Úrovne AdES B, T, LT, LTA

Nadväzujem na moju staršiu tému archivácie el. podísaných dokumentov (ktorú som vyriešil konverziou na papier). Doteraz som formáty EP vnímal len cez hlavné delenie (PDF, XML, CMS AdES) a čo je za tými písmenkami som neriešil. V zásade som rozlišoval len medzi čistým podpisom a podpisom s časovou pečiatkou, teda úroveň B a T. Narazil som však aj na ďalšie úrovne formátov podpisov LT a LTA, kde sa do dokumentu pridávajú validačné informácie a “dokumentová” resp. archívna časová pečiatka. Zaujíma ma, či sa to na Slovensku aj nejako rieši v praxi?

Lebo ak chcem zachovať digitálnu kontinuitu, tak by som mal mať dokument na úrovni LTA, ktorý potom môžem následne časovými pečiatkami predlžovať. Aspoň takto by to malo teoreticky fungovať, ale keď som skúšal vytvoriť PAdES-B-LTA a XAdES-B-LTA dokumenty a následne ich overiť v európskych overovačoch, tak rozpoznanie úrovne veľmi nefungovalo.

Takisto, čo sa týka vytvárania týchto dokumentov je to trochu zastrené tajomstvom. Pri PDF v Acrobate treba najprv normálne podpísať s časovou pečiatkou, následne chvíľu počkať a vložiť validačné informácie (aby sa nepoužili nakešované) a na záver dokumentovú časovú pečiatku. Pri XAdES som použil externu službu, ktorá ponúkala povýšenie úrovne T na LTA. V D.Vieweri to potom vyzerá nasledovne
image

Rieši toto vôbec na Slovensku niekto? Lebo QES portál aj Slovensko.sk zjavne hlási, že platné sú podpisy s exspirovaným certifikátom a tiež s exspirovaným certifikátom časovej pečiatky. Takže nejaké predlžovanie platnosti je potom asi úplne zbytočné vrátane LTA úrovne podpisu…

V skutočnosti stačí podpísať bez časovej pečiatky, vložiť validačné informácie a pridať dokumentovú časovú pečiatku. To je ale v Acrobate viac-menej jedno, pretože keď je nastavená predvolená TSA kvôli dokumentovým pečiatkam, pridáva automaticky aj tie podpisové.

Samozrejme, ktokoľvek môže z B-B na B-LTA povyšovať cudzie (platné) CAdES podpisy. S PAdES to ide rovno v Acrobate, poslednými dvoma krokmi tvojho postupu.

Znamená to tiež, že paranoici môžu vždy podpisovať na počítačoch, ktoré sú offline. “Vylepšovanie” existujúcich podpisov síce potrebuje sieť, ale nepotrebuje QSCD…