Příklad PDF dokumentu s kvalifikovaným elektronickým podpisem PAdES B-LT
Tento elektronický dokument v souboru formátu PDF je opatřen jedním (interním) kvalifikovaným elektronickým podpisem ve formátu PAdES Baseline, s úrovní LT (B-LT). Je opatřen jedním kvalifikovaným (podpisovým) časovým razítkem a jeho platnost je možné ověřit do 18.10.2027
Rozbor podpisu:
Podpis je založen na certifikátu, který vydala kvalifikovaná dceřiná autorita I.CA (I.CA Qualified 2 CA/RSA 02/2016). To ale ještě nutně neznamená, že jde o kvalifikovaný certifikát (tato dceřiná autorita vydává i certifikáty, které kvalifikované nejsou, příklad).
Zde se ale jedná o kvalifikovaný certifikát pro elektronický podpis (viz "splňuje podmínky nařízení EU 910/2014, příloha I"). Tím je splněna první podmínka toho, aby se mohlo jednat o kvalifikovaný elektronický podpis.
Certifikát má nastaven příznak toho, že soukromý klíč (ke kterému byl certifikát vydán, a který byl využit při vytváření podpisu) je umístěn na kvalifikovaném prostředku (QSCD). Tím je splněna druhá podmínka toho, aby se jednalo o kvalifikovaný elektronický podpis.
Že jde o kvalifikovaný elektronický podpis, indikuje sám program Adobe Reader, a to jak v rámci panelu podpisu ...
... tak i v rámci Vlastností podpisu.
Kvalifikovaný certifikát, na kterém je podpis založen, má dobu platnosti od 30.9.2021 do 30.9.2022.
Podpis měl být vytvořen 22. 2. 2022 v 18:23:37 (zimního času), a tedy v době řádné platnosti certifikátu, jak je signalizováno ve Vlastnostech podpisu i v rámci vizualizace podpisu.
Jde ale jen o deklarovaný čas, převzatý ze systémových hodin počítače, a nelze se na něj spoléhat (hodiny na počítači, kde byl podpis vytvářen, mohly být libovolně přetočeny vpřed i vzad).
Spolehnout se lze jen na čas platného kvalifikovaného elektronického časového razítka, které bylo připojeno 22. 2. 2022 v 18:23:49 (zimního času), a tedy 12 sekund po deklarovaném času vzniku podpisu.
Z toho lze usuzovat, že deklarovaný čas podpisu je správný (není podvržený), přičemž rozdíl několika sekund (zde 12) odpovídá obvyklé době, nutné pro získání a připojení časového razítka.
Kvalifikované elektronické časové razítko je založeno na (kvalifikovaném) certifikátu s řádnou dobou platnosti do 18.10.2027.
Z toho lze dovodit, že platnost kvalifikovaného elektronického podpisu (opatřeného tímto podpisovým časovým razítkem) lze ověřit do 18.10.2027 (do konce dobry řádné platnosti certifikátu kvalifikovaného elektronického časového razítka).
Pro zachování digitální kontinuity dokumentu (možnosti ověření platnosti jeho podpisu) i po datu 18.10.2027 by bylo nutné připojit - a to před tímto datem - další elektronické časové razítko, nyní již tzv. dokumentové.
Při vytváření podpisu na PDF dokumentu byla využita hashovací funkce SHA 256 (z rodiny SHA 2) a podpisový algoritmu RSA, s tzv. paddingem dle PKCS#1 verze 1.5. Samotný podpis je v tzv. referenčním formátu, konkrétně ve formátu PAdES Baseline, úrovně LT (tj. B-LT).
Úroveň LT znamená, že k podpisu jsou připojeny revokační informace, a není tedy nutné je získávat on-line. Budou k tak dispozici i v době, kdy by u vydavatele certifikátu již nebyly standardním způsobem dostupné.
Zde konkrétně jde o revokační informace v podobě odpovědi OCSP serveru, vydané 2.4.2022. Ty dosvědčují, že k tomuto datu (s přesností na minuty a sekundy) nebyl podpisový certifkát revokován. Díky tomu může být podpis, založený na tomto certifikátu, ověřen jako platný.
Důležité také je, že revokační informace jsou tzv. čerstvé: tedy vydané až poté, co podpis již prokazatelně existovat. Tak tomu skutečně je: kvalifikované elektronické časové razítko bylo připojeno 22.2.2022, zatímco revokační informace (odpověď OCSP serveru) byly vydány 2.4.2022.
To, že podpis je v úrovni LT, resp. že k němu jsou připojeny revokační informace, signalizuje program Adobe Acrobat Reader již v panelu podpisu, skrze hlášku o tom, že u podpisu je povoleno dlouhodobé ověřování.
Následující obrázek ukazuje výsledek ověření podpisu kvalifikovanou službou pro ověřování elektronických podpisů SecuSign.
Následující obrázek ukazuje výsledek ověření podpisu službou DSS.
Celé protokoly o ověření u obou služeb si můžete stáhnout v sekci "Ke stažení"
Kvalifikovaný . Elektronický . Podpis