6.11.5     Přidávání „archivních“ časových razítek k PDF dokumentům

Připomeňme si, že Adobe Acrobat  i Reader do verze 9 (včetně) pracují pouze s časovými razítky, která nejsou samostatná, ale jsou spojena s konkrétním elektronickým podpisem do té míry, že se jeví jako jeho atribut (jako důvěryhodný způsob získání časového údaje, který je přímou součástí elektronického podpisu). Sama společnost Adobe o těchto časových razítkách hovoří jako o „podpisových“.

Konkrétní vlastností těchto „podpisových“ časových razítek je i to, že ke každému podpisu může být připojeno vždy nejvýše jedno takové časové razítko (nebo žádné). Není možné přidávat k jednotlivým podpisům - ale ani k celému PDF dokumentu jako takovému - další časová razítka, pro potřeby zajištění digitální kontinuity. Místo toho by bylo nutné přidávat vždy nový elektronický podpis (a teprve s ním další časové razítko).

Možnost přidávat k PDF dokumentům další, a to již samostatná časová razítka, se objevuje až ve verzi X programů Acrobat a Reader, v souvislosti s podporou konceptu PAdES. Konkrétně jeho úrovně „Long Term“ (neboli „části 4“ standardu), na které je definován profil PAdES-LTV. Ten je někdy označován také jako PAdES-A, kde písmeno A naznačuje využití pro „archivní“ účely.

Takovýchto „archivních“ časových razítek, na bázi profilu PAdES-LTV resp. PAdES-LTV, je možné přidávat k jednomu PDF dokumentu více, apriorně neomezeně, s libovolnými časovými odstupy. Je tedy možné tato časová razítka řetězit (přidávat nové ještě dříve, než skončí možnost ověření toho předchozího), a tím „prodlužovat život“ PDF dokumentům (prodlužovat možnost ověření jejich podpisů).

Obrázek 6 - 94: Přidání samostatného (archivního) časového razítka k PDF dokumentu

Zajímavé je, že Adobe Reader (i Acrobat) zobrazují takovéto „archivní“ razítko stejně jako další elektronický podpis, jen s poněkud odlišnou ikonkou. Jako autora takovéhoto podpisu prezentují tu autoritu, která poskytla časové razítko (zřejmě přebírají její jméno z certifikátu, na kterém je razítko založeno). A v české lokalizaci je k popisu časového razítka přidávána ještě poněkud nesmyslná formulace „Podpis je podepsání dokumentu časovým razítkem“. Příklad, s několika časovými razítky,  ukazuje následující obrázek.

Obrázek 6 - 95: Příklad PDF dokumentu s více samostatnými (archivními) časovými razítky, v Adobe Readeru X

Jakmile je ale k PDF dokumentu přidáno první samostatné časové razítko, může být dokument uložen již jen do nového PDF formátu – se všemi důsledky, které to má pro zpětnou kompatibilitu.

Konkrétně to znamená, že samotný PDF dokument bude ve starších verzích programů Acrobat a Reader (verze 9 a starších) běžně čitelný, byť s úvodním hlášením o novém a nepodporovaném formátu. Nicméně samostatné časové razítko nebude korektně čitelné, takže při pokusu o jeho ověření bude hlášena chyba. Stejně jako pro podpisy, vytvořené na úrovni Enhanced, neboli podle profilů PAdES-BES (či PAdES-T, včetně „podpisového“ časového razítka).

Příklad ukazuje následující obrázek, na kterém je jeden a tentýž soubor - s jedním „starším“ podpisem dle PAdES-CMS (s „podpisovým“ časovým razítkem) a jedním samostatným (archivním) časovým razítkem. Vpravo je platnost podpisu a samostatného razítka korektně vyhodnocena v Adobe Readeru verze X, zatímco vlevo je pokus o totéž ve verzi 9: podpis byl korektně vyhodnocen, zatímco při pokusu o vyhodnocení samostatného (archivního) časového razítka se vyskytla chyba.

Obrázek 6 - 96: Vyhodnocení platnosti v Adobe Readeru verze 9 (vlevo) a verze X (vpravo)

Jak je z levé části obrázku patrné, Readeru verze 9 se nepodařilo ani získat základní údaje z certifikátu, na kterém je časové razítko založeno. Proto nejen že neříká, kdo časové razítko vystavil – ale dokonce ani nenaznačuje, že se jedná o časové razítko a nikoli o elektronický podpis.