Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

7.3.1         Podpora XAdES

Připomeňme si, že koncept XAdES (XML Advanced Electronic Signatures) je rozšířením standardu XML-DSig, který slouží k podepisování XML dokumentů (a který MS Office používá již ve verzi 2007). Snaží se prodloužit možnost ověření podpisů tím, že k nim přidává další údaje, usnadňující pozdější ověření. A že podle toho, kolik takovýchto údajů k podpisu přidává, se rozlišují různé úrovně XAdES:

1.                  základní úroveň XAdES: nepřidává nic (tedy ani časové razítko). Někdy je tato úroveň označována také jako XAdES-BES či EPES[6]

2.                  úroveň XAdES-T (Timestamp): přidává právě časové razítko

3.                  úroveň XAdES-C (Complete): přidává odkazy na všechny certifikáty na certifikační cestě a odkazy na všechny revokační informace.

4.                  úroveň XAdES-X (eXtended): slučuje obě předchozí varianty, tj. přidává odkazy na certifikáty na certifikační cestě a na revokační informace (jako u úrovně C) a přidává časové razítko (jako u úrovně T)

5.                  úroveň XAdES-X-L (eXtended Long term): k podpisu jsou připojeny samotné certifikáty na certifikační cestě a revokační informace (nikoli jen odkazy na ně), a také časové razítko.

6.                  úroveň XAdES-A (Archival): na této úrovni může být k podpisu přidávána ještě posloupnost dalších časových razítek, které zajišťují dlouhodobou kontinuitu

MS Office 2010 ale neimplementuje celý rozsah konceptu XAdES, resp. všechny jeho úrovně – chybí mu podpora pro nejvyšší úroveň A (Archival).

Navíc je podpora XAdES (do úrovně X-L) omezena jen na programy Word, Excel, PowerPoint a InfoPath.

V praxi to znamená, že k jednotlivým dokumentům, zpracovávaným v programech Word, Excel, Powerpoint či InfoPath verze 2010, již je možné přidávat časová razítka a také všechny certifikáty a revokační informace, ať jde o CRL seznamy či odpovědi OCSP serverů. Co stále možné není, je přidávání posloupnosti časových razítek, které by sloužily k zachování kontinuity po ještě delší časové období, než jaké dokáže překlenout jedno časové razítko.

Filosofie implementace konceptu XAdES v MS Office 2010 je přitom taková, že uživatel si může nastavit dvě různé číselné hodnoty, v rozsahu 0 až 5 (ve smyslu výše uvedeného číslování úrovní XAdES):

                    XAdESLevel: požadovaná úroveň XAdES podpisu 

                    MinXAdESLevel: minimální přípustná úroveň XAdES podpisu

První z nich (XAdESLevel) říká, o jakou úroveň podpisu se má při vytváření usilovat. Pokud to nebude možné, může být vytvořen podpis na nižší úrovni, ale ta nesmí být nižší než druhá z hodnot (MinXAdESLevel).

Například nastavení XAdESLevel=5 a MinXAdESLevel=2 znamená, že program vytvářející elektronický podpis se má snažit vytvořit podpis na úrovni  XAdES-X-L (a tedy včetně časového razítka a revokačních informací). Pokud se mu to nedaří, může vytvořit i elektronický podpis na některé nižší úrovni, ale nejméně na úrovni XAdES-T (tedy s časovým razítkem).

Pro praxi jsou přitom nejužitečnější (a nejčastěji požadované) právě úrovně 2 (XAdES-T, s časovým razítkem) a 5 (XAdES-X-L, s časovým razítkem, nadřazenými certifikáty a revokačními informacemi přímo v dokumentu).

Úrovně 3 a 4 nejsou pro praxi tolik atraktivní proto, že u nich se revokační informace (nadřazené certifikáty a CRL seznamy či odpovědi OCSP serverů) uchovávají mimo samotný dokument. Jejich dostupnost v nějakém pozdějším okamžiku (při vyhodnocování podpisu) pak může být problematická.

Položky XAdESLevel a MinXAdESLevel je možné nastavit i na úroveň 0, která požaduje použití základního (a nerozšířeného) standardu XML-DSig pro ukládání elektronických podpisů do XML dokumentů. Takže například nastavení XAdESLevel=0 a MinXAdESLevel=0 zcela “vypíná“ XAdES podpisy. Ty jsou pak vytvářeny jen dle XML-DSig, kterému rozumí i programy z MS Office 2007 - bez časového razítka a revokačních informací.

Takovéto nastavení – které fakticky „vypíná“ XAdES - lze využít pro dosažení zpětné kompatibility s programy MS Office verze 2007.

Vedle toho ale existuje ještě jedna možnost, kterou je vytváření „zpětně kompatibilních“ XAdES podpisů (podrobněji viz část 7.3.4). Jejich princip je takový, že aplikace MS Office 2010 takovéto XAdES podpisy „vidí“ a pracují s nimi, zatímco aplikace MS Office 2007 je „nevidí“ a nepracují s nimi.


[6] Úroveň EPES přidává identifikátor SignaturePolicyIdentifier, pevně nastavený na svou implicitní hodnotu



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61