XAdES, CAdES a PAdES?

Vie mi niekto vysvetlit, prečo sa presadzuje v našej krajine XAdES namiesto v EU a na svete najrozsirenejsieho PAdES-u.

PDF also defines how a signature can be displayed as it might with an ink-on-paper signature at a particular position on a particular page, and how digital signatures can be integrated with the form- lling features of PDF. Th is is a key factor that distinguishes it from CAdES and XAdES, which are more suited for applications that may not involve human-readable documents.

Predstavme si, že podpisem kvalifikovaným podpisom dokument v Acrobate, ten istý podpísaný dokument zobrazim na akomkoľvek zariadení (iPhone, iPad, android, PC, MAC, linux) s vizuálnou podobou elektronického podpisu a to kdekoľvek na svete. Zatiaľ čo my vymýšľame koleso, v ČR, Rakúsku, Estónsku podpisujú PDF dokumenty, ktoré vedia zobraziť aj s podpisom v Acrobate

Viac na:

Aby sme si vedeli predstaviť ako vyzerá vizualizovaný elektronický podpis PAdES ZEP - zmeny formátov

Vie mi niekto vysvetlit, prečo sa presadzuje v našej krajine XAdES…

IMO ma na tom urcite svoj podiel historicky vyvoj. Pokial sa dobre pamatam, tak prvy sa zacal v statnej sprave masovejsie pouzivat D.Signer a ten podporoval (a stale podporuje?) jedine XAdES. Kazdy dalsi vendor, ktory chcel byt interoperabilny musel podporovat XAdES. No a dnesny vysledok je taky, ze vsetci vendori a vsetky integrovane systemy podporuju XAdES resp. skor jeho slovensku odnoz XAdES_ZEP => XAdES je v prostredi slovenskej statnej spravy safe choice.

…namiesto v EU a na svete najrozsirenejsieho PAdES-u.

Slovami klasika: To je zajimava teorie ale muzete ji dokazat?

Poznáme inú európsku krajinu kde sa používa formát .zep .xzep ? V eu sa totiž na podpisovanie používa .pdf formát a PAdES

Situácia je podobná Flarionu v telekom sieti, keď všetci okolo fičali na 3G.

chces kuloarne skoropravdeivé reči, alebo oficiálne stanovisko ? Lebo myslím, že medzinimi je veľký rozdiel…

Podla mna to logiku ma a nie zlu, lebo elektronicke podanie ma zmysel ked je strukturovane aby sa dalo lahko spracovavat v informacnych systemoch. Na trukturovane data je podstatne lepsi format XML ako PDF. Vsetky elektronicke podania su riesene formou elektronickeho formulara a PDF ako kontainer (alebo vyplnac) nema ziadne plusy pre tento ucel oproti XML.
Navyse tie statne systemy si vymienaju vela technickych sprav (napr. informacia o ulozeni zasielky, potvrdenie prijatia na dalsie spracovanie, atd…), a tam uz je to PDF uplne zbytocne.

Ja verim, ze XML je podstatne lepsi pre plnu elektronizaciu ako PDF - co je skor medzikrok medzi papierom a elektronizaciou.

Nemyslim si, ze mozeme jednoducho pausalizovat a povedat, ze PDF je vo vsebecnosti lepsi format ako XML alebo vice versa. Podla mna treba posudit vyhody a nevyhody dostupnych formatov a vzdy vybrat pre dany use case ten najvhodnejsi. Aby som debatu posunul trosku do technickejsej roviny skusim zhrnut dostupne formaty elektronickeho podpisu:

  • CAdES definovany napriklad v ETSI TS 103 173
    Pouziva sa na podpisovanie dokumentov lubovolneho formatu, pretoze na dokument sa pri nom povazuje za binarne data. Podpise teda TXT, XML, PDF, DOC, DOX, EXE, cokolvek.

  • XAdES definovany napriklad v ETSI TS 103 171
    Pouziva sa zvacsa na podpisovanie XML dokumentov, ktore je potrebne dalej strojovo spracovavat. V skutocnosti vsak moze podobne ako CAdES podpisovat lubovolne binarne data. Oproti CAdES vsak pri podpisovani XML poskytuje ovela vacsiu granularitu t.j. nie je nutne podpisovat celu XML strukturu, ale mozu sa podpisat len jej vybrane casti.

  • PAdES definovany napriklad v ETSI TS 103 172
    Pouziva sa vyhradne na podpisovanie PDF dokumentov a jeho pouzitie je teda najviac obmedzene. Pouzivatelmi najviac vnimana vyhoda je, ze podpisany dokument nie je zabaleny v ziadnom kontajneri a teda ho vie zobrazit vacsina PDF prehliadacov. Tie pokrocilejsie (napr. Acrobat Reader) vedia dokonca aj zobrazit podpisy a vykonat ich validaciu.

No a teraz trosku blizsie k tej dileme XML vs PDF:

  • XML dokumenty maju tu vyhodu, ze su strojovo velmi lahko spracovatelne a pomocou XSD je mozne relativne lahko vykonavat ich pomerne striktnu strukturnu ale aj obsahovu validaciu. Pomocou XSLT sa zase daju transfromovat na ine typy dokumentov, ktore su vhodnejsie napriklad na vizualizaciu (TXT, HTML …). IMO prave preto sa XML presadzuje vo formularovych rieseniach (napr. Microsoft InfoPath). Nezanedbatelnou vyhodou XML formatu je, ze komponenty na pracu s nim su volne dostupne snad pre kazdy rozumny programovaci jazyk ci vyvojovu platformu.

  • PDF dokumenty maju tu vyhodu, ze ich koncovy pouzivatel vie lahko zobrazit, pretoze pre kazdu rozsirenejsiu desktopovu aj mobilnu platformu existuje nejaka aplikacia co to zvladne. Ich strojove spracovanie je vsak nocna mora (OCR pre zachovanie dostojnosti vynechajme) a ked sa zacnu podpisovat PAdESom, tak si treba uvedomit, ze kazdy podpis podpisuje novu nezavislu reviziu dokumentu, ktora moze byt obsahovo odlisna od tej predchadzajucej. Ak sa takto rozhodne niekto podpisat napr. kupno-predajnu zmluvu, tak kupujuci moze v revizii 1 podpisat uplne iny text ako predavajuci v revizii 2. Ak ma nasledne nejaky system takuto zmluvu automatizovane spracovat, tak musi porovnat zhodu obsahu revizie 1 a revizie 2 a to je pri vacsine PDF dokumentoch uloha viac nez nelahka. PDF je totizto binarny format so specifikaciou presahujucou 1400 stran, umoznuje mnozstvo “zverstiev” a na vystupe ho vypluva kdejaka low-end kopirka, ktorej vyrobcu standardy absolutne nezaujimaju. No a v neposlednom rade treba tiez spomenut, ze pre vacsinu programovacich jazykov ci vyvojovych platforiem volne dostupne robustne PDF komponenty jednoducho neexistuju a clovek je odkazany na komercnych vendorov.

Moj osobny pohlad je teda nasledovny: Ak potrebujem data strojovo spracovavat, tak si takmer vzdy zvolim XML. Ak potrebujem data iba vyexporovat na prehliadanie, tak si takmer vzdy zvolim PDF.

4 Likes

Subor s priponou .zepx alebo .xzep je aplikacny kontajner a ten je zvycajne specificky nielen pre kazdu krajinu ale dokonca aj pre kazdu aplikaciu ci informacny system. Aj ked sa tomu mozno tazko veri, vnutri toho suboru je v skutocnosti podpis vyhovujuci XAdES standardu.

Sa budem opakovat: To je zajimava teorie ale muzete ji dokazat?

Nase slovenske elektronicke formulare maju povinost zverejnovat aj proces vizualizacie do PDF. Pouzivatel moze vidiet PDF, lebo v edesku (alebo v agendovom systeme) je moznost ju/ho vygenerovat. Len neobsahuje podpis, ale podpis pouzivatel nepotrebuje, tomu staci overenie, ze je sprava podpisana a podpis je platny (plus kto to podpisal).
Navyse to elektronicku spravu aj s podpisom si moze zobrazit/stiahnut taktiez v edesku. Len podla mna to ma zmysel len na miestach kde overuje pravna platnost elektronickeho podpisu, ako je napriklad sud.

Co som myslel tym, ze PDF je len medzikrok, je to, ze ludia su zvyknuti na papier a realny podpis…
Este existuje aj digitalizovany podpis (pravne platny a netreba certifikat) a ludia sa podpisuju na tabletoch ci uz novych, alebo tych starsich wacom, ale to ide tazko cez net bez tabletu.

Schválne skús…

Lenže nezabúdajme na neštruktúrované dokumenty, ktoré sú primárne určené pre ľudí a nie pre stroje. Už sme sa o tím bavili v prípade doručeniek. Dnešnou témou sú úradne rozhodnutia.

Pekne napísané, rozhodnutie súdu alebo ineho úradného rozhodnutia potrebujem vyexportovať na prehliadanie, preto tam musí byt podpis PAdES + LTV

Rozhodnutie je totiž určené ľuďom a nie strojom.

Ja nerozumiem naco ti je pdf, vytlacit sa bez zarucenej konverzie neda tak aby bolo platne. Ak to mas doniest na dakom nosici tak je jedno ci si stiahnem a donesiem zepx alebo pdf, je to statna sprava, tak nech si to otvori ked si to vymyslela.

Mne z pohladu obcana je to jedno, ale mne z pohladu cloveka co ma na starost navrh informacnych systemov, mi to teda rozhodne nie je a radsej si strelim do nohy ako robit s PDF. Ak by tu malo byt iba pdf, tak je to krok spat, ci uz z rychlosti spracovania ziadosti, alebo ceny finalneho riesenia (co si zaplatime vsetci obcania).

A pokial viem nie je mozne pravne overit platnost el. podpisu inym ako NBU certifikovanym nastrojom a to ziadny pdf prehliadac nie je. Toto riesenie problemu ma svoje plusy a minusy.

Jedina nevyhoda xades je v tom, ze ked si chcem offline pozriet informativne kto to podpisal, tak to nejde bez specialneho nastroja, co teda vacsina pdf prehliadacov aj tak nepodporuje el. podpis.

Inak velmi nerozumiem co chces celou konverzaciou povedat… ked chces pades rozhodnutia, tak si napis do ziadosti, ze chces pades a urad ti to moze poslat miesto xadesu - teda bude tam xades dake vsetobecna agenda s textom, ze rozhodnutie je v prilohe a prilohe bude pades rozhodnutia.

Jednoducho budujeme Falarion za neskutočne peniaze a podobne ako Telekom ho po niekoľkých rokoch vypol, aj my budeme musieť vypnúť nás vnútroštátny XAdES. Jednoducho ak je štandardom procesov bez papieru .pdf tak sa PDFku nevyhnes. Podpisovanie certifikátom je voľne prístupnou funkciou Acrobatu, jednoducho ti ju občania do statnej správy natlačia. Občan môže požiadať o vydanie kvalifikovaného certifikátu ktorukolvek ACA v celej EÚ, a naše OVM musia takéto podanie vedieť overiť spracovať.

Stavať elektronické procesy mimo PAdES je neudržateľné. Nápr V ČR hádam ani len nemajú jeden jediný proces vo vzťahu občanovi, ktorý by nebol založený na PAdESe. Dátové schránky a spisovne služby sú postavené na PAdESe. Akýkoľvek výstup je priamo overiteľných v Acrobate. Neotváral žiadny kontajner, ale rovno .pdf

Požiadavka nariadenia je na interoperabilitu a naše vlastne riešenie je prekážkou interoperability. Jednoducho Acrobat nájdeš v akomkoľvek počítači naprieč Európou v jazyku každého členského štátu s možnosťou overenia platnosti dokumentu v tomto jazyku. D.viewer musíš inštalovať, nezobrazuje platnosť dokumentu a nie je preložený do všetkých jazykov v EU.

A co s tym mienis urobit, ked si tu temu otvoril?

preco elektronicke podanie musi vyzerat ako kus papiera na obrazovke? povinny pades (bez inych moznosti) je podla mna krok spat, od temer polo automatickej verejnej spravy kde uradnik, len 2x klikne ku skoro manualnej - niekto to bude prepisovat rucne a potom sa to bude tocit v organizacii a az potom 2x klikne. neskor aj eu predstavi nieco na takuto poloautomaticku statnu spravu, dam na to krk, mozno to xades nebude, ale slovesko bude pripravene ako prve.

Skôr EU prikáže nepoužívať národné xades podpisy lebo budú prekážkou interoperability.

A bude pretláčať univerzálne riešenie . PDF pades

Tato debata nema zmysel… chces len to co pretlaca eu bez kritickeho pohladu.
Moj nazor je, ze PDF nema v buducnosti statnej spravy miesto, lebo je to format primarny vymysleny a urceny na tlac dokumentov a nie na elektronickych podani.

Skús mi popísať ako pripojím vo formáte .xzep k elektronickému rozhodnutiu doručenky.

V PDF formáte to je jednoduché, pri listinnom rozhodnutí ho spojím spinkou, ako ju pripojím pri formáte .xzep?

Uplne nerozumiem otazke, ale:

  • v listinej podobe pripojis k listku dorucenku
  • pri padese mas dva pdf subory, oba elektronicky podpisane a nie je mozne ich spojit do jedneho suboru, nie je mozne ich len tak vytlacit aby ostali pravne platne, na to je zarucena konverzia
  • pri xadese mas dva zepx subory, oba elektronicky podpisane a zvysok plati ako pre pdf

Xades ma vyhodu v tom, ze si to mozes pozerat bez specialnych veci priamo v prehliadaci v edesku, narozdiel od pdf. ak to chces staci informativne, tak si ulozis pdf, alebo html + zepx pre pravne ucely.

Pades ma vyhodu ak to chces mat uplne offline tak ti staci adobe acrobat alebo iny velky pdf prehliadac, kdezto pre xades mas len podpisovace, ktore musia byt certifikovane nbu a nie su zadarmo.

Inak malo ludi si uvedomuje, ze el. podpis je platny len pocas platnosti certifikatu co ho podpisal a na to sluzi dlhodobe doveryhodne ulozisko - potrebujes aj pre pades aj pre xades.

Musím pochváliť skvelý článok (príspevok) k interoperabilite : https://www.jimrich.sk/2012/02/16/interoperabilita-zep-yeti-moderneho-sveta/

Je to v podstate jasná požiadavka eIDASu

Spomeniem Jiřího Peterku a jeho Báječný svět elektronického podpisu: http://public.nic.cz/files/bajecny_svet/peterka_bs_cznic.pdf

Súbor má cca 300 MB

Dnešný stav je takýto (väčšina tu už odznela):

  • v podaní musí OVM akceptovať ľubovoľný formát podpisu (v súlade s certifikačnou politikou CA), teda aj PAdES
  • pre dobrú strojovú spracovateľnosť a vysokú istotu jednoznačnej interpretácie je veľmi preferovaný prístup XML dáta s podpisom - čiže XAdES
  • podanie “vyrábať” by sa malo aj tak pomocou nejakej intelignentnej služby, nie ručne - napr. klikací formulár, alebo sw ktorý to priamo generuje
    .
  • úradné dokumenty sa podľa zákona o eGov majú vytvárať ako el. formulár - čiže XAdES
  • zatiaľ plynie prechodné obdobie (opäť sa to posunulo), že môžu to robiť hocako, čiže aj autorizovaný voľný text - napr. PAdES
  • každý el. formulár má tzv. “vizualizačné transformácie”, ktoré vedia obsah formulára (bez podpisu) exportovať do iného formátu, za účelom jeho prehliadania
    .
  • pomocou zaručenej konverzie vieš prevádzať obsah_aj_s_podpisom do iného formátu
  • všetky dnes používané formáty (aj PDF) sú binárne, na ich prehliadanie treba špeciálnu aplikáciu
  • v SR máme vlastné riešenie pre el. formuláre, s otvorenou špecifikáciou formátov, ale komplexnú aplikáciu čo s tým vie robiť nemáme
  • v ČR majú vlastné riešenie pre el. formuláre, s proprietárnou neverejnou špecifikáciou - 602XML, majú k tomu nejaké aplikácie od výrobcu tohto formátu (ich kvalitu nepoznám)