6.5.6         Kontrola revokace podle vložených revokačních informací

Formát PDF určitým způsobem pamatuje na to, že informace o revokaci certifikátů přestávají být časem dostupné – a tak nabízí možnost vložit je přímo do samotného PDF dokumentu.

Tato možnost připadá v úvahu pro obě varianty získávání informací o revokaci, skrze protokol OCSP i skrze seznamy CRL. V prvním případě je objem vkládaných informací minimální, a tak nedochází k významnému zvětšení souboru s PDF dokumentem. Ve druhém případě, kdy je do PDF dokumentu vkládán celý seznam CRL, může jít o velký objem dat a jeho vložením objem souboru s PDF dokumentem může značně narůst.

Samotná možnost vložení revokačních informací je dostupná ve dvou různých okamžicích: při vzniku podpisu a „později“.

První varianta ale v případě seznamů CRL neřeší daný problém, protože v okamžiku vzniku podpisu nemusí aktuální verze CRL  ještě obsahovat informaci o revokaci použitého certifikátu (jelikož certifikační autority mají na zpracování žádosti a zveřejnění až 24 hodin). Proto i sám Adobe Reader v tomto případě varuje před tím, že vložený CRL seznam, datovaný ke stejnému okamžiku jako samotný podpis, může být prostředkem podvodu.

Obrázek 6 - 29: Varování před vloženými informacemi o revokaci

Při ověřování podpisu je tedy nutné vždy zkontrolovat, podle jaké verze seznamu CRL bylo posuzováno případné revokování certifikátu, a zda by se na této verzi již případná revokace musela projevit či ještě nikoli.

Tuto informaci, stejně jako samotný fakt, že podpis byl ověřován podle vloženého seznamu CRL, lze získat při zobrazení informací o odvolání certifikátu, na kterém je ověřovaný podpis založen, viz obrázek.

Obrázek 6 - 30: Informace o hodnocení certifikátu oproti vloženému seznamu CRL (zeleně) a o datování tohoto seznamu a době vzniku podpisu (červeně)

Na obrázku je situace, kdy byl do PDF dokumentu vložen „příliš mladý“ seznam CRL, který ještě nemusel obsahovat informace o případné revokaci toho certifikátu, na kterém je podpis založen.

Druhá varianta vložení revokačních informací, a to „někdy později“, je podporována od verze 9.2 programu Adobe Reader (i Acrobat). V případě CRL seznamů umožňuje počkat, až bude vydán takový seznam, který by informace o revokaci již musel obsahovat. Tím se řeší výše popsaný problém. Současně ale přináší ještě jednu užitečnou možnost: aby revokační informace k podepsanému PDF dokumentu přidal někdo jiný, než podepisující osoba. Protože první varianta (vkládání revokačních informací v okamžiku vzniku podpisu) je již ze své podstaty dostupná právě jen pro podepisující osobu.

Samotné vložení informací o revokaci (seznamu CRL či odpovědi od OCSP serveru) podle první varianty, neboli při vzniku podpisu, provádí Adobe Reader (či Acrobat) sám a automaticky – ovšem jen pokud je tak nastaven. Konkrétní postup nastavení si ukážeme v části 6.11.3[7].

Vložení revokačních informací podle druhé varianty, neboli do již podepsaného PDF dokumentu, může iniciovat sám uživatel, který s dokumentem právě pracuje a ověřuje platnost podpisů.

V případě úspěšného ověření je mu nabídnuta možnost vložit do PDF dokumentu ty revokační informace, které byly v rámci právě provedeného ověření získány.

Obrázek 6 - 31: Nabídka vložení informací o revokaci

Postup naznačuje obrázek, volbou nabídky dostupné přes pravé tlačítko. V případě Adobe Readeru se ale takovéto vložení skutečně provede jen tehdy, pokud je příslušný PDF dokument tzv. odemknut (aktivován) pro podepisování a další změny, viz část 6.10.