Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Использование штампа времени при архивном хранении
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.05.2013(UTC) Сообщений: 4  Сказал(а) «Спасибо»: 2 раз
|
Добрый день, в описании службы TSP ( http://www.cryptopro.ru/products/pki/tsp/tasks%20) очень интересует пункт, связанный с архивным хранением документов. приведу его здесь полностью: Цитата:Долговременное хранение электронных документов, в том числе и после истечения срока действия сертификатов проверки подписи пользователя.
Использование штампов времени позволяет обеспечить доказательство времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Если дополнительно на момент времени формирования ЭЦП (ЭП) рядом со значением ЭЦП (ЭП) и штампом времени сохранить и доказательство действительности сертификата (например, получить и сохранить OCSP-ответ), то проверку указанной ЭЦП (ЭП) можно обеспечить на момент времени её формирования (полная аналогия с бумажным документооборотом). И такую подпись можно будет успешно проверять в течение срока действия ключа проверки подписи Службы штампов времени. А что делать, когда сертификат Службы штампов времени истечет? Ответ прост: до истечения этого сертификата получить ещё один штамп времени на указанный документ (уже с использованием нового закрытого ключа и сертификата Службы штампов времени): этот новый штамп зафиксирует время, на которое старый сертификат службы штампов времени был действителен, и обеспечит целостность этого электронного документа при дальнейшем хранении в течение срока действия сертификата нового штампа времени. Начало пункта вроде бы понятное и логичное, но начиная с подчеркнутого текста возникло небольшое замешательство: Не очень понятно зачем нужно запрашивать новый штамп? Ведь ЭЦП уже содержит OCSP-ответы, являющиеся доказательством того, что сертификат TSP был действителен? Второй момент, если у меня в архиве сотни тысяч документов, мне для всех нужно запрашивать новые штампы? Мягко говоря очень трудоемко, да и при этом где хранить эти штампы? в отдельной БД?  Третий момент, если администратор УЦ отозвал сертификат TSP, а администратор архива не успел получить новые штампы? Они ведь по логике не обязаны координировать свои действия. Или я что то не так понял? Просьба ответить кто с этим сталкивался, может быть есть практика применения ЭЦП для архивных документов?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 931  Откуда: Крипто-Про Поблагодарили: 106 раз в 99 постах
|
Мне кажется, ответы практически на все свои вопросы вы найдете здесь ETSI TS 101 733 "Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)" - вам нужен формат подписи CAdES-A. 1. Сертификат службы OCSP, которым подписаны OCSP-ответы, также может истечь. И обязательно истечет - вот на этот случай на сами OCSP-ответы получают штамп времени CAdES-C timestamp. (Строго говоря не на сами OCSP-ответы - подробно можно прочитать в стандарте CAdES). Так вот для этого штампа в подпись уже никакие доказательства не добавляются - он всегда проверяется на текущий момент. Для этого и нужен длинный срок действия сертификата службы штампов. 2. Для сотен тысяч документов процесс безусловно стоит автоматизировать. Штампы можно хранить в самой подписи. 3. А если администратор УЦ отозвал сертификат УЦ? Компрометация ключа службы штампов - точно такая же катастрофа. Именно поэтому к таким ключам намного более строгие требования по безопасности.
|
 1 пользователь поблагодарил Новожилова Елена за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.05.2013(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 2 раз
|
Спасибо за ответ, более или менее ситуация проясняется.
Если я правильно понял, на УЦ и TSP следует формировать бессрочные сертификаты, тогда все будет в порядке :)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Бессрочные не получится - всегда есть предел и есть требование регулятора к сроку действия открытого ключа. Но то что такие сертификаты должны быть длинными - это факт. Это может выглядеть как, срок действия сертификата == сроку действия открытого ключа, а срок действия закрытого ключа должен быть определён через ввод расширения Private Key Usage Period. Для долговременных архивов помимо сочинения адвансед подписи есть ещё один способ обеспечить "продление" ЭЦП автора (и мне он больше нравится, как минимум потому, что перед укладыванием на хранение ЭЦП проверяется и статус проверки фиксируется и собирается доказательная база)на эту тему даже есть RFC с вот такими словами: The DVCS signing key MUST be of a sufficient length to allow for a sufficiently long lifetime. Even if this is done, the key will have a finite lifetime. Since data validation certificates are just another type of signed documents, they can be validated using (another) DVCS. Отредактировано пользователем 5 июня 2013 г. 9:29:18(UTC)
| Причина: Не указана
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Использование штампа времени при архивном хранении
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
