استاندارد بایگانی فایل های PDF
شما میتوانید یک مستند پی دی اف را برای مدت زمانی طولانی نگهداری کنید که این به معنی نیاز به ابزارهایی برای اطمینان از اعتبار امضای الکترونیکی آن در دوره ای طولانی است.
به فرض اگر آن گواهی باطل شده باشد ، یا مرکز صادر کننده آن دیگر به قوت خود باقی نباشد، چه اتفاقی می افتد؟ اگر اسناد مهمی داشته باشید لازم است تا همچنان از اعتبار امضای آن اطمینان حاصل کنید. اسناد امضا شده دیجیتالی با داشتن استانداردهای بایگانی میتوانند این اطمینان را ایجاد کنند.
استانداردهای متعددی وجود دارند که برای حل این مشکل تلاش می کنند. آنها نحوه بایگانی فایل های پی دی اف را تحت استاندارد PADES تعریف میکنند.
پروفایل پایه ای PADES
پروفایل های زیر در مشخصات فنی معرفی شده است:
سطح B : این پروفایل مربوط به امضاهای الکترونیکی کوتاه مدت است و باید شامل یک امضای الکترونیکی و یک گواهی امضا باشد.
سطح T: این پروفایل مانند پروفایل B است، با این تفاوت که یک مهرزمان [1]که علامت زمانی برای نمایش زمان و تاریخ امضاست به آن اضافه میکند.
سطح LT: این سطح مانند سطح T است، ولی اطلاعات مرتبط با تایید[2] را به مخزن امنیت مستند[3] اضافه می کند. به اختصار، این پروفایل این امکان را ایجاد میکند که یک مستند امضا شده حتی پس از مدت زمانی طولانی نیز دارای اعتبار باشد، حتی زمانی که محیط امضا ( از جمله مرکز ریشه صدور گواهی) دیگر در دسترس نباشد. سطح LT برای امضاهای الکترونیکی پیشرفته[4] توصیه می شود ولی برای هر مورد ابتدا باید قانون ملی مربوط به آن نیز برررسی شود.
سطح LTA : این سطح بر پایه سطح LT بنا شده است و به مخزن امنیت مستند یک مهر زمان و اطلاعات مرتبط با تایید آن برای مرجع[5] مهرزمان اضافه میکند. یک فرم سطح LTA به تایید اعتبار امضا با وجود هر رویدادی که ممکن است اعتبارش را محدود کند، کمک میکند. این پروفایل برای امضای الکترونیکی واجد شرایط[6] ( امضای دیجیتال قانونی) توصیه میشود.
بایگانی طولانی مدت با مهر زمان (LTA)[7]
سطح پروفایل LTA ، مربوط است به مستند های پی دی اف که برای مدتی طولانی ذخیر می شوند و بسیار مشابه پروفایل [8]LTV ( معتبر برای دوره طولانی) می باشد. در سطح LTA، توکن های مهر زمان در امضای PADES گنجانده شده است که به تمامیت[9] و قابل وصول بودن[10] مستند امضا شده می انجامد.
برای مطابقت با سطح LTA، نه تنها برآوردن الزامات LTA ضروری است بلکه االزامات سطوح B،L و LT نیز باید برآورده شوند. امضاهایی که از LTA تبعیت می کنند باید حداقل یک مهر زمانی به پروفایلشان اعمال شده باشد. پیش از تولید و گنجانده شدن مشخصه مهر زمان در پروفایل امضای مستند، همه موارد لازم برای اعتباربخشی به تایید امضا باید به آن ضمیمه شده باشد. این موارد شامل همه گواهی ها و اطلاعات وضعیت ( OCSP یا CRL ) مرتبط با آن گواهی هاست. این اطلاعات برای اعتبار بخشی به موارد زیر مورد نیازند:
- گواهی امضا
- هر گواهی مشخصه ای که در امضا استفاده شده
- هر توکن مهر زمانی که در امضا ضمیمه شده
استفاده از استاندارد LTA بر پایه PADES ، منجر به حصول اطمینان از اعتبار و تمامیت مستندهای پی دی اف امضا شده که ممکن است در آینده دور مورد نیاز باشند، می شود.
اما یک چالش دیگر نیز برای نگهداری طولانی مدت وجود دارد: چه خواهد شد اگر الگوریتم های امضا که امروز مورد اعتماد همگان است ، جلوه و قدرت خود را در آینده از دست بدهند؟ امضایی که برای مدت زمانی طولانی بایگانی شده است، در اصل میتواند به خطر بیفتد. برای مثال، یک ضعف بهره برداری در آینده – ناشی از کلیدهایی که به اندازه کافی برای مقاومت در برابر حملات RSA بزرگ نیستند – ممکن است به جایگزینی مستند، بدون باطل کردن امضای آن بینجامد. اسناد امضا شده دیجیتالی از چنین راهکاری استفاده میکنند.
برای رفع این نگرانی، رایج است که یک مجری قانونی امضا[11] ، امضای مجدد مستندها را در فواصل زمانی معین انجام دهد. امضای جدید، همیشه با الگوریتم های امضایی که در زمان خود مستحکم هستند ساخته میشود و چون از منظر رمزنگاری، مستندات بایگانی شده به امضای جدید مقید میشوند، امضا ها قابلیت به روز شدن در این روش را دارند.
عملکرد اسناد امضا شده به صورت دیجیتالی
این موضوع، عملکرد یک نهاد اعتبار سنج یا مجری قانونی امضا را مطرح میکند که مستند امضا شده را دریافت نموده و گزارش اعتبارسنجی مهر شده را تحویل میدهد. کار اصلی آن، استخراج امضای PADES از یک مستند پی دی اف برای اجرای عملیات زیر است:
- بررسی تمامیت مستند
- تایید ارزش امضا
- بررسی پروتکل وضعیت گواهی آنلاین[12]
- بررسی اینکه این گواهی امضا از یک مرجع خدمات رمزنگاری معتبر[13] صدور امضای الکترونیکی واجد شرایط، مشابه مرکز ریشه EU Trusted دریافت شده یا خیر
- اعتبارسنجی مهر زمان
- نمایش نام دارنده گواهی و سیاستگذاری های مربوطه (Qualified, not Qualified و …)
حتی اگر در حال حاضر هیچ برنامه ای برای بهره برداری از یک سامانه امضای دیجیتال در کسب و کارتان ندارید، باز هم لازم است تا از تکنیک های مدیریت این مستندات آگاه باشید زیرا بسیار محتمل است که در آینده یکی از آنها را دریافت کنید!
[1] Timestamp
[2] VRI (Verification Related Information)
[3] DSS (Document Security Store)
[4] Advanced Electronic Signatures
[5] TSA (Timestamping Authority)
[6] Qualified Electronic Signature
[7] LTA: Long Term Archival with Timestamps
[8] LTV: Long Term Validation
[9] Integrity
[10] Availability
[11] Notary
[12] OCP: Online Certificate Status Protocol
[13] CSP: Cryptographic Service Provider
ترجمه و تالیف: فروغ مروّج صالحی