Здравствуйте, меня зовут Шелли Гу, я руководитель программ в группе Trustworthy Computing Security. Я хочу представить некоторые новые возможности цифровых подписей, добавленные в Office 2010. Сначала я кратко объясню, что такое цифровые подписи и как они используются, а затем более подробно опишу их работу в Office 2010.

Что такое цифровые подписи?

Все больше и больше деловых операций выполняются электронным способом. Поэтому цифровые подписи используются все чаще для юридической связи сторон, проводящих операцию. Цифровая подпись используется для проверки личности человека, подписавшего документ, и чтобы подтвердить, что содержимое документа не было изменено после применения подписи к нему. Цифровые подписи обеспечивают защиту на основе технологий шифрования и помогают устранить риск, связанный с электронными операциями. Благодаря улучшению цифровых подписей Office позволяет удовлетворить потребности в безопасности предприятий и субъектов государственного сектора по всему миру.

Для создания цифровой подписи необходим цифровой сертификат, доказывающий вашу подлинность соответствующим сторонам. Его можно получить у известных сертификационных организаций (CA). Если цифрового сертификата нет, у корпорации Майкрософт есть партнеры, предоставляющие сертификаты и другие службы подписывания, встроенные в Office и доступные на сайте Решения партнеров Office.

Вставка цифровой подписи

В Word, Excel и PowerPoint 2010 цифровую подпись можно добавить в представление Office Backstage:

Строку подписи или штамп подписи можно добавить в Word, Excel и InfoPath на вкладке "Вставка":

Строка подписи выглядит следующим образом:

Штамп подписи (более распространен в Восточной Азии) выглядит так:

Как подписи работают в Office?

В Office 2007 и более поздних версиях используется открытый стандарт подписи XML-DSig, который заменил менее современные двоичные подписи в Office 2003 и более ранних версиях. XML-DSig представляет подпись в наиболее читаемом формате XML. Дополнительные сведения о XML-DSig см. в статье http://www.w3.org/Signature.

Цифровые подписи Office 2010 позволяют использовать улучшенные алгоритмы (например, алгоритм открытого ключа с эллиптической кривой), которые поддерживаются Windows Vista и более поздними версиями. Все поддерживаемые операционные системы также позволяют применять более надежные алгоритмы хэширования, такие как SHA-512.

Самой распространенной проблемой с цифровыми подписями является истечение срока действия сертификата, что обычно происходит через год. После этого никто не должен доверять такой подписи. Если нужно доверять подписи в течение более длительного периода, следует сохранить копии сведений, необходимые для проверки сертификата. Также следует помнить о том, что шифрование также устаревает.

К счастью, эти проблемы решены в расширении стандарта XML-DSig, которое называется XAdES.

Что такое XAdES?

XAdES (XML Advanced Electronic Signatures) — это набор многоуровневых расширений XML-DSig, уровни которого основаны на ранее используемых возможностях, что обеспечивает все более и более надежные цифровые подписи.

Благодаря реализации XAdES теперь Office соответствует критерию усовершенствованных электронных подписей Европейского Союза, выраженному в директиве 1999/93/EC, а также правительственной директиве Бразилии, которая определяет XAdES как приемлемый стандарт цифровой подписи в Бразилии.

Office 2010 может создавать различные уровни подписей XAdES поверх подписей XML-DSig:

Office 2010 бета-версии создает подписи до уровня XAdES-T включительно, но Office 2010 RTM сможет создавать все типы подписей, указанные в таблице выше.

Цифровые подписи с временной отметкой (подписи XAdES-T) — это важный компонент, которому в Office 2010 уделено повышенное внимание. Чтобы создать подпись с временной отметкой, нужно выполнить следующие действия.

• Настроить сервер штампа времени в соответствии с RFC 3161.
• Настроить политику безопасности, чтобы позволить клиентским систем узнавать, где расположен сервер штампа времени. Также нужно добавить корневой сертификат сервера в хранилище корневых сертификатов.

После настройки всех параметров можно создавать подписи обычным образом. Штамп времени от надежного сервера продлевает время жизни подписи, так как даже после истечения срока действия сертификата штамп времени подтверждает, что сертификат действовал на время подписывания. В результате временные отметки защищают подпись при устаревании сертификата, и если сертификат был отозван после применения подписи, она все равно будет действительна.

Создание подписей XAdES в Office 2010 RTM

По умолчанию Office 2010 создает подписи XAdES-EPES. Для обозначения уровня создаваемой подписи используются параметры реестра. Типом создаваемых Office подписей управляются два параметра реестра, XAdESLevel и MinXAdESLevel.

Параметр MinXAdESLevel позволяет убедиться, что создаваемая подпись соответствует нужному уровню XAdES. Подпись XAdES-T или подпись более высокого уровня приведет к возникновению ошибки, если сервер штампа времени недоступен, а подпись XAdES-C подпись более высокого уровня приведет к возникновению ошибки, если сведения об отзыве недоступны. При использовании самого низкого уровня возможна ситуация, когда при попытке создать подпись XAdES-X-L создается подпись XAdES-EPES, если сервер штампа времени недоступен.

Для создания подписей XAdES-T и подписей более высокого уровня следует указать Office сервер штампа времени для запроса временных отметок.

Рекомендации для подписей XAdES

Если нужно создать подпись XAdES, рекомендуется использовать один из следующих трех уровней.

• XAdES-EPES — этот параметр используется по умолчанию, так как он позволяет создавать обычную подпись XML-DSig без каких-либо дополнительных требований.
• XAdES-T — при применении этого параметра необходим доступный сервер штампа времени, соответствующий стандарту RFC 3161, а Office должен быть настроен для использования этого сервера. Если в среде есть доступный сервер штампа времени, XAdES-T применяется по умолчанию.
• XAdES-X-L — если в среде есть сервер штампа времени и требуются подписи с полной информацией об отзывах и цепи сертификатов, используйте этот параметр.

Пример:

Сэм хочет создать подписи XAdES-X-L. Если это невозможно, он готов использовать любую подпись, начиная с XAdES-T. Он задает следующие значения параметров реестра:

• XAdESLevel = 5 (запрос подписи XAdES-X-L)
• MinXAdESLevel = 2 (минимальный уровень подписи — XAdES-T)

В этом случае Office пытается создать подпись уровня X-L. Если это невозможно, Office возвращается к последнему успешному уровню XAdES с учетом того, что этот уровень не ниже значения, указанного в параметре MinXAdESLevel. В данном случае принимаются подписи XAdES-T, XAdES-C и XAdES-X, если Office не удается создать подпись XAdES-X-L. В противном случае Office не добавляет подпись.

Создание подписей XAdES в бета-версии Office 2010

Как было указано ранее, бета-версия Office 2010 позволяет создавать только подписи до уровня XAdES-T, так как следующие подписи были добавлены позднее. Параметр реестра XAdESLevel, описанный выше, также применяется, но с максимальным уровнем 2 (XAdES-T). Параметра MinXAdESLevel нет, но теперь можно создавать только два типа подписи XAdES — с штампом времени или без него, чем управляет параметр TimestampRequired (которого нет в RTM-версии).

Для создания подписи XAdES-T также необходимо задать параметры TimestampRequired (ниже) и TSALocation (см. выше):

XAdES — это одно из многих улучшений Office 2010.