Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.11.3     Nastavení Acrobatu a Readeru verze 9 pro vytváření podpisů PAdES Basic

Podle příslušného standardu[23] je elektronický podpis na úrovni PAdES Basic, neboli elektronický podpis vytvářený podle profilu PAdES-CMS (resp. SMS-PKCS#7), shodný s “běžným“ elektronickým podpisem na PDF dokumentech,  tak jak jsme si jej dosud popisovali. Mělo by k němu ale být připojeno i „podpisové“ časové razítko (tedy časové razítko ve smyslu části 6.3), a také revokační informace (ve smyslu části 6.5.6). Přesněji: tyto dva prvky jsou standardem doporučeny, ale nikoli striktně vyžadovány[24].

Nastavení programu Acrobat či Reader tak, aby vytvářel podpisy dle profilů PAdES-CMS, včetně doporučených součástí, by tedy mělo zajistit oba doporučené kroky:

·         přidání (podpisového) časového razítka ke každému podpisu

·         přidání revokačních informací ke každému podpisu.

Postup přidávání (podpisových) časových razítek jsme si popsali již v části 6.9.1 (pojednávajícím o nastavení Adobe Acrobatu). Proto si jen stručně připomeňme, včetně obrázku, že fakticky jde jen o nastavení údajů o serveru, resp. poskytovateli služby časových razítek (autoritě časových razítek, TSA). Nastavit si můžeme více takovýchto poskytovatelů, ale jednoho musíme prohlásit za „výchozího“ – a jeho časová razítka pak budou automaticky přidávána k vytvářeným podpisům.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad nastavení autority časového razítka

Obrázek 6 - 91: Příklad nastavení autority časového razítka

Pokud jde o informace o stavu revokace certifikátů, na kterých je podpis založen, o těch jsme si již také řekli (v části 6.5.6), že mohou být přidávány buďto v okamžiku vzniku podpisu, nebo „někdy později“. Druhý případ – přidání informací „někdy později“ – jsme si v uvedené části 6.5.6 již také popsali.

Pro přidání revokačních informací již při samotném vzniku podpisu je třeba provést příslušné nastavení v rámci předvoleb Acrobatu či Readeru, dle obrázku na následující stránce.

Připomeňme si ale v této souvislosti to, co jsme si zdůraznili již v části 6.5.6: jelikož tuzemské certifikační autority dosud běžně neposkytují revokační informace skrze OCSP protokol, ale jen prostřednictvím CRL seznamů, nemusí být informace o stavu revokace certifikátů v okamžiku vzniku podpisu k dispozici.

Přesněji ty informace v podobě CRL seznamu, které jsou k dispozici v okamžiku vzniku podpisu, ještě nemusí obsahovat informace o takové revokaci, ke které mohlo dojít jen několik málo hodin před okamžikem, kdy podpis vytváříme – a to kvůli tomu, že certifikační autority mají určitý čas (24 hodin) na to, aby zpracovaly žádost o revokaci a promítly ji do nově vydaného seznamu CRL.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Předvolba pro přidávání revokačních informací již při vzniku podpisu

Obrázek 6 - 92: Předvolba pro přidávání revokačních informací již při vzniku podpisu

Vkládání revokačních informací v okamžiku vzniku podpisu tedy není příliš výhodné, neboť pro následné ověření nepřináší dostatečnou jistotou o tom, zda některý z relevantních certifikátů nebyl v okamžiku vzniku podpisu již revokován. Výhodnější je proto přidávání revokačních informací „někdy později“ (až lze mít jistotu o tom, že příslušný seznam CRL by informaci o případné revokaci musel obsahovat).


[23] ISO 32000, resp. ETSI TS 102 778

[24] Kromě toho může být (již volitelnou) součástí podpisu i důvod podpisu, umístění podpisující osoby a kontakt na ni.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61