PKI портал на Софийски Университет "Св. Климент Охридски"

PKI портал > PKI Документация > Windows > Adobe Reader > Използване на Adobe Reader за проверка на цифров (електронен) подпис, поставен върху PDF документи

Използване на Adobe Reader за проверка на цифров (електронен) подпис, поставен върху PDF документи

Средно време за изпълнение на инструкциите от начинаещ потребител: 10-15 минути

Съдържание:

  1. Предварителна информация
  2. Извършване на проверка на цифров (електронен) подпис, поставен върху PDF документ
  3. От къде да изтеглим подписан PDF файл с валиден цифров подпис за демонстрационни цели
  4. Какво е Long-time validation (LTV) подпис и защо е важен за цифрово (електронно) подписания PDF документооборот
  5. Помощ

 

1. Предварителна информация

Обръщаме Ви внимание, че: тази документация покрива единствено случая на използването на персонален X.509 сертификат за електронен подпис издаден от удостоверителя на СУ.

Ако вие желаете да използвате за същите цели друг персонален X.509 сертификат, като например КЕП издаден от B-Trust, InfoNotary, StampIT или други издатели на сертификати, то следва да използвате тяхната документация, тъй като много от настройките са строго специфични за конкретния издател.

 

За да може да проверите валидността на цифров (електронен) подпис, поставен върху съдържанието на PDF документ чрез персонален X.509 сертификат издаден от Университета, трябва задължително:

 

Обърнете внимание върху следните особености на валидността на цифровия (електронния) подпис поставен върху PDF документ:

  • Времето, посочено от Time Stamping сървъра е единственото доказателство за времето, по което е поставен цифровия (електронния) подпис върху документа. Всякакви други предположения относно това време, включитено устни и писмени деклрации от страна на този, който е подписал документа с персоналния си подписващ X.509 сертификат, не могат да бъдат приети за подобно доказателство, от гледна точка на модела на подписването на времето.
  • Наличието на валиден цифров подпис върху PDF документ не означава автоматично, че съдържанието на документа е вярно. Този подпис показва единствено, че този документ е подписан от този, чиито имена и електронен пощенски адрес виждате като титуляр в информацията за подписа, по времето, което Time Stamping сървъра е подписал (удостоверил). Ако титулярът е подписал цифрово документ с невярно съдържание, валидния му подпис върху документа не прави съдържанието вярно.
  • Наличието на валиден цифров подпис върху PDF документ не означава автоматично, че извършилият подписа има правото да издава документ с подобно съдържание. Във всеки случай, трябва да знате дали даден титуляр може да подписва документи с подобно съдържание (дали те имат сила) и от там да решите дали валидния цифров подпис, който той е поставил, има административна сила.

 

2. Извършване на проверка на цифров (електронен) подпис, поставен върху PDF документ

Стартирайте Adobe Reader като текущ потребител (без да избирате каквито и да са допълнителни стартови опции като "Run As Administrator"). Заредете в него цифрово подписания PDF документ. Ако в момента нямате подписан документ, с който да тествате процедурата описана по-долу, може да изтеглите примерен подписан PDF файл.

Ако съдържанието е наистина цифрово подписано, Adobe Acrobat ще иницира автоматична проверка на подписа и ако тя протече успешно, в главния прозорец на програмата ще се появи лента "Certificates", точно над съдържанието, в която лента трябва да виждате надписа "Signed and all signatures are valid" (1), както и информация за подписалия съдържанието, и времето на поставяне на подписа (2), върху някоя от страниците (обикновено е на първата, а може и да не виждате подобно поле, ако подписващия е решил да не го поставя - това не пречи на валидацията на подписа):

Ако не виждате написа "Signed and all signatures are valid" то има проблеми с валидацията на цифровия (електронния) подпис.
В този случай не може да приемете, че подписа е валиден.

За да видите детайли, свързани с подписа и валидацията му, натиснете върху "Signature Panel" (1) и след като се отвори панела с информация за поставените върху документа подписи (може да имате повече от един подпис върху един PDF документ), натиснете еднократно с левия бутон на мишката върху стрелката срещу информацията за подписа (2):

Ако не виждате текста "The signature includes an embedded timestamp" и "Signature is LTV enabled", подписът е с ограничена валидност. Почетете по-долу какво означава това.

За да видите повече информация за подписа натиснете върху надписа с автора на подписа еднократно, с десния бутон на мишката (1) и ще се отвори меню, в което може да проверите по-подробно параметрите на поставения цифров (електронен), избирайки "Show Signature Properties" (2):

Ако поставеният цифров (електронен) подпис е наистина валиден, в новоотворения прозорец ЗАДЪЛЖИТЕЛНО трябва да виждате информацията с моментния статус на валидността (най-отгоре, подчертана с червена ления на реда показан с червена стрелка на картинката по-долу), а също така и за проверката на времеподписването (това подписване е извършено с помощта на Time Stamping сървъра), чиито резултат е посочен по-долу чрез двете червени стрелки, намиращи се по средата на прозореца:

Задължително е да проверите дали Time Stamping сървъра, който е използван за подписването на времето е този, поддържан от сертификатния удостоверител на Софийския Университет. За целта, натиснете бутона "Advanced Properties":

след това "Show Certificate...":

и новоотворения прозорец проверете дали в секцията, посочена със стрелка на картинката по-долу, имате най-горе "SU ECC Root CA" (виж оградената в червено рамка в примера по-долу):

Ако не виждате "SU ECC Root CA" там, прекратете валидацията и уведомете за инцидента екипа за поддържката на PKI услугите, като използвате адреса за електронна поща, даден най-долу, в секция "Помощ".

Ако виждате "SU ECC Root CA" там, но под него има повече от един серификат в йерархията, прекратете валидацията и уведомете за инцидента екипа за поддържката на PKI услугите, като използвате адреса за електронна поща, даден най-долу, в секция "Помощ".

Само, ако предишната проверката е успешена, отново натиснете върху полето, описващо подписа, еднократно, с десния бутон на мишката (1) така, че да се отвори менюто, в което може да заявите визуализация само на тази част от съдържанието на документа, която е подписана, като изберете "View Signed Version" (2):

Визуализираното подписано съдържание ще има над себе си цветна лента (посочена е със стрелка на картинката по-долу), в която има обяснение, че показаното на екрана е само подписаната част от документа):

Защо се налага тази визуализация? Възможно е в документа има има динамични елементи, които да сочат към външно съдържане (включително мултимедия). Това съдържание не е част от документа и не е обект на подписването. Именно за това, проверяващият подписа трябва да знае коя част от информацията, която се визуализира при прегледа на PDF документа, е наистина подписана и коя е външна (неподписана).

 

3. От къде да изтеглим подписан PDF файл с валиден цифров подпис за демонстрационни цели

Ако искате да проверите дали всички настройки, който сте направили в Adobe Acrobat за проверка на валидността на цифрови подписи върху PDF документи (извършени с персонални X.509 сертификати издадени от Университета) работят, може да използвате примерен пподписан PDF файл и да валидирате подписа въхрху него.

С вашия браузър (Mozilla Firefox или Google Chrome) посетете следния адрес:

https://pki.uni-sofia.bg/demo/

и изтеглете от там файла "signed_demo.pdf", като натиснете еднократно върху него с десния бутон на мишката и в менюто, което ще се появи, изберете "Save Link As ...":

Ако не го изтеглите по тази процедура, а просто натиснете върху него с левия бутон на мишката, най-вероятно файла ще бъде отворен от PDF приствка в браузъра и няма да може да проверите цифровия подпис.

След като сте изтеглили файла локално, по начина показан по-горе, отворете го с Acrobat Reader и следвайте процедурата и обясненията от точка 2 по-горе, за да проверите цифровия подпис.

Ако не успеете да направите проверката, вижте секция "Помощ".

 

4. Какво е Long-time validation (LTV) подпис и защо е важен за цифрово (електронно) подписания PDF документооборот

В обикновения случай цифровия (електронния) подпис, който ще поставите върху PDF документа, би бил валиден докато е валиден вашия персонален X.509 сертификат, с който сте извършили подписването. Това създава изключително неудобство. Например, ако вашият сертификат изтича след 10 дни, а подписания PDF документ трябва да бъде валиден и след 30 дни, то трябва да си издадете нов персонален X.509, който ще покрива валидността на подписа във времето.

За да не се случва това, се използват Long-time Validation (LTV) подписи. Идеята на LTV подписа е, че той включва в себе си удостоверена информация за времето на подписването (Time Stamp), или друга подобна (OCSP, CRL), която удостоверява, че вашия сертификат е бил валиден към момента на поставянето на подписа. Така вашия LTV подпис е валиден за много по-дълъг период и е валиден дори след като валидността на сертификата ви изтече.

Именно поради тази причина, настройките за подписването на PDF документи, който потребителите на PKI услугите на Университета извършват на база на тази документация, създават LTV подписи.

 

5. Помощ

В случай, че при изпълнението на инструкциите, посочени в документа, възникне проблем, изпратете подробно описание на проблема, включително снимки от екрана, на адрес:

Използвайте вашия университетски e-mail адрес за изпращането на тази информация. В противен случай най-вероятно няма да ви бъде отговорено.

Ако по някаква причина не може да използвате вашия университетски електронен пощенски адрес, обадете се в работно време на телефон (+359 2) 96 31 338 или (+359 2) 81 61 591, за да получите инструкции как да процедирате в този случай.

Ако не знаете как да направите снимка на екрана, прочетете документа "Как да направим снимка на екрана в Windows".

 


Последна актуализация: 27 април 2020

Автор на първоначалната версия на документа: Веселин Колев

2020 УЦИКТ, Софийски Университет