Příklad PDF dokumentu se zaručeným elektronickým podpisem PAdES B-LT
Tento elektronický dokument v souboru formátu PDF je opatřen jedním (interním) elektronickým podpisem, který je pouze zaručeným elektronickým podpisem.
Podpis je ve formátu PAdES Baseline, s úrovní LT (B-LT) a je opatřen jedním kvalifikovaným (podpisovým) časovým razítkem. Jeho platnost je možné ověřit do 18.10.2027
Rozbor podpisu:
Podpis je založen na certifikátu, který vydala komerční (tj. nikoli kvalifikovaná) dceřiná autorita společnosti PostSignum (PostSignum Public CA 4). To naznačuje, že nejde o kvalifikovaný certifikát.
Že nejde o kvalifikovaný certifikát, potvrzuje absence zmínky o druhu certifikátu (na místě, kde v případě kvalifikovaných certifikátů je uvedeno, že se jedná o kvalifikovaný certifikát, a je zde také vyobrazena evropská značka důvěry - malý modý zámeček s hvězdičkami).
Jde tedy pouze o tzv. komerční certifikát (jak se obecně říká všem certifikátům, které nejsou kvalifikované). Konkrétně o osobní komerční certifikát (vydávaný fyzické osobě). Nejde tedy o certifikát, určený pro vytváření uznávaných či kvalifikovaných elektronických podpisů.
Ze stejného důvodu - že nejde o kvalifikovaný certifikát - je výsledný elektronický podpis pouze zaručeným elektronickým podpisem.
Jelikož nejde o kvalifikovaný certifikát, program Adobe Acrobat Reader nemůže dovozovat svou důvěru v tento certifikát z unijního seznamu důvěryhodných seznamů (LOTL, List of Trusted Lists), resp. z vlastní podmnožiny tohoto seznamu (EUTL, EU Trusted List), kterou si vytváří pro své produkty firma Adobe.
Firma Adobe ale má vlastní program (AATL, Adobe Approved Trusted List), v rámci kterého uděluje svou důvěru konkrétním certifikačním autoritám a jejich službám (a vytváří jejich stejnojmenný seznam). Zde se již mohou nacházet i takové certifikační autority, resp. jejich dceřiné autority, které i komerční certifkáty. Tak je tomu i v daném případě: na seznamu AATL jsou (za ČR) společnosti I.CA a PostSignum - a produkty Adobe díky tomu považují za důvěryhodné i jimi vydávané komerční certifikáty.
Následující obrázek ukazuje, že Adobe Acrobat Reader čerpal důvěru v komerční certifikát (na kterém je založen zde popisovaný zaručený elektronický podpis) právě ze seznamu AATL - zatímco v případě kvalifikovaných či uznávaných podpisů (založených na kvalifikovaném certifikátu) by indikoval, že důvěru čerpá ze seznamu EUTL (viz horní část obrázku).
Komerční certifikát, na kterém je podpis založen, má dobu platnosti od 21.12.2021 do 9.1.2025.
Podpis měl být vytvořen 22. 2. 2022 ve 20:22:55 (zimního času), a tedy v době řádné platnosti certifikátu, jak je signalizováno ve Vlastnostech podpisu i v rámci vizualizace podpisu.
Jde ale jen o deklarovaný čas, převzatý ze systémových hodin počítače, a nelze se na něj spoléhat (hodiny na počítači, kde byl podpis vytvářen, mohly být libovolně přetočeny vpřed i vzad).
Spolehnout se lze jen na čas platného kvalifikovaného elektronického časového razítka, které bylo připojeno 22. 2. 2022 ve 20:22:56 (zimního času), a tedy jen 1 sekundu po deklarovaném času vzniku podpisu.
Z toho lze usuzovat, že deklarovaný čas podpisu je správný (není podvržený), přičemž rozdíl několika sekund (zde pouhé jedné sekundy) odpovídá obvyklé době, nutné pro získání a připojení časového razítka.
Kvalifikované elektronické časové razítko je založeno na (kvalifikovaném) certifikátu s řádnou dobou platnosti do 18.10.2027.
Z toho lze dovodit, že platnost zaručeného elektronického podpisu (opatřeného tímto podpisovým časovým razítkem) lze ověřit do 18.10.2027 (do konce dobry řádné platnosti certifikátu kvalifikovaného elektronického časového razítka).
Pro zachování digitální kontinuity dokumentu (možnosti ověření platnosti jeho podpisu) i po datu 18.10.2027 by bylo nutné připojit - a to před tímto datem - další elektronické časové razítko, nyní již tzv. dokumentové.
Při vytváření podpisu na PDF dokumentu byla využita hashovací funkce SHA 256 (z rodiny SHA 2) a podpisový algoritmu RSA, s tzv. paddingem dle PKCS#1 verze 1.5. Samotný podpis je v tzv. referenčním formátu, konkrétně ve formátu PAdES Baseline, úrovně LT (tj. B-LT).
Úroveň LT znamená, že k podpisu jsou připojeny revokační informace, a není tedy nutné je získávat on-line. Budou k tak dispozici i v době, kdy by u vydavatele certifikátu již nebyly standardním způsobem dostupné.
Zde konkrétně jde o revokační informace v podobě odpovědi OCSP serveru, vydané 24.4.2022. Ty dosvědčují, že k tomuto datu (s přesností na minuty a sekundy) nebyl komerční certifikát revokován. Díky tomu může být zaručený podpis, založený na tomto certifikátu, ověřen jako platný.
Důležité také je, že revokační informace jsou tzv. čerstvé: tedy vydané až poté, co podpis již prokazatelně existoval. Tak tomu skutečně je: kvalifikované elektronické časové razítko bylo připojeno 22.2.2022, zatímco revokační informace (odpověď OCSP serveru) byly vydány 24.4.2022.
To, že podpis je v úrovni LT, resp. že k němu jsou připojeny revokační informace, signalizuje program Adobe Acrobat Reader již v panelu podpisu, skrze hlášku o tom, že u podpisu je povoleno dlouhodobé ověřování.
Při ověřování platnosti zaručeného elektronického podpisu jinak než pomocí Adobe Acrobat Readeru je opět otázkou, zda příslušná služba má z čeho dovodit, že komerčnímu certifikátu může důvěřovat (považovat jej za důvěryhodný). Pokud ne, musí být výsledkem konstatování, že platnost podpisu je neznámá (z to z důvodu neznámého certifikátu, resp. neznámého stavu jeho důvěryhodnosti).
Jelikož zde nejde o kvalifikovaný certifikát, není možné čerpat potřebnou důvěru z unijního seznamu LOTL (ani ze seznamu EUTL). Služby SecuSign i DSS jsou službami pro ověřování kvalifikovaných (a uznávaných) elektronických podpisů, a svou důvěry tudíž čerpají pouze z unijního seznamu LOTL. Daný komerční certifikát tudíž neznají a neví, zda mu mohou důvěřovat. Ověřování proto u nich končí konstatováním, že platnost zaručeného podpisu je neznámá.
Následující obrázek ukazuje výsledek ověření podpisu kvalifikovanou službou pro ověřování elektronických podpisů SecuSign. Ta svůj verdikt zdůvodňuje tím, že vydavatel certifikátu (tj. komerční dceřiná autorita PostSignum Public CA 4) není kvalifikovaná (resp. není kvalifikovaným poskytovatelem služeb vytvářejících důvěru)
Obdobně končí pokus o ověření zaručeného elektronického podpisu službou DSS.
Celé protokoly o ověření u obou služeb si můžete stáhnout v sekci "Ke stažení"
Kvalifikovaný . Elektronický . Podpis