Elektroniski parakstītu dokumentu derīgums: vai tie saglabās juridisko spēku mūžīgi?

Par elektroniski parakstītiem dokumentiem, tāpat kā fiziskiem, ir jārūpējas. Lai arī rūpēšanās jēdziens abos gadījumos atšķiras, ar e-parakstītiem dokumentiem viena no vissvarīgākajām lietām ir to derīguma termiņš. Šeit atradīsit visu, kas jums jāzina, lai nodrošinātu, ka parakstītie dokumenti paliek spēkā ilgtermiņā.

Kāpēc e-paraksta ilgtermiņa derīgumam ir nozīme?

Kā nodrošināt elektroniski parakstītu dokumentu ilgtermiņa derīgumu? Vai paraksts zaudēs spēku, kad paraksta sertifikāta derīguma termiņš beigsies? Šie jautājumi rodas tāpēc, ka parasti paraksta sertifikātu termiņš ir īsāks nekā nepieciešamība saglabāt parakstītos dokumentus. Tāpēc ir svarīgi pārliecināties, vai paraksti paliek spēkā pat pēc paraksta sertifikāta derīguma termiņa beigām.

Pieņemsim, ka jūs parakstāt konfidencialitātes līgumu. Tas jūsu uzņēmumā ir jāsaglabā 10 gadus. Tomēr elektroniskā paraksta sertifikāts ir derīgs tikai 3 gadus. Tāpēc tehniski mēģinājums apstiprināt parakstus pēc šiem 3 gadiem var būt nedaudz apgrūtinošs. Nenoliedzams fakts ir tas, ka paraksts ir bijis derīgs. Tātad, kā to pierādīt?

Par to rūpējas divi elementi: laika zīmogs un paraksta sertifikāta atsaukšanas dati.

Laika zīmogi tiek izmantoti, lai norādītu laiku līdz brīdim, kad tika izveidots paraksts, tādējādi nodrošinot, ka parakstu un parakstīto dokumentu nevar mainīt kopš ierakstītā laika. Vairāk par laika zīmogiem varat lasīt šeit.

Lai gan laika zīmoga iekļaušana ir labs pirmais solis, tā nav pietiekama informācija, lai atkarīgā puse nākotnē apstiprinātu parakstu. Lai tas ilgtermiņā būtu derīgs, parakstā jāietver paraksta sertifikāta atsaukšanas dati, kas nodrošina, ka paraksta sertifikāts parakstīšanas laikā bija patiesi derīgs.

Tātad īsumā, parakstu ilgstoša saglabāšana ir nepieciešama, lai varētu pārbaudīt paraksta derīgumu vēl ilgi pēc visu sertifikātu derīguma termiņa beigām.

Parakstu drošības līmeņi un to nozīme

Lai saprastu, kā darbojas paraksta derīgums, mums jāizpēta parakstu formāti un drošības līmeņi.

Ir dažādi elektronisko parakstu formāti: XAdES, PAdES un CAdES. Tie ir sadalīti 3 grupās, pamatojoties uz dokumentu formātiem. Elektroniskie dokumenti iedalās dažādos formātos, un tie var būt gan specifiski valstij, gan starptautiski. Piemēram, pastāv tādi konteineru formāti kā EDoc Latvijā, ADoc Lietuvā, BDoc Igaunijā un standarts visā ES: ASiC un PDF. Katram dokumenta formātam ir atbilstošs paraksta formāts: ASiC, ADoc, BDoc, EDoc dokumentos tiek lietoti XAdES paraksti, tikmēr PDF tiek lietoti PAdES paraksti.

Balstoties uz formātu, tiek noteikti paraksta drošības līmeņi. Skaidrības labad sadalīsim tos līmeņos:

  • 3. līmenis (XAdES-B un PAdES-B): Pamata elektroniskais paraksts. Tā ir zemākā un vienkāršākā versija, kurai nav papildu parakstu drošības pasākumu. Trešā līmeņa paraksti ir derīgi līdz paraksta sertifikāta derīguma termiņa beigām vai līdz sertifikāta atsaukšanai, kas var notikt pat pirms tā derīguma termiņa beigām. Sertifikātus var atsaukt, mainot e-identifikācijas rīku (piemēram, mainoties uzvārdam), kad tas tiek pazaudēts, drošības apsvērumu dēļ utt.
  • 2. līmenis (XAdES-T un PAdES-T): Paraksts ar laika zīmogu. Tiek pievienots laika zīmogs attiecībā uz parakstīšanas laiku, lai aizsargātu pret noraidīšanu. Otrā līmeņa paraksti ir derīgi līdz paraksta sertifikāta derīguma termiņa beigām, un šajā gadījumā sertifikāta atsaukšana neko neietekmē.
  • 1. līmenis (XAdES-LT/XL un PAdES-LT): Paraksts ar ilgtermiņa datiem. Sertifikāti un to atsaukšanas dati ir iegulti, lai nākotnē tos varētu pārbaudīt, pat ja to sākotnējais avots nav pieejams. 1. līmeņa paraksti ir derīgi līdz brīdim, kad parakstīšanas jaucējkoda algoritmi kļūst vāji. Par šīs informācijas paziņošanu ir atbildīga Eiropas Savienības Kiberdrošības aģentūra (ENISA). Ko nozīmē algoritmu pavājināšanās? Parakstīšanā izmantotā jaucējkoda algoritma stiprums ir kritisks drošības elements. Jaucējkoda algoritmu nepilnības var izraisīt situācijas, kad uzbrucēji var manipulēt ar parakstītu dokumentu vai to viltot. Interesants fakts: līdz šim ir zināmi 2 algoritmi, kas tika paziņoti un tagad tiek uzskatīti par nedrošiem, MD5 šo statusu ieguva 2012. gadā, bet SHA-1 – 2017. gadā.
  • 1.1 līmenis (XAdES-LTA/A un PAdES-LTA): Paraksts ar ilgtermiņa datiem un arhīva laika zīmogu. Izmantojot periodisku laika zīmogošanu, tiek novērsta kompromitēšana, ko var izraisīt iepriekšējo parakstu pavājināšanās ilgstošas glabāšanas laikā. Tātad 1.1 līmeņa paraksti principā ir tādi paši kā 1. līmeņa, tikai ļoti garā ilgtermiņā katru reizi, kad algoritmi kļūst vāji, paraksta derīgums tiek pagarināts atkārtoti, līdz nākamajai reizei, kad tiek paziņots, ka algoritms vairs nav drošs.

Drošība ar Dokobit

Dokobit parakstu noklusējuma drošības līmeņi atšķiras atkarībā no dokumenta formāta.

Parakstot PDF, ASiC, BDoc, EDoc failus

Lielākajā daļā dokumentu formātu – PDF, ASiC, BDoc un EDoc – Dokobit risinājumi nodrošina pirmā līmeņa drošību. Parakstot dokumentu, sākotnēji paraksta drošība ir 3. līmenī, pēc tam mēs to automātiski paaugstinām uz 1. līmeni, pievienojot gan laika zīmogu, gan paraksta atsaukšanas statusu.

Tas nozīmē, ka paraksti uz jūsu dokumentiem būs derīgi līdz brīdim, kad tiks oficiāli paziņots, ka parakstīšanas jaucējkoda algoritmi vairs nav droši. Nav noteikts precīzs termiņš, kad tas var notikt, bet mēs pastāvīgi uzraugām situāciju un informējam klientus par šīm izmaiņām.

Ja tas notiek, kas jums ir jādara?

  • Ja jūs izmantojat mūsu dokumentu parakstīšanas portālu ar kādu no maksas plāniem, tad neko. Ja tiek paziņots, ka algoritms vairs nav drošs, mēs rūpējamies par visiem jūsu parakstītajiem un portālā glabātajiem dokumentiem, lai tie kļūst par 1.1 līmeni.
  • Ja jūs izmantojat mūsu integrējamos parakstīšanas risinājumus, jums pašiem ir jārūpējas par parakstu drošības līmeņa paaugstināšanu. Ja jums dokumenti ir jāuzglabā ilgtermiņā, risinājuma integrēšanas laikā vai jebkurā citā laikā, pirms algoritms kļūst vājš, varat iestatīt ilgtermiņa saglabāšanas funkcionalitāti.

Ir vērts pieminēt, ka mūsu integrējamo API atbildēs mēs iekļaujam informāciju par to, kādi algoritmi tika izmantoti noteiktā parakstā, tāpēc, saglabājot šo informāciju savās sistēmās, jūs varat viegli atrast dokumentus, kuru derīgums ir jāpagarina. Tas nozīmē, ka jūs paši varat uzraudzīt kriptogrāfijas riskus vai paļauties uz mūsu paziņojumu.

Parakstot ADoc failus

Ja jūs parakstāt ADoc failus, situācija nedaudz atšķiras.

  • Ja jūs izmantojat mūsu dokumentu parakstīšanas portālu ar kādu no maksas plāniem, tiek nodrošināta 2. līmeņa drošība. Parakstot dokumentu, sākotnēji paraksta drošība ir 3. līmenī, pēc tam mēs to automātiski paaugstinām uz 2. līmeni, pievienojot laika zīmogu. Tā kā ADoc faili darbojas savādāk, paaugstināšana uz 1. līmeni notiek ~ 24 stundas pēc paraksta izveidošanas. 24 stundas ir pagarinājuma periods, kura laikā sertifikātu var atsaukt. Ja tas nenotiek, tas nozīmē, ka paraksts ir derīgs, un pēc tam mēs varam iekļaut paraksta atsaukšanas statusu, un tas automātiski paaugstina parakstu uz 1. līmeni. Tas nozīmē, ka tas ir derīgs līdz laika zīmoga sertifikāta derīguma termiņa beigām, kas parasti ir 4-5 gadi. Šajā gadījumā ir nepieciešams cits paaugstinājums dažus mēnešus pirms laika zīmoga sertifikāta derīguma termiņa beigām vai kad algoritms kļūst vājš. Jums par to visu nav jāuztraucas, jo mēs par to rūpējamies automātiski!
  • Ja jūs izmantojat mūsu integrējamos parakstīšanas risinājumus, jums pašiem ir jārūpējas par parakstu drošības līmeņa paaugstināšanu. Ja jums dokumenti ir jāuzglabā ilgtermiņā, risinājuma integrēšanas laikā vai jebkurā citā laikā varat iestatīt ilgtermiņa saglabāšanas funkcionalitāti, pirms laika zīmoga sertifikāta derīguma termiņa beigām vai pirms algoritms kļūst vājš.

Ir vērts pieminēt, ka mūsu integrējamo API atbildēs mēs iekļaujam informāciju par to, kādi algoritmi tika izmantoti noteiktā parakstā, tāpēc, saglabājot šo informāciju savās sistēmās, jūs varat viegli atrast dokumentus, kuru derīgums ir jāpagarina. Tas nozīmē, ka jūs paši varat uzraudzīt kriptogrāfijas riskus vai paļauties uz mūsu paziņojumu.

Šeit ir apkopots pilns salīdzinājums:

This post is also available in: English Lithuanian Estonian Icelandic