Логін

Внутрішні чи зовнішні підписи - CAdES, XAdES чи PAdES? Порівняння внутрішніх та зовнішніх підписів. (Частина 2)

XML-дані, ZIP-архіви або величезні файли - їх не завжди зручно підписувати стандартним підписом PAdES. У таких ситуаціях має сенс звернутися до зовнішнього підпису (наприклад, XAdES або CAdES) - дізнайтеся, що це таке і коли це найкраще рішення.
CAdES, XAdES чи PAdES? Порівняння внутрішніх і зовнішніх підписів

У попередньому розділі ми описали PAdES та XAdES. Тепер настав час для CAdES - ми розглянемо, як працюють внутрішні та зовнішні підписи в цьому форматі та яке застосування він має в бізнесі.

Кваліфікований електронний підпис може бути створений як всередині документа (внутрішній підпис), так і у вигляді окремого файлу (зовнішній підпис). Обидві форми забезпечують однаковий рівень безпеки, але технічно і практично відрізняються у використанні.

У першій частині цієї статті ми детально описали відмінності між внутрішніми та зовнішніми підписами на прикладі форматів PAdES та XAdES. Тепер же ми розглянемо ще один формат - CAdES - і дамо практичні поради щодо того, в яких випадках краще використовувати зовнішні, а в яких - внутрішні підписи.

Формат CAdES - підпис CMS/PKCS#7 (внутрішній або зовнішній)

CAdES (CMS Advanced Electronic Signature) - ще один формат кваліфікованого підпису, заснований на стандарті Cryptographic Message Syntax (PKCS#7).

На практиці CAdES зазвичай має вигляд криптографічного конверта з розширенням .p7m, .p7s або .sig, який містить підписані дані або посилання на них. Цей формат є універсальним з точки зору типів файлів - він дозволяє підписувати будь-які двійкові дані: текстові документи (DOC/XLS), зображення, PDF-файли, ZIP-архіви і навіть великі набори даних або виконувані файли. Завдяки цій універсальності CAdES іноді використовується для комунікації між ІТ-системами та в бізнес-рішеннях, що вимагають підписання нестандартних файлів.

У випадку CAdES ми можемо мати справу з внутрішнім (об'ємним) підписом - у цьому випадку створюється один файл .p7m, який містить оригінал документа разом з підписом. Такий файл є цілісним і легко завантажується як один елемент, але для його відкриття потрібне спеціальне програмне забезпечення (пересічний користувач не зможе відкрити .p7m без спеціального додатку). Крім того, CAdES може діяти як зовнішній підпис - в цьому випадку оригінальний файл залишається незмінним, а файл підпису (наприклад, з розширенням .p7s або .sig) генерується окремо, подібно до XAdES. Обидва методи сумісні з eIDAS; вибір залежить від ваших потреб. Багато програм для створення підписів (наприклад, Certum) дозволяють вибрати "зовнішній підпис" або "внутрішній підпис" у форматі CAdES.

Переваги формату CAdES

  • Будь-який тип файлу - CAdES можна використовувати для підписання практично будь-якого типу електронних даних. Це найкращий вибір, якщо нам потрібно підписати файл, який не може бути легко покритий іншим форматом (наприклад, нестандартний двійковий формат).

  • Одне розширення для різних даних - файл підпису .p7m може містити документ будь-якого формату, що полегшує стандартизацію. Незалежно від того, підписуєте ви PDF чи AVI - результатом буде .p7m.

  • Компактний підпис - CAdES генерує відносно невеликий обсяг даних. Розмір підпису (незалежно від розміру оригіналу) зазвичай становить кілька кілобайт. Він не займає багато пам'яті та швидко перевіряється завдяки визначеній двійковій структурі підпису.

  • Популярність у системах - хоча кінцеві користувачі рідше свідомо обирають CAdES, формат широко використовується всередині додатків і сервісів (наприклад, для підписання пакетів даних, електронних рахунків-фактур, комунікацій між серверами). Його переваги цінують автоматизовані рішення - наприклад, підписання та перевірку великої кількості табличних файлів можна ефективно реалізувати саме в CAdES.

Обмеження формату CAdES

  • Вимагає спеціального програмного забезпечення для читання - особа, яка отримує файл .p7m, не зможе переглянути його вміст без використання спеціальної програми для перевірки підпису. Для непідготовленого одержувача це може збити з пантелику - файл з підписом не буде відкриватися як звичайний документ, викликаючи питання "як мені підписати/прочитати це?". Необхідно скористатися інструментом перевірки (наприклад, програмою постачальника підписів).

  • Відсутність видимої печатки в документі - підпис CAdES повністю відокремлений від змісту документа і не містить графічного представлення підпису в самому змісті (ви не можете побачити "підпис" на роздруківці або в попередньому перегляді файлу). Якщо вам потрібен візуальний ефект підпису на документі, CAdES цього не забезпечить.

  • Труднощі з множинними підписами - у сценарії, коли кілька людей повинні підписати один і той самий документ, внутрішній варіант CAdES генерує феномен "матрьошки". Це означає, що кожен наступний підпис створює новий файл .p7m, який містить попередній підписаний файл всередині - вкладені конверти підписів. Як наслідок, обробка декількох підписів на одному документі стає громіздкою (послідовні шари підписів). У форматі XAdES або PAdES такої проблеми немає - там підписи можна додавати без обгортання файлу послідовними шарами.

  • Менш популярний серед користувачів - більшість людей асоціюють підписання PDF (PAdES) або, можливо, файлів .xml з підписанням (XAdES). CAdES у форматі .p7s/.p7m менш інтуїтивно зрозумілий для пересічного користувача. Як наслідок, якщо ви надішлете контрагенту підписаний документ у форматі CAdES, він може не знати, як його відкрити або перевірити - інколи потрібні інструкції. Тому CAdES частіше використовується в усталених ділових відносинах або в системах, де сторони знають, як працювати з таким підписом.

Коли використовувати внутрішній підпис, а коли зовнішній?

Вибір між внутрішнім і зовнішнім підписом залежить від контексту використання документа та вимог одержувача. Нижче наведено кілька практичних порад:

  • Документи для людей (наприклад, договори, листи у форматі PDF) - якщо ви надсилаєте підписаний документ людині, яка має просто прочитати його і переконатися в його автентичності, найкраще підійде внутрішній підпис у форматі PAdES. Одержувач отримує один PDF-файл, який він може легко відкрити, і програма (наприклад, Acrobat Reader) відразу покаже інформацію про дійсність підпису. Це найпростіший спосіб підписати документ у бізнесі та адмініструванні. Зовнішній підпис у цьому випадку міг би лише ускладнити ситуацію (довелося б прикріплювати два файли та пояснювати, як їх перевірити).

 

  • Документи у форматах, відмінних від PDF - якщо нам потрібно підписати файл не у форматі PDF, у нас є вибір між XAdES і CAdES. Тут рішення внутрішнє чи зовнішнє залежить від обставин. Якщо документ має надійти в офіс або систему, яка вимагає певного формату (наприклад, багато платформ електронного уряду приймають підписи XAdES лише у вигляді окремого файлу для XML), тоді ми використовуємо зовнішній підпис XAdES за необхідності. З іншого боку, підписуючи, наприклад, файл Word для внутрішнього використання в компанії, можна використовувати внутрішній CAdES - буде створено файл .p7m, що містить документ, який колеги перевірять у своєму програмному забезпеченні. Однак, якщо одержувач такого файлу може мати труднощі з відкриттям .p7m, альтернативою може бути зовнішній підпис (окремий .sig) і залишення оригінального DOCX - але знову ж таки, вам потрібно переконатися, що ці дві частини не розділені.

 

  • Великі файли - для великих документів (посилання) (десятки мегабайт) часто рекомендується використовувати зовнішній підпис. Чому? Тому що з внутрішнім підписом створюється новий файл, який містить весь оригінал плюс підпис, що подвоює обсяг даних, які потрібно передати і зберегти. Зовнішній підпис, з іншого боку, крихітний (порядку кількох/десятків кБ) і може передаватися окремо. На практиці постачальники вказують, що зовнішній підпис краще справляється з файлами, розмір яких перевищує ~25 МБ. Для файлів такого розміру внутрішній підпис може бути проблематичним (наприклад, він не впишеться в ліміт вкладень в електронному листі або платформа відмовиться приймати занадто великий файл). Використовуючи зовнішній підпис, ми передаємо великий оригінальний файл без змін, а підпис - окремим невеликим файлом, що іноді є практичним рішенням.

 

  • Формальні та системні вимоги - Завжди корисно перевірити, які формати і типи підписів приймаються одержувачем або системою, до якої ви надсилаєте документ. Деякі установи прямо вказують, що, наприклад, PDF-документи повинні бути підписані PAdES, а XML-форми - зовнішнім підписом XAdES (окремим файлом), або вимагають певного стандарту (наприклад, ASiC). У таких ситуаціях рішення накладається вимогами заздалегідь. На щастя, більшість програм для електронного підпису дозволяють легко перемикати формат і тип підпису за потреби - просто виберіть відповідні опції перед підписанням.

Таким чином, внутрішній підпис добре працює там, де ми цінуємо зручність одного файлу та розбірливість(переважно PDF/PadES для типових документів), тоді як зовнішній підпис незамінний у сценаріях, що вимагають гнучкості - з різними форматами файлів, автоматизованою обробкою даних або дуже великими вкладеннями. Однак, незалежно від обраного методу, обидва типи підписів гарантують однаковий рівень безпеки та юридичної сили, що є результатом кваліфікованого сертифіката.

Дуже важливо, щоб одержувач міг перевірити підпис - тому завжди надавайте всі необхідні файли та інструкції при використанні менш очевидних форм (наприклад, .xades або .p7m). Знаючи це, ми можемо свідомо вибрати формат і тип підпису, які найкраще підходять для конкретної ситуації, забезпечуючи як зручність, так і відповідність вимогам.

 

Кваліфіковані підписи SimplySign та Certum Mini

Якщо у вас виникли запитання, будь ласка, зв'яжіться з нами

+48 22 417 05 55

Ми відповімо на ваші запитання, підберемо вам відповідну дату та консультанта у Гданську, Гдині, Кракові, Варшаві чи Вроцлаві.

Ви також можете написати нам на електронну пошту podpisano.plcontact@ . 

Перевірте також:

  • Кваліфіковані печатки, кваліфіковані підписи

KSeF в JDG і малій компанії: кваліфікований підпис, печатка та автоматизація рахунків-фактур

  • Кваліфіковані штампи

Офлайн-режим KSeF: два QR-коди та гарантія автентичності рахунку-фактури (сертифікат KSeF типу 2)

  • Кваліфіковані штампи

Дві стратегії управління KSeF в компанії: ZAW-FA або електронна печатка компанії

  • Кваліфіковані печатки, кваліфіковані підписи

Безпечний KSeF з кваліфікованим підписом – посібник з інтеграції ERP для компаній та автоматичної відправки електронних рахунків-фактур

Переглянути всі

Вам потрібна допомога?

Інформація
Дізнайтеся більше Додати в кошик
Інформація
Дізнайтеся більше Додати в кошик

Знайдіть те, що шукаєте