Связанные контейнеры подписи
| Расширение имени файла | .asice,.sce |
|---|---|
| Тип интернет-СМИ | application/vnd. |
| Магическое число | 50 4B 03 04 (тип носителя контейнера присутствует, начиная со смещения 38) [1] |
| Разработано | ЕТСИ |
| Первоначальный выпуск | 2011 |
| Контейнер для | XAdES , CAdES , временная метка , подписанные объекты |
| Расширенный от | Zip (формат файла) , OpenDocument , EPUB |
| Открытый формат ? | Да |
| Расширение имени файла | .asics,.scs |
|---|---|
| Тип интернет-СМИ | application/vnd. |
| Магическое число | 50 4B 03 04 (тип носителя контейнера присутствует, начиная со смещения 38) [1] |
| Разработано | ЕТСИ |
| Первоначальный выпуск | 2011 |
| Контейнер для | XAdES , CAdES , временная метка , подписанный объект |
| Расширенный от | Zip (формат файла) , OpenDocument , EPUB |
| Открытый формат ? | Да |
Контейнеры связанных подписей (ASiC) определяют использование структур контейнеров для связывания одного или нескольких подписанных объектов с помощью расширенных электронных подписей или токенов временных меток в один цифровой контейнер. [2]
Нормативный контекст
Согласно регламенту eIDAS [3] , связанный контейнер подписей (ASiC) для eIDAS — это контейнер данных, который используется для хранения группы файловых объектов и цифровых подписей и/или утверждений времени, связанных с этими объектами. Эти данные хранятся в ASiC в формате ZIP.
Решение Европейской комиссии 2015/1506 от 8 сентября 2015 года об исполнении установило спецификации, касающиеся форматов расширенных электронных подписей и расширенных печатей, которые должны признаваться органами государственного сектора в соответствии со статьями 27 и 37 регламента eIDAS. Государства-члены ЕС, требующие расширенную электронную подпись или расширенную электронную подпись на основе квалифицированного сертификата, должны признавать расширенную электронную подпись XML , CMS или PDF на уровне соответствия B, T или LT или с использованием связанного контейнера подписи, если эти подписи соответствуют следующим техническим спецификациям: [4]
- Базовый профиль XAdES — ETSI TS 103171 v.2.1.1.
- Базовый профиль CAdES — ETSI TS 103173 v.2.2.1.
- Базовый профиль PAdES — ETSI TS 103172 v.2.2.2.
- Базовый профиль контейнера ассоциированной подписи - ETSI TS 103174 v.2.2.1 [5]
Технические спецификации ASiC были обновлены и стандартизированы с апреля 2016 года Европейским институтом телекоммуникационных стандартов в стандарте Associated Signature Containers (ASiC) (ETSI EN 319 162-1 V1.1.1 (2016-04) [1] [6] , но этот обновленный стандарт не требуется Исполнительным решением Европейской комиссии.
Структура
Внутренняя структура ASiC включает две папки:
- Корневая папка, в которой хранится все содержимое контейнера, которая может включать папки, отражающие структуру этого содержимого.
- Папка «META-INF», которая находится в корневой папке и содержит файлы, содержащие метаданные о контенте, включая связанные с ним файлы подписи и/или утверждения времени.
Такой файл электронной подписи будет содержать один объект CAdES или одну или несколько подписей XAdES . Файл утверждения времени будет содержать либо один токен временной метки, который будет соответствовать IETF RFC 3161, [7], тогда как одна запись доказательства будет соответствовать IETF RFC 4998 [8] или IETF RFC6283. [9] [2] [1]
Как используется ASiC
Одной из целей электронной подписи является защита данных, которые она прикрепляет, от изменения. Это можно сделать, создав набор данных, который объединяет подпись с подписанными данными, или сохранив отделенную подпись в отдельном ресурсе, а затем используя внешний процесс для повторной привязки подписи к ее данным. Использование отделенных подписей может быть выгодным, поскольку это предотвращает несанкционированные изменения исходных объектов данных. Однако при этом существует риск того, что отделенная подпись станет отделенной от связанных с ней данных. Если это произойдет, связь будет потеряна, и, следовательно, данные станут недоступными. [2]
Одним из наиболее распространенных внедрений стандарта ASiC является эстонская система цифровой подписи с использованием многоплатформенного (Windows, Linux, MacOS (OSX)) программного обеспечения под названием DigiDoc.
Типы контейнеров ASiC
Использование правильного инструмента для каждой работы всегда важно. Использование правильного типа контейнера ASiC для работы под рукой также важно: [2]
Простой ASiC (ASiC-S)
С этим контейнером один объект файла связан с файлом подписи или утверждения времени. Файл «mimetype», который указывает тип носителя, также может быть включен в этот контейнер. Когда включен файл mimetype, он должен быть первым файлом в контейнере ASiC. Этот тип контейнера позволит добавлять дополнительные подписи в будущем для использования при подписании сохраненных объектов файлов. Когда используются долгосрочные токены временных меток, файлы манифеста архива ASiC используются для защиты долгосрочных токенов временных меток от подделки. [1] [2]
Расширенный ASiC (ASiC-E)
Этот тип контейнера может содержать один или несколько файлов подписи или утверждения времени. ASiC-E с XAdES имеет дело с файлами подписи, в то время как ASiC-E с CAdES имеет дело с утверждениями времени. Файлы в этих контейнерах ASiC применяются к своим собственным наборам файловых объектов. Каждый файловый объект может иметь дополнительные метаданные или информацию, связанную с ним, которые также могут быть защищены подписью. Контейнер ASiC-E может быть разработан для предотвращения этой модификации или разрешения ее включения без повреждения предыдущих подписей.
Оба этих контейнера ASiC способны поддерживать долгосрочную доступность и целостность при хранении подписей XAdES или CAdES с помощью токенов с временными метками или файлов манифеста записей доказательств, содержащихся в контейнерах. Контейнеры ASiC должны соответствовать спецификации ZIP и ограничениям, которые применяются к ZIP. [1] [2]
Дополнительный контейнер утверждения времени ASiC-S
Этот контейнер работает в соответствии с базовыми требованиями контейнера ASiC Simple (ASiC-S), но также предоставляет дополнительные требования к утверждению времени. Дополнительные элементы могут находиться в папке META-INF и требуют использования переменной «SignedData» для включения информации о сертификате и отзыве. [2] [6]
ASiC-E CAdES дополнительный контейнер
Этот контейнер имеет те же базовые характеристики, что и контейнер ASiC-E, но с дополнительными ограничениями. [2] [6]
Дополнительный контейнер утверждения времени ASiC-E
Этот контейнер соответствует базовым требованиям ASiC-E, а также дополнительным требованиям и ограничениям. [2] [6]
Снижение риска потери электронной подписи
Использование ASiC снижает риск отделения электронной подписи от ее данных путем объединения подписи и подписанных ею данных в контейнере. При защите обоих элементов в ASiC проще распространять подпись и гарантировать, что правильная подпись и ее метаданные используются во время проверки. Этот процесс также может использоваться при связывании утверждений о времени, включая записи доказательств или токены временных меток, с их связанными данными. [2]
Ссылки
- ^ abcdef "Электронные подписи и инфраструктуры (ESI); Связанные контейнеры подписей (ASiC); Часть 1: Строительные блоки и базовые контейнеры ASiC (ETSI EN 319 162-1 V1.1.1 (2016-04)" (PDF) . Европейский институт стандартов в области телекоммуникаций.
- ^ abcdefghij Тернер, Дон М. "ASiC - Associated Signature Containers for eIDAS". Cryptomathic . Получено 13 июня 2017 г. .
- ^ "Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 года об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC". EUR-Lex . Европейский парламент и Совет Европейского Союза . Получено 18 марта 2016 г.
- ^ "РЕШЕНИЕ КОМИССИИ (ЕС) 2015/1506 от 8 сентября 2015 г., устанавливающее спецификации, касающиеся форматов расширенных электронных подписей и расширенных печатей, которые должны признаваться органами государственного сектора в соответствии со статьями 27(5) и 37(5) Регламента (ЕС) № 910/2014 Европейского парламента и Совета об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке" . Получено 18 марта 2018 г.
- ^ «Решение Комиссии (ЕС) 2015/1506 от 8 сентября 2015 г. об установлении спецификаций, касающихся форматов расширенных электронных подписей и расширенных печатей, которые должны признаваться органами государственного сектора в соответствии со статьями 27(5) и 37(5) Регламента (ЕС) № 910/2014 Европейского парламента и Совета об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке (текст, имеющий отношение к ЕЭЗ)». EUR-Lex. 9 сентября 2015 г.Материал скопирован из этого источника. Повторное использование разрешено при условии указания источника.
- ^ abcd "Электронные подписи и инфраструктуры (ESI); Связанные контейнеры подписи (ASiC); Часть 2: Дополнительные контейнеры ASiC (ETSI EN 319 162-2 V1.1.1 (2016-04)" (PDF) . Европейский институт стандартов в области телекоммуникаций.
- ^ Адамс, К.; Кейн, П.; Пинкас, Д.; Цуккерато, Р. "Инфраструктура открытых ключей Интернета X.509 - Протокол временных отметок (TSP)". Сетевая рабочая группа . Получено 13 июня 2017 г.
- ^ Gondrom, T.; Brander, R.; Pordesch, U. "Evidence Record Syntax (ERS)". Network Working Group . Получено 13 июня 2017 г.
- ^ Джерман Блажич, А.; Салич, С.; Гондром, Т. «Синтаксис записи доказательств расширяемого языка разметки (XMLERS)». Internet Engineering Task Force (IETF) . Получено 13 июня 2017 г.
Внешние ссылки
- DSS: бесплатная библиотека Java с открытым исходным кодом для создания/манипулирования подписями PAdES/CAdES/XAdES/ASiC
- DSS: репозиторий GitHub
- Набор инструментов AdES
