Nápověda
předešlá kapitolana rozcestníknásledující kapitola
Přerazítkování datové zprávy
V okně s načtenou datovou zprávou si můžete vytvořit přerazítkovanou verzi souboru, tj. opatřenou novým archivním razítkem (CAdES-A). Přidané archivní razítko prodlouží digitální platnost o několik let. Stažený soubor bude mít název například zprava_183156_platiDo_RRRR_MM_DD.zfo (kde RRRR_MM_DD je rok, měsíc a den nové platnosti souboru).
Kontrolu a případné přerazítkování souboru s datovou zprávou zajistíte klepnutím na tlačítko Další možnosti a dále pak spuštěním příkazu Přerazítkovat. Pokud odkaz Přerazítkovat není vidět, načtenou zprávu není možno přerazítkovat – buď je stažená před méně než 24 hodinami, nebo je natolik stará, že vypršelo poslední archivní razítko v podpisu a přidávat další je tudíž zbytečné. Na testovacím prostředí může být tento interval zkrácen až na jednu hodinu.
Technické poznámky k procesu přerazítkování
Uživatelský Portál ISDS z důvodu zjednodušení pochopení práce s časovými razítky používá jednotný pojem Přerazítkování, který se však interně dělí na dvě odlišné operace:
- Re-autorizace – jednorázové nahrazení starého typu podpisu (značky) správce ve stažené zprávě novou aktuální pečetí (při splnění daných podmínek – zpráva musí být starší než polovina roku 2011). Odpovídá aktuálnímu novému stažení zprávy z ISDS. V současnosti už nemá velký význam.
- Archivace – opakované přidávání časových razítek do stávající značky / pečetě správce ISDS, trvale prokazující dlouhodobou platnost zprávy.
Pro vkládání časových archivních razítek do značky/pečeti správce ISDS byl zvolen standard CAdES (CMS Advanced Electronic Signature) popsaný v RFC 5126 a implementovaný podle dokumentu ETSI TS 101 733 v2.2.1.
Varianty chování pro různé datové zprávy
Datové zprávy ISDS lze rozdělit podle stáří a stupně podepsání do několika skupin. Pro každou skupinu popíšeme chování systému ISDS.
Ve všech případech se předpokládá, že zpráva prošla ověřovacím procesem (ověření, že zpráva prošla systémem ISDS a nebyla změněna), jinak by se vůbec nedostala dál.
Správná funkce je v této verzi zaručena pro časová razítka autority PostSignum, I.CA i eIdentity.
| Podací razítko | Podpis MV | Časové razítko CAdES 1) | Akce | Vrací se varianta | |
|---|---|---|---|---|---|
| 1 | Exspirované | Exspirovaný | Není | Re-autorizace | CAdES-T |
| 2 | Exspirované | OK | Není, pouze CAdES-EPES | Archivace | CAdES-T |
| 3 | OK | Exspirovaný | Není | Re-autorizace | CAdES-T |
| 4 | OK | OK | Není | Archivace | CAdES-T |
| 5 | Jakékoliv | Jakýkoliv | OK | Archivace | CAdES-A |
| 6 | Jakékoliv | Jakýkoliv | Exspirované | Chyba | -- |
1) myslí se poslední razítko v CAdES struktuře archivních razítek.
Poznámky:
Skupina 1: Jedná se o staré zprávy z prvního roku provozu, stažené ještě v době před 16. 4. 2011, kdy se začalo přidávat časové razítko do značky správce.
Skupina 2: Jedná se o malou skupinu zpráv, které byly staženy nedávno (platí stále značka / pečeť správce), ale při stažení se nepodařilo získat od PostSignum on-line razítko (v tom případě se formát podpisu uloží jako CAdES-EPES). Protože je značka / pečeť správce v pořádku, lze provést v rámci Archivace doplnění časového razítka. Stejná situace může nastat u zpráv trezorových, stažených až po okamžiku exspirace certifikátu podacího razítka a současně s nedodáním časového razítka do značky při stažení.
Skupina 3: Většina normálních starých zpráv stažených před 16. 4. 2011. Po vložení do systému se provede Re-autorizace – neplatná značka správce se nahradí novou pečetí včetně aktuálního časového razítka, výsledkem je podepsaná zpráva ve formátu CAdES-T. Pro takovou zprávu je dalším krokem opakovaná archivace. Termín posledního předání „normálně získané“ zprávy k Re-autorizaci byl 23. 6. 2013, kdy vypršela platnost certifikátu TSU používaných 16. 4. 2011 při nasazení razítek do značky správce. Zprávy, stažené bez razítka (viz skupina 2), půjde re-autorizovat i nadále (pokud se takové objeví).
Skupina 4: Menší část zpráv stažených po 16. 4. 2011 bez časového razítka (ve formátu CAdES-EPES). Protože je značka / pečeť správce platná, není třeba provést Re-autorizaci, ale již Archivaci, i když je výsledkem jen formát CAdES-T (přidání časového razítka).
Skupina 5: Normální stav u správně archivovaných zpráv. Zpráva je označena prvním nebo archivním časovým razítkem v CAdES struktuře. V tom případě již nezáleží na stavu předchozích podpisů. Opakované volání Archivace způsobí přidání dalšího razítka a tím zachování trvalé průkaznosti zprávy.
Skupina 6: Případ, kdy si majitel zprávy včas neprodlouží platnost pomocí archivního razítka - zapomene provést další krok v Archivaci. Zpráva se stává nearchivovatelnou bez možnosti dodatečné nápravy.
Hlášení Portálu
Portál vrací v případě, že akce neproběhla, některý z následujících stavů:
| Text na Portálu | Vysvětlení |
|---|---|
| Předložená data nejsou ve formátu podepsané datové zprávy, dodejky ani doručenky. | Předaný soubor nemá formát podepsané datové zprávy či dodejky / doručenky; soubor nevznikl výstupem z ISDS nebo do něj bylo později zasáhnuto. |
| Předložená data neodpovídají žádné datové zprávě, dodejce ani doručence. | Předaný soubor sice odpovídá zprávě či dodejce, ale odpovídající datová zpráva nebyla v systému nalezena, např. při vložení zprávy z testovacího prostředí, nebo do zprávy bylo později zasáhnuto. |
| Platnost elektronické značky / pečeti správce vypršela. Archivace již není možná. | Značka nebo pečeť správce již není platná, zprávu nelze dále udržovat pomocí archivních CAdES razítek. |
| Dokument v tomto okamžiku splňuje podmínky dlouhodobé průkaznosti a není třeba jej zatím doplňovat časovým razítkem. | Pečeť správce již splňuje archivní formát CAdES-A a vložené archivní razítko zajišťuje platnost ještě po dlouhou dobu. Nově vložené razítko by nijak nerozšířilo platnost pečetě, je tedy nyní zbytečné provádět archivaci. Zopakujte akci později. |
| Nepodařilo se získat časové razítko. Opakujte akci později. | TSA nevrátila rychle razítko, nelze pokračovat. |
| Od okamžiku získání posledního časového razítka neuplynula minimální lhůta <N> hodin. Opakujte akci po uplynutí minimální lhůty. | Mezi sestavením variant CAdES musí uplynout určitý čas (např. 24 hodin u PostSignum) podle politik TSA o umísťování neplatných certifikátů na CRL. Před touto dobou není jistota, že nebyl odvolán certifikát předchozího razítka. |
| Podpis je v nesprávném formátu. Pro archivaci musí být podpis alespoň ve formátu CAdES-EPES. | Podpis správce je starého formátu, u zpráv dodaných po roce 2012 by nemělo nastat. |
| Překročen povolený počet souběžných požadavků. Opakujte, prosím, požadavek později. | Technické omezení souběžného volání operace. |
| Neočekávaná chyba v procesu autorizace/archivace. Zkuste akci opakovat později, a pokud potíže přetrvávají, obraťte se na Infolinku. | Jiná chyba, neměla by nastat. |