Báječný svět

elektronického podpisu

Jiří Peterka, 2022

Podpis, vytvořený až po revokaci podpisového certifikátu
Dva kolizní dokumenty dle SHA1

Příklad kvalifikovaného elektronického podpisu, založeného na certifikátu, který byl revokován ještě před vytvořením podpisu

Tento příklad zahrnuje dokument ve formátu souboru PDF, který je opatřen jedním kvalifikovaným elektronickým podpisem ve formátu PAdES, v úrovni T. Tento podpis je založen na kvalifikovaném certifikátu, který byl revokován ještě před vytvořením podpisu (a připojením kvalifikovaného elektronického časového razítka).

Jde o kvalifikovaný certifikát od kvalifikované dceřiné autority PostSignum QCA4, se sériovým číslem 0x0157A734 (hexadecimálně), resp. 22521652 (desítkově), s řádnou dobou platnosti od 15.11.2021 do 5.12.2022.

Sériové číslo certifikátu

K revokaci certifikátu došlo dne 1.12.2022, jak dokládá protokol o zneplatnění certifikátu.

CRL seznam

Kvalifikovaný elektronický podpis ale byl vytvořen 3.12.2022, jak dokládá čas připojení kvalifikovaného elektronického časového razítka.

Čas připojení časového razítka

Kvalifikované časové razítko tak prokazuje, že podpis byl vytvořen až po revokaci (předčasném zneplatněním) certifikátu - a díky tomu podpis nemůže být ověřen jako platný.

Správně by tedy tento podpis měl být ověřen vždy jako neplatný. Záleží ovšem na tom, zda ověřující program má k dispozici takové revokační informace, na které je ochoten se spoléhat.

Program Adobe Reader takovéto informace najde vložené přímo v podpisu. Konkrétně jde o odpověď OCSP serveru ze dne 3.12.2022 v čase 19:00:25, která o několik minut předchází času připojení časového razítka (19:0:08), a není tak "čerstvá". Přesto se s ní program Adobe Reader spokojí, podle jejího obsahu hodnotí certifikát jako již revokovaný a celý podpis jako neplatný.

Vložené revokační informace v podpisu

Služba SecuSign (již v době po expiraci podpisového certifikátu) byla stále schopna získat revokační informace od vydavatele certifikátu, a proto také hodnotila podpis jako neplatný.

Výsledek ověření službou SecuSign

Služba DSS sice také zjistila, že certifikát byl revokován, a že kvalifikované časové razítko bylo přidáno až po revokaci - ale přesto konstatuje, že platnost podpisu je neznámá (nikoli že podpis je neplatný.

Výsledek ověření službou DSS

Celé protokoly o ověření u obou služeb si můžete stáhnout v sekci "Ke stažení"

Kvalifikovaný . Elektronický . Podpis