Par elektroniski parakstītiem dokumentiem, tāpat kā fiziskiem, ir jārūpējas. Lai arī rūpēšanās jēdziens abos gadījumos atšķiras, dokumentus parakstot ar e-parakstu, īpaši svarīga ir to derīguma termiņa daļa. Uzziniet visas svarīgākās detaļas, lai jūsu dokumenti ilgtermiņā paliktu derīgi.
Kāpēc e-parakstu ilgtermiņa derīgumam ir nozīme?
Kā nodrošināt elektroniski parakstītu dokumentu ilgtermiņa derīgumu? Vai paraksts zaudēs spēku, kad paraksta sertifikāta derīguma termiņš beigsies? Šie jautājumi rodas tāpēc, ka parasti paraksta sertifikātu termiņš ir īsāks nekā nepieciešamība saglabāt parakstītos dokumentus. Tāpēc ir svarīgi pārliecināties, vai paraksti paliek spēkā pat pēc paraksta sertifikāta derīguma termiņa beigām.
Praktisks piemērs
Pieņemsim, ka parakstāt konfidencialitātes līgumu, kas uzņēmumā ir jāsaglabā 10 gadus. Elektroniskā paraksta sertifikāts parasti ir derīgs 3 gadus. Tātad teorētiski, mēģinot apstiprināt paraksta derīgumu pēc šiem 3 gadiem, var rasties grūtības, neraugoties uz faktu, ka paraksts agrāk bija derīgs. Tātad, kā to pierādīt?
Divi galvenie elementi
Ilgtermiņa paraksta derīgumu nodrošina divi elementi:
- Laika zīmogs
- Paraksta sertifikāta atsaukšanas dati
Laika zīmogs
Laika zīmogs tiek izmantots, lai norādītu precīzu laiku līdz brīdim, kad tika izveidots elektroniskais paraksts, tādējādi nodrošinot, ka ne parakstu, ne parakstīto dokumentu nevar mainīt pēc fiksētā laika. Vairāk par laika zīmogiem lasiet šeit.
Sertifikāta atsaukšanas dati
Lai gan laika zīmoga iekļaušana ir labs pirmais solis, tā nav pietiekama, lai nākotnē pārbaudītu paraksta derīgumu. Lai paraksts būtu derīgs ilgu laiku, tam nepieciešami arī paraksta sertifikāta atsaukšanas dati, kas palīdz nodrošināt, ka parakstīšanas brīdī paraksta sertifikāts patiešām bija derīgs.
Īsumā: tā sauktā parakstu paaugstināšana līdz ilgtermiņa glabāšanas līmenim ir nepieciešama, lai pārbaudītu paraksta derīgumu pat pēc sertifikāta derīguma termiņa beigām.
Parakstu drošības līmeņi un to nozīme
Lai saprastu, kā darbojas parakstu derīgums, ir svarīgi arī apspriest parakstu formātus un to drošības līmeņus.
Elektronisko parakstu formāti
Elektroniskie paraksti tiek iedalīti dažādos formātos: „XAdES”, „PAdES” un „CAdES”. Šīs trīs grupas ir iedalītas atkarībā no elektronisko dokumentu formātiem, kas var būt gan starptautiski, gan izmantoti tikai noteiktās valstīs.
Dokumentu formāti:
- Konteineru formāti konkrētām valstīm: „ADoc” (Lietuva), „EDoc” (Latvija), „BDoc” (Igaunija)
- Standartizēti visā ES: „ASiC” un „PDF”
Parakstu formāti pēc dokumenta:
- „ASiC”, „ADoc”, „BDoc”, „EDoc” dokumentos → „XAdES” paraksti
- „PDF” dokumentos → „PAdES” paraksti
Parakstu drošības līmeņi
Atkarībā no formāta atšķiras arī parakstu drošības līmeņi. Skaidrības labad iedalīsim parakstu drošības līmeņus ar cipariem:
3. līmenis („XAdES-BASELINE-B” un „PAdES-BASELINE-B”)
Pamata elektroniskais paraksts
Tā ir zemākā un vienkāršākā paraksta versija bez papildu drošības pasākumiem.
Derīgums:
- Līdz paraksta sertifikāta derīguma termiņa beigām
- Līdz sertifikāta atsaukšanai (var notikt pat agrāk)
Kad sertifikātus atsauc:
- Tiek mainīts e-paraksta rīks (piemēram, mainoties uzvārdam)
- Rīks tiek pazaudēts
- Drošības iemeslu dēļ
- U.c.
2. līmenis („XAdES-BASELINE-T” un „PAdES-BASELINE-T”)
Paraksts ar laika zīmogu
Šajā gadījumā tiek pievienots laika zīmogs, kas norāda, kad tika izveidots paraksts.
Derīgums:
- Līdz paraksta sertifikāta derīguma termiņa beigām
- Sertifikāta atsaukšanai vairs nav nozīmes
1. līmenis („XAdES-BASELINE-LT/XL” un „PAdES-BASELINE-LT”)
Paraksts ar ilgtermiņa datiem
Šeit tiek iekļauti sertifikāta atsaukšanas dati, kas ļauj pārbaudīt paraksta derīgumu, pat ja sākotnējais avots vairs nav pieejams.
Derīgums:
- Līdz brīdim, kad parakstīšanas jaucējkoda algoritmi kļūst vāji
Kas ir pavājināts algoritms?
Stiprs jaucējkoda algoritms ir kritisks drošības elements. Pavājināti algoritmi var novest pie situācijām, kad jau parakstītus dokumentus var mainīt vai viltot.
Interesants fakts: Līdz šim ir zināmi 2 pavājināti algoritmi, kas tiek uzskatīti par nedrošiem:
- „MD5″ – paziņots par pavājinātu 2012. gadā
- „SHA-1″ – paziņots par pavājinātu 2017. gadā
Atbildīgā institūcija: Eiropas Savienības Kiberdrošības aģentūra (ENISA) ir atbildīga par šīs informācijas paziņošanu.
1.1 līmenis („XAdES-BASELINE-LTA/A” un „PAdES-BASELINE-LTA”)
Paraksts ar ilgtermiņa datiem un arhīva laika zīmogu
Izmantojot periodiskus laika zīmogus, tiek nodrošināts, ka paraksti paliek derīgi pat iepriekšējo parakstu algoritmiem pavājinoties.
Derīgums:
- 1.1 līmeņa paraksti būtībā ir tādi paši kā 1. līmeņa
- Katru reizi, kad algoritms kļūst vājš, to derīgums tiek pagarināts, pievienojot arhīva laika zīmogu
- Paraksti ir derīgi līdz nākamā algoritma pavājināšanai
Drošība ar „Dokobit”
Atkarībā no dokumenta formāta, sākotnējie parakstu drošības līmeņi „Dokobit” risinājumos atšķiras.
„PDF”, „ASiC”, „BDoc”, „EDoc” dokumentu parakstīšana
Nodrošinātais drošības līmenis
Lielākajai daļai dokumentu formātu – „PDF”, „ASiC”, „BDoc” un „EDoc” – „Dokobit” risinājumi nodrošina 1. līmeņa drošību.
Kā tas darbojas:
- Tikai parakstot dokumentu, sākotnējais paraksta drošības līmenis ir 3
- Pievienojot laika zīmogu un paraksta sertifikāta atsaukšanas datus, automātiski paaugstinām līdz 1. līmenim
Ko tas nozīmē?
Tas nozīmē, ka paraksti būs derīgi līdz brīdim, kad parakstīšanas jaucējkoda algoritms kļūs vājš. Lai gan nav skaidrs, kad tas var notikt, mēs pastāvīgi uzraugām situāciju un informējam savus klientus par izmaiņām.
Ko darīt, ja tas notiek?
Ja izmantojat dokumentu parakstīšanas portāla maksas plānu:
- Jūsu dokumentiem tiek nodrošināta 1. līmeņa drošība
- Ja nepieciešams pagarināt dokumentu derīgumu un paaugstināt to līdz 1.1 līmenim, iesakām vērsties pie kvalificēta ilgtermiņa glabāšanas pakalpojumu sniedzēja
- Visu šādu sniedzēju saraksts pieejams šeit
Ja izmantojat integrējamos pakalpojumus:
- Parakstu drošības līmeņa paaugstināšanu var veikt paši
- Ja nepieciešams uzglabāt dokumentus ilgu laiku, parakstu paaugstināšanu līdz ilgtermiņa glabāšanas funkcionalitātei var veikt risinājuma integrācijas laikā vai jebkurā citā laikā līdz algoritma pavājināšanai
Svarīgi zināt:
Mūsu integrējamo API atbildēs iekļaujam informāciju par to, kāds algoritms tika izmantots konkrētā parakstīšanā. Saglabājot šo informāciju, vēlāk ir viegli atrast dokumentus, kuru derīgums jāpagarina.
Tas nozīmē, ka kriptogrāfiskos riskus varat uzraudzīt paši vai uzticēt šo darbu mums un gaidīt mūsu paziņojumu.
„ADoc” dokumentu parakstīšana
Parakstot „ADoc” dokumentus, situācija ir nedaudz atšķirīga.
Dokumentu parakstīšanas portāla maksas plāns
Nodrošinātais drošības līmenis: uzreiz 2. līmenis, bet vēlāk automātiski tiek paaugstināts līdz 1. līmenim.
Kā tas darbojas:
- Tikai parakstot dokumentu → paraksta drošības līmenis ir 3
- Pievienojot laika zīmogu → automātiski paaugstinām līdz 2. līmenim
- Pēc ~24 stundām → paaugstināšana līdz 1. līmenim
Kāpēc 24 stundas?
24 stundas ir pagarinājuma periods, kura laikā sertifikātu vēl var atsaukt. Ja tas nenotiek, tas nozīmē, ka paraksts ir derīgs, un tad jau varam iekļaut paraksta sertifikāta atsaukšanas datus, tādējādi automātiski paaugstinot paraksta drošības līmeni līdz 1.
Derīgums:
- Šāds paraksts ir derīgs līdz laika zīmoga sertifikāta beigām, kas parasti ir derīgs 4–5 gadus
- Nepieciešama vēl viena līmeņa paaugstināšana dažus mēnešus pirms laika zīmoga sertifikāta derīguma termiņa beigām vai līdz algoritma pavājināšanai
Ko darīt tālāk?
Iesakām vērsties pie kvalificēta ilgtermiņa glabāšanas pakalpojumu sniedzēja. Visu šādu sniedzēju saraksts pieejams šeit.
Integrējamie pakalpojumi
Ja izmantojat integrējamos pakalpojumus:
- Parakstu drošības līmeņa paaugstināšanu var veikt paši
- Ja nepieciešams uzglabāt dokumentus ilgu laiku, parakstu paaugstināšanu līdz ilgtermiņa glabāšanas funkcionalitātei var veikt risinājuma integrācijas laikā vai jebkurā citā laikā līdz algoritma pavājināšanai
Svarīgi zināt:
Mūsu integrējamo API atbildēs iekļaujam informāciju par to, kāds algoritms tika izmantots konkrētā parakstīšanā. Saglabājot šo informāciju, vēlāk ir viegli atrast dokumentus, kuru derīgums jāpagarina.
Tas nozīmē, ka kriptogrāfiskos riskus varat uzraudzīt paši vai uzticēt šo darbu mums un gaidīt mūsu paziņojumu.
Salīdzinājums – viss vienā vietā
Šeit piedāvājam pilnu salīdzinājumu vienā vietā:
| Drošības limenis | Derīgums | Dokumentu parakstīšanas portāls | Integrējamie parakstīšanas risinājumi | |
| PDF, ASiC, EDoc, BDoc | ||||
| Tikko parakstīts | 1. limenis (XAdES-BASELINE-LT / PAdES-BASELINE-LT) | Līdz algoritms kļūst vājš | Notiek automātiski | Notiek automātiski |
| Kad algoritms kļūst vājš | 1.1 limenis (XAdES-BASELINE-LTA / PAdES-BASELINE-LTA) | Līdz algoritms kļūst vājš | Notiek automātiski | Nepieciešams paraksta arhivēšanas endpoint |
| ADoc | ||||
| Tikko parakstīts | 2. limenis (XAdES-BASELINE-T) | Līdz paraksta sertifikāta derīguma termiņa beigām | – | – |
| Pēc 24 stundām | 1. limenis (XAdES-BASELINE-LT/XL) | Līdz laika zīmoga sertifikāta derīguma termiņa beigām vai algoritma pavājināšanās brīdim | Notiek automātiski | To var izdarīt automātiski vai pašiem iesniedzot pieprasījumu arhivēšanas endpoint |
| Kad laika zīmoga sertifikāta derīguma termiņš beidzas vai algoritms kļūst vājš | 1.1 limenis (XAdES-BASELINE-LTA/A) | Līdz jaunā laika zīmoga sertifikāta derīguma termiņa beigām vai algoritma pavājināšanās brīdim | Notiek automātiski | Nepieciešams paraksta arhivēšanas endpoint |