Báječný svět

elektronického podpisu

Jiří Peterka, 2022

Kvalifikovaný el. podpis

Kvalifikovaný elektronický podpis

Příklad PDF dokumentu s kvalifikovaným elektronickým podpisem PAdES B-LT

Tento elektronický dokument v souboru formátu PDF je opatřen jedním (interním) kvalifikovaným elektronickým podpisem ve formátu PAdES Baseline, s úrovní LT (B-LT). Je opatřen jedním kvalifikovaným (podpisovým) časovým razítkem a jeho platnost je možné ověřit do 18.10.2027


Rozbor podpisu:

Podpis je založen na certifikátu, který vydala kvalifikovaná dceřiná autorita I.CA (I.CA Qualified 2 CA/RSA 02/2016). To ale ještě nutně neznamená, že jde o kvalifikovaný certifikát (tato dceřiná autorita vydává i certifikáty, které kvalifikované nejsou, příklad).

Zjištění vydavatele certifikátu

Zde se ale jedná o kvalifikovaný certifikát pro elektronický podpis (viz "splňuje podmínky nařízení EU 910/2014, příloha I"). Tím je splněna první podmínka toho, aby se mohlo jednat o kvalifikovaný elektronický podpis.

Ukázka zjištění, že jde o kvalifikovaný certifikát

Certifikát má nastaven příznak toho, že soukromý klíč (ke kterému byl certifikát vydán, a který byl využit při vytváření podpisu) je umístěn na kvalifikovaném prostředku (QSCD). Tím je splněna druhá podmínka toho, aby se jednalo o kvalifikovaný elektronický podpis.

Ukázka zjištění, že soukromý klíč je umístěn na kvalifikovaném prostředku

Že jde o kvalifikovaný elektronický podpis, indikuje sám program Adobe Reader, a to jak v rámci panelu podpisu ...

Indikace toho, že jde o kvalifikovaný elektronický podpis

... tak i v rámci Vlastností podpisu.

Indikace toho, že jde o kvalifikovaný elektronický podpis

 


Kvalifikovaný certifikát, na kterém je podpis založen, má dobu platnosti od 30.9.2021 do 30.9.2022.

Doba platnosti certifkátu

Podpis měl být vytvořen 22. 2. 2022 v 18:23:37 (zimního času), a tedy v době řádné platnosti certifikátu, jak je signalizováno ve Vlastnostech podpisu i v rámci vizualizace podpisu.

Deklarovaná doba vzniku podpisu Deklarovaná doba vzniku podpisu

Jde ale jen o deklarovaný čas, převzatý ze systémových hodin počítače, a nelze se na něj spoléhat (hodiny na počítači, kde byl podpis vytvářen, mohly být libovolně přetočeny vpřed i vzad).

Spolehnout se lze jen na čas platného kvalifikovaného elektronického časového razítka, které bylo připojeno 22. 2. 2022 v 18:23:49 (zimního času), a tedy 12 sekund po deklarovaném času vzniku podpisu.

Čas připojení časového razítka

Z toho lze usuzovat, že deklarovaný čas podpisu je správný (není podvržený), přičemž rozdíl několika sekund (zde 12) odpovídá obvyklé době, nutné pro získání a připojení časového razítka.

Kvalifikované elektronické časové razítko je založeno na (kvalifikovaném) certifikátu s řádnou dobou platnosti do 18.10.2027.

Čas připojení časového razítka

Z toho lze dovodit, že platnost kvalifikovaného elektronického podpisu (opatřeného tímto podpisovým časovým razítkem) lze ověřit do 18.10.2027 (do konce dobry řádné platnosti certifikátu kvalifikovaného elektronického časového razítka).

Pro zachování digitální kontinuity dokumentu (možnosti ověření platnosti jeho podpisu) i po datu 18.10.2027 by bylo nutné připojit - a to před tímto datem - další elektronické časové razítko, nyní již tzv. dokumentové.


Při vytváření podpisu na PDF dokumentu byla využita hashovací funkce SHA 256 (z rodiny SHA 2) a podpisový algoritmu RSA, s tzv. paddingem dle PKCS#1 verze 1.5. Samotný podpis je v tzv. referenčním formátu, konkrétně ve formátu PAdES Baseline, úrovně LT (tj. B-LT).

Formát podpisu, hashovací funkce, podpisový algoritmus

Úroveň LT znamená, že k podpisu jsou připojeny revokační informace, a není tedy nutné je získávat on-line. Budou k tak dispozici i v době, kdy by u vydavatele certifikátu již nebyly standardním způsobem dostupné.

Vložené revokační informace

Zde konkrétně jde o revokační informace v podobě odpovědi OCSP serveru, vydané 2.4.2022. Ty dosvědčují, že k tomuto datu (s přesností na minuty a sekundy) nebyl podpisový certifkát revokován. Díky tomu může být podpis, založený na tomto certifikátu, ověřen jako platný.

Důležité také je, že revokační informace jsou tzv. čerstvé: tedy vydané až poté, co podpis již prokazatelně existovat. Tak tomu skutečně je: kvalifikované elektronické časové razítko bylo připojeno 22.2.2022, zatímco revokační informace (odpověď OCSP serveru) byly vydány 2.4.2022.

To, že podpis je v úrovni LT, resp. že k němu jsou připojeny revokační informace, signalizuje program Adobe Acrobat Reader již v panelu podpisu, skrze hlášku o tom, že u podpisu je povoleno dlouhodobé ověřování.

Vložené revokační informace

 


Následující obrázek ukazuje výsledek ověření podpisu kvalifikovanou službou pro ověřování elektronických podpisů SecuSign.

Výsledek ověření službou SecuSign

Následující obrázek ukazuje výsledek ověření podpisu službou DSS.

Výsledek ověření službou DSS

Celé protokoly o ověření u obou služeb si můžete stáhnout v sekci "Ke stažení"

Kvalifikovaný . Elektronický . Podpis