Отчет о валидации – описание

Содержимое отчета квалифицированной услуги валидации GetValid

Скачать документ – Отчет о валидации[PDF]

ВХОД #

В этом документе описывается содержание отчета о валидации услуги GetValid, в котором представлены результаты проверки электронных подписей и печатей электронного документа.
Описание представлено на примере оригинального отчета, для которого представлены и обсуждаются возможное содержание и значение отдельных полей отчета.
Поскольку с технической точки зрения различий между электронной подписью и электронной печатью нет, вся информация, касающаяся подписей, относится и к печатям, если в содержании документа не проводится четкое разграничение между этими двумя случаями.

ОТЧЕТ О ВАЛИДАЦИИ #

ГЛАВНАЯ СТРАНИЦА ОТЧЕТА #

Заголовок отчета

Номер отчета – номер, однозначно идентифицирующий отчет.
Дата подачи документа на валидацию — дата, определяющая момент получения сервером услуги GetValid документа на валидацию [1] . Дата указана как по официальному времени Республики Польша, так и по всемирному координированному времени.
Дата выдачи отчета – дата, определяющая момент формирования отчета о валидации.
Дата существования документа, заявленного пользователем – информация о дате существования документа появляется в отчете только в том случае, если пользователь при вводе документа на проверку указал конкретную дату, на которую подписан документ согласно пользователь уже существовал. Какое значение имеет эта дата и когда ее следует вводить, описано в главе 3.1 .

Имя файла и хеш SHA-256 из файла.

В разделе содержится список файлов, составляющих подписываемый документ (подпись под документом может находиться в отдельном файле или документ может иметь вложения). В отчете представлены имена файлов и хэши SHA-256 их содержимого. Эти данные позволяют вам связать документ с отчетом о проверке, но чтобы быть уверенным, что данный отчет применим к данному документу, вам следует использовать специальное приложение, доступное на веб-сайте Cencert, которое выполняет такую проверку.

Предупреждения, связанные с документами

Услуга GetValid не только проверяет достоверность подписей и печатей, но и пытается предостеречь пользователя от подобных манипуляций, которые, не влияя на достоверность подписи, могут ввести пользователя в заблуждение относительно содержания документа. Например, вы можете добавить дополнительный абзац в подписанный договор в формате PDF, не нарушая подпись, и таким образом попытаться манипулировать его содержанием. Подробное описание возможных предупреждений можно найти в разделе 3.2 .

Список подписей, печатей и результатов валидации

В разделе содержится основная информация о подписантах, подписях и результатах их валидации.

Kolumna	Znaczenie
Sygnatariusz	Dla podpisów, kolumna zawiera: Imię i nazwisko osoby, która złożyła podpis Numer PESEL lub numer dokumentu jednoznacznie identyfikującego osobę, która złożyła podpis Dla pieczęci, kolumna zawiera wszystkie pola identyfikatora wyróżniającego właściciela certyfikatu użytego do złożenia podpisu.
Rodzaj podpisu	Określa rodzaj podpisu. Pełna lista znajduje się w rozdziale 3.4.
Status walidacji podpisu	Zawiera wynik walidacji danego podpisu: Pozytywny – podpis jest ważny Negatywny – podpis jest nieważny Nieokreślony – zebrane przesłanki nie pozwalają na jednoznaczne określenie wyniku walidacji Wyniki „pozytywny” i „negatywny” są ostateczne i nie należy oczekiwać, że przy powtórzeniu walidacji możemy otrzymać inny rezultat, chyba że zmieni się informacja na temat daty podpisania dokumentu tj. użytkownik ponowi walidację samodzielnie wprowadzając inną datę istnienia podpisanego dokumentu. Wynik „nieokreślony” oznacza, że usługa nie jest w stanie zdecydować ani o ważności danego podpisu, ani o jego nieważności. Dalsze działania użytkownika powinny zależeć od informacji, opisanych w polu Szczegóły statusu walidacji w części raportu zawierającej szczegóły walidacji danego podpisu (patrz rozdziały 2.2 i 3.5).

Подробности валидации подписей #

Подписавшееся лицо

Поле содержит полную информацию об отличительном идентификаторе владельца сертификата, используемого для подписи.

Был использован псевдоним

В поле указывается, содержит ли идентификатор владельца сертификата псевдоним вместо имени и фамилии. Возможные значения: Да, Нет

Тип подписи

Полный список доступных типов подписей можно найти в разделе 3.4 .

Формат подписи для стандартов XAdES, PAdES, CAdES, ASiC.

Статус валидации подписи

Возможные значения описаны в «Перечне подписей, печатей и результатов валидации» в разделе 3.4 .

Подробности статуса валидации

Поле заполняется в случаях, когда статус проверки отличается от положительного, и указывает причину неправильной проверки, например, отзыв сертификата или использование скомпрометированного алгоритма SHA-1. Подробный список причин и обсуждение их значения можно найти в главе 3.5 . Более подробную информацию о приеме подписей, сделанных с помощью алгоритма SHA-1, можно найти в разделе 3.8 .

Проверка целостности

В поле указывается статус проверки целостности документа. Возможные значения:

Положительный – содержание документа не было изменено после подписания.
Отрицательный – содержание документа или подписи было изменено после подачи подписи.

Проверка сертификата

В поле указывается статус проверки действительности сертификата, используемого для проверки подписи. Возможные значения:

Положительный – сертификат действителен на принятую дату подтверждения существования подписи.
Отрицательный – сертификат недействителен на принятую дату подтверждения существования подписи.
Неопределенный – срок действия сертификата не может быть определен для принятой даты подтверждения существования подписи.

Статус может сопровождаться дополнительной информацией:

Источник информации о признании недействительными:
- OCSP+[data wystawienia odpowiedzi OCSP] – источником является сервер OCSP
- Список отзыва сертификатов+[data wystawienia listy CRL] – источником является список CRL
Источник + дата подтверждения подписи. Возможные значения:
- Квалифицированная временная метка
- Неквалифицированная временная метка
- Дата, указанная пользователем
- Дата отправки на валидацию

Временная метка

Поле «Метка времени» определяет, была ли подпись иметь отметку времени, и отображаются только те метки времени, которые были успешно проверены и применимы к данному типу подписи [2] . Возможные значения:

Нет, подпись не имела временной отметки.
Квалифицированная +[data ze znacznika czasu] – подпись была отмечена квалифицированной меткой времени.
Неквалифицированная +[data ze znacznika czasu] – подпись была отмечена неквалифицированной меткой времени.

Если подпись отмечена несколькими временными метками, указывается дата самой ранней временной метки, т. е. дата, расположенная в момент, ближайший к моменту подачи подписи.

Подробнее о квалифицированной временной метке см. в разделе 3.6 . Системное время подписи

Поле содержит информацию о времени подписи, помещенную в структуры подписи подписывающим приложением, на основе текущего времени компьютера, на котором была сделана подпись. Это поле имеет только информационное значение и не используется при проверке, поскольку текущее время компьютера, на котором была сделана подпись, могло быть неверным или намеренно подтасовано.

Подтвержденное время подписи

В настоящее время технологии не позволяют определить точную дату подписания. Квалифицированная временная метка, прикрепленная к документу после подписи, позволяет нам только определить, что подпись была отправлена «не позднее» даты квалифицированной временной метки. Однако определить период времени, в котором была поставлена подпись, можно при условии, что документу ранее (до подписи) была присвоена квалифицированная временная метка. Эта более ранняя временная метка позволяет нам определить, что подпись была отправлена «не ранее» даты этой временной метки.

Поскольку точность определения даты подписи может иметь существенное доказательное или юридическое значение для пользователей, сервис GetValid представляет в поле «Проверенное время подписи» временной интервал, в котором была поставлена подпись, определяемый по квалифицированным временным меткам, наиболее близким к подписи, которые были прикреплены к документу до и после подписания. Возможные значения:

Нет – в документе нет квалифицированных временных меток.
Не позднее +[data ze znacznika czasu] – если документу была предоставлена квалифицированная отметка времени только после подписи
Не раньше +[data ze znacznika czasu] ; не позднее +[data ze znacznika czasu] – если документ был квалифицирован до и после подписания

Для данной подписи учитываются квалифицированные временные метки (предыдущие и последующие), ближайшие к моменту подачи подписи.

Для получения наибольшей точности определения времени подписания рекомендуем следовать инструкциям, содержащимся в разделе 3.6 .

Сведения о признании недействительными, полученные на основании

В этом поле сообщается, на основании какого источника сервис GetValid проверил действительность сертификата. Возможные значения:

OCSP+[data wystawienia odpowiedzi OCSP] – источником является сервер OCSP
Список отзыва сертификатов+[data wystawienia listy CRL] – источником является список CRL

Дата признания недействительной

Если сертификат был отозван или приостановлен, это поле содержит информацию о дате отзыва или приостановления действия.

Причина признания недействительной

Если сертификат был отозван, в этом поле содержится информация о причине отзыва сертификата. Эта информация не имеет большого практического значения, поскольку независимо от причины признание свидетельства недействительным влечет за собой недействительность подписей, представленных после этого факта.

Номер сертификата подписывающего лица

Поля определяют серийный номер сертификата подписавшего и идентификатор лица, выдавшего сертификат, используемый для проверки подписи.

Срок годности

Поле содержит срок действия сертификата подписывающего лица, используемого для проверки подписи.

Хэш от подписанных данных

Поле содержит информацию об алгоритме и хеш-значении подписанных данных.

Предупреждения

Поле содержит предупреждения, относящиеся к данной подписи, не влияющие на результат проверки подписи, но о которых следует информировать пользователя. Описание доступных предупреждений можно найти в разделе 3.3 .

ПОДРОБНАЯ ИНФОРМАЦИЯ #

Дата существования документа, заявленная пользователем #

По закону подпись считается действительной, если она сделана в то время, когда использованный для этой цели сертификат был действителен. Если сертификат был отозван, служба сравнит дату подписи с датой отзыва сертификата. Если подпись сделана до момента признания ее недействительной, подпись действительна. Если она была сделана после момента признания недействительной, подпись недействительна.

Как служба проверки узнает, когда подпись была отправлена? Источником, позволяющим определить дату подписи [3], может быть:

Квалифицированная временная метка.
Момент подачи документа на валидацию.
Дата, заявленная пользователем.

Самое безопасное решение — предоставить документу квалифицированную отметку времени во время подписания или как можно скорее после этого. Тогда служба проверки будет уверена, что подпись была отправлена не позднее даты квалифицированной временной метки, и в этот момент она проверит действительность сертификата подписи (подробнее о квалифицированной временной метке см. в главе 3.6 ).

Если документ не имеет отметки времени, служба проверки проверит действительность сертификата подписи в момент подачи документа на проверку. Если между моментом подписания и моментом подачи документа на проверку прошло длительное время, возможно, срок действия сертификата подписи истек или он был отозван, и тогда результат проверки не будет положительным.

В такой ситуации единственной возможностью получить положительный результат проверки будет ввод (объявление) даты существования подписанного документа пользователем. Однако обратите внимание, что бремя доказывания правильности этой даты лежит на пользователе. Отчет о проверке будет действительным при условии, что в случае возникновения сомнений относительно существования документа на конкретную дату пользователь сможет продемонстрировать этот факт на основании других доказательств.

Предупреждения, связанные с документами #

Ostrzeżenie	Znaczenie
Brak	Nie wykryto żadnych problemów z dokumentem.
Dokument zawiera aktywną zawartość, która może wpływać na prezentowaną treść.	W dokumencie PDF znajduje się JavaScript, który może wpływać na prezentowaną użytkownikowi treść podczas wyświetlania dokumentu np. prezentując różną zawartość dokumentu w zależności od daty. JavaScript może jednak pełnić pożyteczne funkcje np. walidować poprawność pól formularza.
W dokumencie, na stronach znajduje się treść nieobjęta przez wszystkie podpisy. lub W dokumencie, na stronach (oraz dalszych, łączna liczba takich stron wynosi ) znajduje się treść nie objęta przez wszystkie podpisy.	Dokument PDF zawiera zawartość, która nie jest objęta przez wszystkie podpisy. Może to być celowa próba manipulacji, ale może być to również działanie całkowicie zamierzone i nieszkodliwe np.: Do podpisanego dokumentu dodano komentarze czy adnotacje. W takim przypadku adnotacje nie są objęte podpisem ale nie są również próbą manipulacji treścią dokumentu. Autor formularza podpisał formularz po czym użytkownik wypełnił formularz i złożył własny podpis. W takim przypadku oba podpisy obejmują różną zawartość.

Предупреждения о подписи #

Ostrzeżenie	Znaczenie
Brak podpisanego atrybutu: 'SigningCertificate'.	Ostrzeżenie to dotyczy konkretnego podpisu i oznacza, że w podpisanych danych nie zamieszczono wskazania na certyfikat do weryfikacji podpisu. Oznacza to, że gdyby istniało dwa lub więcej certyfikatów wystawionych na ten sam klucz, ale zawierających różniące się od siebie dane właściciela certyfikatu, to nie można by rozstrzygnąć którym certyfikatem wykonano faktyczny podpis. Byłaby więc możliwość wskazania jako autora innego subskrybenta posługującego się tym samym kluczem. Oprogramowanie Acrobat Reader, które często jest używane do podpisywania dokumentów PDF posiada opcję, która ustawia zastosowanie formatu podpisu (PKCS#7) niezgodnego z europejskim prawem i niezawierającego wymaganego atrybutu. Niestety opcja ta domyślnie jest włączona, co może oznaczać, że wiele dokumentów PDF jest podpisywanych bez zamieszczenia tego atrybutu. Ryzyko akceptacji dokumentu bez atrybutu ‘SigningCertifiate’ wydaje się małe, gdyż uzyskanie certyfikatów kwalifikowanych zawierających różne dane subskrybenta na ten sam klucz publiczny jest mało prawdopodobne, a potencjalne ataki są ograniczone.

Ostrzeżenie

Znaczenie

Brak podpisanego atrybutu: 'SigningCertificate'.

Ostrzeżenie to dotyczy konkretnego podpisu i oznacza, że w podpisanych danych nie zamieszczono wskazania na certyfikat do weryfikacji podpisu. Oznacza to, że gdyby istniało dwa lub więcej certyfikatów wystawionych na ten sam klucz, ale zawierających różniące się od siebie dane właściciela certyfikatu, to nie można by rozstrzygnąć którym certyfikatem wykonano faktyczny podpis. Byłaby więc możliwość wskazania jako autora innego subskrybenta posługującego się tym samym kluczem. Oprogramowanie Acrobat Reader, które często jest używane do podpisywania dokumentów PDF posiada opcję, która ustawia zastosowanie formatu podpisu (PKCS#7) niezgodnego z europejskim prawem i niezawierającego wymaganego atrybutu. Niestety opcja ta domyślnie jest włączona, co może oznaczać, że wiele dokumentów PDF jest podpisywanych bez zamieszczenia tego atrybutu. Ryzyko akceptacji dokumentu bez atrybutu ‘SigningCertifiate’ wydaje się małe, gdyż uzyskanie certyfikatów kwalifikowanych zawierających różne dane subskrybenta na ten sam klucz publiczny jest mało prawdopodobne, a potencjalne ataki są ograniczone.

Виды подписей и печатей #

Квалифицированная подпись
Квалифицированная печать
Личная подпись – расширенная электронная подпись, созданная с использованием ключей, имеющихся на удостоверении личности.
Подпись EPUAP – расширенная электронная подпись, созданная с использованием платформы EPUAP.
Расширенная подпись, подтвержденная квалифицированным сертификатом
Расширенная печать, подтвержденная квалифицированным сертификатом
Расширенная подпись
Расширенная печать
Печать квалифицированной услуги Валидации подписей и печатей
Печать квалифицированной услуги Зарегистрированной электронной почты
Печать квалифицированной услуги Электронной доставки
Печать квалифицированной услуги Сохранения подписей и печатей

Подробности статуса валидации #

Подробности для случая статуса валидации « недействительнная »

Wartość	Opis
Skrót z dokumentu nie zgadza się z podpisanym skrótem	Dokument lub podpis został zmodyfikowany po wykonaniu podpisu lub podpis nie jest do tego dokumentu.
Podpis złożony certyfikatem po okresie ważności	Podpis został złożony po okresie ważności certyfikatu. Możliwe działanie: Rozważyć, czy istnieje dowód na istnienie podpisanego dokumentu wcześniej, w okresie ważności certyfikatu; jeśli tak – wprowadzić datę z tego dowodu przy powtórnym wywołaniu usługi walidacji
Podpis złożony unieważnionym certyfikatem	Podpis został złożony po unieważnieniu certyfikatu. Możliwe działanie: Rozważyć, czy istnieje dowód na istnienie podpisanego dokumentu wcześniej, przed datą unieważnienia certyfikatu; jeśli tak – wprowadzić datę z tego dowodu przy powtórnym wywołaniu.
Błędny format podpisu	Przekazany do walidacji dokument posiada podpis, którego format jest niepoprawny co uniemożliwia jego walidację.
Podpis nie może być zweryfikowany kluczem publicznym z certyfikatu podpisu	Dokument lub podpis został zmodyfikowany po wykonaniu podpisu lub podpis nie jest do tego dokumentu.

Подробности для случая « неопределенная » статуса проверки

Wartość	Opis
Atrybut wskazujący certyfikat do weryfikacji podpisu wskazuje na inny certyfikat niż użyty do złożenia podpisu	Błąd struktury podpisu (fałszerstwo lub błąd oprogramowania podpisującego)
Błąd weryfikacji ścieżki certyfikatów	Usługa nie jest w stanie zweryfikować ścieżki zaufania dla certyfikatu użytego do weryfikacji podpisu. Pojawienie się tego błędu jest skrajnie mało prawdopodobne gdyż oznaczałoby błąd leżący po stronie wystawcy certyfikatu.
Nie można zbudować ścieżki certyfikacji dla certyfikatu podpisu	Nie da się zbudować ścieżki zaufania do certyfikatu użytego do złożenia podpisu, na podstawie posiadanych list TSL. Przyczyną jest to, że wystawca certyfikatu nie znajduje się na liście zaufanych wystawców certyfikatów kwalifikowanych i niekwalifikowanych uznanych przez EU.
Algorytm kryptograficzny nie spełnia warunków walidacji	Do złożenia podpisu lub do wystawienia jednego z analizowanych certyfikatów i list CRL został użyty algorytm kryptograficzny, co do którego są wątpliwości, czy jest wystarczająco bezpieczny. Więcej informacji o akceptacji podpisów złożonych z użyciem algorytmu SHA-1 znajduje się w rozdziale 3.8
Niepoprawna kolejność znaczników czasu	Co najmniej jeden ze znaczników czasu dołączonych do dokumentu wskazuje niepoprawną datę (został dodany później, a mimo to wskazuje na wcześniejszą datę). Pojawienie się tego błędu jest skrajnie mało prawdopodobne gdyż oznaczałoby błąd leżący po stronie dostawcy usługi znakowania czasem.
Niedostępny certyfikat podpisu	Certyfikat użyty do złożenia podpisu nie został załączony do dokumentu i nie jest dostępny dla usługi walidacji.
Certyfikat podpisu został unieważniony natomiast nie określono daty dowodu istnienia podpisu lub Certyfikat wystawcy certyfikatów został unieważniony natomiast nie określono daty dowodu istnienia podpisu lub Certyfikat podpisu jest poza okresem ważności natomiast nie określono daty dowodu istnienia podpisu	Dokument przekazany do walidacji nie został oznakowany czasem ani użytkownik nie wskazał manualnie daty istnienia dokumentu w związku tym usługa przyjęła jako datę istnienia podpisu czas bieżący. Dla tak przyjętej daty występuje wskazany problem z ważnością certyfikatu, który być może nie występował w momencie składania podpisu. Możliwe działanie: Rozważyć, czy istnieje dowód na istnienie podpisanego dokumentu wcześniej, przed datą unieważnienia lub przeterminowania certyfikatu; jeśli tak – wprowadzić datę z tego dowodu przy powtórnym wywołaniu walidacji.
Algorytm kryptograficzny nie spełnia obecnych warunków walidacji natomiast nie określono daty dowodu istnienia podpisu	Dokument przekazany do walidacji nie został oznakowany czasem ani użytkownik nie wskazał manualnie daty istnienia dokumentu w związku tym usługa przyjęła jako datę istnienia podpisu czas bieżący. Dla tak przyjętej daty występuje problem z bezpieczeństwem wskazanego algorytmu, który być może nie występował w momencie składania podpisu. Możliwe działanie: Rozważyć, czy istnieje dowód na istnienie podpisanego dokumentu wcześniej, przed datą uznania algorytmu za niebezpieczny; jeśli tak – wprowadzić datę z tego dowodu przy powtórnym wywołaniu walidacji. Więcej informacji o akceptacji podpisów złożonych z użyciem algorytmu SHA-1 znajduje się w rozdziale 3.8.
Certyfikat podpisu zawieszony lub Certyfikat wystawcy certyfikatów zawieszony	Certyfikat został zawieszony przez wystawcę więc ważność podpisu nie może zostać określona do czasu uchylenia zawieszenia lub unieważnienia certyfikatu. Możliwe działania: Powtórzyć usługę walidacji po pewnym czasie (czas zawieszenia certyfikatu na ogół nie przekracza kilku dni). Ewentualnie rozważyć, czy istnieje dowód na istnienie podpisanego dokumentu wcześniej, przed zawieszeniem certyfikatu; jeśli tak – wprowadzić datę z tego dowodu przy powtórnym wywołaniu usługi walidacji.
CRL/OCSP niedostępny lub ARL/OCSP niedostępny	Usługa walidacji nie ma dostępu do informacji o unieważnieniach, którą powinien publikować wystawca certyfikatu, w związku tym nie można zweryfikować ważności certyfikatu użytego do weryfikacji podpisu. Brak dostępu może być spowodowany awarią po stronie wystawcy certyfikatu podpisu. Możliwe działania: Powtórzyć usługę walidacji po pewnym czasie.
CRL/OCSP przeterminowany oraz brak daty dowodu istnienia podpisu. lub ARL/OCSP przeterminowany oraz brak daty dowodu istnienia podpisu	Dokument przekazany do walidacji nie został oznakowany czasem ani użytkownik nie wskazał manualnie daty istnienia dokumentu w związku tym usługa przyjęła jako datę istnienia podpisu czas bieżący. Dla tak przyjętej daty występuje problem ze świeżością posiadanej przez usługę informacji o unieważnieniach, który być może nie występował w momencie składania podpisu. Brak odpowiednio świeżej informacji o unieważnieniach może być spowodowany awarią po stronie wystawcy certyfikatu podpisu. Możliwe działania: Powtórzyć usługę walidacji po pewnym czasie. Rozważyć, czy istnieje dowód na istnienie podpisanego dokumentu wcześniej, przed datą bieżącą; jeśli tak – wprowadzić datę z tego dowodu przy powtórnym wywołaniu usługi walidacji.
CRL/OCSP wystawiony przed datą złożenia podpisu lub ARL/OCSP wystawiony przed datą złożenia podpisu	Usługa walidacji nie ma dostępu do wystarczająco świeżej informacji o unieważnieniach, którą powinien publikować wystawca certyfikatu, w związku tym nie można zweryfikować ważności certyfikatu użytego do weryfikacji podpisu. Brak dostępu może być spowodowany awarią po stronie wystawcy certyfikatu podpisu. Możliwe działania: Powtórzyć usługę walidacji po pewnym czasie.

Квалифицированная временная метка #

В соответствии с Регламентом ЕС 910/2014 (eIDAS), квалифицированная электронная отметка времени:

основан на точном источнике времени, связанном с скоординированным универсальным временем,
связывает дату и время с данными, чтобы в достаточной степени исключить возможность необнаружимых изменений данных, и
подписано с использованием усовершенствованной электронной подписи или снабжено усовершенствованной электронной печатью квалифицированного поставщика доверительных услуг или другим эквивалентным способом.

Благодаря этому в соответствии с eIDAS он пользуется презумпцией точности указываемых им даты и времени и целостности данных, с которыми связаны указанные дата и время.

Более того, согласно польскому законодательству предоставление электронного документа с квалифицированной отметкой времени равносильно присвоению этому документу определенной даты по смыслу ст. 81 §2 пункта 3 Гражданского кодекса.

Точная дата подписания #

Чтобы сервис GetValid показывал точную дату подписи, необходимы сознательные действия лица, подписывающего документ. Подписывающая сторона должна сделать следующее (этот метод работает только для документов в формате PDF):

Отметьте временем подготовленный PDF-документ.
Подпишите документ.
Отметьте подписанный документ временем.

В этом случае служба GetValid покажет, что подпись была отправлена в диапазоне дат между первой и второй отметкой времени. Поскольку последовательность: отметка времени – подпись – отметка времени может быть выполнена за отдельные секунды, результирующая дата подписи будет известна с такой точностью.

Прием подписей с алгоритмом SHA-1 #

Алгоритм SHA-1 широко использовался для создания электронных подписей, но со временем были обнаружены успешные атаки, в том числе демонстрирующие возможность подделки электронной подписи, созданной с помощью SHA-1. Практическая реализация этой подделки пока довольно сложна, так как злоумышленник должен создать две специально созданные версии PDF-документа, отдать одну из них на подпись уполномоченному лицу, а затем может заменить подписанный документ второй версией, без нарушение подписи. Таким образом, атака требует предварительной подготовки и требует, чтобы фальсификатор был лицом, которому доверяет подписавший, и имел возможность поставить подготовленный документ на подпись. Подделать какой-либо подписанный документ по-прежнему невозможно, но обнаруженные атаки настолько серьезны, что в настоящее время исключают использование SHA-1 для подписей.

Из-за этих недостатков алгоритм SHA-1 больше не считается безопасным в стандартах электронных подписей и в правовых системах различных стран, и в настоящее время алгоритмы семейства SHA-2 (SHA-256, SHA-512 и др.) ) используются для подписей. Трудно четко указать точную дату окончания полезности алгоритма SHA-1, поскольку это юридический вопрос и может зависеть от контекста и конкретного использования подписи. Сервис GetValid принял дату, указанную в ст. 137 раздел 1 Закона от 5 сентября 2016 года о доверительных услугах и электронной идентификации, т.е. 1 июля 2018 г. – подписи, действительные на дату до 1 июля 2018 г. (т.е. подписи, представленные до этой даты), являются положительно подтвержденными (в том, что в это время об атаке на SHA-1 не было известно, поэтому осуществлять ее было непрактично), а подписи, представленные позже, проверяются со статусом «Неопределено».

[1] Фактически на сервер GetValid не отправляются никакие документы, а только сами сокращения документов и подписи.

[2] Если проверенная квалифицированная подпись снабжена неквалифицированной меткой времени, такая метка времени не учитывается при проверке и не включается в отчет.

[3] Фактически услуга определяет дату подписи с некоторым приближением (не позднее). Свойства электронной подписи означают, что если сертификат был действителен в определенный момент времени, он также был действителен и в любой более ранний момент времени, особенно тот, в котором он фактически использовался для подписи. Следовательно, для проверки подписи достаточно продемонстрировать действительность сертификата в любое время после подписи.