Сохранность цифровых активов

В последнее время достаточно часто идет речь об электронных архивах/хранилищах, что, в общем-то, вполне понятно. И если электронный документ (ЭД) продекларирован в качестве элемента процессов государственных услуг, регулирования, отчетности и т. д., такие ЭД надо каким-то образом хранить, причем в ряде процессов хранить очень долго. Также очевидно, что подобные ЭД должны отражать определенную деловую активность, нести юридическую, историческую значимость, аналитическую ценность, что в совокупности можно определить как свойство ЭД «выступать в качестве подтверждения деловой деятельности либо событий личного характера» (ГОСТ Р 7.0.8-2013).

С учетом сказанного структура задач некоего абстрактного хранилища можно представить следующими блоками.

Во-первых, потребуется обеспечить  организационно-распорядительное сопровождение процесса хранения. Под этим понимается обследование и понимание в целом жизненного цикла ключевых документов и роли тех, кто их формирует и использует; общая конструкция НПА и организационно-распорядительных документов; описание организационных изменений, которые потребуются для внедрения электронного хранилища и НПА; обсуждение и в целом согласование (возможно, Минтруд и другие организации); детальный план с горизонтом 2–4 года; проекты НПА; внедрение (включая организационные изменения и утверждение НПА).

Во-вторых, решить общие инфраструктурные задачи (идентификация и аутентификация субъектов информационного обмена, инфраструктура открытых ключей, УЦ, методы разграничения доступа, инфраструктура управления полномочиями (PMI), назначение/обработка полномочий авторам ЭП, синхронизация времени аппаратных платформ, эталон маркеров доверенного времени); интеграции с ЭДО, размещение ЭД на хранение и формирование «выписок» (методы осуществления актуальности: повторное получение одного и того же или валидатор актуальности «выписки»); администрирование и аудит процедур.

В-третьих, организовать сам бизнес-процесса непосредственного хранения с обеспечением целостности, для чего определиться с выбором носителей, обычно это – WORM (Write Once, Read Manу) однократная запись, многократное считывание; предварительно предусмотреть возможную миграцию на новые поколения носителей и программно-аппаратных сред; следом обеспечить техническую реализацию обеспечения целостности, для чего обычно используют аппаратные решения или внешние криптографические решения, например, деревья хэшей.

В-четвертых, обеспечить юридическую значимость размещенных на хранение ЭД в исторической перспективе.

Если в отношении трех первых позиций хотя бы понятно, как воплотить их в «граните», то что делать с юридической значимостью?

Обеспечение юридической значимости

Если считать аксиомой, что на всем протяжении своего жизненного цикла (включая период архивного хранения) ЭД должен сохранять свойство юридической значимости, то возникает уже другая задача – как построить мостик от «свойств» к «характеристикам» ЭД и следом к технологиям обеспечения таких характеристик для систем хранения?

В определении юридической значимости есть одна очень важная фраза: «Подтверждение деловой деятельности», и в этой части, уже другой стандарт (ГОСТ Р ИСО 15489-2007) приводит следующее:

«Документы создаются, получаются и используются в процессе осуществления деловой деятельности. Для обеспечения непрерывности деловой деятельности, соблюдения соответствия регулирующей среде и обеспечения необходимой подотчетности организации должны создавать и сохранять аутентичные, надежные и пригодные для использования документы, а также защищать целостность этих документов в течение требуемого времени».

Вот так достаточно просто и появился «мостик» от юридической значимости к характеристикам документа, которые эту юридическую значимость и обеспечивают.

ГОСТ Р ИСО 15489-2007, среди таких характеристик, определяет:

• Достоверность (обеспечивается на ранних стадиях жизненного цикла ЭД). Достоверным является документ, содержание которого можно считать полным и точным представлением подтверждаемых операций, деятельности или фактов и которому можно доверять в последующих операциях или в последующей деятельности.

• Целостность (обеспечивается средствами хранения и частично компонентами обеспечения аутентичности).

• Пригодность для использования (обеспечивается средствами создания и хранения). ЭД, который можно локализовать, найти, воспроизвести и интерпретировать. 

• Аутентичность. Документ аутентичен, если он является тем, чем должны быть (соответствует установленным правилам). Определяется на этапе создания ЭД и фиксируется личной ЭП автора ЭД, в последующим должна быть обеспечена непрерывность доверия к ЭП во времени, включая смену криптографических алгоритмов и формата представления, хранимого ЭД; был создан или отправлен лицом, уполномоченным на это. Определяется автором ЭД, включая инфраструктуру управления полномочиями в организации; был создан или отправлен в то время, которое обозначено в документе. Определяется на этапе создания ЭД и фиксируется личной ЭП автора ЭД с учетом обеспечения непрерывности доверия к ЭП во времени.

Аутентичность выливается в контроль над созданием, получением, передачей, сохранением и отбором документов. Это должно гарантировать, что создатели документов имеют соответствующие полномочия и идентифицированы, а документы защищены от несанкционированного дополнения, удаления, изменения, использования.

Теперь, имея характеристики, достаточно легко перейти к технологическим аспектам, за исключением обеспечения аутентичности ЭД в исторической перспективе, где не так все просто.

Обеспечение аутентичности ЭД в исторической перспективе

Объектом хранения является ЭД с или без ЭП.  Основная проблема: что делать с ЭП во времени? Действительность открытого ключа ограничена, смена легитимной криптографии и смена формата хранимого ЭД делает ЭП недействительной.

На практике различные бизнес-процессы, с учетом приемлемых для них рисков, используют разные подходы, вот основные из них.

«Снятие» исходной ЭП автора ЭД

Самый простой способ, но с очень неприятным допущением – все, что попало и находится в хранилище ЭДО, аксиоматично заслуживает доверия и никаких документальных доказательств не требует.

Очевидно, что такого рода допущения применимы далеко не во всех процессах.

Под «снятием» подписи в таком случае понимается не удаление данного реквизита, а прекращение поддержания его аутентичности ввиду экономической нецелесообразности или технической сложности.

Переподписание «служебной» ЭП

Наиболее «опасный» способ, поскольку провоцирует на ложные иллюзии обеспечения аутентичности ЭД и безопасности при кажущейся простоте. Такой вывод можно сделать потому что в  НПА отсутствует определение такой сущности, как «служебная» ЭП.

При формировании «служебной» ЭП потребуются не тривиальные правовые конструкции, которые разорвали бы связь авторства (это ключевое свойство подписи по ГОСТ Р 34.10-2012 п.4) – как автора контента ЭД и автора «служебной» ЭП.

Не отменяет выполнение аудита аутентичности исходного ЭД перед выработкой очередной служебной ЭП, что потребует разработку/использование протоколов взаимодействия с сервисами валидации, сохранения доказательной базы с разработкой формата метаданных для всего этого и т. п.

Формат ЭП не предназначен для указания статуса выполнения процедуры валидации; размещения и сохранения доказательной базы проведения процедур проверки, что ставит еще более сложную, чем первоначальная, задачу – каким образом сохранить результаты процедуры валидации во времени в аутентичном виде, в противном случае появляются реальные риски не признания служебной ЭП существенным доказательство, например, в суде.

Не предоставляет инструментов обработки событий конверсии криптоалгоритмов и конверсии формата представления исходного ЭД. Другими словами, например, в РФ смена легитимных криптоалгоритмов происходит с завидной регулярностью – 1994, 2001, 2012.

Использование сертификатов ключа проверки ЭП продолжительного действия

Один из простых способов для краткосрочных хранилищ, но с учетом ряда особенностей:

1.        Авторы ЭД должны использовать СКЗИ, допускающих период действия открытого ключа более обычного 1 года и 3 месяцев.

2.        Увеличение срока действия сертификата более 3–5 лет требует использования более сложных и дорогих СКЗИ (в том числе и на стороне пользователя!), а также увеличивает риск не продления сертификата на СКЗИ регулятором каждые 3 года по любым причинам.

3.        Существенное допущение: в период хранения предполагается, что не происходит конверсии формата представления хранимого ЭД и легитимный криптоалгоритм не изменяется.

Использование специальных форматов ЭП. Усиление электронной подписи

Используют так называемое усиление (улучшение/усовершенствование) подписи в соответствии, например, со стандартами, принятыми в ЕС для CAdES. Смысл «усиления» заключается в том, что в ЭП добавляются атрибуты, содержащие всю доказательную базу для последующей локальной проверки исходной подписи и на всю эту информацию, формируется «штамп» времени. При этом надо учитывать, что изначально предполагается, что ЭП уже присутствует на ЭД, а это на практике не всегда так.

Факт того, что перед созданием штампа времени исходная подпись вообще проверялась с каким-либо результатом нигде не фиксируется и документально в составе «усиленной» ЭП не указывается.

Технология «усиления» очень зависит от формата представления ЭД, например, помимо CAdES, существуют еще и PAdES для ЭД в формате PDF и XAdES для XML ЭД. Соответственно, поддержка всех этих форматов значительно усложнит техническую составляющую хранилища.

хAdES не предлагает никаких инструментов для обеспечения аутентичности хранимых ЭД при конверсии формата ЭД и/или криптографических алгоритмов, которая неизбежно будет происходить при длительном хранении ЭД.

«Снятие» ЭП через оформление электронного акта

Факт «снятия» ЭП оформляется электронным актом. Чтобы обеспечить доверие к такому электронному акту, необходимо криптографически связать его с хранимым ЭД, зафиксировать время и статус проверки ЭП исходного ЭД, а также правомочность уполномоченного лица хранилища на создание такого служебного ЭД. Фактически создаются процессные метаданные, поддерживающие аутентичность ЭД, размещаемого на хранение.

Если размещаемый на хранение ЭД не имеет ЭП, то электронный акт должен фиксировать существование данного документа на момент размещения ЭД на хранение.

Подход в целом аналогичен изложенному в п. 15 Приказа Минкомсвязи РФ от 02.09.2011 № 221:

15. Для проверки аутентичности, целостности и достоверности электронных документов СЭД ФОИВ должна обеспечивать: проверку и сохранность электронных подписей, связанных с ними сертификатов ключей проверки электронной подписи; хранить результат проверки электронной подписи в виде метаданных электронного документа; информировать пользователя СЭД ФОИВ о результатах проверки электронной подписи.

А также тем немногим методологическим документам, которые в настоящий момент существуют в той или иной степени готовности (Технологическая концепция хранения и использования электронных документов с обеспечением их юридической силы для финансового рынка; Росархив. Проект. Типовые функциональные требования к системам электронного документооборота и системам хранения электронных документов в архивах государственных органов) во всех документах закреплено и документирование процедуры проверки подписи, и создание процессных метаданных.

Перед прекращением действительности ЭП на акте формируется следующий по порядку электронный акт, связанный с предыдущим.

Процессные метаданные связанные с хранимым ЭД

Процессные метаданные во времени формируют цепной список, где каждое дальнейшее звено связано с предыдущим и предназначено для документирования одного из cледующих событий:

• Размещение ЭД на хранение. Документальная проверка исходной ЭП или фиксирование факта существования ЭД (если нет ЭП) на конкретный момент времени.

• (*) Обеспечение доверия к факту проверки исходной ЭП или факту существования ЭД в исторической перспективе через цепочку связанных электронных актов.

• (*) Ввод в действие новых стандартов на хэш-функцию и/или электронную цифровую подпись.

• (*) Ввод в действие новых форматов представления ЭД размещенного на хранение.

• Создание выписки. Выгрузка хранимого ЭД из хранилища с добавленными процессными метаданными для обеспечения достоверности, целостности, аутентичности и актуальности с учетом возможной версионности ЭД. Последующая проверка метаданных может осуществляться без непосредственного обращения к хранилищу.

(*) При этом цепной список электронных актов оформляется в блоки. Самая близкая аналогия (не техническая реализация!) – процедура оформления блока из цепочки транзакций в Blockchain.

В итоге получаем связанный цепной список, способный к аудиту и его целостность гарантирует обеспечение аутентичности размещенного на хранение ЭД.

В заключение хотелось бы отметить, что к выбору способа обеспечения аутентичности следует подходить очень осмотрительно, ошибка в выборе технологического подхода может очень ощутимо отразиться в будущем.