Infolinka 954 200 200
Nápověda Načtení uložené datové zprávy Přerazítkování datové zprávy

Nápověda

předešlá kapitolana rozcestníknásledující kapitola

Přerazítkování datové zprávy

V okně s načtenou datovou zprávou si můžete vytvořit přerazítkovanou verzi souboru, tj. opatřenou novým archivním razítkem (CAdES-A). Přidané archivní razítko prodlouží digitální platnost o několik let. Stažený soubor bude mít název například zprava_183156_platiDo_RRRR_MM_DD.zfo (kde RRRR_MM_DD je rok, měsíc a den nové platnosti souboru).

Kontrolu a případné přerazítkování souboru s datovou zprávou zajistíte klepnutím na tlačítko Další možnosti a dále pak spuštěním příkazu Přerazítkovat. Pokud odkaz Přerazítkovat není vidět, načtenou zprávu není možno přerazítkovat – buď je stažená před méně než 24 hodinami, nebo je natolik stará, že vypršelo poslední archivní razítko v podpisu a přidávat další je tudíž zbytečné. Na testovacím prostředí může být tento interval zkrácen až na jednu hodinu.

Technické poznámky k procesu přerazítkování

Uživatelský Portál ISDS z důvodu zjednodušení pochopení práce s časovými razítky používá jednotný pojem Přerazítkování, který se však interně dělí na dvě odlišné operace:

  • Re-autorizace – jednorázové nahrazení starého typu podpisu (značky) správce ve stažené zprávě novou aktuální pečetí (při splnění daných podmínek – zpráva musí být starší než polovina roku 2011). Odpovídá aktuálnímu novému stažení zprávy z ISDS. V současnosti už nemá velký význam.
  • Archivace – opakované přidávání časových razítek do stávající značky / pečetě správce ISDS, trvale prokazující dlouhodobou platnost zprávy.

Pro vkládání časových archivních razítek do značky/pečeti správce ISDS byl zvolen standard CAdES (CMS Advanced Electronic Signature) popsaný v RFC 5126 a implementovaný podle dokumentu ETSI TS 101 733 v2.2.1.

Varianty chování pro různé datové zprávy

Datové zprávy ISDS lze rozdělit podle stáří a stupně podepsání do několika skupin. Pro každou skupinu popíšeme chování systému ISDS.

Ve všech případech se předpokládá, že zpráva prošla ověřovacím procesem (ověření, že zpráva prošla systémem ISDS a nebyla změněna), jinak by se vůbec nedostala dál.

Správná funkce je v této verzi zaručena pro časová razítka autority PostSignum, I.CA i eIdentity.

  Podací razítko Podpis správce Časové razítko CAdES 1) Akce Vrací se varianta
1 Exspirované Exspirovaný Není Re-autorizace CAdES-T
2 Exspirované OK Není, pouze CAdES-EPES Archivace CAdES-T
3 OK Exspirovaný Není Re-autorizace CAdES-T
4 OK OK Není Archivace CAdES-T
5 Jakékoliv Jakýkoliv OK Archivace CAdES-A
6 Jakékoliv Jakýkoliv Exspirované Chyba --

1) myslí se poslední razítko v CAdES struktuře archivních razítek.

Poznámky:

Skupina 1: Jedná se o staré zprávy z prvního roku provozu, stažené ještě v době před 16. 4. 2011, kdy se začalo přidávat časové razítko do značky správce.

Skupina 2: Jedná se o malou skupinu zpráv, které byly staženy nedávno (platí stále značka / pečeť správce), ale při stažení se nepodařilo získat od PostSignum on-line razítko (v tom případě se formát podpisu uloží jako CAdES-EPES). Protože je značka / pečeť správce v pořádku, lze provést v rámci Archivace doplnění časového razítka. Stejná situace může nastat u zpráv trezorových, stažených až po okamžiku exspirace certifikátu podacího razítka a současně s nedodáním časového razítka do značky při stažení.

Skupina 3: Většina normálních starých zpráv stažených před 16. 4. 2011. Po vložení do systému se provede Re-autorizace – neplatná značka správce se nahradí novou pečetí včetně aktuálního časového razítka, výsledkem je podepsaná zpráva ve formátu CAdES-T. Pro takovou zprávu je dalším krokem opakovaná archivace. Termín posledního předání „normálně získané“ zprávy k Re-autorizaci byl 23. 6. 2013, kdy vypršela platnost certifikátu TSU používaných 16. 4. 2011 při nasazení razítek do značky správce. Zprávy, stažené bez razítka (viz skupina 2), půjde re-autorizovat i nadále (pokud se takové objeví).

Skupina 4: Menší část zpráv stažených po 16. 4. 2011 bez časového razítka (ve formátu CAdES-EPES). Protože je značka / pečeť správce platná, není třeba provést Re-autorizaci, ale již Archivaci, i když je výsledkem jen formát CAdES-T (přidání časového razítka).

Skupina 5: Normální stav u správně archivovaných zpráv. Zpráva je označena prvním nebo archivním časovým razítkem v CAdES struktuře. V tom případě již nezáleží na stavu předchozích podpisů. Opakované volání Archivace způsobí přidání dalšího razítka a tím zachování trvalé průkaznosti zprávy.

Skupina 6: Případ, kdy si majitel zprávy včas neprodlouží platnost pomocí archivního razítka - zapomene provést další krok v Archivaci. Zpráva se stává nearchivovatelnou bez možnosti dodatečné nápravy.

Hlášení Portálu

Portál vrací v případě, že akce neproběhla, některý z následujících stavů:

Text na Portálu Vysvětlení
Předložená data nejsou ve formátu podepsané datové zprávy, dodejky ani doručenky. Předaný soubor nemá formát podepsané datové zprávy či dodejky / doručenky; soubor nevznikl výstupem z ISDS nebo do něj bylo později zasáhnuto.
Předložená data neodpovídají žádné datové zprávě, dodejce ani doručence. Předaný soubor sice odpovídá zprávě či dodejce, ale odpovídající datová zpráva nebyla v systému nalezena, např. při vložení zprávy z testovacího prostředí, nebo do zprávy bylo později zasáhnuto.
Platnost elektronické značky / pečeti správce vypršela. Archivace již není možná. Značka nebo pečeť správce již není platná, zprávu nelze dále udržovat pomocí archivních CAdES razítek.
Dokument v tomto okamžiku splňuje podmínky dlouhodobé průkaznosti a není třeba jej zatím doplňovat časovým razítkem. Pečeť správce již splňuje archivní formát CAdES-A a vložené archivní razítko zajišťuje platnost ještě po dlouhou dobu. Nově vložené razítko by nijak nerozšířilo platnost pečetě, je tedy nyní zbytečné provádět archivaci. Zopakujte akci později.
Nepodařilo se získat časové razítko. Opakujte akci později. TSA nevrátila rychle razítko, nelze pokračovat.
Od okamžiku získání posledního časového razítka neuplynula minimální lhůta <N> hodin. Opakujte akci po uplynutí minimální lhůty. Mezi sestavením variant CAdES musí uplynout určitý čas (např. 24 hodin u PostSignum) podle politik TSA o umísťování neplatných certifikátů na CRL. Před touto dobou není jistota, že nebyl odvolán certifikát předchozího razítka.
Podpis je v nesprávném formátu. Pro archivaci musí být podpis alespoň ve formátu CAdES-EPES. Podpis správce je starého formátu, u zpráv dodaných po roce 2012 by nemělo nastat.
Překročen povolený počet souběžných požadavků. Opakujte, prosím, požadavek později. Technické omezení souběžného volání operace.
Neočekávaná chyba v procesu autorizace/archivace. Zkuste akci opakovat později, a pokud potíže přetrvávají, obraťte se na Infolinku. Jiná chyba, neměla by nastat.

předešlá kapitolana rozcestníknásledující kapitola