сохранность и доступность электронных документов в качестве доверенной третьей стороны, не занимаясь перепроверкой подписей, но гарантируя, что пользователь получит из хранилища документ, идентичный исходному по содержанию и ключевым метаданным.

Резюмируя сказанное, можно отметить, что методы перепроверки хорошо отработаны для актуальных электронных подписей и для исторических подписей, созданных сравнительно недавно. Нигде в мире нет апробированного решения для перепроверки электронных подписей в долговременной перспективе, и его появление пока что не ожидается.

Оценить вопрос
s
В избранное

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Выбираем электронную подпись для разных документов

Рассказываем, какие виды электронных подписей (ЭП) существуют, и разъясняем их назначение. Даем критерии выбора вида электронной подписи для внутреннего и внешнего документооборота. Показываем, какие законодательные ограничения выбора вида электронной подписи установлены для документов (кадровых, бухгалтерских, налоговых и иных). Так вы поймете, какие подписи лучше сформировать для своих работников и использовать в разных ситуациях.

Вправе ли руководитель юридического лица использовать в личных целях ЭЦП, выданную ему для подписания бухгалтерских документов?

Руководителю организации через систему «Такском» выдан сертификат и ЭЦП для подписания бухгалтерских документов. Этот сертификат выдан ему как физическому лицу или как сотруднику организации? Сможет ли он этим сертификатом или ЭЦП, кроме отправки бухгалтерской отчетности, воспользоваться, например, для продажи своего личного имущества на электронных торгах?

Электронные подписи и машиночитаемые доверенности

Выясняем, какие квалифицированные электронные подписи можно использовать, а также в каком случае и кому понадобятся машиночитаемые доверенности от компании. Рассказываем, как с их помощью подписывать и пересылать электронные подлинники документов; как проверять действительность машиночитаемых доверенностей; что представляют собой блокчейн-хранилища таких доверенностей.

Переходим на электронный кадровый документооборот

В конце прошлого года работодателям дали возможность перевести документооборот в сфере трудовых и связанных с ними отношений в электронный вид. Дадим понятную инструкцию с образцами документов, как перейти в цифру. Поясним, когда, какие подписи можно использовать; обязательно ли на работников получать электронные подписи в удостоверяющем центре; может ли один работник отказаться от перевода документов, касающихся его работы, в электронный вид, если весь персонал «за»; можно ли его в таком случае уволить; как получить согласия сотрудников и уведомить профсоюз и пр.

Вправе ли руководитель юридического лица использовать в личных целях ЭЦП, выданную ему для подписания бухгалтерских документов?

Руководителю организации через систему «Такском» выдан сертификат и ЭЦП для подписания бухгалтерских документов. Этот сертификат выдан ему как физическому лицу или как сотруднику организации? Сможет ли он этим сертификатом или ЭЦП, кроме отправки бухгалтерской отчетности, воспользоваться, например, для продажи своего личного имущества на электронных торгах?

Электронные подписи и машиночитаемые доверенности

Выясняем, какие квалифицированные электронные подписи можно использовать, а также в каком случае и кому понадобятся машиночитаемые доверенности от компании. Рассказываем, как с их помощью подписывать и пересылать электронные подлинники документов; как проверять действительность машиночитаемых доверенностей; что представляют собой блокчейн-хранилища таких доверенностей.

Выбираем электронную подпись для разных документов

Рассказываем, какие виды электронных подписей (ЭП) существуют, и разъясняем их назначение. Даем критерии выбора вида электронной подписи для внутреннего и внешнего документооборота. Показываем, какие законодательные ограничения выбора вида электронной подписи установлены для документов (кадровых, бухгалтерских, налоговых и иных). Так вы поймете, какие подписи лучше сформировать для своих работников и использовать в разных ситуациях.

Переходим на электронный кадровый документооборот

В конце прошлого года работодателям дали возможность перевести документооборот в сфере трудовых и связанных с ними отношений в электронный вид. Дадим понятную инструкцию с образцами документов, как перейти в цифру. Поясним, когда, какие подписи можно использовать; обязательно ли на работников получать электронные подписи в удостоверяющем центре; может ли один работник отказаться от перевода документов, касающихся его работы, в электронный вид, если весь персонал «за»; можно ли его в таком случае уволить; как получить согласия сотрудников и уведомить профсоюз и пр.