'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C10.221%2012.8327%2012.8327%2010.221%2012.8327%206.99935C12.8327%203.77769%2010.221%201.16602%206.99935%201.16602C3.77769%201.16602%201.16602%203.77769%201.16602%206.99935C1.16602%2010.221%203.77769%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M1.16602%207H12.8327'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C8.28802%2012.8327%209.33268%2010.221%209.33268%206.99935C9.33268%203.77769%208.28802%201.16602%206.99935%201.16602C5.71068%201.16602%204.66602%203.77769%204.66602%206.99935C4.66602%2010.221%205.71068%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M2.875%202.95898C3.93063%204.01461%205.38896%204.66754%206.99978%204.66754C8.61062%204.66754%2010.069%204.01461%2011.1246%202.95898'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M11.1246%2011.0425C10.069%209.98691%208.61062%209.33398%206.99978%209.33398C5.38896%209.33398%203.93063%209.98691%202.875%2011.0425'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_1267_9109'%3e%3crect%20width='14'%20height='14'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
ไขความลับลายเซ็นอิเล็กทรอนิกส์: ทำความเข้าใจว่า PAdES ช่วยรับรองความปลอดภัยของลายเซ็น PDF ได้อย่างไร
บทความก่อนหน้านี้เราได้ทำความเข้าใจ ESI อย่างง่ายๆ ในบทความนี้เราจะทำการศึกษาและเปรียบเทียบแนวคิด PAdES อย่างลึกซึ้งยิ่งขึ้น เพื่อให้เราเห็นว่ารูปแบบลายเซ็นอิเล็กทรอนิกส์สำหรับ PDF นั้นถูกกำหนดไว้อย่างไร
1. PAdES คืออะไร?
- คำจำกัดความในประโยคเดียว
PAdES (PDF Advanced Electronic Signature) คือชุดมาตรฐานสากลสำหรับลายเซ็นอิเล็กทรอนิกส์ขั้นสูงที่ออกแบบมาสำหรับเอกสาร PDF มันเป็นมากกว่าแค่การใส่ตราประทับลายเซ็นใน PDF แต่เป็นการใช้ชุดโครงสร้างข้อมูลและกลไกที่ซับซ้อนแต่ได้มาตรฐาน เพื่อให้มั่นใจว่าไฟล์ PDF ที่ลงนามแล้วยังคงสามารถตรวจสอบและเชื่อถือได้แม้เวลาผ่านไปหลายปี
2. บทบาทหลักของ PAdES:
ลายเซ็นอิเล็กทรอนิกส์ทั่วไปจะเผชิญกับความเสี่ยงหลัก 3 ประการเมื่อเวลาผ่านไป:
- ใบรับรองหมดอายุ: ใบรับรองดิจิทัลที่ใช้ในการลงนามมักมีอายุเพียง 1-3 ปี จะตรวจสอบลายเซ็นเดิมได้อย่างไรหลังจากหมดอายุ?
- การถอดรหัสอัลกอริทึม: อัลกอริทึมการเข้ารหัสที่ปลอดภัยในปัจจุบันอาจถูกถอดรหัสโดยคอมพิวเตอร์ที่มีประสิทธิภาพมากขึ้นในอนาคต
- การสูญหายของวัสดุ: วัสดุที่จำเป็นสำหรับการตรวจสอบลายเซ็น เช่น รายการเพิกถอนใบรับรอง (CRL) เซิร์ฟเวอร์อาจปิด ทำให้ไม่สามารถตรวจสอบได้
PAdES แก้ปัญหาเหล่านี้ทีละขั้นตอนโดยกำหนดระดับลายเซ็นที่แตกต่างกัน:
- PAdES-B-B (ระดับพื้นฐาน): พิสูจน์ตัวตนของผู้ลงนามและความสมบูรณ์ของเอกสาร
- PAdES-B-T (พร้อมการประทับเวลา): เพิ่มการประทับเวลาที่เชื่อถือได้ เพื่อพิสูจน์ว่าลายเซ็นมีอยู่แล้ว ณ เวลาใดเวลาหนึ่ง ป้องกันการปฏิเสธในภายหลัง
- PAdES-B-LT (การตรวจสอบระยะยาว): บรรจุวัสดุทั้งหมดที่จำเป็นสำหรับการตรวจสอบ (ใบรับรอง รายการเพิกถอน ฯลฯ) ลงใน PDF เอง เพื่อป้องกันการไม่สามารถตรวจสอบได้เนื่องจากการปิดเซิร์ฟเวอร์ภายนอก
- PAdES-B-LTA (การตรวจสอบระยะยาวและการเก็บถาวร): สร้างการประทับเวลาใหม่เป็นระยะๆ ด้วยอัลกอริทึมที่ปลอดภัยยิ่งขึ้น ครอบคลุมทั้งแพ็กเกจลายเซ็น เพื่อต่อต้านความเสี่ยงที่อัลกอริทึมจะล้าสมัย ทำให้มีผลถาวร
โดยทั่วไปแล้ว การใช้ PAdES-B-T (พร้อมการประทับเวลา) ก็เพียงพอที่จะตอบสนองความต้องการขั้นพื้นฐานของข้อกำหนดลายเซ็นอิเล็กทรอนิกส์ (ท้ายที่สุดแล้ว ความเป็นไปได้ที่ CA จะล้มละลายนั้นไม่สูง ดังนั้นการตรวจสอบสถานะใบรับรองโดยทั่วไปจึงสามารถรองรับได้)
3. องค์ประกอบของ PAdES:
ลายเซ็น PAdES จะฝัง "แพ็กเกจข้อมูลความน่าเชื่อถือ" ที่สมบูรณ์ไว้ในไฟล์ PDF:
- ค่าลายเซ็น (Signature Value): ค่าลายเซ็นหลักที่ใช้การคำนวณทางคริปโตกราฟี
- ใบรับรองของผู้ลงนาม (Signer's Certificate): บัตรประจำตัวอิเล็กทรอนิกส์ที่พิสูจน์ตัวตนของผู้ลงนาม
- การประทับเวลาที่เชื่อถือได้ (Trusted Timestamp): ออกโดยหน่วยงานที่เชื่อถือได้ เพื่อพิสูจน์เวลาที่ลงนาม
- ข้อมูลการตรวจสอบ (DSS - Document Security Store):
- สายใบรับรอง (Certificates): ใบรับรองของหน่วยงานที่ออกใบรับรองของผู้ลงนาม
- ข้อมูลการเพิกถอน (Revocation Information): รายการที่พิสูจน์ว่าใบรับรองไม่ได้ถูกเพิกถอน ณ เวลาที่ลงนาม
- การประทับเวลาเก็บถาวร (Archive Timestamp): ในระดับ LTA ใช้สำหรับการ "เสริมความแข็งแกร่ง" ให้กับแพ็กเกจลายเซ็นทั้งหมดด้วยการประทับเวลาใหม่เป็นระยะๆ
4. ความสัมพันธ์ระหว่าง PAdES, CAdES และ XAdES
PAdES ไม่ใช่มาตรฐานที่โดดเดี่ยว แต่ร่วมกับ CAdES และ XAdES ก่อให้เกิด "สามทหารเสือ" ของมาตรฐานลายเซ็นอิเล็กทรอนิกส์ขั้นสูงของ ETSI (European Telecommunications Standards Institute) แนวคิดหลักของทั้งสามมาตรฐานนี้เหมือนกัน คือมุ่งมั่นที่จะทำให้ลายเซ็นอิเล็กทรอนิกส์มีผลบังคับใช้ในระยะยาวและรับประกันความน่าเชื่อถือ แต่มีลักษณะเฉพาะที่แตกต่างกันสำหรับรูปแบบไฟล์และสถานการณ์การใช้งานที่แตกต่างกัน
CAdES (CMS Advanced Electronic Signatures) เป็นมาตรฐานลายเซ็นอิเล็กทรอนิกส์ที่ใช้กันอย่างแพร่หลายสำหรับรูปแบบไฟล์ใดๆ โดยเฉพาะอย่างยิ่งเมื่อจำเป็นต้องมีลายเซ็นแบบแยกส่วน XAdES (XML Advanced Electronic Signatures) ได้รับการออกแบบมาโดยเฉพาะสำหรับการลงนามข้อมูล XML สามารถลงนามได้ละเอียดถึงระดับองค์ประกอบข้อมูล เหมาะสำหรับการลงนามข้อมูลที่มีโครงสร้าง เมื่อเทียบกับทั้งสองอย่างนี้ PAdES (PDF Advanced Electronic Signatures) มุ่งเน้นไปที่การลงนามไฟล์ PDF โดยเน้นการรวมลายเซ็นเข้ากับเอกสารอย่างใกล้ชิด มอบประสบการณ์การมองเห็นที่ดี ผู้ใช้สามารถรับรู้ถึงการมีอยู่ของลายเซ็นได้อย่างสังหรณ์ใจ
ทั้งสามใช้ชุดแนวคิดเดียวกัน รองรับลายเซ็นระดับต่างๆ เช่น B-B, B-T, B-LT, B-LTA และมุ่งมั่นที่จะทำให้มีผลบังคับใช้ในระยะยาว พวกเขาอาศัยโครงสร้างพื้นฐานเดียวกัน รวมถึงโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) และบริการประทับเวลา (TSA) ในด้านกรอบกฎหมาย ทั้งสามยังปฏิบัติตามข้อกำหนดด้านกฎระเบียบที่คล้ายคลึงกัน ซึ่งสอดคล้องกับข้อกำหนดของกฎระเบียบ eIDAS ของสหภาพยุโรปและกฎระเบียบอื่นๆ สำหรับลายเซ็นอิเล็กทรอนิกส์ขั้นสูง
ผู้ใช้สามารถเลือกมาตรฐานที่เหมาะสมได้ตามความต้องการตามรูปแบบไฟล์ที่แตกต่างกัน: หากจำเป็นต้องลงนามไฟล์ประเภทใดก็ได้ สามารถเลือก CAdES ได้ หากลงนามข้อมูล XML ให้เลือก XAdES และสำหรับการลงนามเอกสาร PDF ให้เลือก PAdES
5. PAdES เทียบกับมาตรฐานจีน GB/T 31308.3-2023
มาตรฐาน GB/T 31308.3-2023 ของจีนสอดคล้องกับมาตรฐานสากล PAdES (ETSI EN 319 142) อย่างสมบูรณ์ในด้านเทคนิค กลไกหลัก ระดับลายเซ็น และเป้าหมายของทั้งสองเหมือนกัน โดยมีจุดมุ่งหมายเพื่อแก้ไขปัญหาความถูกต้องในระยะยาวและผลทางกฎหมายของลายเซ็นอิเล็กทรอนิกส์ PDF กล่าวโดยย่อ มาตรฐาน PAdES สากลและมาตรฐาน GB/T 31308.3 ไม่มีความแตกต่างในข้อกำหนดทางเทคนิค แต่มีข้อกำหนดที่แตกต่างกันในด้านที่สำคัญบางประการ ซึ่งส่วนใหญ่สะท้อนให้เห็นในการเลือกอัลกอริทึมการเข้ารหัสและรากฐานความน่าเชื่อถือ
มาตรฐานสากล PAdES มักใช้อัลกอริทึมการเข้ารหัสที่ใช้กันทั่วไปในระดับสากล เช่น RSA, ECDSA และ SHA-2 ในขณะที่มาตรฐาน GB/T 31308.3 เน้นการใช้อัลกอริทึมการเข้ารหัสลับของรัฐ (เช่น SM2, SM3, SM9) ที่พัฒนาขึ้นเองของจีน นอกจากนี้ PAdES ยังขึ้นอยู่กับสถาบัน CA/TSA ที่ได้รับการยอมรับในระดับสากลหรือสหภาพยุโรป ในขณะที่ GB/T 31308.3 กำหนดให้ใช้สถาบันบริการในประเทศที่ได้รับการรับรองผลิตภัณฑ์รหัสลับเชิงพาณิชย์ของจีนและได้รับอนุญาตจาก CA
ในด้านการใช้งาน PAdES สากลถูกนำไปใช้ในสัญญาอิเล็กทรอนิกส์ข้ามพรมแดนและเอกสารการค้าระหว่างประเทศ และอื่นๆ ซึ่งสอดคล้องกับความต้องการของตลาดสากลและข้อกำหนดสำหรับการยอมรับร่วมกันข้ามพรมแดน ในขณะที่ GB/T 31308.3 ส่วนใหญ่จะใช้ในเอกสารราชการ สัญญาทางการเงิน การเก็บรักษาหลักฐานทางศาล และสาขาอื่นๆ ในประเทศ ซึ่งสอดคล้องกับข้อกำหนดทางอุตสาหกรรมและข้อกำหนดทางกฎหมายในประเทศจีน
โดยรวมแล้ว PAdES สากลสามารถมองได้ว่าเป็น "หนังสือเดินทางสากล" ในขณะที่ GB/T 31308.3 เป็น "ฉบับพิเศษของจีน" ของหนังสือเดินทางเล่มนี้ แม้ว่าข้อกำหนดทางเทคนิคจะเหมือนกันทุกประการ แต่ในการใช้งานจริง จะต้องปฏิบัติตามข้อกำหนดทางกฎหมายของจีน เช่น "กฎหมายลายเซ็นอิเล็กทรอนิกส์" และ "กฎหมายรหัสลับ" และใช้ "เทคโนโลยีป้องกันการปลอมแปลง" ที่กำหนด (อัลกอริทึมรหัสลับของรัฐ)
6. สรุป
PAdES เป็นหนึ่งในเทคโนโลยีพื้นฐานสำหรับการสร้างความไว้วางใจในระยะยาวในยุคดิจิทัล ด้วยการรวมเข้ากับ CAdES และ XAdES ทำให้มีโซลูชันที่ครอบคลุมสำหรับสถานการณ์การใช้งานที่แตกต่างกัน เพื่อให้มั่นใจว่าลายเซ็นอิเล็กทรอนิกส์ตั้งแต่ข้อมูลไปจนถึงเอกสารสามารถทนต่อการทดสอบของเวลาได้
สำหรับองค์กร การทำความเข้าใจและนำ PAdES (หรือ GB/T 31308.3 ในประเทศ) มาใช้ หมายถึง:
- การรับประกันทางกฎหมาย: สัญญาอิเล็กทรอนิกส์ที่ลงนามมีผลบังคับใช้เป็นหลักฐานทางศาลที่แข็งแกร่งยิ่งขึ้น
- ลดต้นทุนและเพิ่มประสิทธิภาพ: ตระหนักถึงกระบวนการที่ไม่ใช้กระดาษทั้งหมด การจัดการสัญญา การเก็บถาวร และการตรวจสอบที่สะดวกยิ่งขึ้น
- การปฏิบัติตามกฎระเบียบในระยะยาว: ตอบสนองข้อกำหนดการเก็บถาวรระยะยาวสำหรับลายเซ็นอิเล็กทรอนิกส์ภายใต้กฎระเบียบต่างๆ ทั้งในและต่างประเทศ
