Метка времени не прошла проверку электронной подписи

Обновлено: 04.07.2024

Использование ПАК "КриптоПро TSP" позволяет участникам информационных систем получать штампы времени, связанные с электронными документами. Штамп времени представляет из себя электронный документ, подписанный электронной цифровой подписью (электронной подписью), где подписанными данными являются значение хэш-функции электронного документа и время предоставления штампа времени. Таким образом, штамп времени однозначно связан с электронным документом, на который он выдается и обеспечивает его целостность.

Для реализации сервиса TSP необходимо на базе "КриптоПро TSP Server" организовать Сервер службы TSP и встроить "КриптоПро TSP Client" в программное обеспечение клиентских рабочих мест. Встраивание "КриптоПро TSP Client" осуществляется с использованием инструментария разработчика – "КриптоПро PKI SDK".

Для чего нужны штампы времени

Фиксация времени создания электронного документа. Применение штампа времени позволяет зафиксировать время создания электронного документа. Для этого после создания документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство факта существования электронного документа на момент времени, указанный в штампе.
Фиксация времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Штамп времени может использоваться в качестве доказательства, определяющего момент подписания электронного документа (1-ФЗ "Об ЭЦП", Статья 4; 63-ФЗ "Об ЭП", Статья 11). Для этого после создания электронной цифровой подписи (электронной подписи) документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство, определяющее момент времени подписания электронного документа.
Фиксация времени выполнения какой-либо операции, связанной с обработкой электронного документа. Штамп времени на электронный документ может быть получен при выполнении какой-либо операции, связанной с его обработкой, при необходимости зафиксировать время выполнения этой операции. Например, штамп времени может быть получен при поступлении от пользователя электронного документа на сервер электронного документооборота, либо при предоставлении документа какому-либо пользователю.
Долговременное хранение электронных документов, в том числе и после истечения срока действия сертификатов проверки подписи пользователя. Использование штампов времени позволяет обеспечить доказательство времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Если дополнительно на момент времени формирования ЭЦП (ЭП) рядом со значением ЭЦП (ЭП) и штампом времени сохранить и доказательство действительности сертификата (например, получить и сохранить OCSP-ответ), то проверку указанной ЭЦП (ЭП) можно обеспечить на момент времени её формирования (полная аналогия с бумажным документооборотом). И такую подпись можно будет успешно проверять в течение срока действия ключа проверки подписи Службы штампов времени. А что делать, когда сертификат Службы штампов времени истечет? Ответ прост: до истечения этого сертификата получить ещё один штамп времени на указанный документ (уже с использованием нового закрытого ключа и сертификата Службы штампов времени): этот новый штамп зафиксирует время, на которое старый сертификат службы штампов времени был действителен, и обеспечит целостность этого электронного документа при дальнейшем хранении в течение срока действия сертификата нового штампа времени.

Краткое описание протокола TSP

Запрос на штамп времени

Запрос на штамп времени включает следующие поля:

Значение хэш-функции от документа, на который запрашивается штамп (обязательно указывается, какой именно алгоритм хэширования используется);
Объектный идентификатор (OID) политики запрашиваемого штампа (необязательно);
Nonce - случайное число, идентифицирующее данную транзакцию протокола TSP (необязательно);
Дополнения (Extensions) (необязательно).

Идентификатор политики определяет, по какой политике должен быть выдан штамп времени. Политики штампов времени задаются сервером штампов времени и устанавливают набор правил, по которым выдаются штампы времени, а также области их применения.

Например, в системе может быть определено несколько политик с разными идентификаторами и следующим описанием:

Поле Nonce позволяет клиенту проверить своевременность полученного ответа, в котором сервер штампов времени должен разместить то же самое значение nonce, которое было в запросе.

Ответ сервера штампов времени

Ответ сервера штампов времени содержит следующие поля:

Статус операции и информация об ошибке;
Штамп времени (если статус успешный).

Значение хэш-функции от документа, на который выдан штамп (обязательно указывается, какой именно алгоритм хэширования используется);
Объектный идентификатор (OID) политики штампа;
Время выдачи штампа;
Точность времени;
Признак строгой упорядоченности штампов (Ordering);
Nonce - случайное число, идентифицирующее данную транзакцию протокола TSP (совпадает с соответствующим полем запроса);
Дополнения (Extensions) (необязательно).

Сервер штампов указывает признак ordering, если он работает в режиме строгой упорядоченности штампов. Т.е. сравнение времён двух выданных этим серверов штампов даже без учёта точности времени определяет порядок их выдачи.

Как хранить штампы времени совместно с документами

Для организации долговременного архивного хранения документов с ЭЦП (ЭП) могут использоваться штампы времени, а также дополнительные данные, необходимые для подтверждения подлинности ЭЦП (ЭП) – так называемые доказательства подлинности ЭЦП (ЭП). К таковым относятся:

Штампы времени;
Сертификат ключа подписи, использованного для создания оригинальной ЭЦП (ЭП);
Сертификат УЦ, издавшего сертификат ключа подписи (если цепочка сертификатов содержит другие УЦ, то их сертификаты также необходимо проверить);
Сертификат Службы штампов времени;
Цепочка сертификатов для проверки сертификата Службы штампов времени;
Информацию о статусе сертификатов (Списки отозванных сертификатов или OCSP-ответы).

Для обеспечения актуальности ЭЦП (ЭП) при долговременном хранении необходимо периодически получать новые штампы времени.

Электронная подпись (ЭП, ЭЦП) помимо сведений о владельце сертификата также содержит информацию о дате и времени подписания документа, то есть штамп времени. Рассказываем о том, какие функции выполняет этот компонент ЭЦП и какие изменения произошли с ним в 2021 году.

Как формируется штамп времени

Дата и время появляются на документе при подписании электронной подписью в момент, когда ПО ЭЦП обращается к службе штампов времени TSA (time stamping authority) — сервису, имеющему доступ к точным данным о дате/времени, и работающему независимо от пользователя.

Чтобы штамп времени можно было устанавливать к ЭЦП и к подписываемому документу, необходимо использовать ПО, поддерживающее протокол службы штампов времени. Например, программно-аппаратные комплексы (ПАК) КриптоАРМ ГОСТ 2.2.0, КриптоПро OCSP или КриптоПро TSP.

Преимущества и область применения

При наличии штампа времени на электронном документе фиксируется время:

Создания документа — штамп времени, полученный после запроса на сервер TSA, будет служить доказательством существования документа. Эта специфика также может использоваться в области авторского права.
Формирования ЭЦП — если автор после создания документа подписывает его собственной ЭЦП со штампом времени, это может стать основанием для формирования доказательной базы в случае судебных разбирательств. Также это широко применяется при организации юридически значимого документооборота на электронных торговых площадках и в других сферах деятельности.
Выполнения операции по обработке электронного документа.

Использование службы штампов времени позволяет не только подтверждать точное время создания и подписания документа, но и организовать долгосрочное хранение архивных документов в электронной форме. Так срок хранения бухгалтерской документации составляет пять лет. За это время ЭЦП может потерять свою силу. В программно-аппаратном комплексе КриптоПро OSCP владелец подписи может сохранить OSCP-ответ при подписании документов и формировании штампа времени. Тем самым он обеспечит сохранность юридической силы документа в течение долгого времени.

Понадобятся штампы времени и при сдаче отчётных документов для Центрального Банка РФ. Перед тем как загружать отчётность, которая должна быть подписана с помощью квалифицированной ЭЦП, на портале Центробанка необходимо указать адрес службы штампов времени. Это нужно для проверки подлинности ЭЦП и достоверности времени подписания документов.

Что изменилось с 2021 года

С января 2021 года каждая ЭЦП должна иметь юридически значимый штамп времени. Данное нововведение стало результатом совместного проекта Минцифры и ФСБ, в котором было дано определение службы «меток доверенного времени» (цифрового штампа времени). Кроме того, в документе был представлен перечень требований, предъявляемых к средствам ЭЦП, а также к оборудованию удостоверяющих центров (УЦ).

Законопроект был принят, подписан и опубликован как Федеральный закон от 27 декабря 2019 года № 476-ФЗ. Согласно положениям этого закона, использование меток доверенного времени в ЭЦП введено в России в обязательном порядке с 1 января 2021 года. В соответствии с приказом ФСБ России от 4 декабря 2020 года № 555, службы меток доверенного времени были введены в состав программных и аппаратных средств каждого УЦ.

Средства удостоверяющего центра «Астрал-М» соответствуют новым требованиям, поэтому приобрести электронную подпись и всё необходимое для работы с ней можно в нашем УЦ. Специалисты помогут подобрать тариф и подскажут, как получить ЭЦП. Для этого нужно лишь заполнить форму обратной связи.

Чтобы убедиться в юридической силе электронного документа, необходимо проверить действительность электронной подписи, которой его подписали. Рассмотрим способы, как это можно сделать самостоятельно — вне информационных систем, где есть встроенная функция проверки.

Какую подпись можно проверить самостоятельно?

Самостоятельная проверка подписи нужна, когда участники электронного документооборота (далее — ЭДО) взаимодействуют друг с другом вне информационных систем, например:

Работодатель получает трудовой договор от физического лица.
Контрагенты заключают сделку в электронном виде вне системы ЭДО.
Заказчик принимает котировочные заявки от участников тендера на почту, а не через электронную торговую площадку.
Банк проверяет подпись инспектора ФНС на электронной выписке из ЕГРЮЛ и т.д.

В этих случаях получателю документа необходимо обратиться к специальным программам и сервисам, в которых есть возможность проверить электронную подпись. Проверить можно подписи, которые базируются на инфраструктуре закрытых и открытых ключей:

усиленная неквалифицированная (НЭП),
усиленная квалифицированная (КЭП).

Закрытый ключ используется для создания подписи, а открытый — для проверки. Подробнее о видах подписи по федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи» можно прочитать в отдельной статье.

По своему типу усиленная электронная подпись может быть отсоединенной и присоединенной:

При создании присоединенной подписи формируется один файл, который содержит и саму подпись, и документ, для которого она была создана. Проверять нужно этот единый файл.
Отсоединенная подпись формируется в отдельном от подписываемого документа файле с расширением.sig. В этом случае нужно проверять оба документа: файл с электронной подписью и подписанный ею файл.

Успешная проверка подписи подтверждает следующее:

Электронную подпись создали с помощью сертификата, действительного на момент подписания документа.
Электронную подпись создал владелец сертификата. То есть можно идентифицировать того, кто подписал документ, и использовать эту информацию, если подписант отказывается от подписи.
Электронная подпись была создана для полученного документа, а документ после подписания не меняли.

Какие средства проверки подписи использовать, участники ЭДО выбирают по своему усмотрению.

Проверка подписи с помощью плагинов для Word, Excel и PDF

Word и Excel

Платный плагин «КриптоПро Office Signature» дает возможность создавать и проверять электронную подписи в стандартном интерфейсе Microsoft Office Word и Excel. Для этого необходимо установить программу и средство криптографической защиты информации КриптоПро CSP в соответствии с версией операционной системы.

Для проверки подписи получателю документа нужно убедиться, что версия программы, в которой создана подпись, совместима с версией, в которой подпись буду проверять. В противном случае корректно проверить подпись не получится. Проверить совместимости версий можно с помощью таблицы.

Чтобы проверить подпись в документе Word или Excel, нужно:

Нажать на значок подписи в документе.
Щелкнуть правой кнопкой мыши на строке подписи и выбрать пункт «Состав подписи».

Отдельный плагин есть и для продуктов Adobe — это КриптоПро PDF. Для проверки подписи им можно пользоваться бесплатно. Кроме плагина также потребуется криптопровайдер КриптоПро CSP. Чтобы проверить подпись для документа PDF, необходимо:

Открыть документ, для которого была создана подпись.
Нажать кнопку Signatures (Подписи) в панели слева.
Выбрать электронную подпись, которую следует проверить, и нажать правую кнопку мыши.
В открывшемся контекстном меню выбрать пункт Validate Signature (Проверить подпись).

Программа проверит подпись и откроет окно с результатом проверки подписи.

Проверка подписи в отдельных сервисах

Есть специальные программы, которые устанавливаются на компьютер и позволяют создавать и проверять электронные подписи вне систем ЭДО. Одна из них — КриптоАРМ, сервис от ООО «Цифровые технологии», разработчика средств криптографической защиты информации «КриптоПРО».

Для проверки электронных подписей достаточно установить бесплатную версию — «КриптоАРМ Старт». В ней можно проверить документ любого формата, один документ или сразу папку. Чтобы проверить подпись, необходимо:

Запустить программу «КриптоАРМ» и открыть вкладку Файл.
Загрузить нужный документ или папку.
Запустить проверку (кнопка «Проверить»).

После окончания операции откроется окно результата, в котором можно увидеть статус операции. В протоколе сервис напишет, прошла электронная подпись проверку или возникли ошибки.

Проверка подписи на портале Госуслуг

В специальном разделе на сайте Госуслуг есть возможность проверить действительность присоединенной или отсоединенной электронной подписи, созданной для конкретного документа.

Чтобы проверить подлинность присоединенной подписи, необходимо загрузить файл, ввести капчу и нажать «Проверить». Если подпись отсоединенная, загрузить нужно и подписанный документ, и файл подписи.

После успешной проверки сервис покажет данные о владельце сертификата, удостоверяющем центре, который его выдал, и сроке действия подписи.

Проверка подписи в веб-сервисах

Контур.Крипто — бесплатный сервис от Удостоверяющего центра СКБ Контур для создания и проверки подписи, шифрования и расшифрования электронных документов. Удобство сервиса в том, что его не нужно скачивать и устанавливать, легко разобраться, как в нем работать. Настройка компьютера для работы с электронной подписью проходит автоматически.

В сервисе можно бесплатно проверить отсоединенную подпись, выпущенную любым удостоверяющим центром. В программе можно работать с файлами любого вида весом до 100 Мб.

Результат проверки ЭП: Метка времени не прошла проверку? Что это означает? Спасибо.

Добрый вечер, Наталья!

Это значит, что ЭП уже не действительна.

Кроме заверения документов электронной подписью, вы можете удостоверять точное время их создания.

Использование меток времени в электронном документообороте позволит вам создавать официальное доказательство факта существования документа на определённый момент времени.

Что такое метка времени

Метка времени — это подписанный ЭЦП документ, которым Служба метки времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от документа. Само значение хэш-функции также указывается в метке.

С помощью метки времени можно проверять:

Достоверность времени создания документа

Метка времени на документе удостоверяет точное время создания этого документа для того, чтобы в последующем разрешать конфликты, связанные с его использованием. Таким образом, с помощью метки времени вы обеспечиваете неотрекаемость автора документа от своей подписи.

Сохранность актуальности электронной подписи

Наличие метки времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, вы можете использовать уже отозванный сертификат. Цепочка меток времени позволяет создавать системы архивного хранения электронных документов, сохраняющие актуальность ЭЦП в документах. В ином случае, актуальность подписанного документа ограничена сроком действия сертификата ключа подписи.

Усовершенствованная электронная подпись

Электронная подпись необходима для визирования различного рода документации. Усовершенствованная ЭП содержит данные о времени создания визирования (TSP) и статусе сертификата (OCSP) в момент его изменения (отозван он или находится в действующем состоянии).
Время подписи синхронизируется с сервером точного времени, который расположен в УЦ. Для того, чтобы это было возможно, в момент подписания документа посылается сигнал на сервер и формируется метка точного времени, которая фиксируется в подписи.

Усовершенствованная электронная подпись имеет правовую подоплеку, благодаря цифровой квитанции, которую выдает удостоверяющий центр. Данная квитанция формируется в момент подписи благодаря OCSP. В документе фиксируется статус и ставится отметка времени, которая подтверждает целостность файла на этапе проверки. Статус хранится в ЭП.

Для чего применяют усовершенствованную цифровую подпись?

Благодаря ЭП можно подтвердить юридический статус документа при возникновении различных споров. Такие ситуации чаще всего возникают, к примеру, для доказательства авторства или целостности файла. В таких случаях очень важно знать точное время подписания.

Подлинность усовершенствованной ЭП можно проверить даже спустя долгий период времени, кроме того, она действительна и по истечению срока действия сертификата.
В современном цифровом документообороте применение подписи с меткой времени считается необходимым условием для государственных служб, к примеру, для таможенного контроля Федерального значения.

Где применяют усовершенствованную электронную подпись?

Усовершенствованная ЭП используется в специально разработанных системах цифрового документооборота, где есть физическая возможность просмотра отметки времени.
Использование усовершенствованной электронной подписи сможет надежно защитить документы и разрешить любые спорные вопросы.

Сервер доверенного времени (TSA, timestamp)

Для получения доступа к серверу доверенного времени необходимо скачать TSA-клиент, заполнив форму ниже.

Доступ к сервису привязывается к Вашему внешнему IP-адресу.

При попытке подключиться с другого адреса доступ будет запрещён. В этом случае скачайте TSA-клиент заново из того места, откуда пытаетесь подключиться.

Для Вашего удобства Ваш текущий внешний IP-адрес показан на странице.

В настоящий момент доступ к серверу доверенного времени осуществляется бесплатно. Это продлится до окончания промо-периода, о завершении которого будет сообщено дополнительно. В этой связи убедительно просим указывать актуальный e-mail.

Что такое доверенное время?

Предположим, у Вас есть некоторые данные или файл. С помощью доверенного времени (TSA, timestamp) Вы можете получить свидетельство того, что именно эти данные в этот момент есть у Вас. В будущем наличие такого свидетельства поможет доказать, например, Ваше авторство этого файла. Поскольку Вы-автор, у Вас данный файл окажется раньше всех, и это будет подтверждено подписанной электронной подписью меткой времени, которая была получена от сервера доверенного времени. Если позже кто-то скопировал этот файл и также получил доверенный timestamp, в его метке будет указано более позднее время. Соответственно, при сравнении этих меток будет очевидно, что Ваш файл был создан раньше.

Кроме того, метка доверенного времени (timestamp) стала неотъемлемой составляющей каждого запроса в систему Государственной информационной системы о государственных и муниципальных платежах (ГИС ГМП) Федерального казначейства России. Соответственно, Вы можете использовать нашу службу для выставления меток TSA. Однако следует учесть тот факт, что от нас Вы получаете только метку времени, составление же полноценного XAdES вверяется полностью Вам в руки.

Работает все это следующим образом. Сначала, с помощью специальных криптографических средств, вычисляется хэш от файла. Затем на основании этого хэша формируется запрос на получение метки времени. Запрос отправляется на сервер, который извлекает из него хэш, добавляет к нему точное время и подписывает всё это своим закрытым ключом. Полученный таким образом ответ возвращается пользователю.

Насколько точно идут наши часы?

RFC 3161 требует наличия у сервера TSA источника точного времени. Поэтому наш сервер оборудован высокоточными часами, которые постоянно синхронизируются с сигналами точного времени, получаемыми от спутников навигационных систем ГЛОНАСС и GPS.

Получение метки времени

Проверка подлинности метки времени

Для того, чтобы проверить, что метка времени не поддельная, а действительно была выдана сервером, Вам понадобится сертификат Удостоверяющего Центра, который выдал серверу сертификат его ключа (tsaca.crt, находится в подкаталоге crypto архива).

Для проверки подлинности метки нужно выполнить скрипт TSAverify.bat из командной строки Windows:

Причина №1. Работу блокирует антивирусная программа

Настройте антивирусы и программы-блокировщики на работу со СБИС3 Плагином.

Причина №2. Не настроено (или настроено некорректно) подключение к прокси-серверу

Настройте прокси-сервер для работы со СБИС3 Плагином.

Причина №4. Не установлены обновления для ОС

Причина №5. Установлены два криптопровайдера

На одном компьютере нельзя работать с несколькими СКЗИ. Удалите оба и заново установите основной криптопровайдер.

Решение №6. Повреждена СКЗИ