Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

4.10.3.2  „Pokročilé“ elektronické podpisy – CadES, XAdES a PAdES

Pro praktickou implementaci konceptu LTV je třeba navrhnout, standardizovat a implementovat jednotný způsob, jakým by se všechny potřebné informace (počínaje certifikáty, přes časová razítka, až po informace o revokaci) k podepisovaným dokumentům „přibalily“. A to tak, aby to bylo dostatečně důvěryhodné a spolehlivé, a mohlo tak být podkladem k takovému (pozdějšímu) ověření platnosti podpisu, které by splňovalo i všechny požadavky kladené zákonem.

V současné době (od roku 2008 a 2009) existuje dokonce několik vzájemně souvisejících standardů, popisujících jak toho docílit. Společně jsou označovány jako „pokročilé“ elektronické podpisy (v angličtině: „Advanced Electronic Signatures“). Liší se především v tom, pro jaké druhy podepisovaných dokumentů či objektů jsou určeny:

·         CAdES (CMS Advanced Electronic Signatures), pro podepisování (jakýchkoli) objektů

·         XAdES (XML Advanced Electronic Signatures), pro podepisování XML dokumentů

·         PAdES (PDF Advanced Electronic Signatures), pro podepisování PDF dokumentů

Podstatné přitom je, že všechny tyto koncepty (resp. „rámce“) jsou určitým způsobem odstupňovány) podle toho, co a jak je k samotnému podpisu „přibaleno“ – zda časové razítko, certifikáty z celé certifikační cesty, informace o revokaci, či jen odkazy na tyto informace, případně více časových razítek atd.

Tak například u XAdES podpisů (v XML dokumentech) se hovoří o těchto úrovních:

·         základní úroveň: představuje jen „základní“ elektronický podpis (bez časového razítka a dalších informací). Umožňuje ověřit platnost podpisu pouze po dobu řádné platnosti certifikátu, na kterém je podpis založen. Fakticky jde o „původní“ podpis bez jakéhokoli rozšíření.

·         úroveň XAdES-T (Timestamp): na této úrovni je k elektronickému podpisu připojeno časové razítko – a příslušný koncept na této úrovni definuje konkrétní způsob, jakým má být časové razítko k podpisu připojeno

·         úroveň XAdES-C (Complete): na této úrovni jsou k podpisu připojeny odkazy na všechny certifikáty na certifikační cestě a odkazy na všechny revokační informace. Nikoli ale tyto informace jako takové (ale pouze odkazy na ně).

·         úroveň XAdES-X (eXtended): na této úrovni jsou k podpisu kromě odkazů na certifikáty na certifikační cestě a na revokační informace (jako u úrovně C) připojena ještě časová razítka, pokrývající tyto certifikáty a revokační údaje (čímž je zabráněno jejich eventuální záměně)

·         úroveň XAdES-X-L (eXtended Long term): na této úrovni jsou k podpisu připojeny samotné certifikáty na certifikační cestě a revokační informace (a nikoli jen odkazy na ně).

·         úroveň XAdES-A (Archival): na této úrovni může být k podpisu přidávána ještě posloupnost dalších časových razítek, které zajišťují dlouhodobou kontinuitu (ve smyslu předchozího textu a obrázku 4.26)

Podpora XAdES a jeho jednotlivých úrovní se přitom prosazuje do praxe (a do konkrétních produktů) jen postupně (a bohužel dosti pomalu). Jak uvidíme v kapitole 7, XAdES již podporuje například kancelářský balík MS Office, ovšem teprve od verze 2010.

V případě PAdES podpisů (na PDF dokumentech) se hovoří jednak o profilech (které představují varianty PAdES podpisů), a jednak o „částech“ (parts), které popisují konkrétní část standardu[89]:

·         PAdES Overview (část 1): je celkovým přehledem PAdES, ještě nepopisuje konkrétní profily

·         PAdES Basic (část 2): jde o část standardu, popisující „původní“ podpisy[90] na PDF dokumentech. Řeší jak prodlužovat možnost jejich ověření pomocí přidávání časových razítek a revokačních informací k těmto podpisům. Ještě ale neumožňuje přidávat samostatná („archivní“) časová razítka.

·         PAdES Enhanced (část 3): tato část standardu zavádí profily, založené na konceptu CAdES. Konkrétně na CAdES-BES (pak jde o profil PAdES-BES), který může být doplněn samostatným (archivním) časovým razítkem (profil PAdES-T), a dále profil CAdES-EPES. V něm může být k podpisům připojena také informace o tom, v rámci jakého kontextu („podpisové politiky“) jsou podpisy vytvářeny a vyhodnocovány.

·         PAdES Long Term (část 4): tato část definuje profil PAdES-LTV (někdy označovaný také jako PAdES-A), který již umožňuje postupně přidávat k podpisu posloupnost časových razítek, za účelem zajištění časové kontinuity (ve výše uvedeném smyslu).

·         PAdES for XML Content (část 5): v tomto profilu lze přidávat posloupnost časových razítek k XML obsahu v rámci PDF dokumentu (například k polím formuláře, určeným k vyplňování).

Konkrétní nástroje pro práci s PDF dokumenty nejčastěji podporují jen „původní“ PDF podpisy, které v rámci PAdES odpovídají části 2, resp. profilu Basic.

Ostatní profily, resp. části (3 až 5), jsou zatím implementovány jen výjimečně. Většina producentů příslušných nástrojů nejspíše čeká na to, že se tyto profily stanou součástí nového standardu ISO 32000-2[91].

Konkrétně u produktů společnosti Adobe je podpora PAdES na úrovni 3 až 4 zavedena v řadě X (Aodobě Acrobatu X a Readeru X). Produkty verze 9 (Acrobat 9 a Reader 9) ještě podporují pouze PAdES do úrovně 2 (včetně). Podrobněji viz kapitola 6.


[89] Standardu ETSI 102 778, který by měl být v budoucnu zapracován do nového standardu ISO 32000-2

[90] Tak, jak je definuje norma ISO 32000-1 z roku 2008

[91] Jeho vydání se očekává koncem roku 2011, případně až v roce 2012.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61