Příklad uznávaného elektronického podpisu (s časovým razítkem) z února 2017, u kterého již došlo ke ztrátě digitální kontinuity
Tento příklad zahrnuje dokument ve formátu souboru PDF, který je opatřen jedním uznávaným elektronickým podpisem ve formátu PAdES, v úrovni LT. Tento podpis je založen na kvalifikovaném certifikátu, který nebyl revokován.
K podpisu bylo 24.2.2017 ve 12:25:59 přidáno kvalifikované časové razítko, založené na certifikátu od I.CA, s řádnou dobou platnosti od 15.9.201 do 24.10.2022.
Jelikož žádné další časové razítko nebylo k dokumentu přidáno, je nutné ověřovat platnost tohoto časového razítka k aktuálnímu času (zde: 21.2.2023). A jelikož v aktuálním čase již certifikátu časového razítka skončila platnost, není možné toto razítko ověřit jako platné - a tudíž není možné se již spoléhat na jeho obsah. Konkrétně na čas jeho připojení.
Pokud by bylo možné ověřit časové razítko jako platné, bylo by možné vzít čas jeho připojení (zde: 24.2.2017 12:25:59), a tento čas použít jako rozhodný okamžik pro ověření platnosti samotného podpisu. Ten by v takovém případě mohl být ověřen jako platný.
Jelikož ale časové razítko již není možné ověřit jako platné, jako rozhodný okamžik pro ověření samotného podpisu je nutné použít aktuální čas. Tedy ověřovat platnost podpisu k aktuálnímu času.
Výsledkem pak nutně je konstatování, že platnost podpisu je neznámá.
Důvodem toho, že platnost podpisu již nelze ověřit, je ztráta digitální kontinuity - a to právě k okamžiku konce platnosti certifikátu časového razítka (tj. k 24.10.2022). Pokud měla být digitální kontinuita zachována, bývalo by muselo být včas (tj. před 24.10.2022) přidáno další časové razítko. Což se nestalo - a proto došlo ke ztrátě digitální kontinuity.
To, že platnost podpisu již nelze ověřit, resp. že je neznámá, potvrzují i další nástroje a služby. Například kvalifikovaná služba SecuSign pro ověřování elektronických podpisů hlásí, že stavy platnosti podpisu i časového razítka jsou neznámé.
Stejně tak služba DSS
či slovenský validátor QES:
Nicméně program Adobe Reader při svém standardním (default) nastavení podpis ověří jako platný.
Důvodem je to, že i přes expiraci certifikátu časového razítka tomuto časovému razítku důvěřuje (a ověří jej jako platné). V důsledku toho použije čas jeho připojení jako rozhodný okamžik pro ověření platnosti podpisu - a díky tomu dojde k závěru, že podpis je platný.
Adobe Reader ale vyhodnotí časové razítko jako platné i v případě, kdy se mu v nastavení zakáže důvěřovat razítkům s již expirovaným certifikátem ("používat časová razítka ukončené platnosti")
I přes toto nastavení nadále důvěřuje časovému razítku proto, že jeho certifikát považuje za důvěryhodnou kotvu, u které nekontroluje její expiraci (řádnou dobu platnosti), ani odvolání (revokaci).
Toto chování Adobe Readeru není správné - a vychází z toho, že jako "kotva" (resp. jako kořenový) je certifikát časového razítka, resp. certifikát příslšuné autority časového razítka, veden v unijním seznamu LOTL, přes jeho podmnožinu (seznamu EUTL, vedený společností Adobe).
Jediný způsob, jak programu Adobe Reader "rozmluvit" toto jeho chování a přinutit jej respektovat prošlý certifikát časového razítka, je odstranit jej ze seznamu těch certifikátů, které považuje za důvěryhodné (v příslušném úložišti).
Pokud dojde k odstranění certifikátu (z úložiště důvěryhodných certifikátů), bude Adobe Reader již postupovat správně: bude důvěřovat vydavateli certifikátu (kořenové autoritě I.CA), ale jím vydaný certifkát (tj. certifkát autority časového razítka, neboli ten, na kterém je založeno časové razítko) již nebude považovat za kotvu, a bude zkoumat jeho platnost v čase. Dospěje k závěru, že certifikát již není platný, tudíž platnost časového razítka je neznámá, na čas jeho připojení se již nelze spoléhat - a tak samotný podpis ověřuje k aktuálnímu času a dospěje k závěru, že stav jeho platnosti je neznámý. Viz úvodní obrázky.
Certifikát časového razítka se do příslušného úložiště dostal načtením seznamu EUTL. Pokud byl tento certifikát odstraněn, lze jej nejznáze vrátit zpět novým načtením seznamu EUTL, dle následujícího obrázku.
Celé protokoly o ověření si můžete stáhnout v sekci "Ke stažení"
Kvalifikovaný . Elektronický . Podpis