Příklad PDF dokumentu s uznávaným elektronickým podpisem PAdES B-LT
Tento elektronický dokument v souboru formátu PDF je opatřen jedním (interním) elektronickým podpisem. V běžně používané terminologii terminologii jde o uznávaný elektronický podpis.
V terminologii § 6 odst. 2 zákona č. 297/2016 Sb. o službách vytvářejících důvěru jde o zaručený elektronický podpis, založený na kvalifikovaném certifikátu.
Podpis je ve formátu PAdES Baseline, s úrovní LT (B-LT) a je opatřen jedním kvalifikovaným (podpisovým) časovým razítkem. Jeho platnost je možné ověřit do 18.10.2027
Rozbor podpisu:
Podpis je založen na certifikátu, který vydala kvalifikovaná dceřiná autorita společnosti PostSignum (PostSignum Qualified CA 4). To ale, samo o sobě, ještě nedává jistotu, že jde o kvalifikovaný certifikát. Také to nevypovídá o tom, zda jde o certifikát pro elektronický podpis, nebo pro elektronickou pečeť).
Že jde o kvalifikovaný certifikát, a to pro elektronický podpis, vyplývá až ze zmínky o splnění podmínek nařízení eIDAS. Konkrétně jeho přílohy I, která vymezuje požadavky, kladené právě na certifikáty pro elektronický podpis.
Certifikát ale nemá nastaven příznak toho, že by soukromý klíč (ke kterému byl certifikát vydán, a který byl využit při vytváření podpisu) byl umístěn na kvalifikovaném prostředku (QSCD). Proto se nemůže jednat o kvalifikovaný elektronický podpis - a jde jen o uznávaný elektronický podpis (resp. zaručený elektronický podpis, založený na kvalifikovaném certifikátu).
Program Adobe Acrobat Reader ovšem nezná tuzemskou legislativu, a proto nezná ani naše uznávané elektronické podpisy. Podpis proto považuje jen za zaručený elektronický podpis - a neříká tudíž, že by se mělo jednat o kvalifikovaný elektronický podpis.
Neříká to ani v rámci vlastností podpisu.
Že se nejedná pouze o zaručený elektronický podpis, ale o uznávaný elektronický podpis (resp. "zaručený elektronický podpis, založený na kvalifikovaném certifikátu"), si tak musí dovodit sám uživatel - tím, že si ověří, na jakém druhu certifkátu je podpis založen (viz výše).
Kvalifikovaný certifikát, na kterém je podpis založen, má dobu platnosti od 18.3.2020 do 7.4.2023.
Podpis měl být vytvořen 22. 2. 2022 ve 20:23:11 (zimního času), a tedy v době řádné platnosti certifikátu, jak je signalizováno ve Vlastnostech podpisu i v rámci vizualizace podpisu.
Jde ale jen o deklarovaný čas, převzatý ze systémových hodin počítače, a nelze se na něj spoléhat (hodiny na počítači, kde byl podpis vytvářen, mohly být libovolně přetočeny vpřed i vzad).
Spolehnout se lze jen na čas platného kvalifikovaného elektronického časového razítka, které bylo připojeno 22. 2. 2022 ve 20:23:20 (zimního času), a tedy 9 sekund po deklarovaném času vzniku podpisu.
Z toho lze usuzovat, že deklarovaný čas podpisu je správný (není podvržený), přičemž rozdíl několika sekund (zde 9) odpovídá obvyklé době, nutné pro získání a připojení časového razítka.
Kvalifikované elektronické časové razítko je založeno na (kvalifikovaném) certifikátu s řádnou dobou platnosti do 18.10.2027.
Z toho lze dovodit, že platnost kvalifikovaného elektronického podpisu (opatřeného tímto podpisovým časovým razítkem) lze ověřit do 18.10.2027 (do konce dobry řádné platnosti certifikátu kvalifikovaného elektronického časového razítka).
Pro zachování digitální kontinuity dokumentu (možnosti ověření platnosti jeho podpisu) i po datu 18.10.2027 by bylo nutné připojit - a to před tímto datem - další elektronické časové razítko, nyní již tzv. dokumentové.
Při vytváření podpisu na PDF dokumentu byla využita hashovací funkce SHA 256 (z rodiny SHA 2) a podpisový algoritmu RSA, s tzv. paddingem dle PKCS#1 verze 1.5. Samotný podpis je v tzv. referenčním formátu, konkrétně ve formátu PAdES Baseline, úrovně LT (tj. B-LT).
Úroveň LT znamená, že k podpisu jsou připojeny revokační informace, a není tedy nutné je získávat on-line. Budou k tak dispozici i v době, kdy by u vydavatele certifikátu již nebyly standardním způsobem dostupné.
Zde konkrétně jde o revokační informace v podobě odpovědi OCSP serveru, vydané 24.4.2022. Ty dosvědčují, že k tomuto datu (s přesností na minuty a sekundy) nebyl podpisový certifkát revokován. Díky tomu může být podpis, založený na tomto certifikátu, ověřen jako platný.
Důležité také je, že revokační informace jsou tzv. čerstvé: tedy vydané až poté, co podpis již prokazatelně existoval. Tak tomu skutečně je: kvalifikované elektronické časové razítko bylo připojeno 22.2.2022, zatímco revokační informace (odpověď OCSP serveru) byly vydány 24.4.2022.
To, že podpis je v úrovni LT, resp. že k němu jsou připojeny revokační informace, signalizuje program Adobe Acrobat Reader již v panelu podpisu, skrze hlášku o tom, že u podpisu je povoleno dlouhodobé ověřování.
Následující obrázek ukazuje výsledek ověření podpisu kvalifikovanou službou pro ověřování elektronických podpisů SecuSign.
Následující obrázek ukazuje výsledek ověření podpisu službou DSS.
Celé protokoly o ověření u obou služeb si můžete stáhnout v sekci "Ke stažení"
Kvalifikovaný . Elektronický . Podpis