Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.3        Časová razítka na PDF dokumentech

Časová razítka jsou u PDF dokumentů pojímána poněkud odlišně od představy, kterou jsme si až doposud budovali: že razítko je „něco samostatného“, co se aplikuje nezávisle na elektronických podpisech (typicky někdy „po podpisu“, aby fixovalo jeho existenci v čase), je založeno na svém vlastním certifikátu, také se samostatně ověřuje a má „svou vlastní“ platnost. A že také z pohledu práva má svůj vlastní a specifický statut.

U PDF dokumentů je ale časové razítko standardně vnímáno jako něco nesamostatného. Jako atribut časového údaje, který je součástí elektronického podpisu.

Jinými slovy: bez časového razítka se do elektronického podpisu vkládá časový údaj, převzatý ze systémových hodin počítače. A jelikož tyto systémové hodiny si uživatel může libovolně posunout, nelze se na tento údaj spoléhat. V opačném případě se do elektronického podpisu vloží údaj o čase, pocházející z časového razítka. A tedy garantovaný časový údaj, na který se již lze spolehnout[4]

Lze si to představit také tak, že časové razítko je zde jakoby vloženo přímo do samotného elektronického podpisu.

Praktický důsledek je ten, že PDF dokument nelze (až na výjimku, viz dále) opatřit samostatným časovým razítkem.

Místo samostatného časového razítka je možné k PDF dokumentu přidat pouze další elektronický podpis, obsahující vložené časové razítko (podpis, jehož časový údaj je převzat z časového razítka).

Indikaci rozdílu v „kvalitě“ časových údajů, obsažených v elektronických podpisech na PDF dokumentech, ilustrují následující obrázky. Na prvním z nich je dokument, jehož elektronický podpis obsahuje údaj o čase, převzatý ze systémových hodin místního počítače (zvýrazněno červeně).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Podpis bez časového razítka (časový údaj je převzat z hodin počítače)

Obrázek 6 - 6: Podpis bez časového razítka (časový údaj je převzat z hodin počítače)

Tato skutečnost je zdůrazněna i volbou ikony (žlutý trojúhelník s vykřičníkem, naznačující potenciální nespolehlivost údaje).

Na dalších obrázcích pak jsou elektronické podpisy, které již obsahují časové razítko, resp. časový údaj, převzatý z časového razítka. První z nich ukazuje, jak tuto skutečnost signalizuje Adobe Reader verze 8. x: používá výstižnou formulaci „Čas podepsání byl získán ze serveru časových razítek“.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Podpis, obsahující časové razítko (Adobe Reader 8.x)

Obrázek 6 - 7: Podpis, obsahující časové razítko (Adobe Reader 8.x)

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Podpis, obsahující časové razítko (Adobe Reader 9.x)

Obrázek 6 - 8: Podpis, obsahující časové razítko (Adobe Reader 9.x)

Z hlediska „manipulace“ je tedy časové razítko na PDF dokumentech nesamostatné – nelze jej přidat samostatně (nezávisle na elektronickém podpisu), ani jej samostatně odebrat. Proto je někdy označováno také jako „podpisové“ časové razítko (anglicky signature timestamp).

Z hlediska své platnosti je i takovéto „podpisové“ časové razítko přeci jen samostatné: v tom smyslu, že je založeno na samostatném (systémovém) certifikátu, a proces jeho ověřování (vyhodnocování platnosti) probíhá samostatně a nezávisle na ověřování samotného podpisu.

Může se tedy stát například to, že časové razítko bude vyhodnoceno jako platné, zatímco podpis nikoli (ověření podpisu skončí verdiktem „nevíme“).

Naopak podpis může být platný, zatímco u časového razítka skončí vyhodnocení verdiktem „nevím“. Příklad ukazuje obrázek vlevo.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad platného podpisu s časovým razítkem,, jehož ověření se nepodařilo

Obrázek 6 - 9: Příklad platného podpisu s časovým razítkem, jehož ověření se nepodařilo.

Avizovanou výjimkou z principu, že k PDF dokumentům nelze přidávat samostatná časová razítka, je podpora „archivních“ časových razítek (v rámci podpory konceptu PAdES) u produktů Adobe verze X. Tedy u programů Adobe Acrobat X a Adobe Reader X. Ty již dokáží připojovat k PDF dokumentu samostatná časová razítka - ale bez zpětné kompatibility, takže starší verze Readeru a Acrobatu je nedokáží ověřit.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad PDF dokumentu s elektronickým podpisem (vč.  „podpisového“ časového razítka) a se samostatným „archivním“ časovým razítkem, v programu Adobe Reader verze X

Obrázek 6 - 10: Příklad PDF dokumentu s elektronickým podpisem (vč. „podpisového“ časového razítka) a se samostatným „archivním“ časovým razítkem, v programu Adobe Reader verze X

Podrobněji si problematiku archivních časových razítek popíšeme v části 6.11.


[4] Samozřejmě jen pokud jde o časový údaj o kvalifikovaného poskytovatele časových razítek.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61