vrr/doc
2
0
Fork 0
mirror of https://github.com/bpmbpm/doc.git synced 2026-05-05 23:37:09 +00:00
Code Issues Projects Releases Packages Wiki Activity Actions

Update ds.md

Browse source
This commit is contained in:
Dmitry 2026-03-05 11:17:49 +03:00 committed by GitHub
parent 7689eea1a2
commit d94286e72f
No known key found for this signature in database
GPG key ID: B5690EEEBB952194
1 changed files with 58 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

58
IT/CADES/AI/578/ds.md
View file

@ -90,4 +90,62 @@ flowchart TD
- CAdES-A версии 1 и 2 разве позволяет провести первичное подписание кадрового документа?
Уточни свои ответы и укажи на неточности в предыдущих.
---
Вы совершенно правы, указывая на неточность в моем предыдущем ответе. Спасибо за внимательное прочтение и ссылку на конкретный нормативный акт. Действительно, Приказ Минтруда России от 20.09.2022 № 578н вносит существенные уточнения, которые я упустил, сосредоточившись на общих положениях ТК РФ и 63-ФЗ. Проведем повторный, более глубокий анализ с учетом ваших замечаний.
### **1. Анализ требований Приказа Минтруда № 578н к формату подписи**
Ваш тезис верен: **Приказ Минтруда № 578н устанавливает требование к использованию только открепленной (отсоединенной) подписи** в кадровом электронном документообороте (КЭДО).
Вот подробное обоснование, основанное на тексте Приказа :
Приказ устанавливает **Единые требования к составу и форматам** кадровых электронных документов. Согласно пункту 1, электронный документ — это не один файл, а **совокупность обязательных структурных элементов**:
1. **Основная часть** — файл в формате **PDF/A-1A** (строгий формат для долговременного архива) .
2. **Приложения** (при наличии) — отдельные файлы.
3. **Электронная подпись** — представленная **"в виде файлов электронной подписи"**.
4. **Описание документа** — отдельный файл в формате XML (`wredc_data.xml`).
Ключевая фраза здесь — **"в виде файлов электронной подписи"**. Это прямо указывает на то, что подпись должна быть отделена от самого документа и существовать как самостоятельный файл (или несколько файлов, если подписантов несколько). Пункт 7 также предписывает, что **"Все файлы элементов... должны быть расположены в корневом каталоге"** . Это окончательно закрепляет структуру документа как набор связанных, но отдельных файлов.
**Вывод по пункту А:** Вопреки моему первоначальному утверждению, **встроенная (PAdES) и присоединенная подписи не могут применяться** в КЭДО, поскольку они объединяют документ и подпись в один файл, что нарушает требование о предоставлении подписи в виде отдельного файла. Приказ № 578н императивно требует использования **открепленной (detached) подписи**. Это техническое требование не отменяет юридические виды подписей (УКЭП/УНЭП), а лишь конкретизирует форму их существования.
### **2. Анализ требований к долгосрочному хранению (50/75 лет) на примере трудового договора**
Здесь мы переходим от формата файла к **содержанию самой подписи**. Срок хранения трудовых договоров (50/75 лет) — это сверхдолгий горизонт, на котором неизбежно возникают проблемы, связанные с истечением сроков действия сертификатов, отзывом лицензий удостоверяющих центров (УЦ) и развитием технологий. Ваш анализ форматов CAdES абсолютно верен.
#### **Почему CAdES-T (с меткой времени) — неоптимальный выбор для таких сроков**
Вы абсолютно правы: **CAdES-T потребует дополнительных мероприятий**. Рассмотрим хронологию:
1. **Типовые сроки действия:**
* **Сертификат ключа подписи (КЭП) работника/работодателя:** Обычно выдается на **1215 месяцев** (максимум — до 5 лет, но редко).
* **Сертификат УЦ (корневой или кросс-сертифицированный):** Может действовать до **520 лет** (в России есть УЦ с сертификатами на 5-10 лет).
* **Сертификат службы меток времени (TSA — Time Stamping Authority):** Может быть выдан на срок до **1015 лет** .
2. **Проблема:** CAdES-T добавляет к подписи метку времени, которая доказывает, что в момент `T` подпись существовала и сертификат подписанта был действителен . Однако метка времени сама по себе является электронной подписью, созданной с использованием сертификата TSA.
3. **Мероприятия, которые потребуются:** Как только истечет срок действия сертификата TSA (а это произойдет намного раньше, чем через 50 лет), метка времени перестанет быть независимо проверяемой. Чтобы сохранить юридическую силу, потребуется **повторное усовершенствование подписи**. Например, нужно будет получить новую метку времени (от уже действующей TSA) для "старого" пакета документов (подпись + старая метка), по сути, "обновляя" доказательство. Если этим не заниматься, то через 15-20 лет доказательная база ослабнет.
#### **CAdES-A (архивная подпись) и первичное подписание**
* **Позволяет ли CAdES-A провести первичное подписание?** **Да, безусловно.** Более того, для достижения цели 50-75 летнего хранения без постоянных "ручных" доработок, это **оптимальный и, по сути, единственный корректный выбор**.
* **Как это работает (и чем отличается от CAdES-T):** CAdES-A — это не просто подпись с одной меткой времени. Это "капсула времени". Форматы CAdES-A (версии 1 и 2) при создании сразу включают в себя :
1. **Саму подпись (CAdES-BES).**
2. **Метку времени (TSP-ответ)** — как в CAdES-T.
3. **Информацию о статусе сертификата подписанта на момент подписания (OCSP-ответ или список отзыва — CRL).** Это доказывает, что сертификат не был отозван.
4. **Цепочку сертификатов** (включая корневой сертификат УЦ).
5. **Архивные штампы времени**, которые защищают все предыдущие данные (включая метки времени и OCSP-ответы) и позволяют добавлять новые штампы в будущем, если алгоритмы шифрования начнут устаревать.
Благодаря этому, даже через 50 лет, когда все исходные сертификаты (подписанта, TSA, УЦ) давно истекут, в самой подписи будут храниться все данные, необходимые для её проверки. Это делает проверку **независимой от внешних, давно неработающих источников (OCSP-серверов, сайтов УЦ)** .
ГОСТ Р 34.10-2012, на котором основаны российские криптоалгоритмы, прямо допускает включение таких архивных атрибутов .
### **Итоговые уточнения и выводы**
1. **Неточность в предыдущем ответе:** Главная неточность заключалась в том, что я не учел императивные требования Приказа Минтруда № 578н к **составу и форматам** файлов кадровых документов. В КЭДО применение **встроенной (PAdES)** и **присоединенной** подписей **невозможно**. Требуется **открепленная (detached)** подпись в виде отдельного файла (файлов) .
2. **По форматам CAdES:**
* **CAdES-T:** Юридически допустим, но **неоптимален** для 50-летнего хранения. Он лишь отсрочивает проблему, требуя от владельца архива проводить дополнительные действия по "усовершенствованию" подписей каждые 10-15 лет (по мере истечения сертификатов служб меток времени) .
* **CAdES-A:** **Оптимальный и рекомендуемый выбор** для трудовых договоров. Он позволяет создать подпись "с защитой на будущее" уже на этапе первичного подписания. Законодательство (**63-ФЗ** и **ГОСТ**) не только не запрещает, но и подразумевает использование таких форматов для обеспечения долговременной юридической значимости документов . При подписании трудового договора с использованием УКЭП или УНЭП, итоговый файл подписи должен быть сформирован именно в формате, обеспечивающем долгосрочную проверку, то есть CAdES-A.