Модуль поддержки Службы
Штампов времени (TSA). КриптоАРМ Стандарт Модуль
TSP поддерживает работу с сервисом Служба штампов времени
российского разработчика средств криптографической защиты
информации — компании «Крипто-Про».
«КриптоАРМ Старт» НЕ
поддерживает работу со Службой штампов времени.
Кроме заверения документов электронной подписью,
вы можете удостоверять точное время их создания. Это позволяет
предотвращать возможные конфликты при обмене документами между
партнерами, коллегами и т.п.
Использование штампов времени в электронном
документообороте позволяет создавать официальное доказательство
факта существования документа на определённый момент времени.
Что такое штамп
времени
Штамп времени — это подписанный электронной
подписью документ, которым Служба штампов времени удостоверяет, что
в указанный момент времени ей было предоставлено значение
хэш-функции от другого документа. Само значение хэш-функции также
указывается в штампе.
Как можно использовать штампы времени
Область применения штампов времени очень широка. С помощью
штампа времени:
Штамп времени на документе удостоверяет точное
время создания этого документа для того, чтобы в последующем
разрешать конфликты, связанные с его использованием. Таким образом,
с помощью штампа времени вы обеспечиваете неотказуемость автора
документа от своей подписи.
Наличие штампа времени в подписанном документе
позволяет продлевать срок действия электронной подписи. Такой штамп
удостоверяет, например, что подпись была создана до того, как
сертификат ключа подписи был аннулирован (отозван). Таким образом,
для проверки подписи, созданной до момента отзыва сертификата, вы
можете использовать уже отозванный сертификат.
Цепочка штампов времени позволяет
создавать системы архивного хранения электронных документов,
сохраняющие актуальность ЭЦП в документах. В ином случае,
актуальность подписанного документа ограничена сроком действия
сертификата ключа подписи и сроком действия сертификата на СКЗИ,
использованное для создания оригинальной подписи документа.
Штамп времени может использоваться для
удостоверения точного времени, когда документ поступил или получен,
в тех случаях, когда это необходимо.
Вы можете использовать штамп времени для
удостоверения времени или для указания времени проведения операции
по записи в журнале.
Что такое Служба штампов времени
Служба штампов времени (Time Stamping Authority
— TSA) — это доверенный субъект Инфраструктуры открытых ключей
(PKI), который обладает точным и надёжным источником времени и
оказывает услуги по созданию штампов времени.
Основной функцией Службы Штампов
Времени является создание «штампов времени», которые
подтверждают факт существования данных (значения хэш-функции) в
определенный момент времени, заверяют то, что данные существовали к
конкретному моменту времени.
Значение хэш-функции от документа, на который
получен штамп времени, служит для связи штампа с документом. При
включении в штамп времени не самого документа, а значения
хэш-функции, сохраняется конфиденциальность документа перед Службой
штампов времени.
Что требуется для работы с модулем TSP?
Работа с TSP службой потребует ПО КриптоАРМ Стандарт и Модуль
TSP / КриптоАРМ СтандартPRO
Для работы с данным ПО необходимо преобрести лицензии на
— КриптоАРМ Стандарт с модулем TSP / КриптоАРМ Стандарт+
— КриптоПро TSP Client (поставляется вместе с лицензией на модуль
TSP)
В случае работы со сторонним сервисом штампов времени
дополнительно устанавливать ничего не требуется.
Если же клиент хочет использовать собственный сервис штампов
времени, то необходима покупка сервера службы Штампов Времени,
например, от компании «КриптоПро» — КриптоПро TSP Server.
Если планируется использовать ГОСТ алгоритмы, то необходима
покупка ГОСТ-ового криптопровайдера КриптоПро CSP или Signal Com
CSP.
Компания «Цифровые технологии» сообщает о выпуске «КриптоАРМ ГОСТ» версии 2.2.0 с поддержкой формата Усовершенствованной подписи КРИПТО-ПРО. Усовершенствованная подпись предназначена для архивного хранения подписанных электронных документов.

Такая подпись, в отличии от обычной, включает в себя штампы времени и OCSP-ответ, служащие доказательством ее действительности даже после того, как закончится срок действия сертификата подписи.
Штамп времени фиксирует время создания подписи и факт существования документа. Для его получения программа подписи обращается к независимой Службе штампов времени, получает ответ с указанием точного времени и прилагает его к реквизитам подписи.
OCSP-ответ выдается при запросе в одноименную службу удостоверяющего центра. В нем содержится сведения о действительности сертификата в момент создания подписи. Полученный OCSP-ответ вместе с цепочкой сертификатов прикрепляется к реквизитам подписанного документа.
В чем преимущества применения Усовершенствованной подписи ?
Что нужно для создания и проверки Усовершенствованной подписи ?
Нужно ли настраивать адрес Службы штампов времени ?
Да, за информацией следует обращаться в Удостоверяющий центр.
Нужно ли настраивать адрес OCSP-службы ?
Нет, данный адрес указывается в свойствах сертификата подписи.
Использование ПАК «КриптоПро TSP» позволяет участникам информационных систем получать штампы времени, связанные с электронными документами. Штамп времени представляет из себя электронный документ, подписанный электронной цифровой подписью (электронной подписью), где подписанными данными являются значение хэш-функции электронного документа и время предоставления штампа времени. Таким образом, штамп времени однозначно связан с электронным документом, на который он выдается и обеспечивает его целостность.
Для реализации сервиса TSP необходимо на базе «КриптоПро TSP Server» организовать Сервер службы TSP и встроить «КриптоПро TSP Client» в программное обеспечение клиентских рабочих мест. Встраивание «КриптоПро TSP Client» осуществляется с использованием инструментария разработчика – «КриптоПро PKI SDK».
- Для чего нужны штампы времени
- Запрос на штамп времени
- Ответ сервера штампов времени
- Как хранить штампы времени совместно с документами
- Как подписать документ, используя профиль подписи
- Как подписать документ, используя настройки операций в мастере, не изменяя выбранного профиля
- Как подписать документ сертификатом DSS
- Как создать подпись со штампом времени (TSP)
- Как создать подпись по стандарту CAdES-T
- Как создать усовершенствованную подпись
- Как создать подпись по стандарту CAdES-A
- Результат выполнения операции
- Основные нововведения.
- Усовершенствованная подпись
- Облачная подпись и КриптоПро DSS Client
Для чего нужны штампы времени
Протокол TSP (Time-Stamp Protocol) является протоколом типа «запрос-ответ». Весь обмен заключается в двух сообщениях. Клиент инициирует взаимодействие, посылая серверу запрос на штамп времени, на что сервер возвращает ответ, содержащий выпущенный штамп или не содержащий его в случае ошибки.
Запрос на штамп времени
Запрос на штамп времени включает следующие поля:
Идентификатор политики определяет, по какой политике должен быть выдан штамп времени. Политики штампов времени задаются сервером штампов времени и устанавливают набор правил, по которым выдаются штампы времени, а также области их применения.
Например, в системе может быть определено несколько политик с разными идентификаторами и следующим описанием:
Поле Nonce позволяет клиенту проверить своевременность полученного ответа, в котором сервер штампов времени должен разместить то же самое значение nonce, которое было в запросе.
Ответ сервера штампов времени
Ответ сервера штампов времени содержит следующие поля:
Штамп времени представляет собой CMS-сообщение (PKCS#7) типа SignedData (см. R FC 3369 «Cryptographic Message Syntax (CMS)»). Содержимым этого сообщения является структура со следующими полями:
Сервер штампов указывает признак ordering, если он работает в режиме строгой упорядоченности штампов. Т.е. сравнение времён двух выданных этим серверов штампов даже без учёта точности времени определяет порядок их выдачи.
Как хранить штампы времени совместно с документами
В RFC 3161 «Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)» описан вариант хранения штампа времени на документ с ЭЦП (ЭП) формата CMS SignedData в неподписанном атрибуте этого CMS-сообщения.
Для организации долговременного архивного хранения документов с ЭЦП (ЭП) могут использоваться штампы времени, а также дополнительные данные, необходимые для подтверждения подлинности ЭЦП (ЭП) – так называемые доказательства подлинности ЭЦП (ЭП). К таковым относятся:
Для обеспечения актуальности ЭЦП (ЭП) при долговременном хранении необходимо периодически получать новые штампы времени.
Возможный вариант форматов данных и идентификаторы атрибутов для долговременного хранения документов с ЭЦП (ЭП) на основе CMS-сообщений описаны в европейском стандарте CAdES (ETSI TS 101 733). Версия этого стандарта опубликована в виде RFC 5126 «CMS Advanced Electronic Signatures (CAdES)».
Настроить параметры соединения со службой вы
можете:
Параметры соединения со службой:
Адрес службы штампов
времени
Позволяет задать адрес службы штампов в
формате:
В качестве протокола можно указать «http»,
«https» или «tcp», если это позволяют настройки службы.
Адреса служб штампов времени, доступных
для тестирования:
В случае если не используется прокси-сервер,
необходимо задать тип аутентификации для соединения со службой. Для
этого нажмите на кнопку Дополнительно (напротив
поля Адрес Службы штампов), и укажите тип
аутентификации:
Если аутентификация будет осуществляться через
прокси-сервер, необходимо задать параметры доступа к нему:
Использование клиентского сертификата для
аутентификации
Если служба штампов времени настроена на
аутентификацию по сертификату (для передачи запроса используется
протокол https), необходимо указать сертификат клиентской
аутентификации, выбрав его из персонального хранилища пользователя.
(Сертификат должен иметь расширенное использование ключа – Client
Authentication (1.3.6.1.5.5.7.3.2) и должен быть выпущен УЦ,
которому доверяет Служба штампов).
Создание подписи со штампом времени (TSP)
Служба штампов времени используется для простановки штампов времени на документы – данных, защищенных электронной подписью Службы, содержащих надежную информацию о времени существования электронного документа. Штампы времени используются для привязки факта существования каких-либо данных ко времени.
Создание подписи со штампом времени возможно только при установленном модуле КриптоПро TSP Client и лицензии на модуль TSP(КриптоПро TSP Client.).
Для создания подписи со штампом времени нужно выбрать подписываемые файлы, выбрать операцию Подпись, задать сертификат подписи и установить дополнительные параметры:

При установленном флаге добавления штампа времени на подпись или на данные необходимо заполнить параметры раздела Служба штампов времени (TSP):
После заполнения параметров подписи и установки флага, что файлы просмотрены перед их подписанием, становится доступна кнопка Выполнить.

Нажатие на кнопку Выполнить запускает процесс подписи. Исходные документы (оригиналы) и результаты операции подписи отображаются в отдельном мастере Результаты операций. Причем, после выполнения операции мастер подписи и шифрования очищается от добавленных в него файлов.

При просмотре информации о подписи отображается информация о штампе времени.

Тестовый TSP-сервер работает на основе службы штампов времени «КриптоПро TSP Server».
Сервер работает по протоколу TSP поверх HTTP. Для обращения к серверу посредством обычного соединения необходимо использовать адрес http://testca2012.cryptopro.ru/tsp/tsp.srf или https://testca2012.cryptopro.ru/tsp/tsp.srf для соединения по протоколу КриптоПро TLS.
Сервер отвечает на запросы штампов времени.
Сертификат подписи штампов времени издан Тестовым Центром Сертификации КРИПТО-ПРО на основе КриптоПро УЦ 2.0.
Чтобы тестовое программное обеспечение доверяло меткам времени, полученным с данного сервера, необходимо установить корневой сертификат тестового Центра сертификации в хранилище сертификатов операционной системы «Доверенные корневые центры сертификации».
Для проверки штампов времени также необходим сам сертификат службы штампов. Его можно получить здесь или при указании в запросе на штамп времени флага certReq, тогда служба штампов включит свой сертификат в ответ. При использовании КриптоПро TSP Client этот сертификат можно установить в хранилище «Другие пользователи» для того, чтобы функции проверки штампа находили его автоматически.
Тестовая служба штампов времени выдаёт штампы только с политикой, которая является политикой для тестовых штампов времени и не предполагает никаких гарантий и никакой ответственности со стороны владельца службы — ООО «КРИПТО-ПРО».
OID тестовой политики можно не указывать в запросе. Для информации его значение 1.2.643.2.2.38.4.
Используйте данный TSP-сервер только в тестовых целях. Не следует доверять штампам времени, выданным этим сервером, также как и сертификатам тестового Центра сертификации.
ВАЖНО! Чтобы подписывать документы, у вас на рабочем месте должен быть установлен криптопровайдер КриптоПро CSP.
ВАЖНО! Для подписи электронных документов необходима лицензия на ПО КриптоАРМ ГОСТ 3 или на ПО КриптоАРМ ГОСТ 3 Защищённая почта.
Чтобы подписывать документы электронной подписью, нужно установить в Личное хранилище сертификат с закрытым ключом.
Подписать документы вы можете в мастере Подписи и шифрования в разделе Документы.
Вы можете подписать любые произвольные документы, загрузив их с помощью drag-and-drop либо выбрав файлы из вкладки Архив.
Как подписать документ, используя профиль подписи
Создайте профиль подписи, в котором заданы настройки подписи.
Как подписать документ, используя настройки операций в мастере, не изменяя выбранного профиля
Если вы хотите изменить параметры подписи, не изменяя настройки в профиле, то воспользуйтесь настройками в открытом мастере.
Как подписать документ сертификатом DSS
Подпись сертификатом DSS ничем не отличается от подписи обычным сертификатом, за исключением некоторых шагов.
Примечание: для DSS подписи наличие лицензии на программный продукт КриптоПро CSP необязательно.
Как создать подпись со штампом времени (TSP)
Служба штампов времени используется для простановки штампов времени на
документы. Данные, защищенные электронной подписью Службы, содержат надежную
информацию о времени существования электронного документа. Штампы времени
используются для привязки факта существования каких-либо данных ко времени.
Создать подпись со штампом времени вы можете только при установленном модуле
КриптоПро TSP Client и лицензии на него.
Как создать подпись по стандарту CAdES-T
Стандарт подписи CAdES-T (Timestamp) — это формат электронной подписи, в которую автоматически добавляется штамп времени на подпись.
Как создать усовершенствованную подпись
Усовершенствованная квалифицированная электронная подпись поможет доказать юридическую значимость документа в спорных ситуациях. Например, когда помимо
авторства и целостности документа (которые дает обычная КЭП) необходимо подтвердить, что сертификат был действителен в момент подписания документа.
Формат усовершенствованной подписи предусматривает включение в электронную подпись информации о времени создания подписи (TSP) и о статусе сертификата
электронной подписи (OCSP) в момент подписания.
Вы можете создать усовершенствованную подпись только при наличии установленных модулей TSP Client и OCSP Client и лицензий на них.
Как создать подпись по стандарту CAdES-A
Стандарт подписи CAdES-A (Archival) — формат электронной подписи, сформированный на основе CAdES-X Long Type 1 или Type 2 путём добавления одного или нескольких атрибутов archive-time-stamp, представляющих собой архивные штампы времени. Данный формат используется для архивации долгосрочных подписей.
Результат выполнения операции
На вкладке Подпись и шифрование отображаются ход и результаты выполнения операции.
При успешном выполнении операции подписанные файлы сохраняются в заданном каталоге, если выбран каталог для сохранения результатов, или рядом с исходным файлом, если каталог не задан.
Если установлен флаг Создать копию в Архиве, то копия подписанных документов сохраняется в специальную папку, документы которой доступны в разделе Документы — вкладка Архив.
Примечание: если в настройках подписи выбрана отсоединённая подпись, то в заданный каталог и в Архив кроме файла подписи создается копия исходного файла.
Вы можете посмотреть информацию о подписи, выделив документ в списке и нажав иконку просмотра.
Действия с файлами после выполнения операции:
Если какие-то документы не удалось подписать, то операция считается выполненной с ошибками. Вы можете посмотреть, какие файлы подписались успешно, а какие с ошибками.
Ошибки при операции выводятся как уведомления. Вы можете их посмотреть, нажав на иконку.
Для просмотра подробного описания ошибки или отправки в техническую поддержку нажмите кнопку Перейти в журнал в правой боковой панели списка уведомлений.
ИНСТРУКЦИИ ПО ТЕМЕ:
Как получить штамп в службе штампов времени?
Кроме заверения документов электронной подписью, вы можете удостоверять точное время их создания. Это позволяет предотвращать возможные конфликты при обмене документами между партнерами, коллегами и т.п.
Использование штампов времени в электронном документообороте позволяет создавать официальное доказательство факта существования документа на определённый момент времени.
Модуль поддержки Службы Штампов времени (TSA). « КриптоАРМ Стандарт Модуль TSP» поддерживает работу с сервисом Служба штампов времени российского разработчика средств криптографической защиты информации — компании «КриптоПро».
В случае работы со сторонним сервисом штампов времени дополнительно устанавливать ничего не требуется.
Если вы хотите использовать собственный сервис штампов времени, то необходима покупка сервера службы Штампов Времени, например, от компании «КриптоПро» — КриптоПро TSP Server. Если планируется использовать ГОСТ алгоритмы, то необходима покупка ГОСТового криптопровайдера «КриптоПро CSP»(КриптоПро CSP 4 или КриптоПро CSP 5.)
Схема получения штампа времени:
1. Настройте параметры для работы со Службой штампа времени.
2. Получить штамп времени на документ вы можете во время операции электронной подписи документа.
3. В финальном окне операции электронной подписи документа или операции проверки электронной подписи документа вы можете просмотреть информацию штампа времени, сформированную на подписанном документе.
Выпущена версия 2.6.4 мобильного приложения КриптоАРМ ГОСТ. В новой версии появилась возможность создать усовершенствованную электронную подпись или поставить штамп времени к подписи, а также расширились возможности взаимодействия с “облачной “ электронной подписью. Обновление доступно для загрузки в магазинах приложений Google Play и App Store.
Основные нововведения.
В КриптоАРМ ГОСТ версии 2.6.4 были добавлены следующие изменения:
Подробнее о новой функциональности.
Усовершенствованная подпись
Усовершенствованная подпись — это формат электронной подписи, основанный на европейском стандарте CAdES. Данный формат расширяет возможности проверки электронной подписи. Усовершенствованную подпись можно проверить даже через несколько лет после подписания, и для ее проверки не нужен доступ к Интернету. Это становится возможным в результате добавления к электронной подписи штампа времени, статуса сертификата на момент подписи и цепочки сертификатов.
Применение: при создании архивов электронных документов.
Штамп времени — это информация о времени создания электронной подписи, полученная от внешней и независимой службы штампов времени, добавляемая к подписи в качестве дополнительного атрибута. Ставится такой штамп в случаях, когда требуется наличие неопровержимого доказательства времени подписания электронного документа.
Применение: обмен данными с Банком России.
Облачная подпись и КриптоПро DSS Client
Облачная подпись — это технология применения электронной подписи, когда подписание электронных документов осуществляется не на рабочем месте или мобильном устройстве, а в облаке, при этом ключи электронной подписи также хранятся в облаке.
В мобильном КриптоАРМ поддержка технологии “облачной” подписи появилась еще в предыдущей версии 2.4.5 (видео). В ней для подтверждения подписи документа на телефоне требовалось ввести код подтверждения, полученный по SMS.
Сейчас при подключении к DSS сервису через модуль аутентификации DSS Client все взаимодействие с сервисом подписи происходит внутри приложения, в том числе реализована возможность подтверждения операций путем ввода пин-кода. Кроме того, доступен просмотр содержимого документа перед подписанием.
Применение: документооборот в сегменте b2c (бизнес-клиенты).
Настройки службы штампов времени TSP
