Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

4.10.3.1  Koncept LTV (Long Term Validation)

Jak už víme z kapitoly 3, k (pozitivnímu) ověření platnosti potřebujeme i určité „externí“ informace. Konkrétně samotný certifikát, na kterém je zkoumaný podpis založen, dále všechny jeho nadřazené certifikáty (na příslušné certifikační cestě), a také informace o stavu revokace všech těchto certifikátů. A teď to nejpodstatnější: tyto informace musí být vztaženy k době, ke které platnost podpisu ověřujeme. Tedy k příslušnému posuzovanému okamžiku.

Samotné certifikáty (ať již ten „podpisový“ či jeho nadřazené certifikáty) mohou, ale také nemusí být vloženy přímo do podepsaného dokumentu (v případě interního podpisu), nebo začleněny do externího podpisu – tak aby byly k dispozici v okamžiku, kdy je podpis ověřován.

Ale největší problém bývá s nezbytnými informacemi o stavu revokace všech těchto certifikátů, ať již se jedná o informace získávané „dávkově“, skrze seznamy CRL nebo „interaktivně“, skrze protokol OCSP. Připomeňme si, že v rámci ověřování musíme vždy zkontrolovat, zda nedošlo k revokaci (předčasnému zneplatnění) některého z těchto certifikátů ještě v době jeho řádné platnosti. Pokud ale k ověření dochází po delší době od vzniku podpisu -  a hlavně od skončení řádné platnosti samotných certifikátů – nemusí být takováto informace již dostupná.

Jak jsme si již uvedli v části 3.4.4, informace o revokaci se ze seznamu CRL „vytrácí“ (přestává v nich být obsažena) ihned, jakmile skončí řádná platnost certifikátu. Tedy alespoň u „intervalových“ seznamů CRL, se kterými pracuje většina certifikačních autorit.

Řešením může být to, že k podepsanému dokumentu (a jeho podpisu) se kromě samotného podpisu, časového razítka či razítek a všech relevantních certifikátů „přibalí“ také příslušná informace o stavu revokace certifikátů. Tak aby ten, kdo bude kdykoli později ověřovat platnost podpisu, měl všechny potřebné údaje k dispozici.

Představu ukazuje následující obrázek:

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa podpisů s možností ověření i po delší době

Obrázek 4 - 29: Představa podpisů s možností ověření i po delší době

Výsledkem je koncept, označovaný jako „Long Term Validation“, resp. LTV. Umožňuje ověřovat platnost elektronických podpisů i po delší - či dokonce „hodně dlouhé“ - době. 

Samozřejmě ale i takovýto postup má svá úskalí. Například v tom, že informace o stavu revokace certifikátů, která by se vztahovala k okamžiku vzniku podpisu (resp. k okamžiku na časovém razítku), bývá k dispozici až o něco později (například až se dostane na seznamy CRL, což může obnášet zpoždění až 24 hodin). Takže takovouto informaci má smysl připojovat k vytvořenému podpisu „až po nějakém čase“, aby se tyto závislosti zohlednily.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61