Чинне законодавство не визначає особливості застосування ЕЦП, щодо документів, термін дії яких перевищує термін дії ЕЦП. Також не визначено статус підписаних документів, термін дії яких не закінчився, у разі компрометації ЕЦП. Це дозволяє реалізувати два види атак на ЕЦП:
1. використання недійсного ЕЦП (скомпрометованого, або ЕЦП, термін дії якого закінчився) для підпису документів заднім числом;
2. визнання підписаного документу без позначки часу, сертифікат якого на час перевірки підпису не діє, недійсним на підставі того, що неможливо встановити чи був документ підписаний дійсним ЕЦП, чи був підписаний заднім числом недійсним ЕЦП. Ця атака може супроводжуватись брехливою заявою про компрометацію ключа ЕЦП.
Ця вразливість позбавляє змісту такі послуги сертифікаційних центрів, як призупинення дії ЕЦП або реєстрація компрометації ключа ЕЦП.
Головною помилкою, що призвела до з'явлення вразливості, є сприйняття інфраструктури ЕЦП обмеженою відношеннями двох сторін, що перевіряють підпис на момент складання документу. При цьому не враховується роль арбітра при виникненні спорів, щодо підписаного документу. Тобто валідність підписаного документа розглядається у статиці, а має розглядатися у динаміці.
Атака підпису заднім числом була успішно змодельована з використанням чинного ЕЦП і сертифікованого ПЗ переведенням системного годинника комп'ютера назад.
Проект розпорядження Кабінету Міністрів України "Про схвалення Концепції стандартизації та розвитку інфраструктури відкритих ключів та надання послуг електронного цифрового підпису (кваліфікованих довірчих послуг)" 22 грудня 2014р. вдруге повідомлено щодо оприлюднення на сайті МЮ.
Створення на базі МЮ України:
Очікувані результати від реалізації даного Розпорядження: