Associated Signature Containers
Розширення файлу: | . |
---|---|
MIME-тип: |
|
Магічне число: | 50 4B 03 04 [1] |
Дата випуску останньої версії: | квітень 2011 |
Розширений з: | zip, OpenDocument, EPUB |
Відкритий формат? | так |
Розширення файлу: | . |
---|---|
MIME-тип: |
|
Магічне число: | 50 4B 03 04 [1] |
Розробник: | ETSI |
Рік випуску: | 2011 |
Дата випуску останньої версії: | квітень 2011 |
Контейнер для: | XAdES, CAdES, timestamp, signed object |
Розширений з: | Zip, OpenDocument, EPUB |
Відкритий формат? | Yes |
Контейнери пов‘язаних підписів (Associated Signature Containers - ASiC) визначають використання структур контейнерів для зв’язування одного або кількох підписаних об’єктів із розширеними електронними підписами або маркерами позначки часу в єдиний цифровий контейнер.[2]
Відповідно до регламенту eIDAS[3], пов’язаний контейнер підпису (ASiC) для eIDAS — це контейнер даних, який використовується для зберігання групи файлових об’єктів і цифрових підписів і/або підтверджень часу, пов’язаних із цими об’єктами. Ці дані зберігаються в ASiC у форматі ZIP.
Європейська комісія з впровадження рішення в документі 2015/1506 від 8 вересня 2015 року встановило специфікації, що стосуються форматів вдосконалених електронних підписів і вдосконалених печаток, які мають визнаватися органами державного сектору відповідно до статей 27 і 37 регламенту eIDAS. Держави-члени ЄС, яким потрібен розширений електронний підпис або розширений електронний підпис на основі кваліфікованого сертифіката, визнають розширений електронний підпис XML, CMS або PDF на рівні відповідності B, T або LT або використовують відповідний контейнер для підпису, якщо ці підписи відповідають таким технічнім характеристикам:[4]
- Базовий профіль XAdES - ETSI TS 103171 v.2.1.1.
- Базовий профіль CAdES - ETSI TS 103173 v.2.2.1.
- Базовий профіль PAdES - ETSI TS 103172 v.2.2.2.
- Базовий профіль асоційованого контейнера підпису - ETSI TS 103174 v.2.2.1 [5]
Технічні специфікації ASiC були оновлені та стандартизовані з квітня 2016 року Європейським інститутом телекомунікаційних стандартів у стандарті асоційованих контейнерів підпису (ASiC) (ETSI EN 319 162-1 V1.1.1 (2016-04),[1][6] але цей оновлений стандарт не вимагається імплементаційним рішенням Європейської комісії.
Внутрішня структура ASiC включає дві папки:
- Коренева папка, у якій зберігається весь вміст контейнера, який може містити папки, що відображають структуру цього вмісту.
- Папка «META-INF», яка міститься в кореневій папці та містить файли, які містять метадані про вміст, включаючи пов’язані файли підпису та/або підтвердження часу.
Такий файл електронного підпису міститиме один об’єкт CAdES або один чи більше підписів XAdES. Файл підтвердження часу міститиме одну позначку часу, яка відповідатиме IETF RFC 3161 [7], тоді як один запис доказів відповідатиме IETF RFC 4998 [8] або IETF RFC 6283.[1][2][9]
Однією з цілей електронного підпису є захист доданих до нього даних від зміни. Це можна зробити, створивши набір даних, який поєднує підпис із підписаними даними, або зберегти відокремлений підпис в окремому ресурсі, а потім використати зовнішній процес для створення повторного зв’язку підпису з даними. Використовувати відокремлені підписи може бути вигідно, оскільки це запобігає несанкціонованим модифікаціям оригінальних об’єктів даних. Однак, роблячи це, існує ризик того, що відокремлений підпис буде відокремлений від пов’язаних з ним даних. Якщо це станеться, зв’язок буде втрачено, а отже, дані стануть недоступними.[2]
Одним із найпоширеніших розгортань стандарту ASiC є естонська система цифрового підпису з використанням мультиплатформенного (Windows, Linux, MacOS (OSX)) програмного забезпечення під назвою DigiDoc.
Використання правильного інструменту для кожної роботи завжди важливо. Використання правильного типу контейнера ASiC для поточної роботи також важливо:[2]
У цьому контейнері один файловий об’єкт пов’язується з підписом або файлом підтвердження часу. Файл «mimetype», який визначає тип носія, також може бути включений у цей контейнер. Якщо включено файл mimetype, він має бути першим файлом у контейнері ASiC. Цей тип контейнера дозволить у майбутньому додавати додаткові підписи для підпису збережених файлових об’єктів. Коли використовуються маркери довгострокової позначки часу, файли маніфесту архіву ASiC використовуються для захисту маркерів довгострокової позначки часу від підробки.[1][2]
Цей тип контейнера може містити один або кілька файлів підпису або підтвердження часу. ASiC-E з XAdES працює з файлами підписів, а ASiC-E з CAdES — із підтвердженням часу. Файли в цих контейнерах ASiC застосовуються до власних наборів файлових об’єктів. Кожен файловий об’єкт може мати додаткові метадані або пов’язану з ним інформацію, яку також можна захистити підписом. Контейнер ASiC-E може бути розроблений таким чином, щоб запобігти цій модифікації або дозволити її включення, не завдаючи шкоди попереднім підписам.
Обидва ці контейнери ASiC здатні підтримувати тривалу доступність і цілісність під час зберігання підписів XAdES або CAdES за допомогою маркерів позначок часу або файлів маніфесту запису доказів, які містяться в контейнерах. Контейнери ASiC мають відповідати специфікації ZIP та обмеженням, які застосовуються до ZIP.[1][2]
Цей контейнер працює відповідно до базових вимог контейнера ASiC Simple (ASiC-S), але він також забезпечує додаткові вимоги до підтвердження часу. Додаткові елементи можуть бути в папці META-INF і вимагають використання змінної «SignedData», щоб включити інформацію про сертифікат і відкликання.[2][6]
Цей контейнер має ті самі базові лінії, що й контейнер ASiC-E, але з додатковими обмеженнями.[2][6]
Цей контейнер відповідає базовим вимогам ASiC-E, а також додатковим вимогам і обмеженням.[2][6]
Використання ASiC зменшує ризик відокремлення електронного підпису від його даних шляхом поєднання підпису та його підписаних даних у контейнері. З обома елементами, захищеними в ASiC, легше поширювати підпис і гарантувати, що правильний підпис і його метадані використовуються під час перевірки. Цей процес також можна використовувати під час зв’язування тверджень часу, включно із записами доказів або маркерами позначок часу з пов’язаними даними.[2]
- ↑ а б в г д е Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 1: Building blocks and ASiC baseline containers (ETSI EN 319 162-1 V1.1.1 (2016-04) (PDF). European Telecommunications Standards Institute.
- ↑ а б в г д е ж и к л Turner, Dawn M. ASiC - Associated Signature Containers for eIDAS. Cryptomathic. Процитовано 13 червня 2017.
- ↑ Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. EUR-Lex. The European Parliament and the Council of the European Union. Процитовано 18 березня 2016.
- ↑ COMMISSION IMPLEMENTING DECISION (EU) 2015/1506 of 8 September 2015 laying down specifications relating to formats of advanced electronic signatures and advanced seals to be recognised by public sector bodies pursuant to Articles 27(5) and 37(5) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market. Процитовано 18 березня 2018.
- ↑ Commission Implementing Decision (EU) 2015/1506 of 8 September 2015 laying down specifications relating to formats of advanced electronic signatures and advanced seals to be recognised by public sector bodies pursuant to Articles 27(5) and 37(5) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance) (англ.). EUR-Lex. 9 вересня 2015. Material has been copied from this source. Reuse is authorised, provided the source is acknowledged.
- ↑ а б в г Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 2: Additional ASiC containers (ETSI EN 319 162-2 V1.1.1 (2016-04) (PDF). European Telecommunications Standards Institute.
- ↑ Adams, C.; Cain, P.; Pinkas, D.; Zuccherato, R. Internet X.509 Public Key Infrastructure - Time-Stamp Protocol (TSP). Network Working Group. Процитовано 13 червня 2017.
- ↑ Gondrom, T.; Brander, R.; Pordesch, U. Evidence Record Syntax (ERS). Network Working Group. Процитовано 13 червня 2017.
- ↑ Jerman Blazic, A.; Saljic, S.; Gondrom, T. Extensible Markup Language Evidence Record Syntax (XMLERS). Internet Engineering Task Force (IETF). Процитовано 13 червня 2017.