HOSSZÚTÁVÚ HITELESÍTÉS – kérdések és válaszok 3.
Az Acrobat Reader valóban nem megfelelő ellenőrzési eszköz-e, mert eltérő beállítások miatt is mutathat mást?
A szakértőnk válasza:
Egyrészt az Adobe Reader a PDF dokumentum aláírásához használt minősített tanúsítvány megbízhatóságának ellenőrzéséhez két eltérő ún. bizalmi listát használ: egy Adobe által jóváhagyott listát (Adobe Approved Trust List – AATL) és egy Európai Unió által jóváhagyott listát (EU Trusted Lists of Certification Service Providers – EU TL). Az Adobe Reader aláírás ellenőrző funkciójának zavartalan működéséhez javasolt a szoftver beállításainál mindkét listát letölteni és beállítani, hogy a listák frissítéseit a szoftver automatikusan letöltse.
Másrészt az Acrobat Reader különböző verziói eltérő módszerekkel és alapossággal ellenőrzik a PDF dokumentumok aláírásait. A tapasztalatok szerint alapértelmezett beállításaik megengedőek, az ellenőrzésre vonatkozó szabványokat nem alkalmazzák teljes körűen, így előfordul, hogy érvénytelen aláírásokat érvényesnek minősítenek. Az Acrobat Rreader ellenőrzési eredményeit tájékoztató jellegűként érdemes kezelni.
A NISZ a tanúsítvány lejártától számított 10 évig biztosítja a státuszinformációt, 10 évig tudja azt mondani, hogy ebben és ebben az időszakban érvényes volt az aláírás tanúsítványa. Működik egy visszavonási lista is. Mi a kettő közötti összefüggés? (Pl.: a felhasználó 11 év múlva hogyan tudja azt megmondani, hogy abban a 2 évben, amíg érvényes volt az aláírás tanúsítványa, nem volt-e időközben visszavonva.)
A NISZ a tanúsítvány érvényességével kapcsolatos információkat kétféle formában biztosítja hiteles módon:
CRL (Certificate Revocation List) formájában – ez a tanúsítvány lejárati időpontjáig tartalmazza a visszavonási státuszt,
OCSP (Online Certificate Status Protocol) szolgáltatás formájában – ez a tanúsítvány lejártától számított 10 évig biztosítja a státuszinformációt.
Fentiek mind a jogszabályi, mind az iparági szabványoknak megfelelnek, és a BR-MTT és BSZ-MTT szabályzataiban rögzíti a NISZ Zrt. Ennek a gyakorlati oka az, hogy az olyan szolgáltatók esetében, amelyek sok tanúsítványt bocsátanak ki (mint pl. GovCA), a lista kezelhetetlen nagyságúra növekedhetne.
Ha tehát egy e-aláírást a tanúsítvány lejárati időn belül kell ellenőrizni, azt mind CRL, mind OCSP protokollal meg lehet tenni, míg az aláírás után pl. 3 évvel már csak az OCSP protokollal. Az online Tanúsítványtárban a lekérdezést követő válaszképernyőn jelzett érvényességi információ nem hiteles, csak tájékoztató jellegű, ahogy az jelezve van a felületen is!
Az ellenőrzés hosszú távú biztosítása érdekében archív (A, LTA szintű) aláírásokat kell létrehozni, vagy – amennyiben a befogadott dokumentumok ennél alacsonyabb szintű aláírásokat tartalmaznak, és technikailag lehetséges – aláíráskiterjesztéssel LTA szintűvé kell alakítani őket (lehetőleg befogadáskor, de mindenképpen a 10 éven belül. Ha kiterjesztik az aláírást, akkor az aláírásban benne lesz az összes érintett OCSP válasz, a lezáró időbélyeg érvényességéről pedig online OCSP lekérdezéssel lehet megbizonyosodni. Ezt követően az újraidőbélyegzésről kell időben gondoskodni.
Ha az aláíráskiterjesztés bizonyos ritka esetekben technikailag nem kivitelezhető, valamilyen kerülő megoldást kell alkalmazni. Pl. a dokumentum hitelességét igazoló (szintén hitelesített) bizonyítványt (pl. KEAESZ igazolást) csatolni az eredeti dokumentumhoz.