Вопрос или проблема
ETSI EN 319 122-1 V1.3.1 (2023-06) требует, чтобы атрибут времени подписи всегда присутствовал на всех уровнях CAdES (CAdES-B-B, CAdES-B-T, CAdES-B-LT и CAdES-B-LTA). Кто-нибудь знает, почему? Это, казалось бы, неоправданное требование имеет серьезные последствия.
Предположим, вы хотите проверить подпись PAdES с помощью внешнего валидатора (например, https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation). Документ содержит конфиденциальные данные, поэтому его нельзя отправлять валидатору. Одно из решений — извлечь CMS и отправить хэш + CMS для проверки. Но поскольку PAdES запрещает атрибут времени подписи в CMS, проверка не выполнится, даже если CMS содержит квалифицированную метку времени в качестве неподписанного атрибута. Это абсурд: проверка подписи с доверенным временем от органаTimestamping проваливается, потому что CMS не содержит недоверенного времени с компьютера подписанта.
Ответ или решение
Подпись атрибута signing-time в CAdES является важным элементом для обеспечения целого ряда функций и требований, связанных с электронной подписью. Согласно стандарту ETSI EN 319 122-1 V1.3.1 (2023-06), наличие атрибута signing-time обязательно для всех уровней CAdES (CAdES-B-B, CAdES-B-T, CAdES-B-LT и CAdES-B-LTA). Рассмотрим причины, почему это требование является необходимым.
### 1. Защита от возможных манипуляций
Атрибут signing-time фиксирует момент времени, когда была создана подпись. Это позволяет установить хронологический контекст подписания и усложняет любые попытки изменения данных после подписания. Если времени подписания не будет, то невозможно будет точно определить, когда именно подпись была создана, что может привести к юридическим последствиям и затруднениям в дальнейшем использовании подписи.
### 2. Совместимость с законодательством
Во многих юрисдикциях существуют юридические требования к наличию временных меток на электронных подписях. Подпись временной отметки позволяет подсказать, что подпись была создана в определённый момент времени, что важно для соблюдения правовых норм и требований.
### 3. Упрощение процесса валидации
Атрибут signing-time облегчает валидаторам процесс проверки подписи. При наличии точной временной метки валидаторы могут сразу определить, действовала ли криптографическая политика на момент подписания документа, и если она была действительна, это облегчает проверку.
### 4. Взаимодействие с внешними системами валидации
Как упомянуто в вашем вопросе, при попытке валидации PAdES-подписи через сторонние сервисы может возникнуть проблема отсутствия атрибута signing-time в CMS. Это действительно приводит к сложностям, так как валидациям может быть запрещено учитывать временные метки от сторонних органов, если не указано время подписи. Однако, указание signing-time в CAdES позволяет обеспечить наличие необходимой информации для успешной валидации даже в условиях защищённого управления данными.
### 5. Функциональная интеграция
Подписывая документ, многие организации используют решения, которые интегрируют как CAdES, так и PAdES форматы. Наличие signing-time в CAdES обеспечивает согласованность и обеспечивает стандартный подход к атрибуции времени по сравнению с PAdES, что критично для организаций, использующих как эти, так и другие форматы.
### Заключение
Хотя обязательность атрибута signing-time может показаться избыточной, его наличие обосновано сильными юридическими, техническими и практическими требованиями. Управление рисками и обеспечение правовой защиты пользователей является приоритетом, что делает данное требование важным для эффективной работы с электронными подписями.