Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.5.6         Kontrola revokace podle vložených revokačních informací

Formát PDF určitým způsobem pamatuje na to, že informace o revokaci certifikátů přestávají být časem dostupné – a tak nabízí možnost vložit je přímo do samotného PDF dokumentu.

Tato možnost připadá v úvahu pro obě varianty získávání informací o revokaci, skrze protokol OCSP i skrze seznamy CRL. V prvním případě je objem vkládaných informací minimální, a tak nedochází k významnému zvětšení souboru s PDF dokumentem. Ve druhém případě, kdy je do PDF dokumentu vkládán celý seznam CRL, může jít o velký objem dat a jeho vložením objem souboru s PDF dokumentem může značně narůst.

Samotná možnost vložení revokačních informací je dostupná ve dvou různých okamžicích: při vzniku podpisu a „později“.

První varianta ale v případě seznamů CRL neřeší daný problém, protože v okamžiku vzniku podpisu nemusí aktuální verze CRL  ještě obsahovat informaci o revokaci použitého certifikátu (jelikož certifikační autority mají na zpracování žádosti a zveřejnění až 24 hodin). Proto i sám Adobe Reader v tomto případě varuje před tím, že vložený CRL seznam, datovaný ke stejnému okamžiku jako samotný podpis, může být prostředkem podvodu.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Varování před vloženými informacemi o revokaci

Obrázek 6 - 29: Varování před vloženými informacemi o revokaci

Při ověřování podpisu je tedy nutné vždy zkontrolovat, podle jaké verze seznamu CRL bylo posuzováno případné revokování certifikátu, a zda by se na této verzi již případná revokace musela projevit či ještě nikoli.

Tuto informaci, stejně jako samotný fakt, že podpis byl ověřován podle vloženého seznamu CRL, lze získat při zobrazení informací o odvolání certifikátu, na kterém je ověřovaný podpis založen, viz obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Informace o hodnocení certifikátu oproti vloženému seznamu CRL (zeleně) a o datování tohoto seznamu a době vzniku podpisu (červeně)

Obrázek 6 - 30: Informace o hodnocení certifikátu oproti vloženému seznamu CRL (zeleně) a o datování tohoto seznamu a době vzniku podpisu (červeně)

Na obrázku je situace, kdy byl do PDF dokumentu vložen „příliš mladý“ seznam CRL, který ještě nemusel obsahovat informace o případné revokaci toho certifikátu, na kterém je podpis založen.

Druhá varianta vložení revokačních informací, a to „někdy později“, je podporována od verze 9.2 programu Adobe Reader (i Acrobat). V případě CRL seznamů umožňuje počkat, až bude vydán takový seznam, který by informace o revokaci již musel obsahovat. Tím se řeší výše popsaný problém. Současně ale přináší ještě jednu užitečnou možnost: aby revokační informace k podepsanému PDF dokumentu přidal někdo jiný, než podepisující osoba. Protože první varianta (vkládání revokačních informací v okamžiku vzniku podpisu) je již ze své podstaty dostupná právě jen pro podepisující osobu.

Samotné vložení informací o revokaci (seznamu CRL či odpovědi od OCSP serveru) podle první varianty, neboli při vzniku podpisu, provádí Adobe Reader (či Acrobat) sám a automaticky – ovšem jen pokud je tak nastaven. Konkrétní postup nastavení si ukážeme v části 6.11.3[7].

Vložení revokačních informací podle druhé varianty, neboli do již podepsaného PDF dokumentu, může iniciovat sám uživatel, který s dokumentem právě pracuje a ověřuje platnost podpisů.

V případě úspěšného ověření je mu nabídnuta možnost vložit do PDF dokumentu ty revokační informace, které byly v rámci právě provedeného ověření získány.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Nabídka vložení informací o revokaci

Obrázek 6 - 31: Nabídka vložení informací o revokaci

Postup naznačuje obrázek, volbou nabídky dostupné přes pravé tlačítko. V případě Adobe Readeru se ale takovéto vložení skutečně provede jen tehdy, pokud je příslušný PDF dokument tzv. odemknut (aktivován) pro podepisování a další změny, viz část 6.10.


[7] Od verze 9.2 programů Reader a Acrobat je vkládání revokačních informací „při vzniku podpisu“ implicitně zapnuto, zatímco ve verzi 9.1 bylo ještě vypnuto.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61