Časové razítko

Tento článek je dalším pokračováním technologických témat. Navazuje také na téma o kvalifikovaném elektronickém podpisu a má za cíl vysvětlit význam použití časového razítka a účel kombinace kvalifikovaného elektronického podpisu a časového razítka.

V tématu o elektronickém podpisu byl popsán jeho princip a účel. Pro rychlou rekapitulaci - v průběhu vytváření podpisu je použita hashovací funkce, která z podepisovaného dokumentu vytvoří otisk, který se následně podepíše soukromým klíčem podepisované osoby s připojeným digitálním certifikátem. Nebyl zmíněn jeden technický detail - že v podpisu je uváděn i čas jeho vytvoření. Tento údaj je však nepřesný, obvykle je uveden čas vytvoření podpisu na daném koncovém zařízení (stanice, server, mobilní zařízení atd.).

Máme tedy dokument, např. ve formátu PDF, který je digitálně podepsaný. Nicméně, nelze přesně určit a garantovat, kdy byl daný dokument podepsán. Je garantován fakt, že dokument v době podpisu existoval a byl elektronicky podepsán držitelem platného elektronického podpisu. Jak tento problém řešit?

Co s tím?

Problém je řešitelný pomocí tzv. časového razítka (Time Stamp – TS). Jedná se principálně o elektronický podpis, vytvořený autoritou časových razítek (Time Stamping Authority – TSA). Ta garantuje čas vytvoření TS. Jestliže porovnáme vytvoření elektronického podpisu a časového razítka, existují zde určité rozdíly.

Hlavní rozdíl je v tom, na které straně dochází k vytvoření vlastního podpisu. U elektronického podpisu probíhá celá procedura „tvorby“ na straně uživatele/služby, který je držitelem privátního klíče. Tedy po obdržení kvalifikovaného digitálního certifikátu může jeho držitel vytvořit podpisů, kolik potřebuje, nebo kolik chce, aniž by musel kdykoliv dále kontaktovat CA.

Kdežto vytvoření časového razítka probíhá na straně TSA. Jediným důvodem je, že ta garantuje svým podpisem přesný čas vytvoření časového razítka. Z uvedeného také vyplývá důležitý předpoklad pro vytváření časových razítek - je nutné mít on-line připojení na TSA.

Vytvoření a ověření časového razítka

Pojďme se podívat na vytvoření a ověření časového razítka blíže. Vytvoření probíhá na dvou stranách – uživatelem, resp. službou a TSA. Je nutné zdůraznit, že pro pořizování časových razítek musí uživatel použít speciální utilitu nebo aplikaci, k tomuto účelu určenou. Takovou aplikaci lze získat např. na TSA, od které chceme časová razítka nakupovat.

V prvním kroku ve 100% případů uživatel pomocí vlastního klíčového páru podepíše dokument elektronickým podpisem. Následně je vytvořen otisk podepsaného dokumentu hashovací funkcí, který je poslán on-line na TSA. Ta k otisku dokumentu přidá přesný čas a obě entity jsou znovu společně zahashovány. K druhému otisku se přidá přesný čas a podepíše svým privátním klíčem s označením takového podpisu jako Time Stamp. TSA posílá TS zpět žadateli, který přiloží časové razítko k podepsanému dokumentu.

Creating TS

 

Ověření probíhá stejně, jako v případě elektronického podpisu. Není potřeba ho provádět na straně TSA. Pro ověření je potřeba mít k dispozici certifikát TSA, kterým je časové razítko podepsáno.

Veryfying TS

 

Použití časových razítek

Jak bylo řečeno, časová razítka garantují, že v uvedeném garantovaném čase daný dokument existoval. Pokud bychom razítkovali časovým razítkem elektronicky nepodepsané dokumenty, neexistovala by kromě časového údaje garance, kdo daný dokument elektronicky podepsal. Časová razítka se používají v kombinaci s elektronickým podpisem. Jak bylo zmíněno v tématu o elektronickém podpisu, jeho platnost je omezená, zpravidla na jeden rok. V případě, že existuje dokument, podepsaný elektronickým podpisem, platnost tohoto podpisu je maximálně do jednoho roku od podepsání. Po skončení platnosti podpisu nelze garantovat platnost uvedeného dokumentu.

Pro účel prodloužení časové kontinuity elektronických podpisů, a tedy garance, že daný dokument je originálem v čase se používají časová razítka. Před expirací platnosti elektronického podpisu lze připojit k dokumentu časové razítko, které garantuje prodloužení platnosti o dobu, na jakou je vydáno (zpravidla 3 nebo 5 let). V případě nutnosti dalšího prodloužení časové kontinuity se použije další časové razítko atd., atd. (dochází k enkapsulaci). Na předchozích řádcích byl popsán elementární princip důvěryhodné elektronické archivace.

V praxi se první časové razítko přikládá k archivovanému elektronickému originálnímu dokumentu v okamžiku vložení do archivu. Tímto je de facto nastaven stejný výchozí časový stav pro všechny archivované dokumenty. Způsob důvěryhodné archivace dále popisují ETSI standardy AdES (budou popsány v dalších technologických sekcích naší stránky).

Time Stamping Authority

Autorita časových razítek bývá jednou ze služeb certifikačních autorit. Z pohledu legislativního je žádoucí, aby byla vydávána a používána kvalifikovaná časová razítka, vydávána akreditovanými poskytovateli certifikačních služeb. Jedině kvalifikované časové razítko lze použít jako nástroj pro doložení časové kontinuity originálů elektronických dokumentů při kontaktech se státní a veřejnou správou.

 

./tk

Máte dotaz? Potřebujete poradit? Napište nám!

Děkujeme za Váš dotaz. Brzy se Vám ozveme.

Kontaktní informace

O nás

Jsme skupinou, která se zabývá problematikou důvěryhodné archivace dokumentů v elekronické podobě. Zabýváme se elekronickým zpracováním dokumentů tak, aby byly naplněny evropské a státní legislativní normy a zákony. Konečně lze říci, že dokument v elektronické podobě má stejnou hodnotu jako v papírové! Čtěte více zde!