Перейти к содержанию

Архивная подпись#

Зачем нужна архивная подпись#

Обычная электронная подпись (формат CAdES-BES или CAdES-T) имеет проблему: проверить её можно только пока сертификат не отозван и не истёк.

Например:

  • Договор подписан 01.01.2025 сертификатом со сроком действия до 01.01.2026.
  • В 2027 году нужно проверить — была ли подпись валидна на момент подписания.
  • Но сертификат уже истёк, удостоверяющий центр может больше не работать.

Для долгосрочного хранения нужна архивная подпись CAdES-A (Archival) — она:

  • Включает доказательства, что на момент подписания сертификат был валиден (статус OCSP/CRL, timestamp от TSA).
  • Может быть проверена через 10+ лет даже если УЦ закрылся.
  • Соответствует требованиям ФЗ-125 «Об архивном деле» (срок хранения до 75 лет).

Когда формируется архивная подпись#

Архивная подпись (CAdES-A) формируется автоматически в Ruxeo при:

  • Переходе документа в архивное состояниеsigned → archived.
  • Передаче в Долгосрочный архив — при создании архивного дела.
  • Принудительно через операцию администратора.

Базовая подпись (CAdES-BES / CAdES-T) дополняется Long-Term-Validation-блоком — она не теряется, а расширяется.

Состав архивной подписи#

CAdES-A содержит, помимо самой подписи:

  1. OCSP-ответы на момент подписания — статус сертификата подписанта от УЦ.
  2. CRL (Certificate Revocation List) — список отозванных сертификатов на момент подписания.
  3. Timestamp от TSA (Time Stamping Authority) — точное время подписания, заверенное третьей стороной.
  4. Все промежуточные сертификаты цепочки доверия.

Это самодостаточный пакет — для проверки не нужен доступ к УЦ.

Поддерживаемые TSA#

В Ruxeo по умолчанию используются:

  • КриптоПро TSP — для документов с ГОСТ-подписями.
  • Astral TSA — альтернативный сервис.
  • Внутренний TSA — если организация имеет свой TSA-сервер (на основе КриптоПро TSP Server).

Конкретный TSA настраивается администратором.

Проверка архивной подписи#

На вкладке «Подписи» карточки документа:

  • Каждая подпись имеет статус валидации.

  • Кнопка «Подробнее» → открывает раскрытие:

    • Подписант: ФИО + сертификат.
    • Сертификат: серийный номер, УЦ-эмитент, срок.
    • OCSP-ответ на момент подписания: ✅ Валиден / ❌ Отозван.
    • Timestamp от TSA: дата + орган.
    • Long-Term-Validation: ✅ есть данные / ⚠ только базовая подпись.

Срок хранения#

Срок хранения архивной подписи не имеет ограничений — она может проверяться сколь угодно долго, пока сохраняется криптостойкость алгоритма.

В случае компрометации алгоритма (например, ГОСТ Р 34.10-2012 в будущем может быть заменён на новый) — архивная подпись может быть пересчитана новым алгоритмом для продления валидности (это называется «продление LTV»).

Принудительный апгрейд подписи#

Для документов, подписанных давно обычной подписью без LTV-блока — администратор может запустить операцию «Архивировать подписи»:

  1. Открыть документ.
  2. «Действия → Архивировать подписи».
  3. Система запросит TSA-timestamp + проверит OCSP/CRL на момент подписания.
  4. Подпись преобразуется в CAdES-A.

⚠️ Это работает только если сертификат подписанта был валиден на момент подписания и можно найти OCSP-ответ за тот период (или TSA-timestamp уже включён в подпись).

Связанные страницы#