Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.11.2     Dokumenty PAdES

Potřebám elektronických podpisů a možnosti ověřit je i „po delší době“ se na rozdíl od standardu PDF/A specificky věnuje koncept PAdES (PDF Advanced Electronic Signatures) zmiňovaný již v části 4.10.3.

Připomeňme si, že jeho podstatou je (podobně jako u PDF/A) takové přidávání původně externích informací přímo do PDF dokumentu, aby při pozdějším ověřování byly k dispozici a nemusely být načítány odněkud, kde již nemusí být dostupné. Zde konkrétně se jedná hlavně o certifikáty na celé certifikační cestě, o časová razítka, a hlavně pak o revokační informace týkající se všech certifikátů.

Stejně tak si připomeňme, že celý koncept PAdES je rozdělen do několika úrovní, na kterých jsou definovány různé profily podpisů:

·         PAdES Basic (část 2): jde o profil odpovídající „původním“ podpisům  na PDF dokumentech[22]. Někdy se o profilech z této úrovně hovoří také jako o PAdES-CMS (či CMS/PKCS#7).

·         PAdES Enhanced (část 3): zde jsou definovány profily PAdES-BES, PAdES-EPES, které již jsou založeny na konceptu CAdES. Jednotlivé podpisy dle těchto profilů mohou být opatřeny také „podpisovými“ časovými razítky, čímž se z nich stávají elektronické podpisy dle profilu PAdES-T.

·         PAdES Long Term (část 4): zde je definován profil PAdES-LTV (někdy označovaný také jako PAdES-A), založený na CAdES, který umožňuje přidávat k podepsanému dokumentu samostatná („archivní“) časová razítka, za účelem zajištění časové kontinuity (ve výše uvedeném smyslu).

·         PAdES for XML Content (část 5): zde je definován profil PAdES-XAdES,  ve kterém lze přidávat posloupnost časových razítek k XML obsahu v rámci PDF dokumentu (například k polím formuláře, určeným k vyplňování).

V celé této kapitole jsme si až dosud popisovali vlastnosti podpisů na PDF dokumentech, které odpovídají „základní“ úrovni, neboli „části 2“ (PAdES Basic). Zdůrazněme si, že již na této úrovni je možné „prodlužovat životnost“ elektronických podpisů na PDF dokumentech, přesněji: možnost jejich ověření. A to přidávání „podpisových“ časových razítek k jednotlivým podpisům, a také přidáváním revokačních informací (CRL seznamů či odpovědí OCSP serverů), dostupným v době vzniku podpisu či „někdy později“. Viz popis v části 6.5.6.

Konkrétní způsob, jakým se tak děje (jakým jsou „podpisová“ časová razítka a revokační informace přidávány do PDF dokumentu) ale na této úrovni (a u těchto podpisových profilů, tj. PAdES-CMS, resp. CMS-PKCS#7) vychází ještě z původního formátu PDF dokumentů tak, jak definován ve standardu ISO 32000.

Na úrovni PAdES Enhanced (část 3) jsou nabízeny v zásadě stejné možnosti, ale způsob ukládání dodatečných informací do PDF dokumentů je odlišný – již založený na konceptu CAdES.

To má ale jeden poměrně zásadní důsledek: vzniká tím nová verze formátu PDF dokumentů, které obecně není kompatibilní s verzí předchozí. Takže novější verze programů Acrobat a Reader (konkrétně od verze X) tuto verzi podporují, ale starší verze nikoli.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Hláška Acrobatu/Readeru o nepodporovaném formátu

Obrázek 6 - 89: Hláška Acrobatu/Readeru o nepodporovaném formátu

Řečeno ještě jinými slovy: pokud v Acrobatu X či Readeru X (případně ve vyšší verzi) připojíte k PDF dokumentu nějaký podpis podle PAdES profilů z části 3 či 4, nebudou starší verze těchto produktů (Acrobat 9 a Reader 9, resp. starší) schopné s těmito podpisy pracovat. Samotný dokument PDF dokáží starší verze programů přečíst, ale podpisy a případná samostatná (archivní) časová razítka již nikoli.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Při pokusu o ověření (PAdES Extended) podpisu ve starší verzi Adobe Readeru je hlášena chyba

Obrázek 6 - 90: Při pokusu o ověření (PAdES Extended) podpisu ve starší verzi Adobe Readeru je hlášena chyba

Konkrétní podpora PAdES a jeho částí v jednotlivých verzích produktů společnosti Adobe je následující:

·         verze 9 podporují PAdES pouze na úrovni PAdES Basic, neboli pouze „části 2“. To znamená, že dokáže pracovat jen s podpisy na bázi profilů PAdES-CMS, označovaných také jako CMS-PKCS#7.

·         verze X podporují PAdES do úrovně PAdES Long Term, neboli do části 4 (včetně). To znamená, že již podporují podpisy na bázi profilů PAdES-BES i PAdES-T z části 3 (s výjimkou profilu PAdES-EPES), a také „archivní“ časová razítka (profil PAdES-LTV, resp. PAdES-A) z části 4.

Ukažme si nyní, jak nastavit Adobe Acrobat a Reader verze 9.x tak, aby podporovaly PAdES na úrovni Basic (část 2). Pak si ukážeme, jak se nastavují stejné produkty ve verzi X, aby vytvářely podpisy buďto na úrovni Basic, nebo na úrovni Enhanced. A také jak je přimět k tomu, aby k dokumentu připojily samostatné („archivní“) časové razítko.


[22] Dle ISO 32000-1© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61