Associated Signature Containers

Контейнери пов‘язаних підписів (Associated Signature Containers - ASiC) визначають використання структур контейнерів для зв’язування одного або кількох підписаних об’єктів із розширеними електронними підписами або маркерами позначки часу в єдиний цифровий контейнер.^[2]

Відповідно до регламенту eIDAS^[3], пов’язаний контейнер підпису (ASiC) для eIDAS — це контейнер даних, який використовується для зберігання групи файлових об’єктів і цифрових підписів і/або підтверджень часу, пов’язаних із цими об’єктами. Ці дані зберігаються в ASiC у форматі ZIP.

Європейська комісія з впровадження рішення в документі 2015/1506 від 8 вересня 2015 року встановило специфікації, що стосуються форматів вдосконалених електронних підписів і вдосконалених печаток, які мають визнаватися органами державного сектору відповідно до статей 27 і 37 регламенту eIDAS. Держави-члени ЄС, яким потрібен розширений електронний підпис або розширений електронний підпис на основі кваліфікованого сертифіката, визнають розширений електронний підпис XML, CMS або PDF на рівні відповідності B, T або LT або використовують відповідний контейнер для підпису, якщо ці підписи відповідають таким технічнім характеристикам:^[4]

• Базовий профіль XAdES - ETSI TS 103171 v.2.1.1.
• Базовий профіль CAdES - ETSI TS 103173 v.2.2.1.
• Базовий профіль PAdES - ETSI TS 103172 v.2.2.2.
• Базовий профіль асоційованого контейнера підпису - ETSI TS 103174 v.2.2.1 ^[5]

Технічні специфікації ASiC були оновлені та стандартизовані з квітня 2016 року Європейським інститутом телекомунікаційних стандартів у стандарті асоційованих контейнерів підпису (ASiC) (ETSI EN 319 162-1 V1.1.1 (2016-04),^[1][6] але цей оновлений стандарт не вимагається імплементаційним рішенням Європейської комісії.

Внутрішня структура ASiC включає дві папки:

• Коренева папка, у якій зберігається весь вміст контейнера, який може містити папки, що відображають структуру цього вмісту.
• Папка «META-INF», яка міститься в кореневій папці та містить файли, які містять метадані про вміст, включаючи пов’язані файли підпису та/або підтвердження часу.

Такий файл електронного підпису міститиме один об’єкт CAdES або один чи більше підписів XAdES. Файл підтвердження часу міститиме одну позначку часу, яка відповідатиме IETF RFC 3161 ^[7], тоді як один запис доказів відповідатиме IETF RFC 4998 ^[8] або IETF RFC 6283.^[1][2][9]

Однією з цілей електронного підпису є захист доданих до нього даних від зміни. Це можна зробити, створивши набір даних, який поєднує підпис із підписаними даними, або зберегти відокремлений підпис в окремому ресурсі, а потім використати зовнішній процес для створення повторного зв’язку підпису з даними. Використовувати відокремлені підписи може бути вигідно, оскільки це запобігає несанкціонованим модифікаціям оригінальних об’єктів даних. Однак, роблячи це, існує ризик того, що відокремлений підпис буде відокремлений від пов’язаних з ним даних. Якщо це станеться, зв’язок буде втрачено, а отже, дані стануть недоступними.^[2]

Одним із найпоширеніших розгортань стандарту ASiC є естонська система цифрового підпису з використанням мультиплатформенного (Windows, Linux, MacOS (OSX)) програмного забезпечення під назвою DigiDoc.

Використання правильного інструменту для кожної роботи завжди важливо. Використання правильного типу контейнера ASiC для поточної роботи також важливо:^[2]

У цьому контейнері один файловий об’єкт пов’язується з підписом або файлом підтвердження часу. Файл «mimetype», який визначає тип носія, також може бути включений у цей контейнер. Якщо включено файл mimetype, він має бути першим файлом у контейнері ASiC. Цей тип контейнера дозволить у майбутньому додавати додаткові підписи для підпису збережених файлових об’єктів. Коли використовуються маркери довгострокової позначки часу, файли маніфесту архіву ASiC використовуються для захисту маркерів довгострокової позначки часу від підробки.^[1][2]

Цей тип контейнера може містити один або кілька файлів підпису або підтвердження часу. ASiC-E з XAdES працює з файлами підписів, а ASiC-E з CAdES — із підтвердженням часу. Файли в цих контейнерах ASiC застосовуються до власних наборів файлових об’єктів. Кожен файловий об’єкт може мати додаткові метадані або пов’язану з ним інформацію, яку також можна захистити підписом. Контейнер ASiC-E може бути розроблений таким чином, щоб запобігти цій модифікації або дозволити її включення, не завдаючи шкоди попереднім підписам.

Обидва ці контейнери ASiC здатні підтримувати тривалу доступність і цілісність під час зберігання підписів XAdES або CAdES за допомогою маркерів позначок часу або файлів маніфесту запису доказів, які містяться в контейнерах. Контейнери ASiC мають відповідати специфікації ZIP та обмеженням, які застосовуються до ZIP.^[1][2]

Цей контейнер працює відповідно до базових вимог контейнера ASiC Simple (ASiC-S), але він також забезпечує додаткові вимоги до підтвердження часу. Додаткові елементи можуть бути в папці META-INF і вимагають використання змінної «SignedData», щоб включити інформацію про сертифікат і відкликання.^[2][6]

Цей контейнер має ті самі базові лінії, що й контейнер ASiC-E, але з додатковими обмеженнями.^[2][6]

Цей контейнер відповідає базовим вимогам ASiC-E, а також додатковим вимогам і обмеженням.^[2][6]

Використання ASiC зменшує ризик відокремлення електронного підпису від його даних шляхом поєднання підпису та його підписаних даних у контейнері. З обома елементами, захищеними в ASiC, легше поширювати підпис і гарантувати, що правильний підпис і його метадані використовуються під час перевірки. Цей процес також можна використовувати під час зв’язування тверджень часу, включно із записами доказів або маркерами позначок часу з пов’язаними даними.^[2]

• DSS : безкоштовна бібліотека Java з відкритим вихідним кодом для створення/маніпулювання підписами PAdES/CAdES/XAdES/ASiC
• DSS : репозиторій GitHub
• Набір інструментів AdES