اسناد امضا شده به صورت دیجیتالی تا چه مدت بایگانی می‌شوند؟

استاندارد بایگانی فایل های PDF

شما می‌توانید یک مستند پی دی اف را برای مدت زمانی طولانی نگهداری کنید که این به معنی نیاز به ابزارهایی برای اطمینان از اعتبار امضای الکترونیکی آن در دوره ای طولانی است.

به فرض اگر آن گواهی باطل شده باشد ، یا مرکز صادر کننده آن دیگر به قوت خود باقی نباشد، چه اتفاقی می افتد؟ اگر اسناد مهمی داشته باشید لازم است تا همچنان از اعتبار امضای آن اطمینان حاصل کنید. اسناد امضا شده دیجیتالی با داشتن استانداردهای بایگانی می‌توانند این اطمینان را ایجاد کنند.

استانداردهای متعددی وجود دارند که برای حل این مشکل تلاش می کنند. آنها نحوه بایگانی فایل های پی دی اف را تحت استاندارد PADES تعریف می‌کنند.

 

پروفایل پایه ای PADES

پروفایل های زیر در مشخصات فنی معرفی شده است:

اسناد امضا شده به صورت دیجیتالی

 

سطح B : این پروفایل مربوط به امضاهای الکترونیکی کوتاه مدت است و باید شامل یک امضای الکترونیکی و یک گواهی امضا باشد.

سطح T: این پروفایل مانند پروفایل B است، با این تفاوت که یک مهرزمان [1]که علامت زمانی برای نمایش زمان و تاریخ امضاست به آن اضافه می‌کند.

سطح LT: این سطح مانند سطح T است، ولی اطلاعات مرتبط با تایید[2]  را به مخزن امنیت مستند[3] اضافه می کند. به اختصار، این پروفایل این امکان را ایجاد می‌کند که یک مستند امضا شده حتی پس از مدت زمانی طولانی نیز دارای اعتبار باشد، حتی زمانی که محیط امضا ( از جمله مرکز ریشه صدور گواهی) دیگر در دسترس نباشد. سطح LT برای امضاهای الکترونیکی پیشرفته[4]  توصیه می شود ولی برای هر مورد ابتدا باید قانون ملی مربوط به آن نیز برررسی شود.

سطح LTA : این سطح بر پایه سطح LT بنا شده است و به مخزن امنیت مستند یک مهر زمان و اطلاعات مرتبط با تایید آن برای مرجع[5] مهرزمان اضافه می‌کند.  یک فرم سطح LTA  به تایید اعتبار امضا با وجود هر رویدادی که ممکن است اعتبارش را محدود کند، کمک می‌کند. این پروفایل برای امضای الکترونیکی واجد شرایط[6] ( امضای دیجیتال قانونی) توصیه می‌شود.

 

بایگانی طولانی مدت با مهر زمان (LTA)[7]

سطح پروفایل LTA ، مربوط است به مستند های پی دی اف که برای مدتی طولانی ذخیر می شوند و بسیار مشابه پروفایل [8]LTV ( معتبر برای دوره طولانی) می باشد. در سطح LTA، توکن های  مهر زمان در امضای PADES گنجانده شده است که به تمامیت[9] و قابل وصول بودن[10] مستند امضا شده می انجامد.

 

فرایند اضافه کردن مهر زمان

 

برای مطابقت با سطح LTA، نه تنها برآوردن الزامات LTA ضروری است بلکه االزامات سطوح B،L و LT نیز باید برآورده شوند. امضاهایی که از LTA تبعیت می کنند باید حداقل یک مهر زمانی به پروفایلشان اعمال شده باشد. پیش از تولید و گنجانده شدن مشخصه مهر زمان در پروفایل امضای مستند، همه موارد لازم برای اعتباربخشی به تایید امضا باید به آن ضمیمه شده باشد.  این موارد شامل همه گواهی ها و اطلاعات وضعیت ( OCSP یا CRL ) مرتبط با آن گواهی هاست. این اطلاعات برای اعتبار بخشی به موارد زیر مورد نیازند:

  • گواهی امضا
  • هر گواهی مشخصه ای که در امضا استفاده شده
  • هر توکن مهر زمانی که در امضا ضمیمه شده

استفاده از استاندارد LTA بر  پایه PADES ، منجر به حصول اطمینان از اعتبار و  تمامیت مستندهای پی دی اف امضا شده که ممکن است در آینده دور مورد نیاز باشند، می شود.

اما یک چالش دیگر نیز برای نگهداری طولانی مدت وجود دارد: چه خواهد شد اگر الگوریتم های امضا که امروز مورد اعتماد همگان است ، جلوه و قدرت خود را در آینده از دست بدهند؟ امضایی که برای مدت زمانی طولانی بایگانی شده است، در اصل می‌تواند به خطر بیفتد. برای مثال، یک ضعف بهره برداری در آینده – ناشی از کلیدهایی که به اندازه کافی برای مقاومت در برابر حملات RSA بزرگ نیستند – ممکن است به جایگزینی مستند، بدون باطل کردن امضای آن بینجامد. اسناد امضا شده دیجیتالی از چنین راهکاری استفاده می‌کنند.

برای رفع این نگرانی، رایج است که یک مجری قانونی امضا[11] ، امضای مجدد مستندها را در فواصل زمانی معین انجام دهد. امضای جدید، همیشه با الگوریتم های امضایی که در زمان خود مستحکم هستند ساخته می‌شود و چون از منظر رمزنگاری، مستندات بایگانی شده به امضای جدید مقید می‌شوند، امضا ها قابلیت به روز شدن در این روش را دارند.

عملکرد اسناد امضا شده به صورت دیجیتالی

این موضوع، عملکرد یک نهاد اعتبار سنج یا مجری قانونی امضا را مطرح می‌کند که مستند امضا شده را دریافت نموده و گزارش اعتبارسنجی مهر شده را تحویل می‌دهد. کار اصلی آن، استخراج امضای PADES از یک مستند پی دی اف برای اجرای عملیات زیر است:

  • بررسی تمامیت مستند
  • تایید ارزش امضا
  • بررسی پروتکل وضعیت گواهی آنلاین[12]
  • بررسی اینکه این گواهی امضا از یک مرجع خدمات رمزنگاری معتبر[13] صدور امضای الکترونیکی واجد شرایط، مشابه مرکز ریشه EU Trusted دریافت شده یا خیر
  • اعتبارسنجی مهر زمان
  • نمایش نام دارنده گواهی و سیاستگذاری های مربوطه (Qualified, not Qualified و …)

 

حتی اگر در حال حاضر هیچ برنامه ای برای بهره برداری از یک سامانه امضای دیجیتال در کسب و کارتان ندارید، باز هم لازم است تا از تکنیک های مدیریت این مستندات آگاه باشید زیرا بسیار محتمل است که در آینده  یکی از آنها را دریافت کنید!

 

[1] Timestamp

[2] VRI (Verification Related Information)

[3] DSS (Document Security Store)

[4] Advanced Electronic Signatures

[5] TSA (Timestamping Authority)

[6] Qualified Electronic Signature

[7] LTA: Long Term Archival with Timestamps

[8] LTV: Long Term Validation

[9] Integrity

[10] Availability

[11] Notary

[12] OCP: Online Certificate Status Protocol

[13] CSP: Cryptographic Service Provider

 


 

ترجمه و تالیف: فروغ مروّج صالحی

اشتراک گذاری:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *