Základné informácie a pojmy

Modul Kvalifikované uchovanie sa používa na zabezpečenie dlhodobej platnosti dokumentov a ich dlhodobú archiváciu. Jeho ovládače – tlačidlo Archív na karte SPRÁVA a ďalšie nastavenia priamo u formulárov – sa zobrazujú iba v prípade, že je modul aktivovaný.

Dlhodobá kontrolovateľnosť platnosti (elektronického podpisu, značky, pečiatky) znamená, že kedykoľvek v budúcnosti bude možné jednoznačne overiť, že dokument nebol zmenený, že elektronický podpis pripojený k dokumentu bol v čase podpisu platný a komu podpis patril. Ak je k dokumentu pripojených viac elektronických podpisov, musí byť takto zaistený každý z nich. Tento stav sa vyjadruje pojmom LTV (Long Term Validity).

Pre účel LTV sa z hľadiska FormFlow používajú nasledujúce formáty:

PAdES (PDF Advanced Electronic Signatures) sú špecifické technické požiadavky na elektronické podpisy pripojené k dokumentom vo formáte PDF. To sa týka typu šifrovacieho algoritmu, atribútov zahrnutých do výpočtu kontrolného hashe atď.

Dlhodobé udržiavanie podpisov v PDF súboroch sa vykonáva v súlade s normou ETSI TS 102 778-4 V1.1.2 (2009-12), Part 4: PAdES Long Term – PAdES-LTV Profile. Informácie pre overenie platnosti certifikátov (CRL, OCSP a certifikačná cesta) sa ukladá podľa Annex A.1: Document Security Store, časové pečiatky sa do PDF súboru pridávajú podľa Annex A.2: Document Time-stamp.

XAdES (XML Advanced Electronic Signatures) je sada rozšírenie ku XML-DSig, teda XML syntax pre elektronické podpisy, určujúce špecifické technické požiadavky na elektronické podpisy pripojené k dokumentom vo formáte XML (napríklad xml, ISDOC, zfo, fo).
CAdES (Cryptographic Message Syntax Advanced Electronic Signatures) určuje požiadavky na elektronický podpis určený pre podpisovanie akýchkoľvek dát (napríklad dokumentov v bežných kancelárskych formátoch). V tomto formáte sú podpisy, značky a pečiatky väčšinou uložené v separátnom súbore.

V kontexte FormFlow vrátane tohto manuálu je dokumentom myslená príloha vo formulári.

Digitálna kontinuita autorizovaného dokumentu

Platnosť (kontrolovateľnosť preukázateľnosti) elektronického podpisu nesmie byť ani na okamih prerušená. To znamená, že prvá časová pečiatka musí byť pripojená ešte pred vypršaním alebo zneplatnením certifikátu, ktorý bol použitý pri podpisovaní, a že ešte pred vypršaním platnosti časovej pečiatky musí byť pripojená ďalšia. Z toho vyplýva, že archivácia musí byť chápaná ako proces. O dokument je potrebné sa neustále starať, jednorazové uloženie nestačí.

Prehľad súčasťou modulu Kvalifikované uchovanie

Spoločné nastavenia

Spoločné nastavenia modulu Kvalifikované uchovanie sú dostupné v príkazovej ponuke otvorenej tlačidlom Archív na karte SPRÁVA k dispozícii používateľom, ktorí majú príslušné oprávnenie.

Pod príkazom Nastavenie možno realizovať väčšinu všeobecných nastavení súvisiacich s modulom Kvalifikované uchovanie.

Nastavenia jednotlivých formulárov

Ďalšie čiastkové nastavenie sú potom k dispozícii v správe jednotlivých formulárov a týkajú sa nastavenia konkrétnej šablóny.

Základné vlastnosti ako zaradenie súboru do procesu dlhodobej údržby nájdete v všeobecnej sekcii Informácie správy daného formulára.
Nastavenie elementov formulára obsahujúcich údaje súvisiace s dlhodobou archiváciou potom pre každú jednotlivú verzii umožňuje sekcie Prílohy.

Spravované súbory

Súbory spravované modulom Kvalifikované uchovanie sú dostupné na karte Archív pomocou nasledujúcich tlačidiel:

Kvalifikované uchovanie – prehľad súborov zaradených do starostlivosti o dlhodobú platnosť.
Konverzia do PDF/A – prehľad súborov zaradených do starostlivosti o dlhodobú archiváciu.
Štatistika – prehľad so štatistickými údajmi o súboroch a ich vlastnostiach.

Udržiavané súbory

Pomocou Kvalifikovaného uchovanie môžu byť udržiavané len súbory, pre ktoré platí:

sú prílohami uzavretých formulárov,
sú evidované v databáze,
vzor formulárov má v sekcii Informácie/Parametre archívu definovaný predvolený archívny priečinok,
bola spustená extrakcia príloh (udať).

Rozhodnutie, či bude daný súbor zaradený do údržby, závisí zároveň na splnení týchto podmienok:

globálne nastavenie, či typ súboru udržiavať,
nastavenie na vzore formulára, či typ súboru udržiavať,
prípadné časové obmedzenie na vzore formulára (nastavenie Povoliť dlhodobú overiteľnosť od dátumu),
informácie z uzavretého formulára (ltv_accept), či daný súbor udržiavať, Doc_xpath_ltv_accept.

Systémové činnosti súvisiace s Kvalifikovaným uchovaním

Vo FormFlow existujú tri systémové činnosti určené pre správu dlhodobo udržiavaných dokumentov. Pridelenie týchto činností oprávneným používateľom možno upraviť na karte SPRÁVA Práva k operáciám, ako popisuje kapitola Práva k operáciám.

LTD_ADMINISTRATOR – má prístup k systémovému nastavenie Dlhodobého digitálneho archívu. Pod príkazom Dokumenty vidí všetky dlhodobo udržiavané dokumenty a môže ich spravovať, teda rozhodovať, či budú zaradené do dlhodobej údržby podpisov (LTV) alebo dlhodobé archivácie (LTA), a povoľovať výnimky.
LTD_AUDITOR – pod príkazom Dokumenty vidí všetky spravované dokumenty.
LTD_EDITOR – pod príkazom Dokumenty vidí všetky dlhodobo udržiavané dokumenty subjektov, u ktorých je členom. Zároveň ich môže spravovať, teda rozhodovať, či budú zaradené do dlhodobej údržby podpisov (LTV) alebo dlhodobej archivácie (LTA), a povoľovať výnimky.

LTV stavy dokumentov

Dokument zaradený do procesu dlhodobej údržby prechádza počas svojho životného cyklu rôznymi stavmi. Ich popis nájdete v nasledujúcom prehľade.

Čaká na výnimku – aspoň jeden z podpisov dokumentu bol vyhodnotený ako neplatný. Administrátor môže udeliť výnimku. Štandardne sa spracovávajú len dokumenty, ktoré majú všetky podpisy platné.
Po podpise došlo k zmene – týmto stavom je označený taký dokument, ktorý bol nejakým spôsobom po podpise zmenený. Dokument je po analýze zaradený do stavu Čaká na výnimku a čaká na reakciu DDA povereného používateľa. Po pridelení výnimky je takýto dokument podpísaný a opečiatkovaný a jeho stav sa zmení na Registrovaný.
Pripravený na údržbu – u dokumentu je naplánovaná údržba – pridanie ďalšej časovej pečiatky.
Pripravený k registrácii – dokument má aspoň jeden podpis a nečerstvú pečiatka a je naplánovaný na registráciu v službe Kvalifikované uchovanie.
Registrovaný – dokument je registrovaný v službe Kvalifikované uchovanie.
Pripravený k odregistrácii – dokument bol po nejakú dobu udržiavaný. Administrátor rozhodol, že sa udržiavať prestane. Je teda naplánovaný k odregistrácii zo služby Kvalifikované uchovanie.
Odregistrovanie – dokument prešiel procesom odregistrácie.
Čaká na spracovanie – novo prichádzajúci dokument.
Dočasne odložené – akcia momentálne nemôže byť vykonaná, ale je naplánovaný nový pokus. Tento stav môže nastať napríklad v okamihu, keď je niektorá externá služba prechodne mimo prevádzky, alebo ak je príliš skoro na priloženie časovej pečiatky, pretože sa čaká sa na vydanie nového CRL zoznamu certifikačnou autoritou.

Nasledujúce stavy sú chybové a vyžadujú zásah používateľa – administrátora či editora (LTD_ADMINISTRATOR, LTD_EDITOR). Dokumenty v týchto stavoch sa zobrazujú na karte DDA chyby. Najčastejšie sú tieto chybové stavy:

Analýza zlyhala – došlo k chybe pri analýze. Napríklad z dôvodu poškodeného PDF dokumentu.
Opečiatkovanie zlyhalo – k dokumentu sa nepodarilo pripojiť časovú pečiatku.
Označkovanie s opečiatkovaním zlyhalo – dokument sa nepodarilo elektronicky podpísať a pripojiť k nemu časovú pečiatku. Napr. z dôvodu nedostupnej služby Kvalifikované uchovanie.
Registrácia zlyhala – počas procesu registrácie dokumentu nastala chyba, z ktorej sa už nedá zotaviť.
Odregistrácia zlyhala – počas procesu odregistrácie dokumentu nastala chyba, z ktorej sa už nedá zotaviť.
Údržba zlyhala – počas procesu údržby dokumentu nastala chyba, z ktorej sa už nedá zotaviť.

Abecedný prehľad všetkých stavov LTV dokumentov v údržbe

Stav	Význam	Hodnota LTV_STATE_UDAT
accept-yes	akceptovaný	30
accept-no	neprijatý	31
analyze-prepared	pripravený na analýzu	1
analyzed	analyzovaný	33
analyze-failed	analýza zlyhala	2
analyze-failed-temp	analýza dočasne zlyhala	1002
dm-reauth-prepared	ES pripravená k reautorizácii	40
dm-reauthed	ES reautorizovaná	41
dm-reauth-failed	reautorizácia ES zlyhala	42
dm-reauth-failed-temp	reautorizácia ES dočasne zlyhala	1042
dm-not-reauth-type	ES nie je možné reautorizovať	43
invalid-signatures	iba neplatné podpisy	50
ltv_accept_udat_was_set_null	voľba Udržiavať nastavené na predvolenú hodnotu podľa vzoru	80
ltv_accept_udat_was_set_true	voľba Udržiavať nastavené na áno	81
ltv_accept_udat_was_set_false	voľba Udržiavať nastavené na nie	82
manually-disabled	ručne vyradený	51
manually-enabled	ručne zaradené	52
no-signature	nepodpísaný	4
no-sigts	nie je opatrený dokumentovou pečiatkou	5
preprocessing-prepared	pripravený na predspracovanie	70
preprocessed	predspracovanie	71
preprocessing-failed	predspracovanie zlyhalo	72
preprocessing-failed-temp	predspracovanie dočasne zlyhalo	1072
preprocessing_waits_for_rule_exception	predspracovanie čakajúce na potvrdenie	73
queued-for-processing	čaká na spracovanie	NULL
rule-exception-yes	nastavená výnimka	32
rule-not-met	čakajúce na výnimku	3
register-prepared	pripravený na registráciu	7
registered	registrovaný	8
register-failed	registrácia zlyhala	9
register-failed-temp	registrácia dočasne zlyhala	1009
sig-with-ts-prepared	pripravený na opečatenie s opečiatkovaním	10
sig-with-ts-failed	opečatenie s opečiatkovaním zlyhalo	11
sig-with-ts-failed-temp	opečatenie s opečiatkovaním dočasne zlyhalo	1011
sig-with-tsed	opečatenie s opečiatkovaním	12
too-early	dočasné odložené	6
transfer-preservation-prepared	pripravený k prenosu registrácie	75
transfer-preservation-finished	prenos registrácie dokončený	76
transfer-preservation-failed	prenos registrácie zlyhal	77
transfer-preservation-failed-temp	dočasne zlyhal prenos registrácie	1077
ts-prepared	pripravený na opečiatkovanie	13
ts-failed	opečiatkovanie zlyhalo	14
ts-failed-temp	opečiatkovanie dočasne zlyhalo	1011
tsed	opečiatkovaný	15
unregister-prepared	pripravený k odregistrácii	16
unregister-failed	odregistrácia zlyhala	17
unregister-failed-temp	odregistrácia dočasne zlyhala	1017
unregistered	odregistrovanie	18
update-prepared	pripravený na údržbu	19
updated	aktualizovaný	20
update-failed	údržba zlyhala	21
update-failed-temp	údržba dočasne zlyhala	1021
unregister-prepared-rollback-register	oprava registrácie preregistráciou	60
unregister-prepared-rollback-update	oprava údržby preregistráciou	61

Stav

Význam

Hodnota LTV_STATE_UDAT

accept-yes

akceptovaný

accept-no

neprijatý

analyze-prepared

pripravený na analýzu

analyzed

analyzovaný

analyze-failed

analýza zlyhala

analyze-failed-temp

analýza dočasne zlyhala

1002

dm-reauth-prepared

ES pripravená k reautorizácii

dm-reauthed

ES reautorizovaná

dm-reauth-failed

reautorizácia ES zlyhala

dm-reauth-failed-temp

reautorizácia ES dočasne zlyhala

1042

dm-not-reauth-type

ES nie je možné reautorizovať

invalid-signatures

iba neplatné podpisy

ltv_accept_udat_was_set_null

voľba Udržiavať nastavené na predvolenú hodnotu podľa vzoru

ltv_accept_udat_was_set_true

voľba Udržiavať nastavené na áno

ltv_accept_udat_was_set_false

voľba Udržiavať nastavené na nie

manually-disabled

ručne vyradený

manually-enabled

ručne zaradené

no-signature

nepodpísaný

no-sigts

nie je opatrený dokumentovou pečiatkou

preprocessing-prepared

pripravený na predspracovanie

preprocessed

predspracovanie

preprocessing-failed

predspracovanie zlyhalo

preprocessing-failed-temp

predspracovanie dočasne zlyhalo

1072

preprocessing_waits_for_rule_exception

predspracovanie čakajúce na potvrdenie

queued-for-processing

čaká na spracovanie

NULL

rule-exception-yes

nastavená výnimka

rule-not-met

čakajúce na výnimku

pripravený na registráciu

registered

registrovaný

registrácia zlyhala

registrácia dočasne zlyhala

1009

sig-with-ts-prepared

pripravený na opečatenie s opečiatkovaním

sig-with-ts-failed

opečatenie s opečiatkovaním zlyhalo

sig-with-ts-failed-temp

opečatenie s opečiatkovaním dočasne zlyhalo

1011

sig-with-tsed

opečatenie s opečiatkovaním

too-early

dočasné odložené

transfer-preservation-prepared

pripravený k prenosu registrácie

transfer-preservation-finished

prenos registrácie dokončený

transfer-preservation-failed

prenos registrácie zlyhal

transfer-preservation-failed-temp

dočasne zlyhal prenos registrácie

1077

ts-prepared

pripravený na opečiatkovanie

ts-failed

opečiatkovanie zlyhalo

ts-failed-temp

opečiatkovanie dočasne zlyhalo

1011

tsed

opečiatkovaný

unregister-prepared

pripravený k odregistrácii

unregister-failed

odregistrácia zlyhala

unregister-failed-temp

odregistrácia dočasne zlyhala

1017

unregistered

odregistrovanie

update-prepared

pripravený na údržbu

updated

aktualizovaný

update-failed

údržba zlyhala

update-failed-temp

údržba dočasne zlyhala

1021

unregister-prepared-rollback-register

oprava registrácie preregistráciou

unregister-prepared-rollback-update

oprava údržby preregistráciou

Prehľad kódov reprezentujúcich validitu

Kód	Význam
COMMERCIAL	komerčný
GENERAL_ERROR	všeobecná chyba
INVALID_NOT_YET_VALID	doteraz nezačal platiť
INVALID_EXPIRED	exspirovaný
INVALID_REVOKED	revokovaný
INVALID_HASH_FAILURE	nesedí odtlačok
INVALID_SIG_CRYPTO_FAILURE	chyba podpisu
INVALID_FORMAT_FAILURE	chybný formát
INVALID_SIG_CONSTRAINTS_FAILURE	neplatné použitie podpisu
INVALID_CHAIN_CONSTRAINTS_FAILURE	neplatná certifikačná cesta
INDETERMINATE_TRY_LATER	opakujte neskôr
INDETERMINATE_TRY_LATER_TSL_CONNECTION_ERROR	TSL nedostupné, opakujte neskôr
INDETERMINATE_NO_POE	nedostupné overovacie informácie
INDETERMINATE_UNKNOWN_SIGNING_TIME	neznáma doba podpisu
INDETERMINATE_NO_SIGNER_CERTIFICATE_FOUND	podpisový certifikát nenašiel
INDETERMINATE_NO_CERTIFICATE_CHAIN_FOUND	neznáma certifikačná cesta
INDETERMINATE_SIGNED_DATA_NOT_FOUND	podpísané dáta nenájdené
OST	uznávané
Qualified	kvalifikované
UNKNOWN	neznáma chyba
VALID	validný

Kód

Význam

COMMERCIAL

komerčný

GENERAL_ERROR

všeobecná chyba

INVALID_NOT_YET_VALID

doteraz nezačal platiť

INVALID_EXPIRED

exspirovaný

INVALID_REVOKED

revokovaný

INVALID_HASH_FAILURE

nesedí odtlačok

INVALID_SIG_CRYPTO_FAILURE

chyba podpisu

INVALID_FORMAT_FAILURE

chybný formát

INVALID_SIG_CONSTRAINTS_FAILURE

neplatné použitie podpisu

INVALID_CHAIN_CONSTRAINTS_FAILURE

neplatná certifikačná cesta

INDETERMINATE_TRY_LATER

opakujte neskôr

INDETERMINATE_TRY_LATER_TSL_CONNECTION_ERROR

TSL nedostupné, opakujte neskôr

INDETERMINATE_NO_POE

nedostupné overovacie informácie

INDETERMINATE_UNKNOWN_SIGNING_TIME

neznáma doba podpisu

INDETERMINATE_NO_SIGNER_CERTIFICATE_FOUND

podpisový certifikát nenašiel

INDETERMINATE_NO_CERTIFICATE_CHAIN_FOUND

neznáma certifikačná cesta

INDETERMINATE_SIGNED_DATA_NOT_FOUND

podpísané dáta nenájdené

OST

uznávané

Qualified

kvalifikované

UNKNOWN

neznáma chyba

VALID

validný