Доказательная сила архивного электронного документа (2018)

Архiвы i справаводства. 2018. №3 (117). С. 68–73.

Доказательная сила архивного электронного документа

Документы сохраняют, чтобы использовать их в качестве доказательства. Для бумажных документов доказательная сила обеспечивается, помимо реквизитов, неповрежденной поверхностью самого бумажного листа, что легко определить на глаз. При переходе к электронным документам эта возможность теряется. Вместо нее для подтверждения того, что в документ после его создания не вносились изменения, применяется довольно сложный для неспециалистов механизм выработки и подсчета контрольной характеристики (хеш-значения). Если целостность массива информации в электронной форме нарушена, то при проверке получится хеш-значение, отличное от того, которое было зафиксировано в момент создания массива. Вероятность того, что при изменении осмысленного текста удастся подобрать хеш-значение, идентичное первоначальному, считается пренебрежимо малой.

Главной проблемой при этом является защита от изменения самой контрольной характеристики. Если электронный документ хранится в защищенной информационной системе (например, в виде записи базы данных), его достоверность обеспечивается стандартными мерами защиты, приемлемый уровень надежности которых многократно продемонстрирован на практике. Хеш-значение при этом хранится в той же системе, но таким образом, чтобы потенциальный взломщик, даже получив доступ к самому документу, не имел возможности распознать место хранения его контрольной характеристики и модифицировать ее.

При пересылке из одной защищенной системы в другую документ и сопровождающее его хеш-значение становятся уязвимыми. Оптимальной мерой защиты в этом случае является усиленная электронная подпись, известная также как электронная цифровая подпись (ЭЦП). Она представляет собой ту же контрольную характеристику, но зашифрованную с применением асимметричного алгоритма шифрования. При этом существует пара связанных друг с другом ключей, одним из которых (личным или секретным ключом) информация шифруется, вторым (открытым или публичным ключом) она может быть расшифрована, но не зашифрована вновь. Если хеш-значение, извлеченное с помощью открытого ключа, совпадает с тем, которое рассчитывается заново при проверке, документ признается достоверным.

Если личный ключ хранится в тайне, единственной возможностью фальсификации документа является взлом этого ключа методом подбора. Вероятность взлома определяется стойкостью криптоалгоритма. В настоящее время используются криптоалгоритмы, практически гарантирующие невозможность подбора ключа за время порядка двух-трех лет. Существуют алгоритмы, срок надежности которых оценивается в пределах 10-15 лет. Но о применении в повседневной практике ключей, которые гарантировали бы невозможность взлома на протяжении десятилетий, речь не идет.

Поэтому срок действия ключей ограничен. В момент выработки ключевой пары уполномоченный орган (удостоверяющий центр) выдает владельцу сертификат открытого ключа, в котором указан срок его действия, рассчитанный исходя из оценки стойкости криптоалгоритма. Этот срок может быть сокращен в случае досрочного отзыва – например, по причине нарушения тайны личного ключа.

После истечения срока действия сертификата или его отзыва достоверность документа теряется. Любая часть его содержания и защищенных реквизитов, включая и указанную в самом документе дату его создания, теоретически может быть сфальсифицирована тем, кто похитил или подобрал личный ключ.

Чтобы сохранить доказательную силу, электронная подпись должна быть снабжена штампом времени. Штамп времени представляет собой то же хеш-значение, дополненное указанием на момент подписания и зашифрованное личным ключом службы штампа времени, выступающей в качестве доверенной третьей стороны. Наличие такого штампа позволяет в любой момент установить время подписания и, соответственно, определить, что на это время подпись была действительна. Взломщик, подобравший или укравший личный ключ подписавшего лица, сможет подделать его подпись, но не штамп времени.

К сожалению, эта мера не является панацеей, потому что личный ключ службы штампа времени тоже связан со стойкостью криптоалгоритма. Потому у штампа времени есть свой срок действия, по истечении которого мы возвращаемся к исходной проблеме.

Такая ситуация вполне приемлема для электронных документов, срок хранения которых не превышает 10 лет. Документ создается в защищенной системе и либо остается в ней до конца жизненного цикла, либо снабжается усиленной электронной подписью и пересылается адресату. При получении подпись проверяется, после чего документ может быть помещен в другую защищенную систему, по месту получения. Вероятность взлома на этапе пересылки можно практически исключить, а на этапе хранения она остается на приемлемо низком уровне.  Помимо подписи, документ защищается внутри системы еще и хеш-значением, хранимым в недоступных для взломщика условиях.

Но как обеспечить достоверность электронных документов, предназначенных для архивного хранения в течение десятилетий, а во многих случаях – постоянно? Вероятность взлома подписи, выработанной в момент создания документа, за десятилетия достигнет неприемлемо высокого уровня. К тому же есть большие сомнения, что удастся корректно осуществить расшифровку подписи и штампа времени в новых поколениях программных средств – возможно, реализуемых на совсем иных принципах (квантовые вычисления и т.п.). В случае же конвертации документа из одного формата в другой, первоначальное хеш-значение заведомо не сможет подтвердить целостность новой версии документа.

В течение какого-то времени доверие к документам может обеспечиваться за счет доверия к архивной информационной системе, к предусмотренным в ней средствам защиты от несанкционированного доступа. Но ни одна информационная система не может эксплуатироваться вечно. Рано или поздно информацию из нее придется перегружать в новую систему, а для документов постоянного хранения это придется делать многократно. При этом уже нельзя будет использовать способ, при котором даже сами операторы не знают, где система хранит хеши. Чтобы обеспечить связь документов с их контрольными характеристиками после миграции из системы в систему, эту связь надо где-то описать в явном виде, а значит – сделать ее потенциально доступной для взломщика.

Один из обсуждаемых специалистами вариантов – переподписание каждого документа усиленной подписью архива или конкретного архивиста, ответственного за его сохранность. Это действительно может обеспечить надежную защиту от внешнего проникновения. Но есть у этого способа и свои недостатки. Один из них – это превращение самого архивиста в наиболее уязвимую точку системы. Фальсификатору ничего не нужно делать самому – достаточно уговорить, подкупить или принудить архивиста, чтобы он при очередном переподписании документа внес желаемые правки.

Второй недостаток способа - его огромная трудоемкость. Счет хранящихся в архиве документов может быстро достигнуть астрономических величин, и каждый из них необходимо будет проверять и подписывать с определенной периодичностью. Это делает заведомо непригодными существующие способы выработки электронных подписей, которые предусматривают прямое участие подписывающего лица – человек должен, как минимум, лично «нажать кнопку», а в более строгих случаях каждый раз вводить известный только ему пароль на доступ к контейнеру, в котором хранится личный ключ. Можно, конечно, полностью автоматизировать процесс, но как при этом обеспечить ответственность человека за то, что машина делает без его участия?

Если мы не согласимся полностью довериться автоматическому процессу, для сокращения трудоемкости можно подписывать не каждый документ по отдельности, а их агрегированную совокупность. В частности, при формировании документов в электронное дело оно может быть подписано лицом, ответственным за его формирование, а затем принявшим его на хранение архивистом. Можно таким же образом подписывать весь массив электронных дел, включенных в опись.

Но и с этим вариантом не все просто. Чтобы подписать такой сложный информационный объект, необходимо расположить все файлы в строго определенном порядке, который должен соблюдаться при любой последующей проверке. Чем больше объектов – тем выше риск, что в процессе длительного хранения возможность вновь собрать их в этом порядке будет утрачена. Определенную гарантию дает упаковка всех подписываемых объектов в единый zip-архив. Но это в некоторых ситуациях может затруднить доступ к объектам, к тому же мы становимся заложниками программы, осуществляющей архивацию. В случае утраты ее работоспособности при смене поколений информационных технологий все заархивированные объекты окажутся недоступными. Трудно сказать также, насколько эффективными окажутся существующие алгоритмы хеширования применительно к огромным информационным массивам, измеряемым гигабайтами и терабайтами.

Существуют и другие способы архивного хранения, при которых сохранялась бы доказательная сила электронных документов. Один из них был предложен еще на заре компьютерной эры – фиксировать контрольные характеристики электронных документов в сопроводительном бумажном документе (удостоверяющем листе). На стадии обращения и даже оперативного хранения этот способ очевидно неудобен, но при передаче документов на длительное архивное хранение он не так уж плох. Доверие к бумажному документу, оформленному надлежащим образом, достаточно велико. Если сопроводить какой-то массив электронных документов удостоверяющим листом или актом приема-передачи, в котором будут указаны имена и хеш-значения каждого файла, целостность каждого документа можно будет подтверждать в течение срока, пока хранится этот бумажный документ.

Но этот способ эффективен, когда вероятность обращения к конкретному документу с подтверждением его доказательной силы крайне мала. Хеш-значение – это длинная и непонятная человеку последовательность символов. Безошибочно ввести ее с листа или визуально сличить со значением, выведенным на экран, не так просто, и делать это имеет смысл только в исключительных случаях.

Гораздо удобнее фиксировать хеш-значения в сопроводительном электронном документе, из которого они могут извлекаться для проверки автоматически. В этом случае для электронного дела формируется не общая электронная подпись, а внутренняя опись в качестве самостоятельного электронного документа, в котором указываются контрольные характеристики каждого файла – как самого документа (его общей части), так и описывающих его метаданных (файлов подписей, регистрационно-контрольных карточек и т.п.). Внутреннюю опись подписывает составивший ее работник. На момент передачи дела в архив его подпись ссылается на действующий сертификат и может быть проверена без технических или юридических проблем. В дальнейшем внутреннюю опись можно снабдить подписью архивиста и периодически переподписывать по мере истечения срока действия сертификатов. Это намного проще, чем заново подписывать каждый файл или огромный массив, состоящий из множества файлов.

Для бумажных документов дополнительным средством, обеспечивающим их достоверность, является определенный порядок формирования дела: оно обязательно сшивается, листы нумеруются. Это затрудняет возможность извлечь из дела документ и подменить его другим. В мире информационных технологий аналогом такой практики является механизм блокчейна: при подготовке электронного дела к передаче в архив может оформляться таким образом, чтобы в метаданные каждого последующего документа включалась контрольная характеристика предыдущего. В этом случае электронное дело представляет собой блок (однонаправленный связанный список), в котором ни один документ нельзя изменить незаметно.

В технологии блокчейна требуемый уровень доверия достигается также за счет того, что все блоки помещаются в распределенный реестр, экземпляр которого находится у каждого участника. Принцип помещения блоков в реестр алгоритмизирован таким образом, что их последующее изменение становится невозможным (точнее, его смог бы обеспечить лишь тот, кто контролирует не менее 50 % вычислительных мощностей распределенной системы, что считается недостижимым на практике).

Возможно, в будущем мы придем к тому, что архивное хранение документов будет реализовано на тех же принципах. Внутренние описи всех электронных дел будут поступать в глобальный распределенный реестр, с помощью которого любой желающий сможет самостоятельно проверить целостность любого файла, извлеченного из архива. Отпадет необходимость переподписывать как внутренние описи, так и файлы документов. Архив станет полностью прозрачным, его научно-справочный аппарат будет доступен каждому. При этом сохранится возможность контролировать выдачу документов из архива, если это будет признано необходимым.

 

Вячеслав Носевич

кандидат исторических наук,

директор БелНИЦЭД