2025 ж. 17 нау.·6 мин

Ұзақ мерзімді LTV қолтаңба: құжаттарды 5–10 жылдан кейін тексеру

Ұзақ мерзімді LTV қолтаңба құжаттарды 5–10 жылдан кейін тексеруге мүмкіндік береді. TSA, OCSP/CRL, PAdES форматтары және практикалық тестілеу туралы талқылаймыз.

Ұзақ мерзімді LTV қолтаңба: құжаттарды 5–10 жылдан кейін тексеру

Уақыт өте қолтаңба неге тексерілмейтін болады

Электрондық қолтаңба көбіне «мәңгілік» секілді көрінеді: құжатқа қол қойылды — бәрі дұрыс. Бірақ қолтаңбаны тексеру тек файлға ғана емес, сыртқы деректер мен ережелерге де тәуелді, ал олар уақыт өте өзгереді.

Қолтаңба бірнеше типтік себептер бойынша тексерілмейтін болуы мүмкін. Сертификат мерзімі аяқталады және тексеруші жүйе қолтаңба сол уақытта жарамды деп дәлелдей алмайды. Кері шақыру деректері ескірген: OCSP жауаптары қысқа өмірге ие, ал CRL жиі жаңартылады. Қолтаңбаны жасаған сәттегі күйді сақтамасаңыз, оны жылдан кейін қалпына келтіру мүмкін болмауы мүмкін. Сенім қорындағы корень және аралық сертификаттар өзгереді: ескі тізбектер жоғалып кетуі немесе жаңа тексеру ережелері басқа талаптарды қоюы мүмкін. Соңында, алгоритмдер мен қауіпсіздік параметрлері ескіріп қалады: 8 жыл бұрын қалыпты деп саналатын нәрсе бүгін әлсіз немесе сенімсіз деп танылуы мүмкін.

Мұнда практикалық қауіптер бар. Келісім дау тудырса, кадр құжатын тексермесе немесе қаржылық архив аудитте қиындық тудырса — мәселе көбінесе құжатқа төтенше қажет кезде шығады: қарсы тараппен дауласып жатқанда, реттеуші тексергенде немесе ішкі тергеуде.

"Тексерілетін" дегеніміз қарапайым тілмен: тәуелсіз тексеруші (сот, аудитор, қауіпсіздік қызметі, сыртқы серіктес) дәлелдерді қайта жасай алады және сенімді түрде үш сұраққа жауап бере алады: кім қол қойған, нақты қандай құжатқа қол қойылған (құжат өзгермеген) және қолтаңба қойылған кезде ол жарамды болған ба.

Сол себепті ұзақ мерзімді LTV қолтаңбаға жетіспейтін "тарихи" дәлелдемелерді қосады — сонда тексеру бүгін қолжетімді сервистерге және тексерушінің сенім қорына аз тәуелді болады.

Тексерудің негізгі компоненттері: сертификаттар және сенім

Құжатты жылдар бойы тексерілетін етіп қалдыру үшін тек қолтаңба емес, оның айналасындағы деректер жиынтығы маңызды. Оны жай ғана сұрақ ретінде елестетуге болады: 5–10 жылдан кейін кім қол қойғанын, қандай сертификатпен және сол сертификаттың қол қойылған сәтте сенімді және жарамды болғанын дәлелдей аласыз ба?

Бірінші деңгей — сертификат тізбегі. Әдетте онда қолтаңба жасаған сертификат және бір немесе бірнеше УЦ сертификаттары (аралықтар мен корень) болады. Егер тексеруші осы тізбекті құра алмай қалса, файл дұрыс болғанымен қолтаңба «белгісіз» болып көрінуі мүмкін.

Екінші деңгей — корень сертификатқа және тексеру ережелеріне сену. Тексеру сенім қорына (жұмыс станциясында, серверде немесе құжат айналым жүйесінде) және онда қандай корень УЦ-лары рұқсат етілгеніне сүйенеді. 5–10 жылдан кейін проблема көбіне қолтаңбада емес, сенім тізімдерінің, ұйым саясатының немесе реттеуші талаптарының өзгеруінде болады.

Квалификацияланған және біліктілігі жоқ қолтаңба УЦ талаптары, кілт сақталу ортасы және процедуралар бойынша ерекшеленеді. Ұзақ мерзімде бұл маңызды: кей тексеру жүйелері міндетті түрде квалификацияланған атрибуттарды күтуі мүмкін. Құжат мемлекеттік жүйелерде немесе аудит тарапынан қабылдануы тиіс болса, қандай тип қолтаңба міндетті екендігін алдын ала анықтау керек.

Тексерушіге жылдардан кейін бәрі қажет болсын деп, әдетте бастапқы құжат пен қолтаңбаны (контейнер), толық сертификат тізбегін (қолтаңба жасаған, аралықтар, кейде корень), сертификат саясаты туралы ақпаратты (OID және параметрлер) және сол күнге қатысты сертификат мәртебесін растайтын деректерді сақтайды.

Сертификат саясаты күтпеген жерден маңызды болады: сыртқыдан ұқсас екі сертификат әртүрлі тағайындаулар мен шектеулерге байланысты әртүрлі тексерілуі мүмкін. Сондықтан LTV енгізгенде типтік құжаттарда тест жүргізіп, сенім кореньдері мен саясаттардың жұмыс орнында және сервелерде бірдей танылатынына көз жеткізу пайдалы.

TSA уақыт белгісі: не үшін қажет және не дәлелдейді

TSA уақыт белгісі қолтаңба нақты бір сәтте болғанын және сол кезде қолтаңба жасаған сертификаттың жарамды болғанын тіркейді. Бұл LTV үшін маңызды, себебі жылдан кейін сертификат мерзімі өтіп немесе кері шақырылуы мүмкін, ал тексеруші сол уақытта бәрі дұрыс болғанын түсінуі тиіс.

Құжат ішіндегі қалыпты дата ештеңені дәлелдемейді: оны өзгертуге болады. Жүйелік сағат та жарамайды: оны оңай өзгертуге болады, әрі кейін қай уақытта құрылғыда қандай уақыт болғанын сенімді түрде дәлелдеу қиын. TSA дәл осы сенімді уақыт мәселесін шешеді: уақытты сыртқы қызмет бекітіп, өз жауабына қол қояды.

Уақыт белгісі токен ішінде құжаттың өзін сақтамайды, тек қолтаңбаның немесе қолтаңба деректерінің "биттегішін" (хэш) және қызметтік атрибуттарды сақтайды. Әдетте онда белгіленген объектінің хеші, TSA-ның көрсеткен нақты уақыты, саясат идентификаторы мен токен сериалы, хештеу және қол қою алгоритмдері туралы мәлімет бар. TSA қолтаңбасының өзіне қарап сенімді уақытқа сенеді.

Маңызды: TSA «кім қол қойғанын» дәлелдемейді, бірақ «қашан қол қойылғанын» дәлелдейді. Даулы жағдайларда бұл әсіресе пайдалы. Мысалы, келісім тоқсан соңында қол қойылды, ал тексеру 7 жылнан кейін өтсе — сертифика мерзімі ұзақ уақыт бұрын аяқталған болуы мүмкін. Уақыт белгісі арқылы қолтаңбаның сертификат мерзімі бітпеген кезде жасалғанын көрсету оңайырақ.

TSA міндетті ме, әлде тек тәуекелді азайту ма — бұл сала талаптарына және архивтеу ережелеріне байланысты. Практикада TSA көбінде ұзақ мерзімде тексерілетін құжаттарда қолданылады: кадр және келісім архивтері, реттеуші тексерулер мен дау жағдайларында сенімді уақыт қажет болған жерлерде.

Тіпті формалды түрде TSA міндетті болмаса да, бұл жиі жақсы сақтандыру ретінде қызмет етеді: сіз алдын ала ең көп қойылатын сұрақтың бірін жоясыз — қолтаңба жасалған күнге сенуге болады ма?

OCSP және CRL: қолтаңбамен не сақтау керек

Кей жылдардан кейін қолтаңбаны тексеру жиі құжат өзгермегеннен емес, сертификат мәртебесін сол күйінде дәлелдей алмаудан бұзылады. Бүгін УЦ сервисі сертификаттың жарамды екенін айтады, ал 5–10 жылдан кейін бұл жауап қолжетімді болмауы мүмкін: УЦ инфрақұрылымын өзгертеді, деректерді шектеулі уақытқа жариялайды немесе қатынас жабылады.

Қолтаңба тексерілуі үшін қол қою күніндегі сертификаттың отоздалмағанын және мерзімі аяқталмағанын дәлелдейтін деректерді жазып қою маңызды. Мұған OCSP және CRL екі дерек көзі қолданылады.

OCSP — бұл УЦ серверінің белгілі бір сертификаттың көрсетілген уақытта жарамды болғанына қатысты онлайн жауабы. OCSP құндылығы — оны қолтаңбаға енгізіп сақтауға болатын қысқа қол қойылған растама болып табылады. LTV профильдерінде OCSP-ны әдетте қолтаңба контейнеріне кіргізеді, сонда тексеру офлайн өтуі мүмкін.

CRL — УЦ жариялайтын кері шақырулар тізімі, ол периодтық шығарылады. OCSP жоқ немесе саясат бойынша өшірулі болған кезде немесе көптеген сертификаттарды бірден тексеру қажет болса, CRL пайдалы. Минусы — CRL үлкен болуы мүмкін және дәл қолтаңба жасалған күнді қамтитын, УЦ-ның қолы бар нақты шығарылымын сақтау керек.

Ұзақ мерзімді LTV үшін минималды жинақ: қолтаңба және барлық сертификат жолы (қолтаңба жасаушы, аралықтар, кейде корень), мәртебені растайтын дәлелдер (OCSP жауаптары және/немесе сәйкес CRL) және осы дәлелдемелерге байланыстырылған уақыт (әдетте TSA мен OCSP уақыты арқылы).

Мысалы: 2026 жылы кадрға бұйрыққа қол қойғансыз. 2034 жылы тексеруші оқшауланған желіде құжатты ашады. Егер қолтаңбаға OCSP/CRL және сертификат тізбегі енгізілген болса, тексеру сол кезде сертификаттың әлі жарамды және отоздалмағанын көрсетіп береді, тіпті бүгін сертификаттың мерзімі өтіп кеткен болса да.

PAdES, XAdES, CAdES форматтары және LT-LTA профильдері

ЭДО және архив серверлері
Жүктемені бағалап, S200 негізіндегі серверлер мен жұмыс станцияларына баптамалар ұсынамыз.
Есептеу

Қолтаңба форматын дұрыс таңдау LTV ұйымдастыруға мүмкіндік береді немесе, керісінше, көптеген қолмен жасалатын айналымдарға алып келеді. Құжат әдеттегідей ашылады, бірақ бірнеше жылдан кейін тексеру «валидті емес» көрсетіп жатса, формат ішінде қажетті дәлелдемелер сақталмаған болуы мүмкін.

PAdES PDF үшін қолданылады. Бұл келісімдер, кадр бұйрықтары, актілер мен есептер үшін жиі кездесетін сценарий: PDF қарауға және басып шығаруға ыңғайлы, және көптеген реттеуші/ішкі талаптар дәл осы форматқа бағытталған. Ұзақ сақтау үшін әдетте PAdES-LT немесе PAdES-LTA профильдері таңдалады, сонда файлдың ішінде тексеру деректері болады.

XAdES XML құжаттары үшін қолданылады (жүйелер арасындағы құрылымдық алмасу), ал CAdES — кез келген файл немесе контейнерді қол қою үшін жиі пайдаланылады. Ұзақ сақтау үшін маңыздысы — дәлелдемелер қайда сақталады: OCSP/CRL және сертификат тізбегі қолтаңбаның өзінде ме, әлде сыртқы қоймаларда ма. Сыртқы қоймалар жылдардан кейін қолжетімсіз болуы мүмкін.

LT және LTA: айырмашылықтары

LT профилі әдетте қолтаңбаға сертификаттар мен мәртебе деректерін (OCSP/CRL) қосу арқылы желіге жүгінбей тексеруге мүмкіндік береді.

LTA профилі қосымша: уақыт өте келе криптография мен саясаттар өзгерген жағдайда дәлелдемелер базасын ұзартуға арналған периодтық архивтік уақыт белгілерін қосады.

Дұрыс емес формат таңдаудың типтік салдары: бүгін қолтаңба «жасыл», ал 3–5 жылдан кейін онлайн тексерусіз өтпейді; қолтаңба жасаған сертификат мерзімі өтіп кеткенде TSA болмаса оның қашан жасалғаны түсініксіз; сенім тізбегінің бөліктері жоқ болса, тексеру сыртқы көздерге тәуелді болып қалады.

Архивтік тұрақтылық: 5–10 жылдан кейін тексеруді қалай қамтамасыз ету

Құжатты бір рет қол қою жеткіліксіз — сертификаттар мерзімі өтіп, сенім тізбектері және криптоалгоритмдер өзгеруі мүмкін. Архивтік тұрақтылық дәлелдемелерді жинақтау мен жаңарту арқылы осы мәселені шешеді.

Архивтік қолтаңба (мысалы, LTA профилі) — құжатпен бірге тексеру үшін қажет нәрсенің бәрін сақтайтын тәсіл: сертификат тізбегі, OCSP жауаптары немесе CRL, және TSA уақыт белгілері. Дәлелдемелерді қажет болғанда кейін толықтыруға болады, құжаттың мәні өзгермейді.

Уақыт белгілерін ұзарту — дәлелдемелер қаптамасын жаңарту іспеттес. Сіз құжаттың нақты бір күнде бар болғанын және қолтаңбаның сол уақытта дұрыс болғанын бекітесіз, кейінірек дәлелдемелер жиынына жаңа уақыт белгісін қосып отырасыз. Бұл криптоалгоритмдердің ескіргені, аралық сертификаттардың өзгеруі, реттеуші талаптардың жаңаруы сияқты жағдайларды еңсеруге көмектеседі.

Қарапайым сақтау саясаты болмаған жағдайда LTV тез арада иесіз файлдар жинағына айналады. Регламентте әдетте құжат түрлеріне сәйкес сақтау мерзімдері, жаңартуларға жауаптылар, уақыт белгілерін ұзарту жиілігі және бастапқы дәлелдемелердің қай жерде сақталатыны (операция журналдарын қоса) бекітіледі.

Бірінші кезекте LTA-ға ауысқан дұрыс болатын құжаттар: жиі жылдардан кейін талап етілетін және сыртқы сервистерге жүгінбестен тексерілуі тиіс кадр құжаттары, ұзақ мерзімді шарттар, қаржы және сатып алу құжаттары, тексерістер мен дауларға арналған материалдар, сондай-ақ сақтау мерзімдері бойынша медицина және білім архивтері.

Практикалық мысал: ұйымда уақыт белгілерін 2–3 жыл сайын жаңарту күнтізбеге енгізіледі және жауапты ИТ немесе архивке бекітіледі. Егер инфрақұрылым мердігермен жүргізілсе, дәлелдемелерді қалай өткізу және орындаушы ауысқанда архив тұтастығын қалай растау керектігін алдын ала келісу маңызды.

Қадамдап: құжатты ұзақ сақтау үшін қалай дайындау керек

5–10 жылдан кейін тексеруші интернетсіз және УЦ-ның "тірі" сервистері жоқ жағдайда да тексеруді өткізу үшін бәрі қолында болуы тиіс. Сонда ғана LTV қолтаңба дәлел ретінде жұмыс істейді.

  1. Не қол қоятынды және құжат қалай сақталатынын анықтаңыз. Кадр бұйрықтары үшін көбіне PDF таңдалады, жүйелер арасындағы алмасу үшін XML, ал файлдар жиынтығын жіберу үшін контейнер ыңғайлы.

  2. Сенімді жинақтаңыз: қолтаңбаға сертификат тізбегін қосыңыз (қолтаңба жасаушы, аралықтар, кейде корень — сіздің саясатқа сәйкес). Сертификат тізбегі жоқ болса, бірнеше жылдан кейін тексеру жетіспеушілікке ұшырауы мүмкін.

  3. Сертификат мәртебесін бекітіңіз. Қолтаңбаға OCSP және/немесе CRL енгізіп, құжатты офлайн тексеріп көріңіз. Типтік қате — бәрі "жасыл" тек интернет байланысы барда.

  4. TSA уақыт белгісін қосыңыз. Ол қолтаңбаның нақты уақытта болғанын бекітеді және қолтаңба жасаған сертификат мерзімі аяқталған жағдайда көмектеседі. TSA-ға сенім орнатылғанына және TSA тізбегі офлайн тексеруге қолжетімді екеніне көз жеткізіңіз.

  5. Архивтік нұсқаны (LTA) жинаңыз: файлдың ішінде қолтаңба, уақыт белгілері, тексеру деректері және қажет болса кейін жаңартуға мүмкіндік болсын.

Архивке тапсырмас бұрын қысқа бақылау тексерісі жасаңыз: таңдалған формат пен профиль LTV-ні қолдай ма; ішінде тізбек бар ма; OCSP/CRL ендірілген бе және офлайн тексеру өтеді ме; TSA офлайн тексеріледі ме; және нәтижелер (қай деректермен тексерілгені, дата және тексеру құралы) құжатталған.

Жақсы тәжірибе — 2–3 типтік құжатпен (PDF бұйрық, PDF келісім, XML/контейнер акт) тест өткізіп, тексеру есебін архивтік көшірменің қасында сақтау.

LTV-ні типтік құжаттарда қалай тестілеу керек

ЭЦП үшін баяулатпайтын жұмыс орындары
Күнделікті құжаттарға қолтаңба қоятын қызметкерлерге арналған ПК және моноблоктарды таңдаймыз.
Компьютер таңдау

LTV тесті жасыл галочка үшін ғана емес, басқа адам бірнеше жылдан кейін интернетсіз тексеруді өткізе ала ма — соны тексеру үшін қажет. Ыңғайлысы — нақты қолданылатын шағын, әртүрлі файлдар жинағын дайындау.

"Типтік чемодан" құжаттарды жинаңыз: PDF келісім (қысқа, 30–50 бет), шот-фактура немесе акт, кадр бұйрығы, сенімхат және бірнеше қол қойған құжат.

Алдымен құжаттарды "бүгін" тексеріп шығыңыз. Маңыздысы — қолтаңба валидті екенін ғана емес, сонымен қатар қолтаңбаға қажетті дәлелдемелер (сертификат тізбегі, OCSP/CRL және TSA) шынымен кіргенін тексеру. Сондай-ақ сертификат статусы дәл сол күнге қатысты анықталғанына көз жеткізіңіз.

Содан кейін «жылдардан кейінгідей» тексеруді өткізіңіз: интернетті өшіріп, құжатты офлайн тексеріңіз; басқа машинада (басқа пайдаланушы профилі, басқа сенім кореньдері) тексеріңіз; тексеру құралдарының жаңартылған нұсқаларында қайталама тексерулер жасаңыз; және сервер деректері өзгеруі мүмкін деп бір-екі аптадан кейін тағы тексеріңіз.

Нәтижелерді төтенше жағдайда немесе аудитте қайтару үшін жазып қойыңыз: тест күні, файл хеші, қолданылған ПО мен нұсқа, тексеру статусы (есептің экспортын немесе скриншот), және қысқа сипаттама (онлайн/офлайн).

Өзгерістерге арналған тесттер жоспарлаңыз: УЦ ауысуы, форматқа көшу (мысалы, PAdES-LTA), криптопровайдердің жаңартылуы — дәл осы кезеңдерде жиі LTV тек интернет барда ғана жұмыс істейтінін байқауға болады.

Мысал: кадр және келісім құжаттары үшін LTV ұйымдастыру

Типтік жағдай: компания кадр бұйрықтары мен келісімдерді 7–10 жыл сақтау керек. Бірнеше жылдан кейін кей УЦ регламенттерін өзгертеді, сертификаттар отоз болады, OCSP жауаптары қолжетімсіз болуы мүмкін. Құжаттың әлі де тексерілуі үшін дәлелдемелер бірден жинақталған LTV қажет.

Қол қою күнінде не істеледі

Міндет — қолтаңба мен сенім күйін сол сәтте тіркеп, оны қолтаңба контейнеріне енгізу.

  • Құжат LT немесе бірден LTA профильінде қол қойылады (саясат талаптары қатаң болса).\n- Қолтаңбаға TSA уақыт белгісі қойылады — бұл қолтаңбаның және деректердің нақты уақытта бар болғанын растайды.\n- Сертификат тізбегі (қолтаңба жасаушы және аралықтар) енгізіледі, сонда сыртқы көздерге тәуелді болмайсыз.\n- Қолтаңба жасалған күнге қатысты мәртебені растайтын OCSP және/немесе CRL сақталады.\n- Тексеру нәтижесі протоколданады (қандай ПО-мен тексерілгені, дата, нәтиже), сонда аудит сұрағанда жауап беру жеңіл болады.

Жылына не істеледі

Ұзақ сақтау — бұл тұрақты бақылау.

Жылына бір рет таңдамалы түрде (мысалы, құжат түрлері бойынша 1–5%) тексеріп, алгоритмдер мен сертификаттардың мерзімін қарап, қажет болса құжаттарды архивтік деңгейге көтеріп, жаңа уақыт белгілерін қосады. Нәтижелер бақылау журналында сақталады және архивпен бірге жіберіледі.

Аудитор келгенде тек PDF-ті ғана емес, толық дәлелдемелер пакетін көрсету маңызды: енгізілген сертификаттар, OCSP/CRL, уақыт белгілері және ағымдағы күндегі қайта тексеру есебі. Мұндай процестерді көбіне ИТ және қауіпсіздікпен біріге енгізеді; жүйелік интегратор (мысалы, GSE.kz) сақтау талаптары, қолтаңба форматы және бақылау рәсімдерін сәйкесінше байланыстырып бере алады.

TSA және LTV енгізуде жиі кездесетін қателер

ЭЦП және архивті интеграциялау
Қолтаңба, архив және бизнес-жүйелерді біртұтас интеграцияға байланыстырамыз.
Жобаны талқылау

Мәселе көбіне былай басталады: "бүгін бәрі қойылады", ал бірнеше жылдан кейін кенеттен тексеру мүмкін болмай қалады.

Бірінші қателік — онлайн тексеруге сеніп, қолтаңбаға ештеңе енгізбеу. Егер 5 жылдан кейін OCSP қызметі жоқ немесе CRL жарияланбайтын болса, тексерушінің сертификат мәртебесін қайдан алатыны белгісіз. LTV-нің қағидаты: дәлелдемелер құжатпен бірге сақталуы керек.

Екінші қателік — TSA бар, бірақ дұрыс емес объектіге қойылған. Мысалы, уақыт белгісі эскизге, бөлек қолтаңба файлына немесе соңғы PDF нұсқасына сай келмейтін хешке қойылған. Нәтижесінде уақыт белгісі басқа объектінің уақытын растайды және дау кезінде көмектеспейді.

Үшінші қателік — тек соңғы қолтаңба жасаған сертификатты сақтау. Аралық сертификаттар мен кореньсіз тексеру бірнеше жылдан кейін жиі құлап қалады, әсіресе сенім қорлары жаңартылғанда.

Төртінші — уақыт белгісінен кейін құжатты өзгерту: бет қосу, PDF-ті қайта сақтау немесе басқа редакторда штамп қою. Тіпті көзге көрінбейтін өзгерістер (қайта сығып сақтау, метадеректер өзгерту) бүтіндікті бұзады.

Бесінші — LTA-ға көшіру және мерзімдерді бақылаудың регламентінің болмауы. Минимум ретінде: OCSP/CRL және сертификат тізбегі енгізілген болу, TSA финалдық нұсқаға қойылған болу, құжат қолтаңбадан кейін өзгермеген болу, мерзімдерді ұзарту және жауаптылар анықталған болу, типтік құжаттарда тест өтуі қажет.

ЭДО жобаларында бұл жиі бірқатар қарапайым ережелермен шешіледі: бір бекітілген қолтаңба құралы, қолтаңба қойған файлдарды қайта сақтауға тыйым салу және архивтік ұзартулар күнтізбесі.

Жылдам чеклист және келесі қадамдар

10 жылнан кейінгі тексеруге сену алдында базаны тексеріңіз. LTV әдетте криптографиядан емес, архивке қажетті дәлелдемелердің кірмеуінен немесе тексерудің сыртқы сервистерге тәуелді болуынан бұзылады.

Бір құжат үшін қысқа чеклист:

  • Дұрыс профиль таңдалған (мысалы, LT немесе LTA) және қолтаңба шын мәнінде сол профильде сақталған.\n- Құжатта толық сертификат тізбегі кореньге дейін бар (аралықтар қоса).\n- Сертификат мәртебесін растайтын деректер сақталған: OCSP және/немесе CRL, және олар қандай уақытқа қатысты екенін түсіну қажет.\n- TSA уақыт белгісі бар, оның қолтаңбасы валидті және уақыты сертификат мерзімі аяқталғанға дейін және кері шақыруға дейінгі аралыққа түседі.\n- Офлайн тексеру таза машинада интернетсіз және сыртқы адреске жүгінбей өтіледі.

Егер офлайн тексеру өтпесе, бұл жақсы белгі: сіз 5–10 жылдан кейін проблеманы табылды деп санайтын тәуелділікті таптыңыз.

Осыны қолмен тексеріп отыру «мерекелерде» істелетін жұмыстар жинағына айналмас үшін рутинаны автоматтандыру ұсынылады: құжаттарды топтық тексеру, аудитке арналған түсінікті есептер (не тексерілді және қандай деректермен), мерзімдерді бақылау (қашан жаңа уақыт белгісі қосу керек немесе сенім қорларын жаңарту қажет).

Тесттер үшін қарапайым стенд пайдалы: бөлек машина немесе виртуалка, эталондық құжаттар жинағы (келісім, кадр бұйрығы, шот), өзгерістер журналы. ПО, сенім кореньдері немесе саясат өзгерген сайын оның неге әсер еткенін жазып отырыңыз, сонда "кешегі күні жасыл еді, бүгін неге жоқ" деген сұрақтың жауабын табу оңай болады.

Қосымша қадамдар, олар тез нәтиже береді:

  • Қысқа регламент жазу: кім және қашан LTV атрибуттарын қосатыны, сенімді қайда сақтайтыны, офлайн тексеру қалай өтілетіні.\n- 20–50 түрлі типтік құжатқа пилот өткізу.\n- Архивтік ұзарту (LTA) және есептер бойынша қателерді бақылауды баптау.\n- Сақтау талаптарын бекіту: құжатпен бірге барлық тексеру дәлелдемелері сақталуы тиіс.

Егер офлайн тексеру және архив сақтау үшін бөлек контур қажет болса, GSE.kz серверлер мен жұмыс станцияларын таңдап, ұйымыңыздың талаптары мен сақтау регламентіне сай жүйені біріктіруге көмектесе алады.

FAQ

Бүгін «валидті» көрінген қолтаңба неге бірнеше жылдан кейін тексерілмейтін болуы мүмкін?

Тексеру файлдан бөлек сыртқы дәлелдемелерге тәуелді: сертификаттар тізбегі, кері шақыру мәртебесі (OCSP/CRL), сенім тамырлары және криптоқауіпсіздік талаптары. Уақыт өткен сайын сертификаттар аяқталады, УЦ сервистері өзгереді, алгоритмдерге қойылатын талаптар қатаңдайды — ал егер «тарихи» деректер сақталмаса, қолтаңба тексерусіз қалуы мүмкін.

LTV деген не және ол әдеттегі қолтаңбаға не «қосады»?

LTV — бұл қолтаңбаға болашақта сыртқы сервистерге жүгінбей-ақ тексеруге қажет барлық дәлелдемелерді қосатын тәсіл. Қарапайым тілмен айтсақ, сіз қолтаңба жасалған кездегі сенім мен мәртебенің «снимогын» бекітесіз, сонда 5–10 жылдан кейін кім қол қойғанын, құжат өзгермегенін және сол уақытта қолтаңба жарамды болғанын дәлелдей аласыз.

5–10 жылға тексеру үшін қолтаңбамен бірге не сақтау керек?

Әдетте қажет нәрселер: бастапқы құжат, қолтаңба (контейнер), толық сертификат тізбегі (қолтаңба жасаған және аралық сертификаттар, кейде сенім тамыры), және сертификаттың сол күнгі мәртебесін растайтын дәлелдемелер (OCSP-жауабы және/немесе сәйкес CRL). Егер дәлелденетін уақыт маңызды болса, TSA уақыт белгісін қосады — бұл қолтаңбаның нақты уақытта болғанын көрсетеді.

Құжатта күн бар болса, TSA неге қажет?

TSA уақыты қолтаңбаның кім екендігін дәлелдемейді, алайда қолтаңба нақты бір уақытта болғанын сенімді түрде растайды: сыртқы сенімді қызмет қол қойып береді. Бұл әсіресе қолтаңба жасаған сертификат мерзімі өтіп кеткенде маңызды: TSA арқылы қолтаңбаның сертификат мерзімі бітпеген кезде жасалғаны көрсетіледі.

LTV үшін OCSP пен CRL арасында практикалық айырмашылық неде?

OCSP — белгілі бір сертификат бойынша берілген қысқа қол қойылған жауап, оны қолтаңбаға енгізіп офлайн тексеруге ыңғайлы. CRL — УЦ жариялайтын мерзімді кері шақырулар тізімі; OCSP жоқ кезде немесе көптеген сертификаттарды бірден тексеру қажет болғанда пайдалы. Алайда CRL нақты шығарылымын — қолтаңба жасалған мерзімді жабатын нұсқасын — сақтау керек.

LT және LTA профилдері неімен өзгеше, және қашан LTA қажет?

LT профилі — қолтаңбаға сертификаттар мен мәртебе дәлелдерін (OCSP/CRL) қосу арқылы желіге жүгінбей тексеруге мүмкіндік береді. LTA — қосымша архивтік уақыт белгілерін үнемі қоятын деңгей: дәлелдемелерге жаңа уақыт белгілерін қосып тұру арқылы криптоалгоритмдердің және сенім тізбегінің өзгерістерінен сақтайды.

Жылдарға арналған архив үшін PAdES, XAdES немесе CAdES арасынан қалай таңдау керек?

PAdES — PDF файлдары үшін, келісімдер мен приказы сақтау үшін жиі таңдалады; XAdES — XML құжаттарында; CAdES — кез келген файл немесе контейнер үшін. Ұзақ сақтау үшін негізгі критерий — формат дәлелдемелерді файл ішінде сақтай ала ма (сертификат тізбегі, OCSP/CRL, TSA), әлде тек сыртқы ресурстарға сенеді ме.

LTV-нің офлайн режимде шынымен жұмыс істейтінін қалай дұрыс тексеруге болады?

Офлайн жұмыс істейтін адам басқа машинада және безінтернет режимінде құжатты тексерсе, нәтижені қайтарып бере ала ма — осыны тексеріңіз: интернет өшірілгенде файлдың өзінде барлық құжаттамалық дәлелдемелер бар ма. Егер офлайнда тексеру өткізілмесе, сіз сыртқы сервистерге тәуелдісіз деген сөз.

Ұзақ сақтау үшін қолтаңбаны жарамсыз ететін ең жиі қателер қандай?

Ең жиі кездесетін қателер: қолтаңбадан кейін файлды қайта сақтау немесе редакциялау; тек қолтаңба жасаған адамның сертификатын сақтау, бірақ аралық сертификаттарды сақтамау; уақыт белгісі дұрыс объектіге қойылмау (мәселен, ол жобадағы файлға немесе басқа хешке қойылған). Бұлар тексеруді болашақта бұзуы мүмкін.

LTV-ні ұйымға енгізуді қайдан бастау керек, қиындықтарға батып қалмас үшін?

Бастау үшін қарапайым регламент жасаңыз: қандай профиль таңдалатынын анықтау (LT/LTA), TSA және OCSP/CRL-ды кім қосатыны, офлайн тексеруді қалай өткізу керек және архивтік мерзімдерді кім бақылайтыны. Пилот ретінде 20–50 түрлі құжатпен тест өткізіп, жүйені автоматтандыру деңгейін біртіндеп арттыру ұсынылады. Қажет кезде GSE.kz сияқты жүйелік интегратор сіздің талаптарыңызға сай инфрақұрылымды және процестерді байланыстырып бере алады.