Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
-
5. září 2024
Matrixmedia - Obsluha a tisk na velkoformátových digitálních tiskárnách
-
30. září 2024
-
4. října 2024
skenerista, osvitář
Elektronický podpis v Adobe Readeru a Acrobatu 8 (2): Nastavení digitálního identifikátoru a podepisování dokumentů
26. března 2007, 00.00 | V této části našeho seriálu o použití elektronického podpisu v publikačních workflow se nejprve podíváme na konkrétní postupy spojené s vytvořením a použitím digitálního identifikátoru. Následně bude naše pozornost věnována digitálnímu podepisování PDF dokumentů.
V úvodní části našeho seriálu jsme nastínili principy a možnosti nasazení digitálního podpisu v prostředí publikačních workflow. V tomto díle se podíváme na konkrétní kroky, jež jsou zapotřebí při práci s digitálním identifikátorem a podepisováním dokumentů – zajímat nás takto nicméně bude pouze podepisování schvalovací, tj. indikující, že dokument byl zpracován určitou osobou (vhodné například při komentování či schvalováním náhledů), nikoli podepisování certifikační, zajišťující konzistenci dokumentu vzhledem k určitým úpravám – tomu se budeme věnovat až v části příští. Náš výklad bude zaměřen na nasazení v kombinaci Adobe Reader a Acrobat Professional 8, která dovoluje odpovídajícím způsobem nastavené PDF dokumenty podepisovat i v prostředí bezplatného Readeru.
Digitální identifikátor a podpis
Připomeňme nejprve základní principy, vysvětlené blíže v předchozím díle: uživatel vkládá do dokumentu na určené místo (viditelné pole podpisu nebo neviditelný podpis na panelu Podpisy) svůj digitální podpis, který obsahuje jeho kontaktní údaje, informace o datu, čase a důvodech podpisu či také třeba libovolnou PDF grafiku. Ověření věrohodnosti podpisu (tj. toho, že dokument podepsal opravdu daný uživatel) garantuje použití digitálního identifikátoru spojeného s podpisem. Ten obsahuje dva tzv. klíče: soukromý, s jehož pomocí se připojí zašifrovaný údaj o identifikátoru k vloženému podpisu, a veřejný, jinak též veřejný certifikát, který vlastník daného identifikátoru sdílí s jinými uživateli. Ti mohou daný certifikát použít k ověření identity tvůrce podpisu ve své instalaci Acrobatu či Readeru nebo také zašifrování dokumentů, které pak může dešifrovat pouze osoba s daným digitálním identifikátorem pomocí svého soukromého klíče.
Tvorba digitálního identifikátoru
Vytvoření digitálního identifikátoru uživatele je základním úkonem, od kterého se odvíjí v podstatě jakákoli další práce s elektronickým podpisem. Každý uživatel přitom může mít řadu digitálních identifikátorů, určených k různým účelům a pro různé workflow. My se v našem dalším výkladu budeme věnovat výlučně práci s identifikátory s vlastním podpisem (tzv. self signed digital ID), které si uživatel může vytvořit přímo v Readeru či Acrobatu, neboť použití daného typu identifikátorů je v současnosti asi nejvhodnější pro námi nastíněné nasazení digitálního podpisu v publikačních workflow. Jinak je možné rovněž přidělení digitálního identifikátoru třetí stranou, která pak ručí za důvěryhodnost jeho uživatele – daný typ identity se dnes i u nás dá použít například při komunikaci se státní správou.
K přidání identifikátoru s vlastním podpisem slouží okno Nastavení zabezpečení, vyvolané v Acrobatu příkazem Další volby-Nastavení zabezpečení, v Readeru pak příkazem Dokument-Nastavení zabezpečení. Pro námi naznačené účely je zapotřebí v levé části daného okna zvolit položku Digitální identifikátory a poté v pravé části stisknout tlačítko pro přidání nového identifikátoru.
V následném průvodci nejprve uživatel zvolí, že chce vytvořit identifikátor s vlastním podpisem.
Ve Windows má pak na výběr, zda identifikátor bude uložen v souboru ve formátu PKCS#12, užívaném pro údaje daného typu, nebo zda identifikátor uloží v odpovídajícím úložišti Windows. V prvním případě je možno vzniklý soubor uložit či přenášet dle libosti (je tedy flexibilnější), v druhém případě je spravován Windows na odpovídající destinaci, lze jej pak ale využívat i v jiných aplikacích a systémech, které umožňují použití daného typu informací. Uživatelé počítačů Macintosh mají k dispozici pouze uložení do PKCS#12.
V nejdůležitějším kroku daného průvodce pak uživatel vyplňuje informace spojené s jeho identitou. Údaje o jménu, organizační jednotce či názvu organizace lze takto zadat ve dvou podobách – ASCII a Unicode, jejich užití je pak závislé na aplikaci či systému, který je zpracovává, doporučujeme nastavení obou podob. Výchozí nastavení některých z těchto údajů se přebírají z předvoleb Acrobatu nebo Readeru nastavených na panelu Identita (viz Úpravy-Předvolby-Identita). V daném kroku pak ještě lze zvolit typ klíče pro zašifrování identity (možno ponechat výchozí 1024-bitový RSA) a k jakým účelům bude identifikátor použit (zde se obvykle nastavuje obojí využití, tj. pro digitální podpisy a šifrování dat).
Pokud uživatel zvolil v předchozím kroku průvodce, že se má identifikátor uložit do úložiště Windows, jeho nastavení v danou chvíli končí. Identifikátor bude od této chvíle dostupný vždy, když se uživatel na daném počítači pod svým heslem přihlásí do Windows. Odstranění tohoto identifikátoru je pak možné nikoli z Acrobatu či Readeru, ale přes ovládací panel Možnosti Internetu (karta Obsah, tlačítko Certifikáty, karta Osobní). V případě uložení do PKSC#12 ještě uživatel zadá umístění souboru identifikátoru a zajistí jeho obsah (alespoň šestipísmenným) heslem. Takovýto identifikátor – resp. jeho soubor – pak může mít například uložen na USB klíčence a používat ho i na jiných počítačích. K případnému pozdějšímu odstranění je třeba název daného identifikátoru vybrat v okně Nastavení zabezpečení a pak stisknout tlačítko Odstranit identifikátor.
Sdílení veřejného certifikátu
Uživatel může kdykoli veřejný certifikát k jednomu ze svých digitálních identifikátorů poskytnout jiným uživatelům, kteří jej pak, jak již bylo řečeno, použijí k ověřování pravosti digitálně podepsaných dokumentů nebo zašifrování dokumentů pro daného uživatele. Pro poskytnutí certifikátu je zapotřebí opět otevřít okno Nastavení zabezpečení, zde vybrat odpovídající identifikátor a stisknout tlačítko Exportovat.
Nyní lze zvolit mezi odesláním certifikátu e-mailem nebo jeho uložením do souboru. Je-li zvoleno odeslání, uživatel zadá požadovanou adresu, doplní údaje v předmětu a těle e-mailu, ke kterému je certifikát připojen, a poté nechá tento odeslat výchozím poštovním klientem. V případě uložení do souboru pak lze daný soubor distribuovat k jiným uživatelům různými způsoby, mimo rozesílání přes e-mail to může být třeba i sdílení v lokální síti.
Tvorba seznamu důvěryhodných identit
Aby mohl být veřejný certifikát použit k výše naznačeným účelům, musí si jej jeho příjemce zařadit do svého seznamu důvěryhodných identit v Acrobatu či Readeru. (Ve Windows jsou pak navíc k dispozici i specifické mechanismy pro certifikáty daného systému, těm se zde věnovat nebudeme.) Za daným účelem lze nejsnáze přímo poklepat na soubor certifikátu (například v příloze mailu), a je-li přiřazení aplikací nastaveno standardním způsobem, zobrazí se příslušná výzva pro přidání certifikátu v dané aplikaci.
Před přidáním je ještě možno stisknout tlačítko Nastavit důvěryhodnost kontaktu a v následném dialogu určit, pro jaké účely je daná identita důvěryhodná. Pro ověřování podpisů v rámci schvalovacího podepisování stačí zaškrtnout volbu Podpisy a jako důvěryhodný kořen. Další volby se v daném dialogu týkají certifikování dokumentů, kterému se budeme věnovat až příště.
K přidávání certifikátů i jejich správě pak dále slouží odpovídající dialog, vyvolaný v Readeru příkazem Dokument-Správa důvěryhodných identit, v Acrobatu pak příkazem Další volby-Správa důvěryhodných identit. Veřejný certifikát zde lze přidat klepnutím na tlačítko Přidat kontakty, dané označení považujeme za poněkud zavádějící.
V následném dialogu uživatel použije tlačítko Procházet k tomu, aby nalezl soubor certifikátu v systému; po načtení může označit název příslušného certifikátu a provést nastavení důvěryhodnosti stiskem tlačítka Důvěryhodnost. Tlačítko Hledat pak dovoluje hromadně najít soubory certifikátů například na sdílených serverových discích.
Nastavení vlastního vzhledu digitálního podpisu
Údaje nastavené v rámci digitálního identifikátoru se odpovídajícím způsobem vkládají do digitálního podpisu. K dispozici je zde mimo výchozího, automaticky generovaného vzhledu i možnost vytvořit si vzhled vlastní, personalizovaný – pro jednu identitu lze takto použít vícero různých podob. Uvedená možnost se hodí například tehdy, pokud chce uživatel v rámci digitálního podpisu vložit do dokumentu například naskenovaný vlastní podpis fyzický (neboť uživatelské nastavení vzhledu podpisu podporuje i použití grafiky v PDF) nebo z obsahu podpisu vyloučit určité údaje. Podrobněji se tu tvorbou uživatelských podob podpisů zabývat nebudeme, uživatele zde odkazujeme na příslušnou dokumentaci. Každopádně alespoň na tomto místě poznamenejme, že příslušné nastavení se provádí v předvolbách (karta Zabezpečení, část Vzhled).
Podepsání dokumentu
PDF dokumenty lze podepisovat buďto viditelně, nebo neviditelně. Neviditelný podpis je používán pouze k certifikaci dokumentů, kterou se budeme zabývat až příště, na tomto místě se chceme věnovat pouze viditelnému podepisování. Pro to je zapotřebí, aby bylo do dokumentu vloženo odpovídající pole podpisu, což je speciální případ pole formulářového.
K dispozici zde takto jsou v podstatě dva scénáře užití – při prvním vloží pole pro podpis (v jednom dokumentu jich může být libovolné množství na různých místech, vkládá se nástrojem Digitální podpis z palety nástrojů Formuláře) do dokumentu ten, kdo podpis dokumentu vyžaduje, a spolu s odpovídající instrukcí dokument postoupí jiným uživatelům. Ti pak provedou podepsání nejsnáze poklepáním do daného pole a následným nastavením několika parametrů na panelu v dialogu Podepsat dokument. Pokud přitom uživatel chce takto vložit do podpisu mimo standardních údajů například i informace o důvodech podepsání či místě a kontaktu, může tak učinit díky předchozím nastavením v předvolbách (viz Úpravy-Předvolby-Zabezpečení-Další předvolby). Mimo poklepání na dané pole lze dále rovněž použít příkaz Podepsat-Podepsat dokument (v Readeru v nabídce Dokument, v Acrobatu v nabídce Další volby), který automaticky vybere pole podpisu a zobrazí odpovídající podpisový dialog. Pokud je polí pro podpis v dokumentu více, lze daný postup opakovat, kontrolu stavu všech podpisových polí dokumentu poskytuje panel Podpisy. Po podepsání nabídne Acrobat či Reader možnost uložit dokument pod novým názvem.
Druhou možnost podepsání představuje to, že pole podpisu vloží do dokumentu až podepisující osoba. V daném případě zadá příkaz Podepsat-Vložit podpis a poté nakreslí pole podpisu v dokumentu tažením.
Při podepisování jedním či druhým způsobem je vhodné přepnout dokument do režimu náhledu (viz Dokument nebo Další volby-Podepsat-Náhled dokumentu). Ten eliminuje nechtěné změny vzhledu dokumentu použitím dynamických prvků (JavaScript, průhlednost aj.), takže dává větší garanci toho, že uživatel opravdu podepisuje to, co si přeje.
K tomu, aby bylo možno naznačenými způsoby podepisovat i v Adobe Readeru 8, je zapotřebí, aby byl daný PDF dokument příslušným způsobem nastaven v Acrobatu 8 Professional. Konkrétně je zde třeba pro daný dokument zadat příkaz Další volby-Povolit práva použití v Adobe Readeru.
Ověření podepsaného dokumentu
U podepsaných dokumentů lze různými způsoby ověřit platnost vložených podpisů. Toto ověření může proběhnout při otevření dokumentu (viz odpovídající nastavení v Úpravy-Předvolby-Zabezpečení), nebo kdykoli později zadáním příslušného příkazu (Dokument nebo Další Volby-Podepsat a certifikovat-Ověřit všechny podpisy). Podpis pak nemusí být neplatný jen proto, že se veřejný certifikát podepisující osoby nenachází v seznamu důvěryhodných identit. Jinými příčinami může být vypršení platnosti certifikátu či jeho odvolání nebo též změna daného dokumentu poté, co byl podepsán.
Stav ověření toho či onoho podpisu je v dokumentu indikován odpovídající ikonou, přehled stavu všech podpisů takto nejlépe uživatel opět získá na panelu Podpisy. K řešení problémů s podpisem lze použít různé postupy, někdy stačí přidat správný veřejný certifikát do seznamu důvěryhodných identit (viz postup popsaný výše), jinak je obvykle vhodné použít příkaz Zobrazit vlastnosti podpisu, vyvolaný z odpovídající kontextové nabídky nad daným podpisem, a v následném dialogu pak analyzovat možné příčiny problémů.
-
14. května 2014
Jak vkládat snímky do galerií a soutěží? Stručný obrazový průvodce
-
23. dubna 2014
Konica Minolta přenesla výhody velkých zařízení do kompaktních modelů
-
12. června 2012
-
9. dubna 2014
-
29. listopadu 2013
-
6. září 2004
OKI snižuje ceny barevných laserových tiskáren C3100 a C5200n
-
13. května 2004
-
19. ledna 2004
QuarkXPress Passport 6: předvedení nové verze na konferenci Apple Forum 27.1.2004
-
6. února 2001
-
30. listopadu 2014
Nový fotoaparát α7 II: první plnoformát s pětiosou optickou stabilizací obrazu na světě
-
5. srpna 2024
Bubnový scanner na 4000dpi optické rozlišení + PC + software
-
8. září 2024
-
14. října 2024
-
5. listopadu 2024