Příklad externího kvalifikovaného elektronického podpisu, včetně časového razítka, ve formátu CAdES XL
Elektronické dokumenty se nejčastěji opatřují interními elektronickými podpisy. Tedy takovými, které jsou "umístěny" přímo v souboru s dokumentem, který podepisují. Ne každý elektronický dokument se ale dá tímto způsobem podepsat - rozhodující jsou vlastnosti toho typu souboru, ve kterém je dokument obsažen. Pokud jeho formát počítá s interními elektronickými podpisy (např. např. formáty PDF, DOC a DOCX, XLS a XLSX), je možné dokument podepsat interním elektronickým podpisem.
Naproti tomu každý elektronický dokument, v jakémkoli formátu (a obecně jakýkoli soubor, jehož obsahem může být i cokoli jiného než dokument, např. nějaký program, data apod.), lze podepsat pomocí externího elektronického podpisu. Externího proto, že elektronický podpis je samostatným objektem, obsaženým v samostatném souboru, a je pouze logicky spojen s tím dokumentem, jehož (externím) podpisem je.
Pro ověření platnosti elektronického podpisu jsou pochopitelně nutné takové nástroje či služby, které s externími elektronickými podpisy počítají. Obvykle fungují tak, že vyžadují samostatné zadání samostatného souboru s externím elektronickým podpisem, a vedle něj toho souboru, ke kterému se externí elektronický podpis vztahuje.
Zdůrazněme si ještě jednou, že formou interního elektronického podpisu lze podepsat jen některé formáty, zatímco formou externího podpisu lze podepsat všechny formáty. Takže například pro PDF dokumenty (elektronické dokumenty v souborech formátu PDF) připadají v úvahu obě varianty - jak interní, tak i externí elektronické podpisy (a stejně tak samozřejmě i pečeti).
Tento příklad je příkladem externího elektronické podpisu. Tvoří jej dva samostatné soubory:
- soubor dokument.pdf (samotný PDF dokument, bez interního elektronického podpisu), a
- soubor podpis.p7s (obsahující externí elektronický podpisu souboru dokument.pdf, včetně kvalifikovaného elektronického časového razítka a vložených revokačních informací).
Rozbor podpisu:
Externí elektronický podpis je kvalifikovaným elektronickým podpisem (QES, Qualified Electronic Signature). Je ve formátu CAdES (jaký mají externí podpisy v binární podobě, nikoli v XML), a je v úrovni XL - což znamená, že v něm jsou vloženy všechny validační informace (certifikáty i revokační informace). Kvůli tomu je také soubor s externím podpisem (podpis.p7s) tak velký (362 kB, většinu objemu tvoří vložený CRL seznam).
Služba SecuSign jej také hodnotí jako podpis ve formátu CAdES, ale nesprávně konstatuje, že má jen úroveň T (CAdES-T), která neobsahuje revokační informace.
Podpis je založen na kvalifikovaném certifikátu (pro elektronický podpis) od CA PostSignum, s řádnou dobou platnosti do 14.6.2025. Certifikát má nastaven příznak umístění soukromého klíče na kvalifikovaném prostředku (QSCD) - což implikuje, že se jedná o kvalifikovaný elektronický podpis.
K externímu podpisu je připojeno kvalifikované elektronické časové razítko od TSA PostSignum, s datem 1.7.2022. Je založené na certifikátu s řádnou odobou platnosti do 18. 10. 2027. To znamená, že i platnost samotného podpisu se dá ověřit do stejného data.
Celé protokoly o ověření u obou služeb si můžete stáhnout v sekci "Ke stažení"
Kvalifikovaný . Elektronický . Podpis