Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.8.6         Přidávání (podpisových) časových razítek

Připojování časových razítek k elektronickým podpisům na PDF dokumentech může být v běžné praxi stejně jednoduché, jako samotné podepisování, resp. vytváření podpisů. Pokud totiž správně nastavíme ten program, který pro podepisování používáme, může on za nás přidávat časová razítka k vytvářeným podpisům zcela automaticky, aniž se musíme o cokoli starat.

Připomeňme si v této souvislosti, že u PDF dokumentů je interní časové razítko standardně „nesamostatné“, v tom smyslu že jej nelze přidat k dokumentu samostatně, ale vždy jen jako součást elektronického podpisu (jako garantovaný časový údaj v rámci elektronického podpisu)[13]. Proto je také označováno jako „podpisové“ časové razítko.

V případě externího časového razítka tomu může být jinak, protože externí časové razítko je ukládáno do samostatného souboru (viz předchozí příklad). A tak zde záleží na tom, co umožní příslušný program: zda umožní vytvořit pouze externí časové razítko, nebo zda jej umožňuje vytvořit jen současně s (externím) elektronickým podpisem.

Nutnou podmínkou toho, aby námi používaný program mohl přidávat (podpisová) časová razítka k právě vytvářeným podpisům, je jeho správné nastavení, resp. „provázání“ s příslušnou autoritou časových razítek, která tato razítka generuje.

Připomeňme si, v souladu s částí 2.7, jak vlastně časové razítko vzniká: program, který uživatel používá, vygeneruje otisk podepisovaného dokumentu a odešle jej příslušnému poskytovateli (autoritě časového razítka). Ten na základě otisku vygeneruje časové razítko, které vrátí zpět, a program jej připojí k dokumentu.

Aby tento scénář mohl fungovat, musí mezi uživatelem a příslušným poskytovatelem časových razítek existovat dohoda na poskytování služby. Alespoň v případě kvalifikovaných časových razítek jde typicky o placenou službu a poskytovatel musí vědět, komu službu poskytuje a kam má poslat účet[14].

Další nezbytnou podmínkou je pak schopnost používaného programu „domluvit se“ s autoritou časových razítek takovým způsobem, aby obě strany mohly vzájemně komunikovat a předávat si v jednom směru otisky dokumentů, a ve druhém směru samotná časová razítka[15]. Včetně toho, aby autorita časových razítek měla jistotu, že jde skutečně o jejího zákazníka a ne o někoho jiného, kdo by se za něj jen vydával (a na jeho účet si nechával vystavovat časová razítka).

Identifikace a autentizace zákazníka v roli žadatele o časové razítko může vyžadovat (komerční) certifikát (jako například u I. CA), nebo může být založena jen na správném zadání uživatelského jména a hesla. Příklad nastavení, pro program VerisignIT vidíte na následujícím obrázku:

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad nastavení autority časového razítka

Obrázek 6 - 57: Příklad nastavení autority časového razítka

V případě časových razítek, generovaných pro potřeby testování, nemusí být identifikace a autentizace žádná a časové razítko je poskytnuto komukoli, kdo si o něj „řekne“. I v tomto případě je ale nutné zadat správný URL odkaz na příslušného poskytovatele služby časových razítek tak, aby program žádající o razítko věděl, kam příslušnou žádost poslat. Příklad, pro službu poskytující testovací časová razítka vidíte na obrázku, pro program JSignPDF. Ten ale nenabízí možnost autentizace prostřednictvím certifikátu (jako VerisignIT na předchozím obrázku), ale jen pomocí jména a hesla (pokud je požadováno).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad nastavení autority časového razítka v programu JSignPDF

Obrázek 6 - 58: Příklad nastavení autority časového razítka v programu JSignPDF

Jiným příkladem může být verze 9 programu Print2PDF od společnosti Software602. Ta již také podporuje přidávání časových razítek a zajímavým způsobem řeší i ekonomickou stránku věci: nenutí uživatele, aby si sám sjednával smlouvu s autoritou časových razítek a té pak také platil za skutečně využitá časová razítka.

Místo toho je zde využit princip předplatného: uživatel si dopředu zakoupí určitý „balíček“ kvalifikovaných časových razítek, které pak využívá (čerpá). Navíc toto předplatné uživatel nesjednává přímo s autoritou časových razítek (kterou je zde I. CA), ani s ní neuzavírá jakoukoli smlouvu. Místo toho si „balíčky“ časových razítek kupuje od producenta programu (Software602), přes specializovaný portál SecuStamp, provozovaný na adrese http://secustamp.com.

Veškeré potřebné nastavení nutné k práci s časovými razítky je již zabudováno do programu Print2PDF. Jediné, co uživatel musí doplnit, je jméno a heslo k jeho „balíčku“, které získá při registraci na portálu a nákupu balíčku, viz následující obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad práce s časovými razítky v programu Print2PDF

Obrázek 6 - 59: Příklad práce s časovými razítky v programu Print2PDF


[13] S výjimkou archivních časových razítek, viz část 6.11

[14] Toto samozřejmě nevylučuje existenci takových poskytovatelů kvalifikovaných časových razítek, kteří by své služby poskytovali zdarma. V případě časových razítek pro testovací účely (tj. nikoli kvalifikovaných časových razítek) je jejich poskytování zdarma naopak zcela obvyklé.

[15]  Toto je definováno v RFC 3161



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61