Проблемы электронных архивов

ivalnick — 31.10.2025 В 2020-2022 годах мне довелось принимать участие в рабочей группе, которая занималась вопросом электронных архивов. Результаты нашей работы были благосклонно приняты, но воз и ныне остался там - проект закона "Об электронных архивах" уже шестой год висит в стадии второго чтения и никаких подвижек пока не предвидится.
А ведь список документов, которыми хозяйствующие субъекты обязаны обмениваться между собой в электронном виде, а так же направлять в контролирующие органы или информационные системы, постепенно растёт. Соответственно, накапливаются архивы этих документов и рано или поздно возникнет вопрос проверки их подлинности, который сейчас не имеет решения.
Чуть-чуть подробнее на эту тему.

Неизменность и авторство электронного документа (ЭД) подтверждается электронной подписью (ЭП) отправителя.
Как правило, проверка ЭП проводится сразу после приёма ЭД получателем.
В этот момент получатель проверяет, что:
- ЭП соответствует ЭД;
- ЭП принадлежит отправителю;
- срок действия сертификата ЭП отправителя не истёк;
- сертификат ЭП отправителя не отозван;
- сертификат ЭП выдан Удостоверяющим центром (УЦ) из цепочки доверия.
Далее получатель выполняет некие действия с этим документом или на основании данных документа, а потом помещает его в архив.
Предположим, что нам нужно проверить подлинность этого документа спустя некоторое время. И тут мы сталкиваемся с проблемами.

Во-первых, сертификат за это время мог истечь, а подпись признаётся подлинной только в том случае, если он действовал на момент подписания. Эта проблема решается, казалось бы, решается путём включения в ЭП метки времени, в которой будет содержаться точное время подписания документа.
Однако, метка времени это набор данных, который сам подписан доверенной третьей стороной с использованием её собственного сертификата, срок действия которого к тому моменту может истечь. Тупик.

Во-вторых, как проверить, что сертификат отправителя не был отозван на момент подписания?
Да, у нас есть список отозванных сертификатов, но в нём содержатся сведения об отзыве только тех сертификатов, срок действия которых ещё не истёк. То есть, для сертификатов с истекшим сроком действия мы не знаем был ли он отозван и, если был, когда именно.
Есть и ещё одна деталь: списки отозванных сертификатов публикуются с некоторой задержкой. Например: сертификат отозвали в 10:00, в 10:01 был подписан и отправлен документ, а в 10:10, когда документ и подпись уже были проверены и обработаны, удостоверяющий центр опубликовал новый список отозванных сертификатов. В этой ситуации и получатель, и доверенная третья сторона ошибок не выявят.

В-третьих, может случиться, что к моменту проверки документа в архиве Удостоверяющий центр, выдавший сертификат отправителю, прекратит своё существование. Тогда сертификат самого УЦ будет отозван и исключён из цепочки доверия, а мы не сможем ни проверить целостность сертификата, ни его принадлежность отправителю.

Обычно к этому времени на совещаниях рабочей группы появлялись энтузиасты из числа новых участников, которые предлагали если не организовать распределенный реестр для хранения сведений о сертификатах и времени их отзыва, то хотя бы сделать централизованный реестр с той же самой функцией. Ответить на вопрос кто будет организатором и на каком основании сведениям этих реестров можно будет доверять, в большинстве случаев, авторы идей даже не пытались.

Тем не менее, в рамках той же рабочей группы нам удалось сформулировать несколько решений, которые позволяли надеяться найти выход из это тупика.

Первое - чисто техническое. Мы же электронные архивы обсуждали. Использовать предусмотренную законом новую сущность - Оператор электронных архивов - которой поручить переподписывать комплект ЭД и ЭП из архива своей подписью до истечения срока действия сертификата отправителя. Одновременно с этим можно было бы проверять наличие сертификата отправителя в списке отозванных сертификатов, а при его наличии ещё и уточнять был ли он отозван до или после подписания.
Но это, конечно, тянуло за собой необходимость повторного переподписания архивов до истечения срока действия сертификатов самих Операторов, вопросы связанные с прекращением деятельности этих Операторов, а ещё порождало сложности, связанные с ростом размера архива с течением времени.

Было исключительно административное решение: обязать удостоверяющий центр публиковать списки отозванных сертификатов через определённые интервалы времени, например 15 минут, а получателя и доверенную третью сторону обязать осуществлять повторную проверку подписи отправителя через 30 минут после приёма документа или получения запроса на метку времени. У нотариусов же работает принцип, что отозванная сегодня доверенность прекращает своё действие только завтра.
Но и это предложение решало только часть проблем.

Так вот, если сейчас, в 2025 году вы спросите меня как подтвердить подлинность документа созданного в 2020 году, то я могу вам честно сказать: не знаю! :-)

Оставить комментарий

Популярные посты:

• Ранее
• Архив