'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C10.221%2012.8327%2012.8327%2010.221%2012.8327%206.99935C12.8327%203.77769%2010.221%201.16602%206.99935%201.16602C3.77769%201.16602%201.16602%203.77769%201.16602%206.99935C1.16602%2010.221%203.77769%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M1.16602%207H12.8327'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C8.28802%2012.8327%209.33268%2010.221%209.33268%206.99935C9.33268%203.77769%208.28802%201.16602%206.99935%201.16602C5.71068%201.16602%204.66602%203.77769%204.66602%206.99935C4.66602%2010.221%205.71068%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M2.875%202.95898C3.93063%204.01461%205.38896%204.66754%206.99978%204.66754C8.61062%204.66754%2010.069%204.01461%2011.1246%202.95898'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M11.1246%2011.0425C10.069%209.98691%208.61062%209.33398%206.99978%209.33398C5.38896%209.33398%203.93063%209.98691%202.875%2011.0425'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_1267_9109'%3e%3crect%20width='14'%20height='14'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Pagbubunyag sa Elektronikong Lagda: Pag-unawa Kung Paano Tinitiyak ng PAdES ang Seguridad ng Lagda sa PDF
Sa nakaraang artikulo, naunawaan natin nang simple ang ESI. Sa artikulong ito, mas malalim nating pag-aaralan at ikukumpara ang konsepto ng PAdES, upang makita natin kung paano tinutukoy ang format ng elektronikong lagda para sa PDF.
I. Ano ang PAdES?
- Depinisyon sa isang pangungusap
Ang PAdES (PDF Advanced Electronic Signature) ay isang hanay ng mga internasyonal na pamantayan para sa mga advanced na elektronikong lagda na idinisenyo para sa mga dokumentong PDF. Higit pa ito sa simpleng paglalagay ng selyo ng lagda sa isang PDF. Sa pamamagitan ng isang kumplikado ngunit pamantayang istraktura ng datos at mekanismo, tinitiyak nito na ang nilagdaang PDF file ay maaari pa ring mapatunayan at mapagkakatiwalaan pagkalipas ng maraming taon.
II. Pangunahing papel ng PAdES:
Ang mga ordinaryong elektronikong lagda ay nahaharap sa tatlong pangunahing panganib sa paglipas ng panahon:
- Pag-expire ng sertipiko: Ang mga digital na sertipiko na ginamit para sa paglagda ay karaniwang may bisa lamang ng 1-3 taon. Paano mapapatunayan ang orihinal na lagda pagkatapos mag-expire?
- Pag-crack ng algorithm: Ang mga secure na encryption algorithm ngayon ay maaaring ma-crack ng mas makapangyarihang mga computer sa hinaharap.
- Pagkawala ng materyales: Ang mga materyales na kinakailangan upang patunayan ang lagda, tulad ng listahan ng pagbawi ng sertipiko (CRL), ay maaaring isara ang kanilang mga server, na nagiging imposible upang mapatunayan.
Nilulutas ng PAdES ang mga problemang ito sa pamamagitan ng pagtukoy ng iba't ibang antas ng lagda, na umuunlad nang sunud-sunod:
- PAdES-B-B (Basic Level): Nagpapatunay sa pagkakakilanlan ng lumagda at integridad ng dokumento.
- PAdES-B-T (May Timestamp): Nagdaragdag ng mapagkakatiwalaang timestamp upang patunayan na ang lagda ay umiiral na sa isang tiyak na punto ng oras, na pumipigil sa pagtanggi pagkatapos ng katotohanan.
- PAdES-B-LT (Long-Term Validation): Ipinapaloob ang lahat ng materyales na kinakailangan para sa pagpapatunay (mga sertipiko, listahan ng pagbawi, atbp.) sa mismong PDF, na pumipigil sa kawalan ng kakayahang magpatunay dahil sa pagsasara ng mga panlabas na server.
- PAdES-B-LTA (Long-Term Validation and Archiving): Regular na bumubuo ng mga bagong timestamp na may mas secure na mga algorithm upang masakop ang buong pakete ng lagda, na lumalaban sa panganib ng pagiging lipas ng algorithm, at nakakamit ang permanenteng bisa.
Sa kasalukuyan, ang paggamit ng PAdES-B-T (may timestamp) ay maaaring matugunan ang mga pangunahing pangangailangan ng elektronikong lagda (pagkatapos ng lahat, ang posibilidad na bumagsak ang CA mismo ay hindi masyadong mataas, kaya ang pagpapatunay ng katayuan ng sertipiko ay karaniwang sinusuportahan).
III. Mga bahagi ng PAdES:
Ang isang PAdES na lagda ay may built-in na kumpletong "trust data package" sa PDF file:
- Halaga ng Lagda (Signature Value): Ang pangunahing halaga ng lagda batay sa mga cryptographic na operasyon.
- Sertipiko ng Lumagda (Signer's Certificate): Isang elektronikong ID na nagpapatunay sa pagkakakilanlan ng lumagda.
- Mapagkakatiwalaang Timestamp (Trusted Timestamp): Inisyu ng isang awtoridad, na nagpapatunay sa oras ng paglagda.
- Data ng Pagpapatunay (DSS - Document Security Store):
- Chain ng Sertipiko (Certificates): Ang sertipiko ng ahensya ng pag-isyu ng sertipiko ng lumagda.
- Impormasyon sa Pagbawi (Revocation Information): Isang listahan na nagpapatunay na ang sertipiko ay hindi binawi sa oras ng paglagda.
- Archive Timestamp: Sa antas ng LTA, ginagamit para sa pana-panahong "pagpapatibay" ng buong pakete ng lagda gamit ang mga bagong timestamp.
IV. Ang relasyon ng PAdES, CAdES at XAdES
Ang PAdES ay hindi isang hiwalay na pamantayan. Kasama ng CAdES at XAdES, bumubuo ito ng "tatlong karwahe" ng mga advanced na pamantayan ng elektronikong lagda ng ETSI (European Telecommunications Standards Institute). Ang pangunahing konsepto ng tatlong pamantayang ito ay pareho, na naglalayong makamit ang pangmatagalang bisa at katiyakan ng tiwala ng mga elektronikong lagda. Ngunit mayroon silang iba't ibang mga katangian para sa iba't ibang mga format ng file at mga sitwasyon ng aplikasyon.
Ang CAdES (CMS Advanced Electronic Signatures) ay isang pamantayan ng elektronikong lagda na malawak na naaangkop sa anumang format ng file, at lalong mahusay kapag ang isang file ay nangangailangan ng isang hiwalay na lagda. Ang XAdES (XML Advanced Electronic Signatures) ay partikular na idinisenyo para sa elektronikong paglagda ng data ng XML, at maaaring maging detalyado sa antas ng elemento ng data, na angkop para sa paglagda ng nakabalangkas na data. Kung ikukumpara sa dalawang ito, ang PAdES (PDF Advanced Electronic Signatures) ay nakatuon sa paglagda ng mga PDF file, na nagbibigay-diin sa malapit na pagsasama ng lagda at dokumento, na nagbibigay ng mahusay na visual na karanasan, at maaaring intuitively na makita ng mga user ang pagkakaroon ng lagda.
Ang tatlo ay nagbabahagi ng parehong hanay ng mga ideya, at lahat ay sumusuporta sa iba't ibang antas ng mga lagda tulad ng B-B, B-T, B-LT, at B-LTA, na nagsusumikap na makamit ang pangmatagalang bisa. Umaasa sila sa parehong imprastraktura, kabilang ang Public Key Infrastructure (PKI), at mga serbisyo ng timestamp (TSA). Sa mga tuntunin ng legal na balangkas, ang tatlo ay sumusunod din sa mga katulad na kinakailangan sa regulasyon, na sumusunod sa mga regulasyon ng eIDAS ng EU at iba pang mga regulasyon para sa mga advanced na elektronikong lagda.
Depende sa format ng file, maaaring piliin ng mga user ang naaangkop na pamantayan ayon sa kanilang mga pangangailangan: kung kailangan mong lagdaan ang anumang uri ng file, maaari mong piliin ang CAdES; kung ang data ng XML ay nilalagdaan, piliin ang XAdES; at para sa paglagda ng mga dokumentong PDF, piliin ang PAdES.
V. PAdES vs. Chinese Standard GB/T 31308.3-2023
Ang pamantayan ng GB/T 31308.3-2023 ng China ay ganap na pareho sa teknikal sa internasyonal na pamantayan ng PAdES (ETSI EN 319 142). Ang pangunahing mekanismo, antas ng lagda, at layunin ng dalawa ay pareho, na naglalayong lutasin ang pangmatagalang bisa at legal na bisa ng mga elektronikong lagda ng PDF. Sa madaling salita, walang pagkakaiba sa mga teknikal na detalye sa pagitan ng internasyonal na pamantayan ng PAdES at ang pamantayan ng GB/T 31308.3, ngunit mayroong iba't ibang mga kinakailangan sa ilang mahahalagang aspeto, pangunahin sa mga tuntunin ng mga cryptographic algorithm at pagpili ng mga ugat ng tiwala.
Ang internasyonal na pamantayan ng PAdES ay karaniwang gumagamit ng mga internasyonal na karaniwang cryptographic algorithm tulad ng RSA, ECDSA, at SHA-2, habang ang pamantayan ng GB/T 31308.3 ay higit na nagbibigay-diin sa paggamit ng mga cryptographic algorithm ng estado (tulad ng SM2, SM3, SM9) na independiyenteng binuo ng China. Bilang karagdagan, ang PAdES ay umaasa sa mga CA/TSA na institusyon na kinikilala ng internasyonal o EU, habang ang GB/T 31308.3 ay nangangailangan ng paggamit ng mga domestic service institution na sertipikado ng Chinese commercial cryptography product certification at CA license.
Sa mga tuntunin ng mga larangan ng aplikasyon, ang internasyonal na PAdES ay mas malawak na ginagamit sa mga cross-border na elektronikong kontrata at internasyonal na mga dokumento sa kalakalan, na nakakatugon sa mga pangangailangan ng internasyonal na merkado at mga kinakailangan sa cross-border na pagkilala. Ang GB/T 31308.3 ay pangunahing ginagamit sa mga domestic na dokumento ng pamahalaan, mga kontrata sa pananalapi, mga pagpapatunay ng hudisyal, at iba pang mga larangan, na nakakatugon sa mga domestic na regulasyon ng industriya at mga legal na kinakailangan ng China.
Sa pangkalahatan, ang internasyonal na PAdES ay maaaring ituring bilang isang "internasyonal na karaniwang pasaporte," habang ang GB/T 31308.3 ay ang "espesyal na bersyon ng China" ng pasaporteng ito. Bagama't ang mga teknikal na detalye ay ganap na pareho, sa aktwal na aplikasyon, dapat sundin ang mga legal na kinakailangan ng China, tulad ng "Electronic Signature Law" at "Cryptography Law," at gamitin ang tinukoy na "anti-counterfeiting technology" (state cryptography algorithm).
VI. Buod
Ang PAdES ay isa sa mga batayang teknolohiya para sa pagbuo ng pangmatagalang tiwala sa digital age. Sa pamamagitan ng pagsasama sa CAdES at XAdES, nagbibigay ito ng komprehensibong solusyon para sa iba't ibang mga sitwasyon ng aplikasyon, na tinitiyak na ang mga elektronikong lagda mula sa data hanggang sa mga dokumento ay makatiis sa pagsubok ng panahon.
Para sa mga negosyo, ang pag-unawa at paggamit ng PAdES (o domestic GB/T 31308.3) ay nangangahulugan ng:
- Legal na proteksyon: Ang mga nilagdaang elektronikong kontrata ay may mas malakas na bisa ng ebidensyang hudisyal.
- Pagbawas ng gastos at pagtaas ng kahusayan: Napagtanto ang buong proseso ng walang papel, at ang pamamahala ng kontrata, pag-archive, at pag-verify ay mas maginhawa.
- Pangmatagalang pagsunod: Natutugunan ang mga pangmatagalang kinakailangan sa pag-archive ng iba't ibang mga regulasyon sa loob at labas ng bansa para sa mga elektronikong lagda.
