Vlákno názorů k článku Proč elektronické podpisy nejsou věčné? od petrph - Což už je asi další stádium - neboli...

Článek je zajímavý, ale nějak jsem nepochopil dvě věci:
1) Pokud je podpis platný 1 rok a časové razítko 5 let a dokument se mi dostane do ruky 4 roky po orazítkování, tak sice vím kdy vznikl, že má platné razítko, ale jak ověřím, že před 4 lety platil ten podpisový certifikát ? Nebo je to tak, že časové razítko dostanou jen ty, co mají v tu dobu platný podpis ? To by přece byla taky blbost.

2) Mě se zdá, že časovým razítkem se ten problém pouze odloží z jednoho roku na roků 5, ale pak jsme zas tam kde jsme byli - je to tak ?

Chápete to stejně jako já ?

Ad 1) Času v časovém razítku můžu věřit. Je tedy jasné, že dokument (vč. podpisu) vzniknul před určitým okamžikem. Potom stačí ověřit, že v onen okamžik byl platný.
Ad 2) Je to tak. Ale potom nastoupí další fáze - před vypršením časového razítka (razítko1) dám k dokumentu další časové razítko (razítko2). Razítko2 mi ověří, že v daném čase platilo razítko1, které mi ověří podpis. No a před vypršením razítka2 přidám razítko3, ...

díky, jen ještě maličkost. jde nějak snadno ověřit (případně jak ?), zda před 4 lety platil nějaký podpis? A výhledově při několikanásobném přerazítkování např. zda platil před 20 lety ?

To je jednoduché. Všechny vydané certifikáty musí certifikační autorita archivovat a musí taky umožnit ověření platnosti certifikátu k zadanému datumu (do minulosti).

Velká část těchto problémů je řešitelná el. značkou a časovými razítky vytvořenými podle normy XADES-XA, pro PDF existuje analogické řešení PADES. Zatím jsem to moc neregistroval v praktickém použití, nicméně v principu to je navržené dobře.

Přerazítkovávat se dá celý balík dokumentů. Ono to ani jinak nepůjde. Jenže na to není žádná metodika. Kdopak třeba může dostat celý balík dokumentů s osobními a citlivými údaji k rozboru na platnost e-podpisu a návazných razítek?

Clanok je velmi zaujimavy a fundovany, ale je viacmenej v teoretickej rovine.
Ak sa na problem pozrieme sirsie nez len z hladiska pricipov fungovania a zohladnime aj prijatu legislativu tak problem neni az tak velky. Lehota jeden rok na certifikaty je skor vhodna z hladiska obchodneho ako z hladiska ohrozenia uz podpisanych dokumentov. Ak by doslo k prelomeniu sifrovacich algoritmov chraniacich otisk - hash dokumentu a potom este najst kolizny dokument, ktory by sa dal k podvodu pouzit bolo by dost velke halo v tisku po celom svete - stare dokumenty by bolo zrejme nutne prepodpisat novsim systemom.
Co sa tyka le uz podpisanych dokumentov tam si prijemca dokumentu overi podpis - vypocet=OK, platnost certifikatu v dobe uvedenej v casovom razitku a platnost vsetkych certifikatov v stromovej strukture az po korenovy certifikat nyjvyssej autority v danom state. Za 10 rokov uz samozrejme cesta certifikatov nebude platna, ale doba platnosti uvedena v certifikate podpisujuceho nesmie byt mensia ako doba v casovom razitku, a certifikaty vydavajucej autority a jej nadriadenych musia byt v zozname archivovanych certifikatov.
Viz. zakon §6:
(6) Veškeré informace a dokumentaci o poskytovaných službách podle tohoto zákona uchovává kvalifikovaný poskytovatel certifikačních služeb po dobu 10 let; po jejím uplynutí předá bez zbytečného odkladu ministerstvu seznam certifikátů vydaných jako kvalifikované, které byly zneplatněny nejméně 10 let. Kvalifikovaný poskytovatel je povinen zajistit uchovávané informace a dokumentaci před ztrátou, zneužitím, zničením nebo poškozením za podmínek,

Časovým razítkem se ale neoznačuje dokument, ale jen jeho hash, takže není důvod, aby dokumenty s osobními údaji někam putovaly. Každopádně metodika elektronického podepisování, časových razítek a ověřování pravosti je po technické stránce jasná a jednoznačná, což se o metodice ověřování podpisu na padesát let starém papírovém dokumentu říct nedá.