Многие компании уверены: подписал — и забыл. На практике же через 2–5 лет часть архивных документов перестают проходить стандартную проверку. Разбираем, почему так происходит и какие рабочие решения уже есть.
Почему через годы проверка ЭП может столкнуться с затруднениями
1) Истечение срока сертификата
Большинство сертификатов действуют 12–15 месяцев. После окончания срока привычные средства проверки не могут восстановить «цепочку доверия». Метки доверенного времени продлевают горизонт проверки до 3 лет, для технологии Госключа — до 5 лет.
2) Устаревание технологий
Криптоалгоритмы и ПО эволюционируют: то, что было стандартом 10 лет назад, сегодня может не поддерживаться новыми системами (О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования № 149/7/1/3-58 от 31.01.2014 (выписка)).
3) Прекращение аккредитации УЦ
Если удостоверяющий центр прекратил работу, его пользовательские сертификаты и подчинённый сертификат УЦ также прекращаются — привычная проверка ЭП перестаёт отрабатываться.
4) Проблемы со службой времени (TSP)
Если провайдер меток доверенного времени закрылся/сменил сертификаты, подтверждать исторический момент подписания становится сложнее.
Юридическая рамка: что требует закон
ФЗ «О бухгалтерском учёте», ст. 29 обязывает хранить документы (включая средства воспроизведения эл. документов и проверки подлинности ЭП) не менее 5 лет после последнего использования для отчётности.
https://base.garant.ru/70103036/7a69fb6632f5876efd3160114758a106/
На практике же выполнение этой нормы в исключительно «электронной форме» сопровождается сложностями, когда требуется проверка ЭП по истечении лет.
Практические подходы: как обеспечить долгосрочную проверку ЭП
Максимального простого и понятного решения у нас для вас нет на сегодняшний день. Все ниже предложенные варианты это лишь возможность балансировать на грани и подложить соломку на будущее.
Расширенные форматы подписей
Используйте AdES-X Long / AdES-A (для CAdES/XAdES/PAdES есть аналогичные профили). Они позволяют встраивать в подпись цепочку сертификатов, статусы и метки времени. Это лучший старт для долговременной проверки ЭП, потому что необходимые доказательства «упакованы» вместе с документом.
Фиксация статуса сертификата на момент подписания
CRL (списки отзыва): можно приложить архивный CRL, но подпись заметно «толстеет», а публикация CRL запаздывает.
OCSP-квитанция: компактно и точно фиксирует статус сертификата в момент запроса. Адрес OCSP-службы ФНС размещён здесь:
https://www.nalog.gov.ru/rn77/related_activities/ucfns/ccenter_res/
На практике: для документов длительного хранения, подписываемых руководителем юрлица/ИП, можно формировать подпись с OCSP-ответом от УЦ, выдавшего сертификат.
Но и тут не обошлось без затруднений. На проблему проверки ЭП на старых документах, накладывается еще одна. Для работы OCSP-службы требуется «обезличенный» (технический) сертификат, который должен выпускать тот же УЦ, что предоставляет сервис. По 63-ФЗ такие сертификаты выпускает ФНС, и здесь возникает расхождение требований. Как это решать? В индивидуальном ручном режиме.
Оценили 11 человек
18 кармы