Artykuły

Sprawozdanie z posiedzenia #31 komitetu ESI

Nov 13


11/13/2012 1:31 PM  RssIcon

Posiedzenie ETSI odbyło się w dniach 22-23 Lutego w Barcelonie w budynku rektoratu Politechniki Katalońskiej
 
Na posiedzeniu omawiano tematy:
  • Uwag do dokumentu CEN: draft dotyczący protection profile dla aplikacji do składania i weryfikacji podpisu elektronicznego
  • Podsumowania prac wykonanych przez obecnie działające grupy robocze
  • Powołania nowych grup roboczych związanych z pracami nad mandatem Komisji Europejskiej m460
  • Zatwierdzenia specyfikacji znajdujących się w wersji "final draft"
  • Zatwierdzenia terminów nowych spotkań roboczych
  • Dodatkowe
 
Uwagi do dokumentu CEN
Do dokumentu CEN nie zgłoszono na posiedzeniu uwag. Zachęcono uczestników spotkania do przeglądu dokumentu i zgłoszenia uwag poprzez grupę dyskusyjną na portalu ETSI
Obecna wersja dokumentu jest na bardzo wczesnym etapie. Zawiera głównie ogólne proponowane schematy działania aplikacji do składania i weryfikacji podpisu.
 
Podsumowania prac realizowanych przez obecnie działające grupy robocze
Na posiedzeniu podsumowano pracę grup:
  • STF 401
  • STF 402
  • Grup pracujących na zasadzie wolontariatu
 
Wolontariat
 Przedstawiono do akceptacji dokument: TS 102 918 Associated Advanced Electronic Signatures AAdES. Dokument opisuje problematykę związaną z podpisem zaawansowanym umieszczonym w ramach kontenera takiego jak plik zip. Należy przy tym zauważyć, że takim kontenerem jest też dokument ODF, z którym niniejsza specyfikacja ma być zgodna. 
Dokument opisuje dwie wersje kontenera:
  • Podstawową (Asig-S)
  • Rozszerzoną (Asig-E)
Obie wersje różnią się ilością dokumentów, które mogą być podpisane w ramach kontenera. Wersja Asig-E dopuszcza podpisanie wielu dokumentów za pomocą wielu podpisów. Dodatkowo możliwe jest dokładanie dodatkowych dokumentów do podpisania oraz podpisywanie dokumentów znajdujących się poza kontenerem.
Poza poprawkami edytorskimi została wskazane słabości dokumentu:
  • Słabość wynikająca z faktu zastosowania manifestu dla podpisu CAdES, który nie obsługuje tego mechanizmu. Słabość ta może powodować, że w przypadku weryfikacji podpisu CAdES przez obecne aplikacje (np. po rozpakowaniu kontenera) zweryfikowany zostanie wyłącznie podpis pod manifestem, bez weryfikacji integralności dokumentów, na które manifest wskazuje. 
  • Słabość wynikająca z umożliwienia stosowania referencji do dokumentów spoza kontenera. Takie rozwiązanie powoduje, że nie można zastosować archiwalnego znacznika czasu do całego kontenera, ze względu na fakt, że może on wskazywać na dokumenty zewnętrzne, które w takim przypadku nie byłyby zarchiwizowane.
Słabości zostały zaadresowane poprzez:
  1. Wskazanie, że w przypadku wersji podpisu Asig-E nie można poprzestać na weryfikacji podpisu pod manifestem, należy zweryfikować także skróty dokumentów wskazywanych przez referencje
  2. Zagadnienia LTV zostały wyłączone z zakresu dokumentu.
  3. Zostało zaproponowane powołanie grupy roboczej zajmującej się tematyką profilu LTV i rozwiązania ewentualnych problemów z walidacją.
 
STF 401
Grupa robocza przedstawiła do akceptacji dokumenty:
  • TS 101-533-01 Information and preservation systems security. Part 1: Requirements for Implementation and Management
  • TS 101-533-02  Information and preservation systems security. Part 2: Guidlines for Asessors
Oba dokumenty zostały przyjęte bez uwag merytorycznych. Zaakceptowano uwagi redaktorskie.
Usługi przechowywania informacji są rozumiane tutaj, jako usługi umożliwiające bezpieczne przechowywanie informacji (w tym dokumentów) w postaci cyfrowej w sposób uzgodniony w umowie. 
Wymagania zebrane w dokumentach dotyczą dostawców usług, jako całości. Wymagania NIE obejmują:
  • Wymagań dla sposobów przechowywania poszczególnych rodzajów dokumentów
  • Wymagań dla metadanych
  • Wymagań dla "wirtualnych kontenerów"
Oba dokumenty odnoszą się do dokumentu:  ETSI 102 573 Policy requirements for trust service providers signing and/or storing data for digital accounting.
Dokumenty nie odnoszą się bezpośrednio do usług podpisu elektronicznego, ale mogą wykorzystywać podpis elektroniczny do zabezpieczania danych. 
Certyfikaty służące do weryfikacji zabezpieczonych danych powinny być:
  • Kwalifikowane albo
  • Zgodne z polityką TS 102 042 
Jako podpis powinien być stosowany podpis zaawansowany.
Dodatkowo zakres dokumentu obejmuje:
  • Przechowywanie dowodu przechowania w odpowiedni sposób (closure evidence - chodzi o zamknięcie dokumentu w magazynie)
  • Zapewnienie możliwości odczytania dokumentu przez cały okres przechowywania 
  • Zapewnienie poufności przechowywanych danych
  • Wskazania dotyczące procesu bezpiecznej digitalizacji informacji
 
STF 402
W ramach prac nad systemami REM (registered email) zaproponowano wątek roboczy dotyczący unifikacji istniejących systemów typu REM i stworzenia wspólnej platformy obejmującej:
  • Systemy REM
  • Systemy standardu BUSDOX
  • Systemy ebMS
Ze względu na fakt, że wątki dotyczące interoperacyjności systemów REM powinny zostać zakończone do końca czerwca nie jest możliwe ujęcie tej tematyki w ramach istniejących prac.
Nie zgłoszono zastrzeżeń do wczesnych wersji draft dokumentów:
  • REM-MD BUSDOX Interoperability profile
  • Test Suite for future interoperability REM events
"Szybkie poprawki":
  • Do profilu znakowania czasem 101 861 - zaakceptowano poprawki dotyczące zmiany algorytmów z zapisanych na sztywno SHA1 na odwołania do dokumentu ALGO
  • W dokumencie opisującym polityki podpisu w formacie ASN.1 zaakceptowano poprawki likwidujące niezgodności ze standardem ASN.1
 
Powołanie nowych grup roboczych związanych z tematyką mandatu m460
Podczas posiedzenia podsumowano działania związane z utworzeniem grup roboczych, które będą zajmować się pracami dotyczącymi mandatu m460, przekazanego przez Unię Europejską.
W tym celu powołano trzy nowe grupy robocze zajmujące się odpowiednio:
  • STF 425 - prace nad dokumentem "rationalized framework for electronic signatures". Prace będą prowadzone w koordynacji z CEN.
  • STF 426 - wprowadzenie szybkich poprawek do profili podpisu
  • STF 427 - wprowadzenie "szybkich" poprawek do standardów dotyczących podpisu (w ramach tego zadania zostanie utworzonych pięć podgrup)
 
Zatwierdzenie specyfikacji
W ramach posiedzenia zatwierdzono dokumenty:

TS 102 918
TS 101 533-1
TS 101 533-2
 
Dodatkowe zagadnienia
Podczas spotkania odbyła się także:
  • Prezentacja na temat tachografów cyfrowych wykonana przez gospodarzy przyszłego spotkania.
  • Ustalono zakres współpracy z komitetem ISO TC 154 w związku z pracami nad archiwizacją podpisów XAdES i CAdES (LTV)
  • Poruszono temat publicznych konsultacji Komisji Europejskiej dotyczących prac nad dyrektywą o podpisie elektronicznym. Ustalono, że członkowie ETSI  mogą zgłaszać wspólne uwagi, co nie stoi w sprzeczności ze zgłaszaniem uwag indywidualnie.

IMM
Instytut Maszyn Matematycznych
2014 Instytut Maszyn Matematycznych. Prawa autorskie zastrzeżone.