Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.11.5     Přidávání „archivních“ časových razítek k PDF dokumentům

Připomeňme si, že Adobe Acrobat  i Reader do verze 9 (včetně) pracují pouze s časovými razítky, která nejsou samostatná, ale jsou spojena s konkrétním elektronickým podpisem do té míry, že se jeví jako jeho atribut (jako důvěryhodný způsob získání časového údaje, který je přímou součástí elektronického podpisu). Sama společnost Adobe o těchto časových razítkách hovoří jako o „podpisových“.

Konkrétní vlastností těchto „podpisových“ časových razítek je i to, že ke každému podpisu může být připojeno vždy nejvýše jedno takové časové razítko (nebo žádné). Není možné přidávat k jednotlivým podpisům - ale ani k celému PDF dokumentu jako takovému - další časová razítka, pro potřeby zajištění digitální kontinuity. Místo toho by bylo nutné přidávat vždy nový elektronický podpis (a teprve s ním další časové razítko).

Možnost přidávat k PDF dokumentům další, a to již samostatná časová razítka, se objevuje až ve verzi X programů Acrobat a Reader, v souvislosti s podporou konceptu PAdES. Konkrétně jeho úrovně „Long Term“ (neboli „části 4“ standardu), na které je definován profil PAdES-LTV. Ten je někdy označován také jako PAdES-A, kde písmeno A naznačuje využití pro „archivní“ účely.

Takovýchto „archivních“ časových razítek, na bázi profilu PAdES-LTV resp. PAdES-LTV, je možné přidávat k jednomu PDF dokumentu více, apriorně neomezeně, s libovolnými časovými odstupy. Je tedy možné tato časová razítka řetězit (přidávat nové ještě dříve, než skončí možnost ověření toho předchozího), a tím „prodlužovat život“ PDF dokumentům (prodlužovat možnost ověření jejich podpisů).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Přidání samostatného (archivního) časového razítka k PDF dokumentu

Obrázek 6 - 94: Přidání samostatného (archivního) časového razítka k PDF dokumentu

Zajímavé je, že Adobe Reader (i Acrobat) zobrazují takovéto „archivní“ razítko stejně jako další elektronický podpis, jen s poněkud odlišnou ikonkou. Jako autora takovéhoto podpisu prezentují tu autoritu, která poskytla časové razítko (zřejmě přebírají její jméno z certifikátu, na kterém je razítko založeno). A v české lokalizaci je k popisu časového razítka přidávána ještě poněkud nesmyslná formulace „Podpis je podepsání dokumentu časovým razítkem“. Příklad, s několika časovými razítky,  ukazuje následující obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad PDF dokumentu s více samostatnými (archivními) časovými razítky, v Adobe Readeru X

Obrázek 6 - 95: Příklad PDF dokumentu s více samostatnými (archivními) časovými razítky, v Adobe Readeru X

Jakmile je ale k PDF dokumentu přidáno první samostatné časové razítko, může být dokument uložen již jen do nového PDF formátu – se všemi důsledky, které to má pro zpětnou kompatibilitu.

Konkrétně to znamená, že samotný PDF dokument bude ve starších verzích programů Acrobat a Reader (verze 9 a starších) běžně čitelný, byť s úvodním hlášením o novém a nepodporovaném formátu. Nicméně samostatné časové razítko nebude korektně čitelné, takže při pokusu o jeho ověření bude hlášena chyba. Stejně jako pro podpisy, vytvořené na úrovni Enhanced, neboli podle profilů PAdES-BES (či PAdES-T, včetně „podpisového“ časového razítka).

Příklad ukazuje následující obrázek, na kterém je jeden a tentýž soubor - s jedním „starším“ podpisem dle PAdES-CMS (s „podpisovým“ časovým razítkem) a jedním samostatným (archivním) časovým razítkem. Vpravo je platnost podpisu a samostatného razítka korektně vyhodnocena v Adobe Readeru verze X, zatímco vlevo je pokus o totéž ve verzi 9: podpis byl korektně vyhodnocen, zatímco při pokusu o vyhodnocení samostatného (archivního) časového razítka se vyskytla chyba.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Vyhodnocení platnosti v Adobe Readeru verze 9 (vlevo) a verze X (vpravo)

Obrázek 6 - 96: Vyhodnocení platnosti v Adobe Readeru verze 9 (vlevo) a verze X (vpravo)

Jak je z levé části obrázku patrné, Readeru verze 9 se nepodařilo ani získat základní údaje z certifikátu, na kterém je časové razítko založeno. Proto nejen že neříká, kdo časové razítko vystavil – ale dokonce ani nenaznačuje, že se jedná o časové razítko a nikoli o elektronický podpis.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61