IT Systems 7-8/2019 | Jednou ze služeb vytvářejících důvěru, kterou definuje nařízení eIDAS, je i služba validace elektronických podpisů a pečetí. Ve své podstatě se jedná o „reverzní“ proces vytvoření elektronického podpisu nebo pečeti, kdy se zjišťuje jakým způsobem byl daný podpis respektive pečeť vytvořen a zda je takovýto podpis / pečeť možné považovat za platný v daném kontextu okolností.
Definice validace
Na nejvyšší úrovni je validace definovaná nařízením eIDAS, kde ve článku 3, odst. 41) stanoví, že „Pro účely tohoto nařízení se rozumí ověřováním platnosti postup ověřující shodu a potvrzující platnost elektronického podpisu nebo elektronické pečeti.“ Detailněji je validace specifikována ve článku 32 nařízení eIDAS.
Z technického hlediska jsou přesné specifikace celého procesu validace elektronických podpisů a pečetí zachyceny v harmonizovaném evropském standardu ETSI, který detailně rozebírá algoritmus ověření elektronického podpisu / pečeti včetně všech náležitostí a výstupů.Proces validace
Proces validace
Obecný proces validace elektronických podpisů a pečetí je popsán ve výše zmíněném evropském standardu ETSI. Skutečné implementace validátorů se od tohoto mohou odlišovat, ale pro potřeby tohoto článku budou popsány principy v něm navržené.
Vstupy pro provedení validace jsou vždy minimálně:
- Dokument obsahující podpis, pečeť, nebo obojí, které jsou předmětem ověření
- Validační politika definující, jakým způsobem bude validační nástroj vyhodnocovat jednotlivé zjištěné skutečnosti
- Další data potřebná pro provedení validace jako jsou:
– Informace o revokaci použitých certifikátů
– Seznam EU důvěryhodných kotev
Provedení validace elektronického podpisu nebo pečeti je komplexní proces sestávající se z několika hlavních kroků. Výsledkem každého z těchto kroků je buď „úspěch“, „selhání“ nebo „nemožnost rozhodnout“. Na konci validačního procesu se tyto jednotlivé stavy sloučí v jeden finální výsledek.
Jednotlivé kroky validace jsou naznačeny na schématu:
Řešení validace v praxi
Společnost SEFIRA nabízí produkt OBELISK Validator, který zajišťuje provedení validací elektronických podpisů a pečetí dle pravidel stanovených v nařízení eIDAS i českém právním řádu. Základními podporovanými formáty dokumentů a podpisů / pečetí k ověření jsou:
- PAdES, PKCS#7
- XAdES, XMLDsig
- CAdES, PKCS#7
- S/MIME, MS *.msg
- Office formáty dokumentů
OBELISK Validator je nabízen v podobě virtuální appliance pro on-premise instalace, ale i jako cloudová kvalifikovaná služba vytvářející důvěru OBELISK Validator QTS.
Michal Hanzal | Solution Consultant společnosti SEFIRA
Článek vyšel v časopisu IT Systems (7-8/2019)