Informacijos bankas

Kiek galioja el. parašu pasirašyti dokumentai?

Elektroniniu būdu pasirašytais dokumentais, kaip ir fiziniais, reikia rūpintis. Nors šis konceptas abiem atvejais skiriasi, dokumentus pasirašant el. parašu itin svarbi dalis yra jų galiojimo laikas. Sužinok visas svarbiausias detales, kad tavo dokumentai išliktų galiojantys ilguoju laikotarpiu.

Kodėl ilgalaikis el. parašų galiojimas – svarbu?

Kaip užtikrinti ilgalaikį el. būdu pasirašytų dokumentų galiojimą? Ar parašas nebegalios, pasibaigus sertifikato galiojimo laikui? Šie klausimai kyla, nes dažniausiai parašų sertifikatų galiojimo laikas yra trumpesnis nei poreikis saugoti pasirašytus dokumentus. Todėl svarbu užtikrinti, kad parašai galiotų ir pasibaigus parašo sertifikato galiojimo laikui.

Praktinis pavyzdys

Įsivaizduokime, kad pasirašoma konfidencialumo sutartis, kuri įmonėje turi būti saugoma 10 metų. El. parašo sertifikatas paprastai galioja 3 metus. Taigi teoriškai, norint patikrinti parašo validumą po tų 3 metų, gali iškilti sunkumų, nepaisant fakto, kad parašas anksčiau ir galiojo. Tad kaip tai įrodyti?

Du pagrindiniai elementai

Ilgalaikį parašo galiojimą užtikrina du elementai:

  • Laiko žyma
  • Parašo sertifikato atšaukimo duomenys

Laiko žyma

Laiko žyma naudojama siekiant nurodyti tikslų laiką, iki kurio buvo suformuotas elektroninis parašas, tokiu būdu užtikrinant, kad nei parašas, nei pasirašytas dokumentas negalėjo būti modifikuoti po užfiksuoto laiko. Daugiau apie laiko žymas skaityk čia

Sertifikato atšaukimo duomenys

Nors laiko žymos įtraukimas yra puikus pirmasis žingsnis, jo nepakanka norint patikrinti parašo galiojimą ateityje. Tam, kad parašas galiotų ilgą laiką, jam reikalingi ir parašo sertifikato atšaukimo duomenys, padedantys užtikrinti, kad pasirašymo metu parašo sertifikatas iš tikrųjų galiojo.

Trumpai tariant – taip vadinamas parašų pakėlimas iki ilgalaikio saugojimo lygmens yra reikalingas norint patikrinti parašo galiojimą, net ir pasibaigus sertifikato galiojimo laikui.

Parašų saugumo lygiai ir jų reikšmės

Norint suprasti, kaip veikia parašų galiojimas, taip pat svarbu aptarti parašų formatus ir jų saugumo lygius.

Elektroninių parašų formatai

Elektroniniai parašai skirstomi į skirtingus formatus: „XAdES”, „PAdES” ir „CAdES”. Į šias tris grupes jie suskirstyti pagal el. dokumentų formatus, kurie gali būti arba tarptautiniai, arba naudojami tik tam tikrose šalyse.

Dokumentų formatai:

  • Konteineriniai specifinių šalių formatai: „ADoc” (Lietuva), „EDoc” (Latvija), „BDoc” (Estija)
  • Standartizuoti visoje ES: „ASiC” ir „PDF”

Parašų formatai pagal dokumentą:

  • „ASiC”, „ADoc”, „BDoc”, „EDoc” dokumentuose → „XAdES” parašai
  • „PDF” dokumentuose → „PAdES” parašai

Parašų saugumo lygmenys

Priklausomai nuo formato skiriasi ir parašų saugumo lygmenys. Apsibrėžkime parašų saugumo lygius skaitmenimis:

3 lygis („XAdES-BASELINE-B” ir „PAdES-BASELINE-B”)

Paprastas elektroninis parašas

Tai žemiausia ir paprasčiausia parašo versija, be jokių papildomų saugumo priemonių.

Galiojimas:

  • Iki parašo sertifikato galiojimo pabaigos
  • Iki sertifikato atšaukimo (gali įvykti net anksčiau)

Kada sertifikatai atšaukiami:

  • Keičiama el. parašo priemonė (pvz., pasikeitus pavardei)
  • Priemonė pametama
  • Dėl saugumo spragų
  • Ir kt.

2 lygis („XAdES-BASELINE-T” ir „PAdES-BASELINE-T”)

Parašas su laiko žyma

Šiuo atveju uždedama laiko žyma, nurodanti, iki kada buvo suformuotas parašas.

Galiojimas:

  • Iki parašo sertifikato galiojimo pabaigos
  • Sertifikato atšaukimas jau reikšmės neturi

1 lygis („XAdES-BASELINE-LT/XL” ir „PAdES-BASELINE-LT”)

Parašas su ilgalaikiais duomenimis

Čia įtraukiami sertifikato atšaukimo duomenys, leidžiantys patikrinti parašo galiojimą, net jei originalus šaltinis nebeprieinamas.

Galiojimas:

  • Iki tol, kol nusilpsta pasirašymo santraukos sudarymo algoritmai (angl. signing hash algorithms)

Kas yra nusilpęs algoritmas?

Stiprus santraukos sudarymo algoritmas yra kritinis saugumo elementas. Susilpnėję algoritmai gali privesti prie situacijų, kuomet jau pasirašyti dokumentai pakeičiami arba suklastojami.

Įdomus faktas: Iki šiol žinomi 2 nusilpę algoritmai, kurie laikomi nebesaugiais:

  • „MD5″ – paskelbtas nusilpusiu 2012 m.
  • „SHA-1″ – paskelbtas nusilpusiu 2017 m.

Atsakinga institucija: Europos Sąjungos kibernetinio saugumo agentūra (ENISA) yra atsakinga už šios informacijos paskelbimą.

1.1 lygis („XAdES-BASELINE-LTA/A” ir „PAdES-BASELINE-LTA”)

Parašas su ilgalaikiais duomenimis ir archyvine laiko žyma

Naudojant laiko žymas periodiškai, užtikrinama, kad parašai išlieka galiojantys net ir nusilpus ankstesnių parašų algoritmams.

Galiojimas:

  • 1.1 lygio parašai iš esmės yra tokie patys kaip 1 lygio
  • Kaskart nusilpus algoritmui, jų galiojimas pratęsiamas uždedant archyvinę laiko žymą
  • Parašai galioja iki kito algoritmo nusilpimo

Saugumas su „Dokobit”

Priklausomai nuo dokumento formato, pirminiai parašų saugumo lygiai „Dokobit” sprendimuose skiriasi.

„PDF”, „ASiC”, „BDoc”, „EDoc” dokumentų pasirašymas

Užtikrinamas saugumo lygis

Daugumai dokumentų formatų – „PDF”, „ASiC”, „BDoc” ir „EDoc” – „Dokobit” sprendimai užtikrina 1 lygio saugumą.

Kaip tai veikia:

  1. Tik pasirašius dokumentą, pirminis parašo saugumo lygis yra 3
  2. Uždedant laiko žymą ir parašo sertifikato atšaukimo duomenis, automatiškai pakeliame iki 1-ojo lygio

Ką tai reiškia?

Tai reiškia, kad parašai galios iki tol, kol nenusilps parašo santraukos sudarymo algoritmas. Nors nėra aišku, kada tai gali įvykti, mes nuolat stebime situaciją ir informuojame savo klientus apie pokyčius.

Ką daryti pasitaikius tokiai situacijai?

Jei naudojiesi dokumentų pasirašymo portalo mokamu planu:

  • Tavo dokumentams užtikrinamas 1 lygio saugumas
  • Esant poreikiui pratęsti dokumentų galiojimą ir pakelti jį iki 1.1 lygmens, rekomenduojame kreiptis į kvalifikuotą ilgalaikio saugojimo paslaugų teikėją
  • Visas tokių teikėjų sąrašas prieinamas čia

Jei naudojiesi integruojamomis paslaugomis:

  • Parašų saugumo lygio pakėlimu galima pasirūpinti patiems
  • Esant poreikiui saugoti dokumentus ilgą laikotarpį, parašų pakėlimo iki ilgalaikio saugojimo funkcionalumu galima pasirūpinti sprendimo integracijos metu arba bet kuriuo kitu metu iki algoritmo nusilpimo

Svarbu žinoti:

Į mūsų integruojamų API atsakymus įtraukiame informaciją, koks algoritmas buvo naudojamas kiekvieno pasirašymo metu. Išsaugojus šią informaciją, vėliau lengva rasti dokumentus, kurių galiojimą reikia pratęsti.

Tai reiškia, kad kriptografines rizikas galite stebėti patys arba patikėti šį darbą mums ir laukti mūsų pranešimo.

„ADoc” dokumentų pasirašymas

Pasirašant „ADoc” dokumentus, situacija yra kiek kitokia.

Dokumentų pasirašymo portalo mokamas planas

Užtikrinamas saugumo lygis: iškart 2 lygis, o vėliau automatiškai pakeliamas iki 1 lygio.

Kaip tai veikia:

  1. Tik pasirašius dokumentą → parašo saugumo lygis yra 3
  2. Uždedant laiko žymą → automatiškai pakeliame iki 2-ojo lygmens
  3. Po ~24 val. → pakėlimas iki 1-ojo lygmens

Kodėl 24 valandos?

24 val. yra laikotarpis (angl. grace period), per kurį sertifikatas dar gali būti atšauktas. Jei taip nenutinka, tai reiškia, kad parašas galioja ir tuomet jau galime įtraukti parašo sertifikato atšaukimo duomenis, taip automatiškai pakeliant parašo saugumo lygį iki 1-ojo.

Galiojimas:

  • Toks parašas galioja iki laiko žymos sertifikato pabaigos, kuris paprastai galioja 4–5 metus
  • Reikalingas dar vienas lygio pakėlimas likus keliems mėnesiams iki laiko žymos sertifikato galiojimo pabaigos arba iki algoritmo nusilpimo

Ką daryti toliau?

Rekomenduojame kreiptis į kvalifikuotą ilgalaikio saugojimo paslaugų teikėją. Visas tokių teikėjų sąrašas prieinamas čia.

Integruojamos paslaugos

Jei naudojiesi integruojamomis paslaugomis:

  • Parašų saugumo lygio pakėlimu galima pasirūpinti patiems
  • Esant poreikiui saugoti dokumentus ilgą laikotarpį, parašų pakėlimo iki ilgalaikio saugojimo funkcionalumu galima pasirūpinti sprendimo integracijos metu arba bet kuriuo kitu metu iki algoritmo nusilpimo

Svarbu žinoti:

Į mūsų integruojamų API atsakymus įtraukiame informaciją, koks algoritmas buvo naudojamas kiekvieno pasirašymo metu. Išsaugojus šią informaciją, vėliau lengva rasti dokumentus, kurių galiojimą reikia pratęsti.

Tai reiškia, kad kriptografines rizikas galite stebėti patys arba patikėti šį darbą mums ir laukti mūsų pranešimo.

Palyginimas – viskas vienoje vietoje

Čia pateikiame pilną palyginimą vienoje vietoje:

Saugumo lygmuoGaliojimasDokumentų pasirašymo portalasIntegruojamas pasirašymo sprendimas
PDF, ASiC, BDoc, EDoc dokumentai
Tik pasirašius1 lygis (XAdES-BASELINE-LT / PAdES-BASELINE-LT)Iki algoritmo nusilpimoPasirūpinama automatiškaiPasirūpinama automatiškai
Nusilpus algoritmui1.1 lygis (XAdES-BASELINE-LTA / PAdES-BASELINE-LTA)Iki algoritmo nusilpimoReikalinga papildoma ilgalaikio saugojimo paslaugaReikalinga užklausa į parašo archyvavimo kreipimosi tašką (angl. endpoint)
ADoc dokumentai
Tik pasirašius2 lygis <br><br>(XAdES-BASELINE-T)Iki parašo sertifikato galiojimo pabaigos
Po 24 val.1 lygis <br><br>(XAdES-BASELINE-LT/XL)Iki laiko žymos sertifikato galiojimo pabaigos arba algoritmo nusilpimoPasirūpinama automatiškaiGalimybė pasirūpinti automatiškai arba patiems siunčiant užklausą į parašo archyvavimo kreipimosi tašką
Pasibaigus laiko žymos sertifikato galiojimui arba nusilpus algoritmui1.1 lygis <br><br>(XAdES-BASELINE-LTA/A)Iki laiko žymos sertifikato galiojimo pabaigos arba algoritmo nusilpimoReikalinga papildoma ilgalaikio saugojimo paslaugaReikalinga užklausa į parašo archyvavimo kreipimosi tašką (angl. endpoint)