ООО Топ Кросс

 
 Способы заверения электронных документов

К нам в компанию поступает много вопросов связанных с выбором технологий для проведения различных процедур заверения электронных документов, разъясняем нашу позицию в данном вопросе, ниже приводится тезисное описание различных подходов к решению данной задачи.

К чему стремимся:

  1. Перевести услуги и документы в электронный вид и соответственно сохранить юридически значимые последствия - действия.
  2. Свести к минимуму влияние «человеческого фактора», т.е. зависимость решения от желания или не желания конкретного человека выполнять штатные функции.

Для решения этих глобальных задач, среди всего прочего требуется реализовать процедуру заверения электронного документа. Сегодня представлены две технологии, позволяющие выполнить процедуру заверения, это:

  1. Решение, основанное на международных рекомендациях RFC 3029 (DVCS)
  2. Решение, в основе которого лежит выработка дополнительной ЭЦП специальным уполномоченным лицом на электронном документе.

Действие Выработка дополнительной ЭЦП Специализированный сервис DVCS
Личный контакт с уполномоченным лицом, организующим заверение документа Есть Зависит от способа организации услуги и может быть как явным (пользователь обратился к оператору), так и неявным (все пользователи имеют доступ к самой услуге, т.е. сами являются операторами).
Влияние уполномоченного лица на факт проведения процедур заверения Есть Нет
В случае отказа уполномоченного лица в заверении документа У пользователя отсутствует форма (и сам формальный документ), объясняющий причины по которым ему было отказано в услуге. Соответственно дополнительно требуется разработать такого рода форму, а также протокол, обеспечивающий регламентные действия. Пользователю передается заверенная квитанция, в которой указаны причины, на каком основании представленные документы не являются действительными. Форма и протокол определены международными рекомендациями.
Форма заявки на услугу Не регламентирована ни стандартами, ни рекомендациями. Соответственно использование ее как типовой услуги на настоящий момент без выполнения указанных работ, их анализа-обсуждения и реализации видится затруднительным. Определена в международных рекомендациях на DVCS
Форма ответа Добавление ЭЦП в исходный документ. Порождается перечень сопутствующих задач, требующих формализации и решения в рамках конкретной ИС:
  • формализация процедуры проведения последующих проверок, ввиду того что ЭЦП уже несколько с различными областями использования;
  • очередность выполнения проверок;
  • факты авторства документа;
  • протокол проведения проверки.
И т.п.
Определена в международных рекомендациях на DVCS
Место выполнения процедуры заверения электронного документа
  1. На рабочем месте уполномоченного лица. Порождает проблемы обеспечения безопасности и сохранения в тайне закрытого ключа.
  2. На выделенном сервере, Порождает проблемы создания протокола взаимодействия рабочих мест с сервером, отражающий также алгоритм такого взаимодействия.
В специализированном сервере по протоколу DVCS. Легко обеспечить условия безопасности и сохранность в секрете закрытого ключа (или ключей в режиме депонирования) уполномоченного лица.
Возможность проведения неправомерных действий уполномоченного лица Присутствует. В алгоритме оказания услуги отсутствует документальное оформление доказуемого этапа проведения предварительных проверок принятого электронного документа. Другими словами, уполномоченное лицо может выработать свою ЭЦП и не проводя исходных проверок. Данное действие конечно будет раскрыто во время проведения разбора ситуации, но технически такого рода «заверенный» документ может быть внедрен с систему ЭДО и повлечь за собой значимые последствия еще до начала организации разбора конфликта. Принципиально исключает такую возможность. Т.к. квитанция содержит заверенные результаты проверок исходных подписей и политик и криптографически связана с исходным документом и ЭЦП. Подложная квитанция будет отбракована уже при первой попытки ее использования. DVCS исключает человеческий фактор и не позволяет использовать недействительные документы, не ожидая этапа разбора конфликта.
Проверка на правомочность ЭЦП на исходных электронных документах В явном виде отсутствует, требует разработки специализированного ПО и формализации регламента выполнения таких процедур Штатная функция протокола – проверка ЭЦП на соответствие политики использования сертификата, через которые и указывается правомочность автора ЭЦП.
Компрометация закрытого ключа на рабочем месте уполномоченного лица Приводит к компрометации всей системы. Минимизировать последствия можно делегировав функцию заверения специализированному серверу, но в этом случае потребуется разработка протокола и регламента взаимодействия рабочих станций и сервера. На безопасность не влияет, процедуры проверок и заверения выполняются на стороне сервера по протоколу, определенному международными рекомендациями
Длительное архивное хранение заверенного электронного документа с сохранением юридически значимых последствий Для пролонгации ЭЦП уполномоченного лица заверяющего документ требуется извлекать исходный документ из архива. При больших объемах хранилища, данная проблема усугубляется еще и необходимости транспортировки больших объемов данных по компьютерным сетям с обеспечением конфиденциальности самих данных. Для выполнения всех этих процедур следует разработать специальное ПО и формализовать их алгоритмически. При пролонгации заверяется предыдущая квитанция очень маленького размера, исходный документ из архива не извлекается. Данная процедура предусмотрена протоколом и она выполняется автоматически внутри самого DVCS сервера, в данной процедуре прикладная система (архив) не участвует.
Юридическое значение действия заверения Личная ответственность уполномоченного лица как владельца закрытого ключа в соответствии с ФЗ Об ЭЦП, и в объеме своих штатных или профессиональных обязанностей. Два различных режима:
  1. Личная ответственность уполномоченного лица как владельца закрытого ключа в соответствии с ФЗ Об ЭЦП, и в объеме своих штатных или профессиональных обязанностей для уровня корпорации, организации или национальной-отраслевой структуры.
  2. Личная ответственность уполномоченного лица как владельца закрытого ключа в соответствии с ФЗ Об ЭЦП через авторизованное использование депонированного в HSM серевера закрытого ключа на котором формируется ЭЦП на квитанции., и в объеме своих штатных или профессиональных обязанностей


Способы заверения электронных документов © 2005-2012
LLC Top Cross
All Rights Reserved
 
 поиск
Google

 Цифровой Секретарь
клиентское программное обеспечение

на технологиях открытых ключей