AdES
(Advanced Electronic Signature)
“Curs d'Introducció a la criptografia” by Jordi Íñigo Griera is licensed under a
Creative Commons Attribution 4.0 International License.
Project hosted at github.com/jig/crypto
AdES
hi ha diferents codificacions:
- CAdES: CMS AdES, ETSI TS 101 733
- XAdES: XML AdES, ETSI TS 101 903
- PAdES: PDF AdES, ETSI TS 102 778
des del punt de vista de funcional: equivalents
des del punt de vista de l'objecte signat: CAdES i XAdES són contenidors de fitxer genèrics, i PAdES modifica un PDF per incrustar-hi la signatura
(font Adobe)
CAdES: format
el format CAdES és el CMS (PKCS #7) restringit a signatura, i les diferents variants són CMS amb més o menys atributs, certificats, etc.
el format XAdES és l'XMLDSig, afegint-hi elements específics
el format PAdES és el PDF (Adobe, ISO 32000) que ja suporta signatura insertant-hi un CMS (a diferència dels anteriors suporta les múltiples signatures d'un flux de treball)
Variants
- CAdES-BES: Basic Electronic Signature
- CAdES-EPES: Explicit Policy-based Electronic Signatures
- CAdES-T: with Timestamp
- CAdES-C: with Complete Validation Data References
- CAdES-X: with EXtended Electronic Signature
- CAdES-XL: with EXtended Long Electronic Signature
- CAdES-LT: Long-Term Electronic Signature
- CAdES-A: Archival
CAdES-BES: Basic Electronic Signature
bàsicament el mateix que CMS amb certes restriccions (bàsicament restringit a signatura)
CAdES-EPES: Explicit Policy-based Electronic Signatures
quan es signa un document no sempre és clar el propòsit (commitment) pel qual es signa
en certs procediments, els signataris poden signar el document per diferents raons: "l'he llegit", "estic d'acord", "accepto", "aprovo"...
CAdES-EPES: Explicit Policy-based Electronic Signatures
CAdES-EPES permet afegir a la signatura la Política de signatura que explica des de quines condicions han de tenir els dispositius de signatura, fins quins són els propòsits dels signants, els seus rols en el flux de treball, el flux de treball, etc.
l'atribut signature-policy-identifier permet indicar (mitjançant URL, OID, etc.) aquest
text
CAdES-EPES: Explicit Policy-based Electronic Signatures
la política pot detallar (text) quins propòsits pot tenir la signatura, i quan es signa dóna la possibilitat
d'escollir-ne un (atribut commitment-type-indication)
la política pot distingir entre diferents rols, i es poden incorporar certificats d'atribut que aportin informació validable del rol del signant (e.g. auditor, emissor, verificador...) i quins propòsits per a signar pot tenir
CAdES-T: Timestamped
és un atribut (no signat) que conté un TST (Time Stamp Token)
aquest atribut signa el contingut original, on una tercera part demostra que el document existia en un moment donat
el TST pot ser afegit a posteriori (pel receptor, o per qualsevol intermediari) sobre un CAdES-BES/EPES
CAdES-T: Timestamped
en cas de no fer-ho el signatari, cal afegir el TST el més aviat possible per a evitar el repudi
CAdES-C: Complete validation data refs
la validació de CAdES-T requereix d'obtenir els certificats de les CAs subordinades i de les proves de (no) revocació, ja sigui OCSPs o CRLs
CAdES-C és un CAdES-T amb els Certificats, proves OCSP i CRLs adjunts (atributs no signats) en una llista de hashos que referencien cadascun d'ells (no inclou per tant el valor)
el material addicional pot ser afegit a posteriori (pel receptor, o per qualsevol intermediari)
CAdES-C: Complete validation data refs
el material addicional s'ha de revisar passat un periode de gràcia, i actualitzat
aquest periode de gràcia està definit a les CSP i inclou el temps en el qual es permet revocar un certificat un cop coneguda la seva invalidació (per pèrdua de secret, etc.)
CAdES-X: EXtended Electronic Signature with Time
a partir del CAdES-C inclou el valor del material referenciat (Certificats i proves OCSP)
hi ha diferents variants (tipus) que poden incloure segells de temps sobre les referencies i/o el material de validació inclòs
CAdES-A: Archival
permet afegir TST (i certificats i proves OCSP necesàries) que permeten superar la vida del material original (certificats, OCSP), ja sia per caducitat propera, o per vulnerabilitat prevista d'algun algorisme
recursivament es pot anar "encapsulant" dins nous CAdES-A per a perllongar indefinidament la integritat
QES
(Qualified Electronic Signature)
SSCD
(Secure Signature-Creation Device)