Báječný svět

elektronického podpisu

Jiří Peterka, 2022

Externí elektronické podpisy (CAdES B-LT a XAdES B-LT)

Externí elektronický podpis

Příklady externích kvalifikovaných elektronických podpisů ve formátech CAdES a XAdES, v úrovni LT

Elektronické dokumenty se nejčastěji opatřují interními elektronickými podpisy. Tedy takovými, které jsou "umístěny" přímo v souboru s dokumentem, který podepisují. Ne každý elektronický dokument se ale dá tímto způsobem podepsat - rozhodující jsou vlastnosti toho typu souboru, ve kterém je dokument obsažen. Pokud jeho formát počítá s interními elektronickými podpisy (např. např. formáty PDF, DOC a DOCX, XLS a XLSX), je možné dokument podepsat interním elektronickým podpisem.

Naproti tomu každý elektronický dokument, v jakémkoli formátu (a obecně jakýkoli soubor, jehož obsahem může být i cokoli jiného než dokument, např. nějaký program, data apod.), lze podepsat pomocí externího elektronického podpisu. Externího proto, že elektronický podpis je samostatným objektem, obsaženým v samostatném souboru, a je pouze logicky spojen s tím dokumentem, jehož (externím) podpisem je.

Pro ověření platnosti externího elektronického podpisu jsou pochopitelně nutné takové nástroje či služby, které s externími elektronickými podpisy počítají. Obvykle fungují tak, že vyžadují samostatné zadání samostatného souboru s externím elektronickým podpisem, a vedle něj toho souboru, ke kterému se externí elektronický podpis vztahuje.

Zdůrazněme si ještě jednou, že formou interního elektronického podpisu lze podepsat jen některé formáty, zatímco formou externího podpisu lze podepsat všechny formáty. Takže například pro PDF dokumenty (elektronické dokumenty v souborech formátu PDF) připadají v úvahu obě varianty - jak interní, tak i externí elektronické podpisy (a stejně tak samozřejmě i pečeti).


Externí podpis CAdES Baseline-LT

První příklad je příkladem externího elektronického podpisu v binárním CAdES. Tvoří jej dva samostatné soubory:

  • soubor document.pdf (samotný PDF dokument, bez interního elektronického podpisu), a
  • soubor CAdES.p7s (obsahující externí elektronický podpisu souboru document.pdf, včetně kvalifikovaného elektronického časového razítka a vložených revokačních informací).

Rozbor podpisu:

Externí elektronický podpis je kvalifikovaným elektronickým podpisem (QES, Qualified Electronic Signature). Je ve formátu CAdES (jaký mají externí podpisy v binární podobě, nikoli v XML), a je v úrovni LT - což znamená, že obsahuje časové razítko, a jsou v něm vloženy všechny validační informace (certifikáty i revokační informace). V daném případě jde o odpovědi OCSP serverů, proto je velikost externího podpisu relativně malá (oproti variantě obsahující CRL seznamy).

Podpis je založen na kvalifikovaném certifikátu (pro elektronický podpis) od CA PostSignum, s řádnou dobou platnosti do 14.6.2025. Certifikát má nastaven příznak umístění soukromého klíče na kvalifikovaném prostředku (QSCD) - což implikuje, že se jedná o kvalifikovaný elektronický podpis.

K podpisu je připojeno kvalifikované elektronické časové razítko od TSA Sectigo, s datem 29. 2. 2024. Je založené na certifikátu s řádnou odobou platnosti do 3. 8. 2034. To znamená, že i platnost samotného podpisu se dá ověřit do stejného data.

Služba DSS hodnotí externí podpis jako platný podpis ve formátu CAdES Baseline a v úrovni LT.

Služba QVerify jej hodnotí stejně: jako platný externí podpis ve formátu CAdES Baseline-LT.

Služba SecuSign jej také hodnotí jako podpis ve formátu CAdES, ale nesprávně konstatuje, že má jen úroveň T (CAdES-T), která neobsahuje revokační informace.


Externí podpis XAdES Baseline-LT

Druhý příklad je příkladem externího elektronické podpisu ve formátu XAdES (tj. XML AdES). Tvoří jej dva samostatné soubory:

  • soubor document.docx (samotný DOCX dokument, bez interního elektronického podpisu), a
  • soubor XAdES.xml (obsahující externí elektronický podpisu souboru document.docx, včetně kvalifikovaného elektronického časového razítka a vložených revokačních informací).

Rozbor podpisu:

Externí elektronický podpis je kvalifikovaným elektronickým podpisem (QES, Qualified Electronic Signature). Je ve formátu XAdES (jaký mají externí podpisy ve formátu XML), a stejně jako první příklad je v úrovni XL - což znamená, že obsahuje časové razítko a jsou v něm vloženy všechny validační informace (certifikáty i revokační informace). V daném případě jde o odpovědi OCSP serverů, proto je velikost externího podpisu relativně malá (oproti variantě obsahující CRL seznamy).

Stejně jako u prvního příkladu (s formátem CAdES) je externí podpis založen na kvalifikovaném certifikátu (pro elektronický podpis) od CA PostSignum, s řádnou dobou platnosti do 14.6.2025. Certifikát má nastaven příznak umístění soukromého klíče na kvalifikovaném prostředku (QSCD) - což implikuje, že se jedná o kvalifikovaný elektronický podpis. K podpisu je připojeno kvalifikované elektronické časové razítko od TSA Sectigo, s datem 29. 2. 2024. Je založené na certifikátu s řádnou odobou platnosti do 3. 8. 2034. To znamená, že i platnost samotného podpisu se dá ověřit do stejného data.

Služba DSS hodnotí externí podpis jako platný podpis v formátu XAdES Baseline a v úrovni LT.

Služba QVerify externí podpisy ve formátu XAdES nepodporuje.

Služba SecuSign podpis také hodnotí jako podpis ve formátu XAdES, ale opět nesprávně konstatuje, že má jen úroveň T (XAdES-T), která neobsahuje revokační informace.

Celé protokoly o ověření u obou služeb si můžete stáhnout v sekci "Ke stažení"

Kvalifikovaný . Elektronický . Podpis