Příklady externích kvalifikovaných elektronických podpisů ve formátech CAdES a XAdES, v úrovni LT
Elektronické dokumenty se nejčastěji opatřují interními elektronickými podpisy. Tedy takovými, které jsou "umístěny" přímo v souboru s dokumentem, který podepisují. Ne každý elektronický dokument se ale dá tímto způsobem podepsat - rozhodující jsou vlastnosti toho typu souboru, ve kterém je dokument obsažen. Pokud jeho formát počítá s interními elektronickými podpisy (např. např. formáty PDF, DOC a DOCX, XLS a XLSX), je možné dokument podepsat interním elektronickým podpisem.
Naproti tomu každý elektronický dokument, v jakémkoli formátu (a obecně jakýkoli soubor, jehož obsahem může být i cokoli jiného než dokument, např. nějaký program, data apod.), lze podepsat pomocí externího elektronického podpisu. Externího proto, že elektronický podpis je samostatným objektem, obsaženým v samostatném souboru, a je pouze logicky spojen s tím dokumentem, jehož (externím) podpisem je.
Pro ověření platnosti externího elektronického podpisu jsou pochopitelně nutné takové nástroje či služby, které s externími elektronickými podpisy počítají. Obvykle fungují tak, že vyžadují samostatné zadání samostatného souboru s externím elektronickým podpisem, a vedle něj toho souboru, ke kterému se externí elektronický podpis vztahuje.
![](5/2.png)
![](5/3.png)
Zdůrazněme si ještě jednou, že formou interního elektronického podpisu lze podepsat jen některé formáty, zatímco formou externího podpisu lze podepsat všechny formáty. Takže například pro PDF dokumenty (elektronické dokumenty v souborech formátu PDF) připadají v úvahu obě varianty - jak interní, tak i externí elektronické podpisy (a stejně tak samozřejmě i pečeti).
Externí podpis CAdES Baseline-LT
První příklad je příkladem externího elektronického podpisu v binárním CAdES. Tvoří jej dva samostatné soubory:
- soubor document.pdf (samotný PDF dokument, bez interního elektronického podpisu), a
- soubor CAdES.p7s (obsahující externí elektronický podpisu souboru document.pdf, včetně kvalifikovaného elektronického časového razítka a vložených revokačních informací).
Rozbor podpisu:
Externí elektronický podpis je kvalifikovaným elektronickým podpisem (QES, Qualified Electronic Signature). Je ve formátu CAdES (jaký mají externí podpisy v binární podobě, nikoli v XML), a je v úrovni LT - což znamená, že obsahuje časové razítko, a jsou v něm vloženy všechny validační informace (certifikáty i revokační informace). V daném případě jde o odpovědi OCSP serverů, proto je velikost externího podpisu relativně malá (oproti variantě obsahující CRL seznamy).
Podpis je založen na kvalifikovaném certifikátu (pro elektronický podpis) od CA PostSignum, s řádnou dobou platnosti do 14.6.2025. Certifikát má nastaven příznak umístění soukromého klíče na kvalifikovaném prostředku (QSCD) - což implikuje, že se jedná o kvalifikovaný elektronický podpis.
![](5/5.png)
K podpisu je připojeno kvalifikované elektronické časové razítko od TSA Sectigo, s datem 29. 2. 2024. Je založené na certifikátu s řádnou odobou platnosti do 3. 8. 2034. To znamená, že i platnost samotného podpisu se dá ověřit do stejného data.
![](5/6.png)
Služba DSS hodnotí externí podpis jako platný podpis ve formátu CAdES Baseline a v úrovni LT.
![](5/1.png)
Služba QVerify jej hodnotí stejně: jako platný externí podpis ve formátu CAdES Baseline-LT.
![](5/7.png)
Služba SecuSign jej také hodnotí jako podpis ve formátu CAdES, ale nesprávně konstatuje, že má jen úroveň T (CAdES-T), která neobsahuje revokační informace.
![](5/8.png)
Externí podpis XAdES Baseline-LT
Druhý příklad je příkladem externího elektronické podpisu ve formátu XAdES (tj. XML AdES). Tvoří jej dva samostatné soubory:
- soubor document.docx (samotný DOCX dokument, bez interního elektronického podpisu), a
- soubor XAdES.xml (obsahující externí elektronický podpisu souboru document.docx, včetně kvalifikovaného elektronického časového razítka a vložených revokačních informací).
Rozbor podpisu:
Externí elektronický podpis je kvalifikovaným elektronickým podpisem (QES, Qualified Electronic Signature). Je ve formátu XAdES (jaký mají externí podpisy ve formátu XML), a stejně jako první příklad je v úrovni XL - což znamená, že obsahuje časové razítko a jsou v něm vloženy všechny validační informace (certifikáty i revokační informace). V daném případě jde o odpovědi OCSP serverů, proto je velikost externího podpisu relativně malá (oproti variantě obsahující CRL seznamy).
Stejně jako u prvního příkladu (s formátem CAdES) je externí podpis založen na kvalifikovaném certifikátu (pro elektronický podpis) od CA PostSignum, s řádnou dobou platnosti do 14.6.2025. Certifikát má nastaven příznak umístění soukromého klíče na kvalifikovaném prostředku (QSCD) - což implikuje, že se jedná o kvalifikovaný elektronický podpis. K podpisu je připojeno kvalifikované elektronické časové razítko od TSA Sectigo, s datem 29. 2. 2024. Je založené na certifikátu s řádnou odobou platnosti do 3. 8. 2034. To znamená, že i platnost samotného podpisu se dá ověřit do stejného data.
Služba DSS hodnotí externí podpis jako platný podpis v formátu XAdES Baseline a v úrovni LT.
![](5/9.png)
Služba QVerify externí podpisy ve formátu XAdES nepodporuje.
Služba SecuSign podpis také hodnotí jako podpis ve formátu XAdES, ale opět nesprávně konstatuje, že má jen úroveň T (XAdES-T), která neobsahuje revokační informace.
![](5/10.png)
Celé protokoly o ověření u obou služeb si můžete stáhnout v sekci "Ke stažení"
Kvalifikovaný . Elektronický . Podpis