Здравствуйте.
Изучил вот эту тему с форума.
https://www.cryptopro.ru....aspx?g=posts&t=3611Хочется еще раз уточнить некоторые детали и что поменялось за последние годы по теме.
Задача:Есть организация, у нее есть система, которая хранит электронне документы (ЭД), часть из которых поступает из внешних источников, часть создается внутри. Многие из этих документов подписываются электронной подписью (ЭП), как сотрудников организации, так и внешних контрагентов. Для простоты, все подписи при этом квалифицированные, то есть имеют юридическую значимость "из коробки" на момент создания, и это обязательно проверяется системой в момент приема документа с ЭП на хранение. Часть документов имеют несколько разных ЭП нескольких сторон. Пока все хорошо.
Нужно обеспечить возможность получить документ из системы, со всеми его ЭП, чтобы они проходили проверку с помощью стороннего ПО (например, КриптоАрм-ом или онлайн-сервисом на Госуслугах), то есть, чтобы не возникало сомнений в юридической значимости ЭД с его ЭП. И должна быть возможность сделать это и через 50 лет, особенно в части признания действительности ЭП сторонних организаций.
Что пробовали:Можно улучшить все ЭП с формата CAdES-BES до CAdES-X Long 1 - это возможно делать автоматически в момент приема документа системой на хранение. Используем КриптоПро JCP для этого. Таким образом, задача замечательно решается для временного интервала в 10 лет, примерно.
Почти то, что надо. Проблема 1: т.к. мы принимаем ЭП с сертификатами от многих разных УЦ, лишь бы они были квалифицированными, то, на практике, получаем невозможность гарантированного улучшения ЭП до XLong1, по причине отсутствия OCSP для некоторых УЦ. Значит лучшее, что мы можем сделать, это получить ЭП в формате CAdES-T, получается, т.к. TSP мы вольны выбрать любой. И, как-будто, этого достаточно для решения исходной задачи, если ограничиться сроком действия сертификата TSP. Так ли это?
Проблема 1.1: получается, что мы подвержены риску внезапного отзыва сертификата TSP и ничего с этим не можем сделать?
Проблема 2: везде предлагается переподписывать документ свежей ЭП при приближении окончания срока действия предыдущей, чем удостоверять факт того, что предыдущая ЭП все еще действовала в момент переподписания.
- Появились ли какие-то рекомендации и лучшие практики на этот счет?
- Мы должны переподписать только исходный документ или некий контейнер, содержащий документ, все предыдущие ЭП и некую информацию о том, что предыдущая ЭП верна и принадлежит условному Васе?
- Если контейнер, то как специфицировать его формат, чтобы не было проблем с его признанием судом через условные 50 лет?
- Действительно ли для всего этого достаточно/необходимо утвердить некий внутренний регламент об архивном переподписании внутри организации? Особенно в том моменте, что организация таким образом продлевает срок жизни не только "своих" ЭП, но и "чужих"?
- Можно ли полностью автоматизировать процесс переподписания, то есть, получить сертификат и ключ на систему, а не на конкретного сотрудника-архивариуса, который должен своими глазами смотреть, что он переподписывает?