Квалифицированные подписи: что это значит
Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence: Standard-backed
«Квалифицированная» — это правовой статус по регламенту ЕС eIDAS, а не свойство, которое может выдать библиотека. Чтобы создать такую подпись, каждая из нескольких сторон должна выполнить свою работу: нужен квалифицированный сертификат, квалифицированное устройство для создания подписи, квалифицированный поставщик доверенных услуг и опубликованные доверенные списки. Эта страница описывает эти роли и прямо показывает единственную узкую роль NextPDF, а также более крупные роли, которые он не выполняет.
Почему это важно
Заголовок раздела «Почему это важно»В своей юрисдикции qualified electronic signature имеет юридическую силу, которую ей придаёт закон. Поэтому статус «квалифицированная» так привлекателен. И поэтому опасно заявлять о нём без достаточных оснований. Предположим, рабочий процесс описан как создающий квалифицированные подписи, но в цепочке не хватает одной из ролей: сертификат не является квалифицированным, устройство не является QSCD или поставщика нет в доверенном списке. Тогда такие подписи не являются квалифицированными. Этот пробел обычно обнаруживается в самый ответственный момент: при споре, аудите или трансграничной проверке приёма.
Сложность в том, что полностью действительная усиленная подпись и квалифицированная подпись могут выглядеть одинаково в средстве просмотра PDF. Разница — в сертификате, устройстве, поставщике и доверенном списке, а ничего из этого движок подписания не предоставляет. Важно точно понимать, какая сторона за какую гарантию отвечает.
Если коротко
Заголовок раздела «Если коротко»- Квалифицированность — это цепочка, а не функция. Для неё нужны квалифицированный сертификат, подписание на QSCD, выпуск квалифицированным поставщиком доверенных услуг и обнаружение через доверенные списки. Уберите любой из этих элементов — и результат уже не будет квалифицированным.
- QSCD обязательно. Согласно политикам квалифицированных сертификатов, подписи должны создаваться только квалифицированным устройством для создания подписи. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
- Единоличный контроль принадлежит подписанту и устройству. Закрытый ключ должен находиться под единоличным контролем подписанта, храниться в устройстве, которое защищает его и подписывает от имени пользователя. Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
- Роль NextPDF узкая и честная. Он собирает структурно корректную подпись PDF и может встраивать доверенную метку времени и материал для долгосрочной проверки. Он не является QSCD, не является (квалифицированным) поставщиком доверенных услуг, не выпускает сертификаты, не ведёт доверенные списки и не присваивает квалифицированный статус.
Как к этому подходит NextPDF
Заголовок раздела «Как к этому подходит NextPDF»Роли поимённо
Заголовок раздела «Роли поимённо»В рамках eIDAS qualified electronic signature складывается из отдельных зон ответственности. NextPDF занимает ровно одну ячейку; остальные относятся к сторонам и стандартам за пределами движка.
- Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
- Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control
- Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements
- Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
- Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds
- Квалифицированный сертификат. Выпускается для подписанта и содержит QC-заявления, которые в машиночитаемом виде помечают его как квалифицированный сертификат для электронной подписи и идентифицируют квалифицированного поставщика доверенных услуг, который его выпустил. Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF его не выпускает.
- QSCD. Квалифицированное устройство для создания подписи — в терминологии ETSI защищённое криптографическое устройство, которое хранит закрытый ключ пользователя, защищает его от компрометации и выполняет подписание от имени пользователя. Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF — это программное обеспечение, которое подписывает через такое устройство; сам движок не является QSCD, как и его путь с программным ключом.
- Квалифицированный поставщик доверенных услуг. QTSP выпускает квалифицированный сертификат и сам находится под надзором; политики требуют, чтобы подписи по этим сертификатам создавались только с помощью QSCD. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF не является поставщиком доверенных услуг.
- Доверенные списки. Опубликованное свидетельство, по которому доверяющая сторона устанавливает, что поставщик и услуга были квалифицированными. NextPDF не управляет доверенными списками и не поручается за них.
Узкая роль, которую играет NextPDF
Заголовок раздела «Узкая роль, которую играет NextPDF»В этой цепочке задача NextPDF ограничена и конкретна. Он собирает подпись PDF: размещает поле подписи, вычисляет диапазон байтов и строит CMS SignedData, которые стандарт требует помещать в запись Contents. Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 Когда ключ подписания находится на QSCD, NextPDF подписывает через него по тому же аппаратному стыку, который описан в разделе Подписание с поддержкой HSM, и ключ остаётся на устройстве.
NextPDF также может встраивать две составляющие, которые помогают подписи сохранять проверяемость: доверенную метку времени от службы меток времени и материал для долгосрочной проверки. Метка времени — это доказательство доверенной третьей стороны того, что некоторые данные существовали до определённого момента Spec: RFC 3161, §1 RFC 3161 §1 ; в рамках ЕС эта служба работает по политике для поставщиков доверенных услуг, выпускающих метки времени. Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF запрашивает и встраивает токен. Он не управляет службой меток времени, и встраивание метки времени само по себе не делает подпись квалифицированной.
Что говорят свидетельства
Заголовок раздела «Что говорят свидетельства»Evidence: Standard-backed Требование о QSCD прямо сформулировано в политиках квалифицированных сертификатов: обязательства подписчика (или управляющего TSP) предписывают создавать цифровые подписи только с помощью QSCD. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 Само устройство определяется как устройство, которое хранит закрытый ключ пользователя, защищает его от компрометации и выполняет подписание от имени пользователя Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 ; для физического лица закрытый ключ должен находиться под единоличным контролем подписанта. Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 Библиотека подписания не может выполнить ни одно из этих обязательств за всю цепочку.
Evidence: Standard-backed То, что делает сертификат квалифицированным, содержится в QC-заявлениях сертификата, включая машиночитаемое указание на то, что он был выпущен как квалифицированный сертификат для электронной подписи, и данные, идентифицирующие квалифицированного поставщика доверенных услуг, который его выпустил. Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 Библиотека, которая использует сертификат для построения подписи, не делает сертификат квалифицированным; это делает выпустивший его QTSP.
Evidence: Standard-backed У доверенного времени есть своя роль поставщика. RFC 3161 определяет службу меток времени как доверенную третью сторону, которая предоставляет доказательство существования данных в определённый момент времени Spec: RFC 3161, §1 RFC 3161 §1 ; ETSI EN 319 421 задаёт требования к политике и безопасности для поставщиков доверенных услуг, выпускающих метки времени, которые могут подкреплять цифровые подписи или доказывать, что данные существовали до определённого времени. Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF встраивает токен от такого поставщика; квалифицированный статус поставщика, если он есть, относится к поставщику, а не к движку.
Практический пример
Заголовок раздела «Практический пример»Нет API, который «делает подпись квалифицированной», и пример кода, подразумевающий обратное, был бы ошибкой. Здесь полезен контрольный список зон ответственности, которым может воспользоваться проверяющий:
| Звено цепочки | Кто за него отвечает | Роль NextPDF |
|---|---|---|
| Выпущен квалифицированный сертификат | Квалифицированный поставщик доверенных услуг | Использует его; не выпускает его |
| Подписание на QSCD | Подписант + устройство | Подписывает через него; не является QSCD |
| Единоличный контроль над закрытым ключом | Подписант + устройство | Никогда не хранит ключ при использовании QSCD |
| Поставщик/услуга квалифицированы | QTSP + надзор | Ничего об этом не утверждает |
| Обнаруживается через доверенные списки | Операторы доверенных списков | Не управляет ими и не проверяет их |
| Подпись PDF корректно сформирована | Движок подписания | Это ячейка NextPDF |
| Встроена доверенная метка времени | Служба меток времени | Запрашивает и встраивает токен |
| Материал для долгосрочной проверки | Процесс signing/validation | Может его встроить (см. «Связанные документы») |
Если хотя бы одна строка над ячейкой движка не выполнена, результатом будет — в лучшем случае — действительная усиленная подпись, а не квалифицированная. NextPDF может выполнить каждую строку, за которую отвечает, и всё равно не сделать подпись квалифицированной, потому что присвоение этого статуса не входит в полномочия движка.
Распространённое заблуждение
Заголовок раздела «Распространённое заблуждение»“NextPDF создаёт квалифицированные подписи.”
Это не так, и точная формулировка имеет значение. NextPDF создаёт структурно корректные подписи PDF и совместим с подписанием на QSCD и встраиванием меток времени от квалифицированного поставщика. Является ли конкретная подпись квалифицированной, зависит от развёртывания: это определяется квалифицированным сертификатом, QSCD, квалифицированным поставщиком доверенных услуг и статусом в доверенном списке — ничего из этого движок не предоставляет и не удостоверяет. Корректное утверждение звучит так: “NextPDF собирает подпись; квалифицированный статус исходит от сертификата, устройства и поставщика.” Сказать больше — значит присвоить себе правовой статус, который программное обеспечение предоставить не может.
Ограничения и границы
Заголовок раздела «Ограничения и границы»Граница, изложенная прямо и без смягчений:
- Чем является NextPDF. Движок подписания PDF 2.0. Он строит подпись согласно Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 , подписывает через устройство, когда оно предоставлено, и может встраивать метку времени и материал для долгосрочной проверки.
- Чем NextPDF не является. Он не является QSCD, не является квалифицированным (или каким-либо) поставщиком доверенных услуг, не является удостоверяющим центром и не является оператором доверенных списков. Он не оценивает, не подтверждает и не присваивает квалифицированный статус.
- Соответствие стандарту — это не сертификация. Это структурное утверждение о том, что NextPDF строит подписи в соответствии с стандартом подписи PDF и может переносить элементы, которые ожидает профиль AdES. Это не сертификация того, что любая полученная подпись является квалифицированной, и не замена условий QSCD, сертификата, поставщика и доверенного списка, которые — вместе — делают её таковой.
- Юрисдикция имеет значение. «Квалифицированная» и её юридическая сила определяются регламентом eIDAS в пределах его области действия. Эта страница — инженерное объяснение, а не юридическая консультация. Юридическая достаточность подписи для конкретного применения — вопрос соответствующего права и юрисконсультов сторон, а не документации библиотеки.
| Edition | Availability |
|---|---|
| Core | Core строит носитель подписи PDF и контейнер CMS. Сам по себе он не вносит вклад в квалифицированный статус. |
| Pro | Pro добавляет подписание с управляемым ключом и дополнение подписи, описанные на уровне поведения. Он по-прежнему не является QSCD или поставщиком доверенных услуг. |
| Enterprise | Enterprise добавляет подписание с помощью аппаратного токена через PKCS#11, так что ключ подписания может находиться на устройстве, которое развёртывание использует как QSCD. Движок подписывает через устройство; квалифицированный статус остаётся за сертификатом, устройством и поставщиком — но никогда не за движком. |
Мини-FAQ
Является ли усиленная подпись тем же, что и квалифицированная? Нет. В средстве просмотра они могут выглядеть одинаково. Для квалифицированной подписи дополнительно нужны квалифицированный сертификат, QSCD и квалифицированный поставщик доверенных услуг; для усиленной — нет. Разница — в цепочке, а не в байтах PDF.
Делает ли подписание на HSM подпись квалифицированной? Само по себе — нет. QSCD необходимо, но недостаточно. Сертификат должен быть квалифицированным сертификатом от квалифицированного поставщика доверенных услуг, а устройство должно соответствовать критериям QSCD для данного развёртывания. Обычный HSM не является QSCD автоматически.
Делает ли добавление метки времени подпись квалифицированной? Нет. Доверенная метка времени усиливает долговечность и доказательство времени; она не обеспечивает условий сертификата, устройства или поставщика, которые определяют квалифицированный статус. Она необходима для долгосрочных профилей, но недостаточна для квалифицированного статуса.
Может ли NextPDF сказать мне, является ли моя подпись квалифицированной? Нет. Движок ничего не утверждает о квалифицированном статусе. Его установление — это вопрос сертификата, устройства, поставщика, доверенных списков и применимого права — вне зоны ответственности движка.
Связанные документы
Заголовок раздела «Связанные документы»- Подписание с поддержкой HSM — аппаратный стык устройства, который использует подпись на основе QSCD, и граница, за которой остаётся ключ.
- Метки времени и доверенное время — что доказывает метка времени RFC 3161 и какая роль поставщика за ней стоит.
- Долгосрочная проверка — материал для проверки, который позволяет проверять подпись с течением времени.
Глоссарий
Заголовок раздела «Глоссарий»- Квалифицированная электронная подпись — по регламенту eIDAS усиленная электронная подпись, созданная с помощью QSCD и основанная на квалифицированном сертификате; правовой статус, а не функция программного обеспечения.
- eIDAS — Регламент ЕС (EU) No 910/2014 об электронной идентификации и доверенных услугах; правовая основа, определяющая «квалифицированную» и её действие.
- QSCD (квалифицированное устройство для создания подписи) — устройство, отвечающее критериям eIDAS; в терминах ETSI — защищённое криптографическое устройство, которое хранит ключ пользователя, защищает его и подписывает от имени пользователя.
- Квалифицированный сертификат — сертификат, выпущенный квалифицированным поставщиком доверенных услуг, чьи QC-заявления в машиночитаемом виде помечают его как квалифицированный для электронной подписи.
- QTSP (квалифицированный поставщик доверенных услуг) — поднадзорный поставщик доверенных услуг, выпускающий квалифицированные сертификаты и связанные с ними квалифицированные услуги.
- Доверенный список — опубликованное свидетельство, по которому доверяющая сторона устанавливает, что поставщик и услуга были квалифицированными.
- Единоличный контроль — обязательство, по которому закрытый ключ подписанта — физического лица хранится под единоличным контролем этого подписанта.
- Служба меток времени (TSA) — доверенная третья сторона, предоставляющая доказательство существования данных в определённый момент времени (RFC 3161).