'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C10.221%2012.8327%2012.8327%2010.221%2012.8327%206.99935C12.8327%203.77769%2010.221%201.16602%206.99935%201.16602C3.77769%201.16602%201.16602%203.77769%201.16602%206.99935C1.16602%2010.221%203.77769%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M1.16602%207H12.8327'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C8.28802%2012.8327%209.33268%2010.221%209.33268%206.99935C9.33268%203.77769%208.28802%201.16602%206.99935%201.16602C5.71068%201.16602%204.66602%203.77769%204.66602%206.99935C4.66602%2010.221%205.71068%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M2.875%202.95898C3.93063%204.01461%205.38896%204.66754%206.99978%204.66754C8.61062%204.66754%2010.069%204.01461%2011.1246%202.95898'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M11.1246%2011.0425C10.069%209.98691%208.61062%209.33398%206.99978%209.33398C5.38896%209.33398%203.93063%209.98691%202.875%2011.0425'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_1267_9109'%3e%3crect%20width='14'%20height='14'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Раскрытие электронной подписи: как PAdES обеспечивает безопасность PDF-подписей
В предыдущей статье мы вкратце рассмотрели ESI, а в этой статье мы углубимся в концепцию PAdES и проведем сравнение, чтобы увидеть, как регулируется формат электронной подписи для PDF.
I. Что такое PAdES?
- Определение в одном предложении PAdES (PDF Advanced Electronic Signature) — это набор международных стандартов для расширенных электронных подписей, разработанных для PDF-документов. Это гораздо больше, чем просто размещение штампа подписи в PDF-файле. Это сложная, но стандартизированная структура данных и механизм, обеспечивающий возможность проверки и доверия к подписанному PDF-файлу даже спустя много лет.
II. Основная роль PAdES:
Обычные электронные подписи со временем сталкиваются с тремя основными рисками:
- Срок действия сертификата истек: Срок действия цифрового сертификата, используемого для подписи, обычно составляет всего 1-3 года. Как проверить исходную подпись после истечения срока действия?
- Взлом алгоритма: Безопасные алгоритмы шифрования сегодня могут быть взломаны более мощными компьютерами в будущем.
- Потеря материалов: Материалы, необходимые для проверки подписи, такие как списки отзыва сертификатов (CRL), могут быть недоступны из-за закрытия серверов, что приведет к невозможности проверки.
PAdES решает эти проблемы, определяя различные уровни подписи, постепенно продвигаясь вперед:
- PAdES-B-B (базовый уровень): Подтверждает личность подписавшего и целостность документа.
- PAdES-B-T (со штампом времени): Добавляет надежную метку времени, чтобы доказать, что подпись существовала в определенный момент времени, предотвращая последующее отрицание.
- PAdES-B-LT (долгосрочная проверка): Упаковывает все материалы, необходимые для проверки (сертификаты, списки отзыва и т. д.), в сам PDF, чтобы предотвратить невозможность проверки из-за закрытия внешних серверов.
- PAdES-B-LTA (долгосрочная проверка и архивирование): Периодически генерирует новые метки времени с использованием более безопасных алгоритмов, охватывая весь пакет подписи, чтобы противостоять риску устаревания алгоритмов и обеспечить постоянную действительность.
В настоящее время, как правило, достаточно использовать PAdES-B-T (со штампом времени) для удовлетворения основных требований спецификации электронной подписи (в конце концов, вероятность банкротства самого CA невелика, поэтому проверка статуса сертификата обычно поддерживается).
III. Состав PAdES:
Подпись PAdES содержит полный «пакет доверия», встроенный в PDF-файл:
- Значение подписи (Signature Value): Основное значение подписи, основанное на криптографических операциях.
- Сертификат подписавшего (Signer's Certificate): Электронное удостоверение личности, подтверждающее личность подписавшего.
- Надежная метка времени (Trusted Timestamp): Выдается авторитетным органом и подтверждает время подписи.
- Данные проверки (DSS - Document Security Store):
- Цепочка сертификатов (Certificates): Сертификат вышестоящего органа, выдавшего сертификат подписавшего.
- Информация об отзыве (Revocation Information): Список, подтверждающий, что сертификат не был отозван во время подписи.
- Метка времени архива (Archive Timestamp): На уровне LTA используется для периодического «укрепления» всего пакета подписи новыми метками времени.
IV. Отношения между PAdES, CAdES и XAdES
PAdES не является изолированным стандартом. Вместе с CAdES и XAdES он образует «три кита» расширенных стандартов электронной подписи ETSI (Европейский институт телекоммуникационных стандартов). Основная идея этих трех стандартов одинакова: обеспечить долгосрочную действительность и доверие к электронным подписям. Однако они имеют разные характеристики для разных форматов файлов и сценариев применения.
CAdES (CMS Advanced Electronic Signatures) — это стандарт электронной подписи, широко применимый к любому формату файла, особенно когда требуется отсоединенная подпись файла. XAdES (XML Advanced Electronic Signatures) специально разработан для электронной подписи XML-данных и может быть детализирован до уровня элементов данных, что подходит для подписи структурированных данных. По сравнению с этими двумя, PAdES (PDF Advanced Electronic Signatures) фокусируется на подписи PDF-файлов, подчеркивая тесную интеграцию подписи с документом, обеспечивая хороший визуальный опыт, и пользователи могут интуитивно воспринимать существование подписи.
Эти три стандарта разделяют одну и ту же идею и поддерживают различные уровни подписи, такие как B-B, B-T, B-LT, B-LTA, стремясь к долгосрочной действительности. Они зависят от одной и той же инфраструктуры, включая инфраструктуру открытых ключей (PKI) и службы меток времени (TSA). С точки зрения правовой базы, все три также соответствуют аналогичным нормативным требованиям, соответствующим положениям eIDAS ЕС и другим правилам для расширенных электронных подписей.
В зависимости от формата файла пользователи могут выбрать подходящий стандарт в соответствии со своими потребностями: если вам нужно подписать любой тип файла, вы можете выбрать CAdES; если вы подписываете XML-данные, выберите XAdES; а для подписи PDF-документов выберите PAdES.
V. PAdES vs Китайский стандарт GB/T 31308.3-2023
Китайский стандарт GB/T 31308.3-2023 технически полностью соответствует международному стандарту PAdES (ETSI EN 319 142). Основные механизмы, уровни подписи и цели обоих одинаковы и направлены на решение проблем долгосрочной действительности и юридической силы электронных подписей PDF. Короче говоря, международный стандарт PAdES и стандарт GB/T 31308.3 не имеют никаких технических различий в спецификациях, но существуют разные требования в некоторых ключевых аспектах, в основном отраженные в выборе криптографических алгоритмов и корней доверия.
Международный стандарт PAdES обычно использует международные общепринятые криптографические алгоритмы, такие как RSA, ECDSA и SHA-2, в то время как стандарт GB/T 31308.3 больше подчеркивает использование китайских собственных алгоритмов национальной криптографии (таких как SM2, SM3, SM9). Кроме того, PAdES зависит от международных или признанных ЕС CA/TSA, в то время как GB/T 31308.3 требует использования отечественных поставщиков услуг, сертифицированных китайскими продуктами коммерческой криптографии и имеющих лицензию CA.
С точки зрения областей применения, международный PAdES больше используется в трансграничных электронных контрактах и международных торговых документах, что соответствует требованиям международного рынка и требованиям трансграничного взаимного признания. GB/T 31308.3 в основном используется в отечественных правительственных документах, финансовых контрактах, судебном хранении доказательств и других областях, что соответствует отечественным отраслевым нормам и правовым требованиям Китая.
В целом, международный PAdES можно рассматривать как «международный универсальный паспорт», а GB/T 31308.3 — как «китайскую специальную версию» этого паспорта. Хотя технические спецификации полностью согласованы, при фактическом применении необходимо соблюдать правовые требования Китая, такие как «Закон об электронной подписи» и «Закон о криптографии», и использовать указанные «технологии защиты от подделок» (алгоритмы национальной криптографии).
VI. Заключение
PAdES — одна из основных технологий для построения долгосрочного доверия в цифровую эпоху. Благодаря сочетанию с CAdES и XAdES он предоставляет комплексные решения для различных сценариев применения, гарантируя, что электронные подписи от данных до документов выдержат испытание временем.
Для предприятий понимание и принятие PAdES (или отечественного GB/T 31308.3) означает:
- Юридическая гарантия: Подписанные электронные контракты имеют более сильную юридическую доказательную силу.
- Снижение затрат и повышение эффективности: Реализация безбумажного процесса, более удобное управление контрактами, архивирование и проверка.
- Долгосрочное соответствие: Соответствие долгосрочным требованиям архивирования электронных подписей различных правил и положений в стране и за рубежом.
