Связанные контейнеры подписи - Associated Signature Containers
| Расширение имени файла | .asice, .sce |
|---|---|
| Тип интернет-СМИ | приложение / vnd. |
| Магическое число | 50 4B 03 04 (тип носителя контейнера присутствует, начиная со смещения 38)[1] |
| Разработан | ETSI |
| изначальный выпуск | 2011 |
| Контейнер для | XAdES, CAdES, отметка времени, подписанные объекты |
| Расширен с | Zip (формат файла), OpenDocument, EPUB |
| Открытый формат ? | да |
| Расширение имени файла | .asics, .scs |
|---|---|
| Тип интернет-СМИ | приложение / vnd. |
| Магическое число | 50 4B 03 04 (тип носителя контейнера присутствует, начиная со смещения 38)[1] |
| Разработан | ETSI |
| изначальный выпуск | 2011 |
| Контейнер для | XAdES, CAdES, отметка времени, подписанный объект |
| Расширен с | Zip (формат файла), OpenDocument, EPUB |
| Открытый формат ? | да |
Связанные контейнеры подписи (ASiC) определяет использование контейнерных структур для связывания одного или нескольких подписанных объектов с помощью расширенные электронные подписи или же отметка времени жетоны в один цифровой контейнер.[2]
Нормативный контекст
Под eIDAS -регулирование,[3] связанный контейнер подписи (ASiC) для eIDAS - это контейнер данных, который используется для хранения группы файловых объектов и цифровых подписей и / или утверждений времени, связанных с этими объектами. Эти данные хранятся в ASiC в формате ZIP.
В Исполнительном решении Европейской комиссии 2015/1506 от 8 сентября 2015 г. изложены спецификации, касающиеся форматов усовершенствованных электронных подписей и усовершенствованных печатей, которые должны признаваться органами государственного сектора в соответствии со статьями 27 и 37 Регламента eIDAS. Государства-члены ЕС, которым требуется расширенная электронная подпись или расширенная электронная подпись на основе квалифицированного сертификата, должны распознавать расширенную электронную подпись XML, CMS или PDF на уровне соответствия B, T или LT или с использованием связанного контейнера подписи, если эти подписи соответствуют следующие технические характеристики:[4]
- Базовый профиль XAdES - ETSI TS 103171 v.2.1.1.
- Базовый профиль CAdES - ETSI TS 103173 v.2.2.1.
- Базовый профиль PAdES - ETSI TS 103172 v.2.2.2.
- Связанный базовый профиль контейнера подписи - ETSI TS 103174 версии 2.2.1[5]
Технические характеристики ASiC обновлены и стандартизированы с апреля 2016 г. Европейский институт телекоммуникационных стандартов в стандарте Связанные контейнеры подписи (ASiC)(ETSI EN 319162-1 V1.1.1 (2016-04),[1][6] но этот обновленный стандарт не требуется Исполнительным решением Европейской комиссии.
Структура
Внутренняя структура ASiC включает две папки:
- Корневая папка, в которой хранится все содержимое контейнера, в том числе папки, отражающие структуру этого содержимого.
- Папка «META-INF», которая находится в корневой папке и содержит файлы, содержащие метаданные о содержимом, включая связанные с ним файлы подписи и / или времени.
Такой файл электронной подписи будет содержать один CAdES объект или один или несколько XAdES подписи. Файл утверждения времени может содержать либо один токен временной метки, который будет соответствовать IETF. RFC 3161,[7] тогда как единая доказательная запись будет соответствовать IETF RFC 4998[8] или IETF RFC6283.[9][2][1]
Как используется ASiC
Одна из целей электронной подписи - защитить прикрепленные к ней данные от изменения. Это может быть сделано путем создания набора данных, который объединяет подпись с ее подписанными данными, или для сохранения отсоединенной подписи в отдельном ресурсе, а затем использования внешнего процесса для повторного связывания подписи с ее данными. Использование отсоединенных подписей может быть выгодным, поскольку это предотвращает несанкционированные изменения исходных объектов данных. Однако при этом существует риск того, что отделенная подпись будет отделена от связанных с ней данных. Если бы это произошло, связь была бы потеряна, и, следовательно, данные стали бы недоступными.[2]
Одним из наиболее распространенных применений стандарта ASiC является Электронная подпись Эстонии система с использованием мультиплатформенного (Windows, Linux, MacOS (OSX)) программного обеспечения под названием DigiDoc.
Типы контейнеров ASiC
Всегда важно использовать правильный инструмент для каждой работы. Также важно использовать правильный тип контейнера ASiC для выполняемой работы:[2]
ASiC Simple (ASiC-S)
С этим контейнером отдельный файловый объект связан с файлом подтверждения подписи или времени. В этот контейнер также может быть включен файл «mimetype», который определяет тип мультимедиа. Если файл mimetype включен, он должен быть первым файлом в контейнере ASiC. Этот тип контейнера позволит в будущем добавлять дополнительные подписи, которые будут использоваться для подписи сохраненных файловых объектов. Когда используются долговременные токены с метками времени, файлы манифеста архива ASiC используются для защиты долгосрочных токенов с метками времени от подделки.[1][2]
Расширенный ASiC (ASiC-E)
Этот тип контейнера может содержать один или несколько файлов подписи или подтверждения времени. ASiC-E с XAdES работает с файлами подписей, а ASiC-E с CAdES - с утверждениями времени. Файлы в этих контейнерах ASiC применяются к их собственным наборам файловых объектов. Каждый файловый объект может иметь дополнительные метаданные или связанную с ним информацию, которая также может быть защищена подписью. Контейнер ASiC-E может быть спроектирован так, чтобы предотвратить эту модификацию или разрешить ее включение без повреждения предыдущих сигнатур.
Оба этих контейнера ASiC способны поддерживать долгосрочную доступность и целостность при хранении подписей XAdES или CAdES за счет использования токенов с отметками времени или файлов манифеста записи свидетельств, которые содержатся в контейнерах. Контейнеры ASiC должны соответствовать спецификации ZIP и ограничениям, применяемым к ZIP.[1][2]
ASiC-S time assertion дополнительный контейнер
Этот контейнер работает в соответствии с базовыми требованиями контейнера ASiC Simple (ASiC-S), но также обеспечивает дополнительные требования к утверждению времени. Дополнительные элементы могут находиться в папке META-INF и требуют использования переменной «SignedData» для включения информации о сертификате и аннулировании.[2][6]
Дополнительный контейнер ASiC-E CAdES
Этот контейнер имеет те же базовые параметры, что и контейнер ASiC-E, но с дополнительными ограничениями.[2][6]
Дополнительный контейнер для подтверждения времени ASiC-E
Этот контейнер соответствует базовым требованиям ASiC-E, а также дополнительным требованиям и ограничениям.[2][6]
Сниженный риск потери электронной подписи
Использование ASiC снижает риск отделения электронной подписи от данных за счет объединения подписи и подписанных данных в контейнере. Когда оба элемента защищены в ASiC, легче распространять подпись и гарантировать, что правильная подпись и ее метаданные используются во время проверки. Этот процесс также можно использовать при связывании утверждений времени, включая записи свидетельств или токены отметок времени, с соответствующими данными.[2]
Рекомендации
- ^ а б c d е ж «Электронные подписи и инфраструктуры (ESI); связанные контейнеры подписей (ASiC); Часть 1: строительные блоки и базовые контейнеры ASiC (ETSI EN 319 162-1 V1.1.1 (2016-04)») (PDF). Европейский институт телекоммуникационных стандартов.
- ^ а б c d е ж грамм час я j Тернер, Дон М. «ASiC - связанные контейнеры подписи для eIDAS». Криптоматический. Получено 13 июн 2017.
- ^ «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 года об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и отменяющий Директиву 1999/93 / EC». EUR-Lex. Европейский Парламент и Совет Европейского Союза. Получено 18 марта 2016.
- ^ «РЕШЕНИЕ О ВЫПОЛНЕНИИ КОМИССИИ (ЕС) 2015/1506 от 8 сентября 2015 года, устанавливающее спецификации, касающиеся форматов усовершенствованных электронных подписей и усовершенствованных печатей, которые должны быть признаны органами государственного сектора в соответствии со статьями 27 (5) и 37 (5) Регламента (ЕС) ) № 910/2014 Европейского парламента и Совета об электронной идентификации и доверительных услугах для электронных транзакций на внутреннем рынке ». Получено 18 марта 2018.
- ^ «Исполнительное решение Комиссии (ЕС) 2015/1506 от 8 сентября 2015 года, устанавливающее спецификации, касающиеся форматов усовершенствованных электронных подписей и усовершенствованных печатей, которые должны быть признаны органами государственного сектора в соответствии со статьями 27 (5) и 37 (5) Регламента (ЕС) ) № 910/2014 Европейского парламента и Совета об электронной идентификации и доверительных услугах для электронных транзакций на внутреннем рынке (текст, имеющий отношение к ЕЭЗ) ». EUR-Lex. 9 сентября 2015. Материал скопирован из этого источника. Повторное использование разрешено при условии указания источника.
- ^ а б c d «Электронные подписи и инфраструктуры (ESI); связанные контейнеры подписей (ASiC); Часть 2: Дополнительные контейнеры ASiC (ETSI EN 319 162-2 V1.1.1 (2016-04)») (PDF). Европейский институт телекоммуникационных стандартов.
- ^ Adams, C .; Cain, P .; Пинкас, Д .; Зуккерато, Р. «Инфраструктура открытых ключей Internet X.509 - протокол отметок времени (TSP)». Сетевая рабочая группа. Получено 13 июн 2017.
- ^ Гондром, Т .; Брандер, Р .; Пордеш, У. «Синтаксис записи доказательств (ERS)». Сетевая рабочая группа. Получено 13 июн 2017.
- ^ Jerman Blazic, A .; Saljic, S .; Гондром, Т. «Синтаксис записи свидетельств расширяемого языка разметки (XMLERS)». Инженерная группа Интернета (IETF). Получено 13 июн 2017.