PAdES Elektronik İmza Formatı ve Tipleri


PDF içeriklerin imzalanabildiği elektronik imza formatı olarak PAdES, diğer imza formatlarının tanımlandığı standartlardan farklı tek bir doküman yerine bir standart doküman setinde tanımlanmıştır. Ön bilgi olarak, bir pdf içerik CAdES veya XAdES formatta da imzalanabilir, fakat PAdES formatta imzalanan PDF içerikler AdobeReader uygulaması gibi pdf görüntüleyici programlar ile açılarak, PDF üzerine eklenen elektronik imzalar ve detayları arayüz üzerinde görüntülenebilir. PAdES formatta imza oluşturma standartları ETSI TS 102 778–12345 ve 6 setinde belirtilmiştir. Standardın 1. dokümanında PAdES imza formatına genel bir bakış yapılmakta, 2. dokümanda ISO 32000–1 üzerine PAdES temellerinden bahsedilmekte, 3. dokümanda BES ve EPES imza tipleri anlatılmakta ve 4. dokümanda LTV tipinde imza tipi anlatılmakta, 5. dokümanda XML içerikler için PAdES-XAdES imzaların profilleri anlatılmakta, 6. dokümanda ise elektronik imzaların görsel gösterimleri yapılmaktadır.

ETSI TS 102 778 standardı haricinde bir de ETSI TS 103 172 standardı içerisinde PAdES Temel Profilleri tanımlanmıştır. PAdES imza formatında imza PDF içerisine enveloped (zarflanmış) olarak eklenebileceği gibi CMS yapıda detach olarakta tutulabilir, bu yapılar ETSI TS 102 778 Part 3 ve ISO 32000–1 dokümanlarında belirtildiği şekilde uygulanmalıdır.

Bu yazıda baz alacağımız standart hem daha güncel olması hem de doğrulanma sürelerine odaklanarak daha temiz bir yapı sunmasından ötürü ETSI TS 103 172 standardı olacaktır. Aksi belirtilmedikçe ETSI TS 103 172 standardı içerisindeki bilgiler geçerli olarak kabul edilecektir. Bu standart içerisinde PAdES imza tipleri B-LevelT-LevelLT-Level ve LTA-Level olmak üzere 4 başlık altında toplanmıştır.

PAdES B-Level (Basic Level)

PAdES B-Level tipinde elektronik imza aslında ETSI TS 102 778–3 dokümanında tanımlanan PAdES-BES ve PAdES-EPES tipinde imzaları belirtmektedir. PAdES B-Level imza tipi kısa süreli doğrulanabilir elektronik imza tipidir. CAdES-BES ve XAdES-BES imza tiplerinde olduğu gibi imzalama zamanını kanıtlayacak bir zaman verisi tutmaz.

Elektronik imza değeri PAdES imza formatında doğrudan PDF içerisindeki SignatureDictionary alanına eklenmektedir. B-Level imza tipinde SignatureDictionary içerine eklenmesi zorunlu alanlar şöyledir;

  • Content-Type
  • Message-Digest
  • Signing-Certificate-Reference
  • Signing-Time

SignatureDictionary içerisine eklenmesi zorunlu olmayan alanlar ise;

  • signature-policy-identifier (signed attribute)
  • signature-time-stamp (unsigned attribute): eklendiği takdirde imza CAdES-T tipinde imza ile eşlenik bir imza türü haline gelmektedir.
  • counter-signature
  • content-reference
  • content-identifier
  • commitment-type-indication
  • signer-location
  • signer-attributes
  • content-time-stamp

İtalik ve koyu renkte yazılan özelliklerin PAdES imza formatının yapısını belirleyen standartlarda kullanılmaması veya belli şartlar yerine geldiği takdirde kullanılması gerektiği belirtilmiştir.

PAdES T-Level (Trusted Time for Signature)

PAdES imza formatında bir imzanın PAdES T-Level seviyesine yükseltilebilmesi için PAdES B-Level seviyesinin özelliklerini sağlıyor olması gerekmektedir. CAdES imza formatında ayrı bir CAdES-T tipi gibi ayrı bir profil yerine PAdES imza formatında opsiyonel olarak PAdES-BES ve PAdES-EPES tipindeki imzalara zaman damgası eklenebilir. PAdES B-Level seviyesinde bir imzaya bir veya birkaç signature-time-stamp özelliği eklenerek imza tipi PAdES T-Level olarak yükseltilebilir.

PAdES LT-Level (Long Term)

PAdES imza formatında bir imzanın PAdES LT-Level seviyesine yükseltilebilmesi için öncelikle PAdES T-Level seviyesinin özelliklerini sağlıyor olması gerekmektedir. PAdES LT-Level seviyesinde bir imza PAdES T-Level seviyesinde bulunan bir imzadaki zaman damgasına ek olarak imzada bulunan sertifikaların kök ve altkök sertifikalarıyla bu sertifikalara ait CRL ve OCSP bilgilerini içinde barındırır. Bu şekilde PAdES LT-Level seviyesinde bir imzalı doküman hiçbir dış veri kaynağına ihtiyaç duymadan imzanın uzun süre geçerli olduğunun kanıtını sunabilir. Farklı bir veri kaynağına ihtiyaç duymadan imza içerisindeki verilerle uzun süreli doğrulama sağlanmasından dolayı PAdES imza formatında en çok tercih edilen imza tipi LT-Level tipidir.

PAdES LTA-Level (Long Term with Archive Time Stamps)

PAdES imza formatında bir imzanın PAdES LTA-Level seviyesine yükseltilebilmesi için öncelikle PAdES LT-Level seviyesinin özelliklerini sağlıyor olması gerekmektedir. PAdES LTA-Level seviyesinde bir imza, LT-Level seviyesi içerisindeki kök ve altkök sertifikaların ve CRL ve OCSP değerlerinin geçerlilik sürelerinden daha uzun süre saklanmak isteniyorsa kullanılmalıdır. Kök ve altkök sertifikaların sürelerinin dolmasına yakın, kök veya altkök sertifikaların iptal edilmesinden sonra veya kök veya altkök sertifikaların algoritmalarının kırıldığının duyrulmasından sonra imza içerisine document-time-stamp verisinin eklenmesiyle LTA-Level imza seviyesine ulaşılabilir. Yani tüm imza verilerini içerecek şekilde güncel zaman damgası sertifikalarıyla tekrar zaman damgası eklenmesi işlemi yapılmasıdır. Belirtilen sertifikalar iptal edilmeden, süreleri dolmadan veya algoritmaları geçersiz sayılmadan da arşiv zaman damgası eklenmesinde ve imza tipinin LTA-Level seviyesine yükseltilmesinde bir sakınca yoktur. Burada düşünülmesi gereken, eğer çok fazla veri imzalanıyorsa her imzalanan verinin imza seviyesi LTA-Level olarak belirlendiğinde tek bir doküman için 2 adet zaman damgası kontörü harcanacaktır.


Sonuç

PAdES formatında elektronik imza son kullanıcı için en kullanışlı imza formatı olarak tanımlanabilir. Bir çok işlemde pdf uzantılı dosya formatlarını kullanan kullanıcılar, doküman veya veri üzerindeki imzayı görebilmek için ayrı bir program çalıştırmaktansa, pdf uzantılı veriyi açtığı uygulama üzerinden doğrudan imza değerlerini ve doğrulama sonuçlarını görebilmektedir. Ayrıca PAdES formatta imzalanan bir veri farklı bir kurum veya kişiye gönderildiğinde rahatlıkla farklı kaynaklara gerek duymadan doğrulaması yapılabilir şekilde olmaktadır. Son kullanıcı açısından tüm bu kolaylıklar göz önünde bulundurulduğunda PAdES imza formatı geçerli bir imza formatı olarak kabul görmektedir.

Referanslar

https://www.etsi.org/deliver/etsi_ts/102700_102799/10277803/01.02.01_60/ts_10277803v010201p.pdf
http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf
https://yazilim.kamusm.gov.tr/esya-api/doku.php?id=esya:pades:eimza-pades-kutuphanesi
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=pades
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=pades_b-type
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=pades_lt-type
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=pades_lta-type


 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir