Elektroniniu būdu pasirašytais dokumentais, kaip ir fiziniais, reikia rūpintis. Nors šis konceptas abiem atvejais skiriasi, dokumentus pasirašant el. parašu itin svarbi dalis yra jų galiojimo laikas. Sužinok visas svarbiausias detales, kad tavo dokumentai išliktų galiojantys ilguoju laikotarpiu.
Kodėl ilgalaikis el. parašų galiojimas – svarbu
Kaip užtikrinti ilgalaikį el. būdu pasirašytų dokumentų galiojimą? Ar parašas nebegalios, pasibaigus sertifikato galiojimo laikui? Šie klausimai kyla, nes dažniausiai parašų sertifikatų galiojimo laikas yra trumpesnis nei poreikis saugoti pasirašytus dokumentus. Todėl svarbu užtikrinti, kad parašai galiotų ir pasibaigus parašo sertifikato galiojimo laikui.
Įsivaizduokime, kad pasirašoma konfidencialumo sutartis, kuri įmonėje turi būti saugoma 10 metų. El. parašo sertifikatas paprastai galioja 3-ejus metus. Taigi teoriškai, norint patikrinti parašo validumą po tų 3 metų, gali iškilti sunkumų, nepaisant fakto, kad parašas anksčiau ir galiojo. Tad kaip tai įrodyti?
Ilgalaikį parašo galiojimą užtikrina du elementai: laiko žyma ir parašo sertifikato atšaukimo duomenys.
Laiko žymos yra naudojamas, siekiant nurodyti tikslų laiką, iki kurio buvo suformuotas elektroninis parašas, tokiu būdu užtikrinant, kad nei parašas, nei pasirašytas dokumentas negalėjo būti modifikuoti po užfiksuoto laiko. Daugiau apie laiko žymas skaityk čia.
Nors laiko žymos įtraukimas yra puikus pirmasis žingsnis, jo nepakanka, norint patikrinti parašo galiojimą ateityje. Tam, kad parašas galiotų ilgą laiką, jam reikalingi ir parašo sertifikato atšaukimo duomenys, padedantys užtikrinti, kad pasirašymo metu parašo sertifikatas iš tikrųjų galiojo.
Trumpai tariant – taip vadinamas parašų pakėlimas iki ilgalaikio saugojimo lygmens yra reikalingas, norint patikrinti parašo galiojimą, net ir pasibaigus sertifikato galiojimo laikui.
Parašų saugumo lygiai ir jų reikšmės
Norint suprasti, kaip veikia parašų galiojimas, taip pat svarbu aptarti parašų formatus ir jų saugumo lygius.
Elektroniniai parašai skirstomi į skirtingus formatus: „XAdES“, „PAdES“ ir „CAdES“. Į šias tris grupes jie suskirstyti pagal el. dokumentų formatus, kurie gali būti arba tarptautiniai, arba naudojami tik tam tikrose šalyse. Pavyzdžiui, egzistuoja konteineriniai specifinių šalių dokumentų formatai, tokie kaip „ADoc“ Lietuvoje, „EDoc“ Latvijoje, „BDoc“ Estijoje, bei standartizuoti visoje Europos Sąjungoje – „ASiC“ ir „PDF“. Tad kiekvienas dokumento formatas turi atitinkamą parašo formatą: „ASiC“, „ADoc“, „BDoc“, „EDoc“ dokumentuose suformuojami „XAdES“ parašai, o „PDF“ dokumentuose – „PAdES“ parašai.
Priklausomai nuo formato skiriasi ir parašų saugumo lygmenys. Kad būtų aiškiau, apsibrėžkime parašų saugumo lygius skaitmenimis.
- 3 lygis („XAdES-B“ ir „PAdES-B“): Paprastas elektroninis parašas. Tai žemiausia ir paprasčiausia parašo versija, be jokių papildomų saugumo priemonių. 3 lygio parašai galioja iki parašo sertifikato galiojimo pabaigos arba iki sertifikato atšaukimo, o tai gali įvykti net ir anksčiau. Sertifikatai gali būti atšaukiami, kai keičiama el. parašo priemonė (pvz., pasikeitus pavardei), kai ji pametama, dėl saugumo spragų ir kt.
- 2 lygis („XAdES-T“ ir „PAdES-T“): Parašas su laiko žyma. Šiuo atveju uždedama laiko žyma, nurodanti iki kada buvo suformuotas parašas. 2 lygio parašai galioja iki parašo sertifikato galiojimo pabaigos ir šiuo atveju sertifikato atšaukimas jau reikšmės neturi.
- 1 lygis („XAdES-LT/XL“ ir „PAdES-LT“): Parašas su ilgalaikiais duomenimis. Čia įtraukiami sertifikato atšaukimo duomenys, leidžiantys patikrinti parašo galiojimą, net jei originalus šaltinis nebeprieinamas. 1 lygio parašai galioja iki tol, kol nusilpsta pasirašymo santraukos sudarymo algoritmai (angl. signing hash algorithms). Europos Sąjungos kibernetinio saugumo agentūra (ENISA) yra atsakinga už šios informacijos paskelbimą. Ką reiškia nusilpęs algoritmas? Stiprus santraukos sudarymo algoritmas yra kritinis saugumo elementas. Susilpnėję algoritmai gali privesti prie situacijų, kuomet jau pasirašyti dokumentai pakeičiami arba suklastojami. Įdomus faktas: iki šiol žinomi 2 nusilpę algoritmai, kurie laikomi nebesaugiais – „MD5“ paskelbtas nusilpusiu 2012 m., o „SHA-1“ – 2017 m.
- 1.1 lygis („XAdES-LTA/A“ ir „PAdES-LTA“): Parašas su ilgalaikiais duomenimis ir archyvine laiko žyma. Naudojant laiko žymas periodiškai, užtikrinama, kad parašai išlieka galiojantys net ir nusilpus ankstesnių parašų algoritmams. Taigi 1.1 lygio parašai iš esmės yra tokie patys kaip 1 lygio, tik kaskart nusilpus algoritmui jų galiojimas yra pratęsiamas uždedant archyvinę laiko žymą ir tuomet jie galioja iki kito algoritmo nusilpimo.
Saugumas su „Dokobit“
Priklausomai nuo dokumento formato pirminiai parašų saugumo lygiai „Dokobit“ sprendimuose skiriasi.
„PDF“, „ASiC“, „BDoc“, „EDoc“ dokumentų pasirašymas
Daugumai dokumentų formatų – „PDF“, „ASiC“, „BDoc“ ir „EDoc“ – „Dokobit“ sprendimai užtikrina 1 lygio saugumą. Tik pasirašius dokumentą pirminis parašo saugumo lygis yra 3, o uždedami laiko žymą ir parašo sertifikato atšaukimo duomenis, jį automatiškai pakeliame iki 1-ojo lygio.
Tai reiškia, kad parašai galios iki tol, kol nenusilps parašo santraukos sudarymo algoritmas. Nors nėra aišku, kada tai gali įvykti, mes nuolat stebime situaciją ir informuojame savo klientus apie pokyčius.
Ką daryti pasitaikius tokiai situacijai?
-
Jei naudojiesi dokumentų pasirašymo portalo mokamu planu, tavo dokumentams užtikrinamas 1 lygio saugumas. Esant poreikiui pratęsti dokumentų galiojimą ir pakelti jį iki 1.1 lygmens, rekomenduojame kreiptis į kvalifikuotą ilgalaikio saugojimo paslaugų teikėją. Visas tokių teikėjų sąrašas prieinamas čia.
-
Jei naudojiesi integruojamomis paslaugomis, parašų saugumo lygio pakėlimu galima pasirūpinti patiems. Esant poreikiui saugoti dokumentus ilgą laikotarpį, parašų pakėlimo iki ilgalaikio saugojimo pakėlimo funkcionalumu galima pasirūpinti sprendimo integracijos metu arba bet kuriuo kitu metu iki algoritmo nusilpimo.
Verta paminėti, kad į mūsų integruojamų API atsakymus įtraukiame informaciją, koks algoritmas buvo naudojamas kiekvieno pasirašymo metu, tad išsaugojus šią informaciją vėliau lengva rasti dokumentus, kurių galiojimą reikia pratęsti. Tai reiškia, kad kriptografines rizikas galite stebėti patys arba patikėti šį darbą mums ir laukti mūsų pranešimo.
„ADoc“ dokumentų pasirašymas
Pasirašant „ADoc“ dokumentus, situacija yra kiek kitokia.
-
Jei naudojiesi dokumentų pasirašymo portalo mokamu planu, iškart užtikrinamas 2 lygio saugumas. Tik pasirašius dokumentą parašo saugumo lygis yra 3, o uždedami laiko žymą, jį automatiškai pakeliame iki 2-ojo lygmens. Kadangi „ADoc“ dokumentai veikia kiek kitaip, pakėlimas iki 1-ojo lygmens įvyksta praėjus maždaug 24 val. po parašo suformavimo. 24 val. yra laikotarpis (angl. grace period), per kurį sertifikatas dar gali būti atšauktas, o jei taip nenutinka, tai reiškia, kad parašas galioja ir tuomet jau galime įtraukti parašo sertifikato atšaukimo duomenis, taip automatiškai pakeliant parašo saugumo lygį iki 1-ojo. Toks parašas galioja iki laiko žymos sertifikato pabaigos, kuris paprastai galioja 4-5 metus. Šiuo atveju reikalingas dar vienas lygio pakėlimas likus keliems mėnesiams iki laiko žymos sertifikato galiojimo pabaigos arba iki algoritmo nusilpimo. Šiuo atveju rekomenduojame kreiptis į kvalifikuotą ilgalaikio saugojimo paslaugų teikėją. Visas tokių teikėjų sąrašas prieinamas čia.
-
Jei naudojiesi integruojamomis paslaugomis, parašų saugumo lygio pakėlimu galima pasirūpinti patiems. Esant poreikiui saugoti dokumentus ilgą laikotarpį, parašų pakėlimo iki ilgalaikio saugojimo funkcionalumu galima pasirūpinti sprendimo integracijos metu arba bet kuriuo kitu metu iki algoritmo nusilpimo.
Verta paminėti, kad į mūsų integruojamų API atsakymus įtraukiame informaciją, koks algoritmas buvo naudojamas kiekvieno pasirašymo metu, tad išsaugojus šią informaciją vėliau lengva rasti dokumentus, kurių galiojimą reikia pratęsti. Tai reiškia, kad kriptografines rizikas galite stebėti patys arba patikėti šį darbą mums ir laukti mūsų pranešimo.
Čia pateikiame pilną palyginimą vienoje vietoje: