ADSS OCSP Server DEMO

Verificati validitatea certificatelor digitale cu OCSP Server

Ascertia ofera un serviciu OCSP conform cu RFC 6960 pentru diferite autoritati de certificare. Puteti utiliza propriile aplicatii client OCSP conforme cu RFC 6960 in locul acestui serviciu (vezi nota de pe site). Alternativ puteti realiza o validare simpla manula a certificatului folosind formularul web din site. 

Ascertia Docs DEMO

Testati Ascertia Docs

Incarcati, semnati electronic, partajati si lucrati cu orice documente. 

ADSS Server DEMO

Semnati digital fisiere PDF, XML sau orice alt tip de fisier cu chei pastrate pe server

Versiune DEMO ADSS Server 



 
 

 

ADSS TSA Server DEMO

Aplicati o marca de timp digitala [RFC 3161] pe orice fisier

Selectati documentul PDF oferit pentru test sau selectati un nou document si apoi aplicati marca temporala prin selectarea butonului  "Request Timestamp". >>

ADSS SCVP Server DEMO

 

Testati aici gratuit versiunea DEMO a lui ADSS SCVP Server. >>

ADSS Archive Server DEMO

Arhivati securizat un document electronic. Click aici pentru detalii. >>

PDF Sign&Seal DEMO

Formular solicitare versiune de test gratuita PDF Sign&Seal

Resurse

PDF Sign&Seal - prezentare pe scurt 

ADSS Server - manual de utilizare 

Ascertia Docs - manual de utilizare 

ADSS Server in comparatie cu toolkituri PDF

Expertii in solutii de credibilizare sunt rugati de multe ori sa explice beneficiile pe care le ofera ADSS Server pentru o companie in comparatie cu utilizarea unor toolkituri mai ieftine pentru programarea PDF. Raspunsul se refera la tot ceea ce inseamna oferirea gestiunii si securitatii eficiente, precum si eliminarea modificarilor din aplicatii. Practicile eficiente de securitate solicita sa existe o repartitie rezonabila a responsabilitatilor. ADSS Server ofera acest lucru cel mai inalt nivel de servicii de creare a semnaturilor si verificare. Serverul suporta una sau mai multe aplicatii. Fiecare solicitare este autentificata pentru a verifica daca aplicatia clientului este inregistrata si se poate permite accesul la profilul solicitat de semnare si verificare.

Profiluri de semnare si verificare 

Profilurile sunt create in ADSS Server astfel incat aplicatiile sa poata utiliza apeluri de nivel inalt ca de exemplu “sign this PDF using the invoice signature profile” (semnati acest PDF utilizand profilul de semnare pentru facturi). Profilul defineste toate detaliile urmatoare:

  • daca sa aplice o semnatura simpla sau o semnatura certificata (sigilata)
  • daca sa semneze cu o semnatura vizibila sau invizibila
  • daca semnatura e vizibila, atunci unde se va semna pe pagina si pe care dintre pagini
  • care este logo-ul optional al firmei si imaginea cu semnatura de mana care trebuie aplicate
  • care font trebuie utilizat si daca acesta trebuie incorporat conform cu PDA/A
  • care tip de semnatura trebuie aplicat: semnatura de baza, semnatura pe termen lung cu marca de timp
  • care chei de semnare/certificate si care furnizori de servicii CRL/OCSP/TSA trebuie utilizati
  • daca trebuie utilizat un smartcard sau un HSM (Pin-urile/Parolele sunt gestionate securizat)
  • care politici optionale de certificate/de semnatura trebuie executate

Gestiune sigura

Toolkiturile nu ofera gestiunea securitatii – aplicatia trebuie sa preia intreaga responsabilitate.

ADSS Server solicita ca fiecare operator sa se autentifice. Odata ce autentificarea este realizata cu succes, rolul lor este definit. Evenimentul de logare este inregistrat la fel ca si orice actiune care pe care o realizeaza ulterior. Se ofera o interfata simpla, intuitiva, bazata pe browser web. Daca operatorii sunt autorizati sa defineasca sau sa modifice politicile, atunci ei pot sa activeze sau sa dezactiveze capacitatea de a permite aplicatiilor client sa ofere solicitari in plus pentru definirea politicii, de exemplu selectarea semnaturilor vizibile sau invizibile. Operatorii pot sa defineasca si locatia precisa a campului de semnatura prin deschiderea documentului PDF cu o unealta de design interactiva.

Operatorii ADSS controleaza cheile de semnatura/certificatele, atribuirea lor conform cu politicile de semnare, tipul lor (software sau hardware), certificarea initiala si reinnoirea subsecventa, gestiunea testarii si productiei de chei si certificate. Operatorii pot vizualiza solicitarile aplicatiei si raspunsurile lui ADSS Server si ii pot ajuta pe dezvoltatori sa inteleaga de ce solicitarile de semnare pot esua. De exemplu pot aparea urmatoarele situatii: operatorii nu au fost autentificati, au solicitat accesul pentru o cheie/un certificat HR in locul unui certificat/unei chei de semnare a facturilor fiscale, sau poate ca documentul este deja semnat si sigilat.

Orice problema poate fi detectata cu marcile de timp back end sau pot fi trimise alerte prin email sau SMS catre operatori in ceea ce priveste disponibilitatea serviciului. Toate solicitarile si raspunsurile sunt stocate in jurnale de tranzactie securizate. Operatorii pot decide daca trebuie pastrate in aceste jurnale toate copiile documentelor semnate. Se ofera optiunea de auto-arhivare. Daca apare vreo problema in timpul testarii sau al productiei, pot fi activate jurnale detaliate de urmarire a functionarii si ele pot fi transmise catre Ascertia pentru analiza. Aceste jurnale au fost create astfel incat sa contina operatiunile detaliate corecte si incorecte ale serverului si nu datele sensibile. Acest aspect permite suport global rapid, astfel incat partenerii, clientii si furnizorii de servicii vor fi multumiti.

In concluzie, ADSS Server ofera o solutie completa pentru gestiunea eficienta a securitatii documentelor. Serverul elimina modificarile care ar trebui realizate in aplicatii, simplifica dezvoltarea, operatiunile si auditul. Toolkiturile simple nu ofera gestiunea securitatii, iar dezvoltatorul este responsabil pentru gestiunea tuturor aspectelor de securitate.

ADSS Server – Utilizarea profilurilor de semnare si verificare

ADSS Server reprezinta un server multifuntional care ofera servicii web pentru crearea si verificarea semnaturii electronice, precum si servicii pentru suportul infrastructurii ca de exemplu: servicii Time Stamp Authority (TSA), servicii de validare OCSP si servicii de certificare.

Aceasta prezentare prezinta profilurile diferite (de exemplu seturi de configuratii) care pot fi create pe ADSS Server. Sunt descrise in special atributele profilurilor de semnare si verificare si modul in care acestea pot fi asociate cu aplicatiile de business care realizeaza apeluri catre ADSS Server. Aceasta abordare asigura ca accesul la diferite profiluri de incredere si parametri asociati, ca de exemplu chei de semnare disponibile numai pentru aplicatii de business autorizate.

Profiluri de semnare

Scopul profilurilor de semnare ale ADSS Server este sa configureze atributele si aspectele semnaturii electronice care vor fi create. Odata ce un profil de semnare este configurat de administratorul cu drepturile corespunzatoare al ADSS Server, aplicatiile de business pot face referire la acest profil de semnare in mesajul de solicitare a serviciilor web. Acest lucru elimina toata gestiunea superioara a configuratiei din aplicatie. Poate fi configurat orice numar de profiluri de semnare pentru a indeplini diferite cerinte ale aplicatiei. Atributele principale care pot fi configurate intr-un profil de semnare sunt:

Identificatorul profilului de semnare

Profilurile de semnare sunt identificate unic in ADSS Server prin intermediul unui sistem denumit Profile ID: Vezi imagine>>

Tipul de semnatura

Unul din principalele elemente ale profilului de semnare este tipul semnaturii care va fi generata. In ADSS Server este posibila configurarea unui tip de semnatura dintr-un set complet de standarde de semnatura: Vezi imagine>>

In ADSS Server sunt suportate semnaturile electronice bazate pe politici explicite (Explicit Policy-based Electronic Signatures – ES-EPES). Acestea sunt configurate separat prin alegerea lor dintr-un meniu, deoarece multe dintre aceste semnaturi avansate pot avea elemente ES-EPES incorporate in ele. Setarile pentru profilurile ES-EPES sunt: Vezi imagine>>

Aceasta permite administratorilor sa defineasca politica OID a semnaturii care va fi utilizata atunci cand se creeaza semnatura sub acest profil de semnare. O politica URI a semnaturii si notificarea utilizatorului pot fi configurate ca sa fie incorporate in semnatura creata.

Ca si in imaginea de mai sus formatul semnaturii permite relatiei semnatura/document sa fie definita. “Enveloping” inseamna ca semnatura se desfasoara in jurul documentului. “Enveloped” inseamna ca semnatura este inglobata in document si “Detached” inseamna ca semnatura este furnizata ca parte separata a documentului original.

Certificatul de semnare

Puteti configura un certificat implicit care sa fie utilizat cu acest profil de semnare. Acest certificat poate fi suprascris la cerere astfel incat sa permita aplicatiilor de business sa utilizeze acest profil de semnare cu o gama de certificate care sunt disponibile pentru el. Vezi imagine>>

 

Aici puteti defini si tipul de certificat care este acceptabil pentru scopuri de semnare sub acest profil de semnare. In multe cazuri este solicitata sau chiar obligatorie o cheie de utilizare de “non-repudiere”.

Detaliile aspectului semnaturii

 

Documentele PDF detine capabitatea de a afisa aspectele semnaturii electronice in document. ADSS Server de la Ascertia detine un set sofisticat de controale pentru a determina modul in care ar trebui afisate aspectele semnaturii. Aceste optiuni include dimensiunile semnaturii, locul in care sa fie plasat pe documentul PDF, daca vor fi utilizate etichete, daca sunt afisate sau nu motivul semnarii, locatia, data si ora si detaliile contactului. Semnatura olografa si logo-ul companiei pot fi aplicate, fiind disponibile chiar si sigle profesionale.

ADSS Server poate semna in campuri goale de semnatura predefinite, poate crea semnaruri pe pagini multiple si poate identifica ultima pagina – o caracteristica utila atunci aveti de a face cu documente de dimensiuni mari.

Urmatoarea captura de ecran afiseaza setarile profilurile de semnare GUI: 
Vezi imagine1>>  
Vezi imagine 2>>

Daca este selectata optiunea de suprascriere de catre administratorul ADSS Server, aceasta permite unei aplicatii de business sa furnizeze o informatie suprascrisa intr-un mesaj de solicitare pentru un parametru specificat atunci cand se utilizeaza acest profil. Preferintele XML pot fi utilizate pentru a modifica aspectul semnaturii pentru a crea semnaturii variate, de exemplu: 
Vezi imagine1>> 
Vezi imagine 2>>

Aplicatii de business pentru autentificare

Aplicatiile de buziness reprezinta clienti pentru ADSS Server. Ele pot fi autentificate prin utilizarea unuia dintre urmatoarele trei tehnici in functie de nivelul de securitate dorit:

  • Inscrierea unei aplicatii de business in ADSS Client Manager si atribuirea unui “Originator ID”. Aplicatia de business trebuie sa utilizeze acest “Originator ID” in mesajele ei de solicitare a serviciilor pentru a putea fi autentificata cu succes de ADSS Server.
  • Mesajele de solicitare a serviciilor pot fi trimite prin conectare SSL cu clientul de autentificare activ. Certificatul client SSL al aplicatiei de business trebuie sa fie inregistrat in ADSS Server si valoarea Subject Common Name a certificatului trebuie sa corespunda cu “Originator ID”.
  • Aplicatia de business poate semna mesajele de solicitare a serviciilor prin utilizarea unui certificat de semnare a solicitarii. Acest certificat trebuie sa fie inregistrat in ADSS Server. Formatul semnaturii este XML Dsig. Vezi imagine>>

Toate cele trei nivele de securitate pot fi folosite impreuna.

Autorizarea aplicatiilor de business pentru profiluri specifice

Atunci cand inregistrati aplicatiile de business pe ADSS Server este posibil sa configurati care dintre profilurile de semnare existente (dupa cum s-a discutat mai sus) sunt disponibile pentru acest client de business dupa este afisat mai jos. Prima casuta din Client Manager defineste daca aplicatia de business poate realiza solicitari de servicii de semnare: Vezi imagine>>

Administratorii autorizati pot sa selecteze un profil disponibil si sa-l mute in lista selectata prin apasarea butonului “>>”. Aceasta actualizeaza profilurile atribuite pentru aceasta aplicatie de business. Intr-un mod asemanator, administratorii pot controla care set de chei si certificate pastrate pe server sunt disponibile pentru aceasta aplicatie de business pentru utilizarea cu profilurile de semnare: Vezi imagine>>

Deci este posibil sa restrictionati care dintre aplicatiile de business pot solicita: servicii de creare a semnaturii, profiluri de semnare la care se pot referi, care chei de semnare a documentelor pot fi utilizate, formatul semnaturilor care vor fi aplicate, unde si cum vor aparea.

Verificarea profilurilor

La fel ca si profilurile de semnare, ADSS Server suporta conceptul de verificare a profilurilor. Acestea definesc tipul de semnaturi care pot fi verificate: Vezi imagine>>

Profilurile de verificare configurate pot fi si ele atribuite aplicatiilor de business specifice: Vezi imagine>>

Este important ca este posibil sa atribuiti sub-set de ancore de incredere specifice aplicatiilor de business astfel incat nu este nevoie sa fie credibilizate toate CA-urile care sunt inregistrate pe ADSS Server pentru alti clienti: 
Vezi imagine>>

Nivelurile minime de calitate cu semnatura si certificat pot fi configurate pe aplicatia de busines pentru a permite aplicatiei sa respinga semnaturi care de exemplu nu sunt calificate, sau nu utilizeaza un smart-token pentru a proteja cheia privata sau pentru a utiliza algoritmi acceptabili. Administratorul pot sa configureze si lista de politici de certificat acceptabile care sunt solicitate de aplicatia de business si de verificarile de nivel scazut a certificatului care trebuie realizate pe certificatul semnatarului: 
Vezi imagine>>

ADSS Server permite un control detaliat al politicii de semnatura pentru aplicatia de business.

Concluzie

 ADSS Server ofera un set de caracteristici pentru suportul diferitelor tipuri de semnaturi, pentru configurarea diferitelor profiluri de semnare si verificare si pentru crearea legaturii catre aplicatiile de business. Autentificarea solida, autorizarea, controalele bazate pe roluri, logarea sigura a actiunilor operatorului si solicitarile/raspunsul aplicatiei asigura cel mai inalt nivel de securitate.

Avantajul utilizarii semnaturilor digitale pentru documentele electronice PDF

Documentele PDF au reprezentat intotdeauna o utilizare obisnuita in afaceri. Protejarea PDF-urilor impotriva modificarilor reprezinta un subiect din ce in ce mai important.
Semnarea digitala a PDF-urilor cu o semnatura certificata protejeaza continutul si arata cine a semnat sau a aprobat documentul. Acest articol explica usurinta cu care puteti semna digital PDF-uri, prezinta toate aspectele necesare pentru semnarea electronica a documentelor PDF si diferitele tipuri de semnaturi PDF.

Modalitati de semnare digitala a documentelor PDF

Mai intai aveti nevoie de un software care este capabil sa semneze electronic PDF-uri, ca de exemplu PDF Sign&Seal (o aplicatie desktop pentru crearea manuala a semnaturilor PDF) sau ADSS PDF Server (o aplicatie server pentru servicii automate de volum mare bazat pe web pentru semnarea PDF). 
Un alt lucru de care aveti nevoie este un certificat de semnare a documentului (de exemplu cheia dvs criptografica de semnare) – puteti obtine unul gratuit chiar de la Ascertia sau puteti achizitiona un certificat calificat de la una dintre autoritatile de certificare din Romania. Acest certificat de semnare a documentului demonstreaza identitatea dumneavoastra in lumea digitala si arata ca dumneavoastra sunteti cei care ati semnat un document PDF.

Semnatura este creata de software-ul de semnare PDF utilizand un proces simplu prezentat mai jos:

Aplicatiile de la Ascertia faciliteaza procesul de semnare al unui document PDF. Suporta tehnici ca de exemplu semnarea mai multor documente PDF intr-un singur pas, transformarea documentelor Word sau altor tipuri de documente obisnuite in PDF si semnarea lor intr-un singur pas, semnarea PDF cu un singur click, auto semnarea paginilor multiple ale unui document si semnarea automata pe server a documentelor PDF de volum mare (de exemplu semnarea eficienta a miilor de facturi electronice PDF). Principalul aspect de retinut este ca semnarea unui PDF ar trebui sa fi la fel de simpla ca si semnarea unei foi de hartie cu un pix si ar trebui sa fie mult mai eficient pentru documentele cu volum mare!

Exista bineinteles mai multe tipuri de semnaturi PDF si gasiti mai jos cateva explicatii despre cele mai importante tipuri de semnaturi. Retineti ca semnaturile PDF sunt standardizate (ISO 32000-1 si ISO 19005-1). Asta inseamna ca atunci cand semnati un document PDF utilizand un software ca PDF Sign&Seal sau ADSS PDF Server atunci aceste documente PDF semnate pot fi citite si verificate utilizand software PDF tertiar inclusiv omniprezentul Adobe® Reader, Foxit® Reader sau alti furnizori conformi cu standardele.

Semnaturi invizibile PDF

Cand semnati electronic un PDF se realizeaza un control criptografic care este bazat pe intregul continut al documentului PDF si cheia dvs privata de semnare. Controlul criptografic sau “semnatura digitala” este apoi incorporata in PDF. Ca rezultat, chiar daca numai o mica parte din documentul PDF se modifica accidental sau poate de un atac rau-voitor, atunci semnatura digitala nu va mai fi valida la verificare. Cat timp protejati cheia privata de semnare a PDF-ului atunci nimeni nu poate semna in numele dvs.
Daca ati creat o semnatura PDF invizibila, atunci continutul vizibil actual al PDF-ului dvs (de exemplu atunci cand tipariti PDF-ul pe o hartie) nu va arata nicio indicatie ca documentul PDF a fost semnat. Semnatura digitala incorporata a PDF-ului nu are caracteristici vizibile – este o semnatura electronica PDF pura in interiorul documentului PDF.
Semnaturile PDF invizibile sunt foare utile acolo unde continutul documentului nu se modifica ca rezultat al procesului de semnare. Acest lucru este necesar in anumite scenarii de business unde aspectul fizic al documentului trebuie sa indeplineasca cerinte stricte si care nu trebuie sa fie modificate ca parte din procesul de semnare. Atunci cand PDF-ul este semnat, singura indicatie apare cand documentul este vizualizat si verificat intr-un cititor de PDF conform cu semnatura PDF, ca de exemplu:

Urmatoarea imagine arata ca o semnatura invizibila PDF este vazuta in PDF Sign&Seal de la Ascertia:

Semnaturi PDF vizibile

Semnaturile vizibile sunt semnaturile PDF care creaza o marca vizibila pe pagina PDF-ului pentru a indica faptul ca a fost aplicata semnatura PDF – acest aspect al semnaturii digitale este vizibil atunci cand documentul este tiparit pe hartie.
Procesul de semnare este foarte similar cu cel anterior. Totusi inainte de crearea semnaturii PDF este aplicat aspectul semnaturii vizibile pe PDF si apoi este semnat PDF-ul. Urmatoarea imagine arata o semnatura vizibila in PDF Sign&Seal:

Desigur ca aspecul semnaturii PDF este complet personalizabil si poate avea logo-ul companiei, imagini ale semnaturii de mana si diverse alte detalii de text. Software-ul de semnare PDF de la Ascertia este lider in crearea stampilelor personalizate ale aspectului semnaturii PDF si ofera flexibilitate majora in modul in care sunt pozitionate semnaturile in pagina PDF-ului.

Toate fisele tehnice si prezentarile de solutii si produse pentru semnare electronica de la Ascertia sunt semnate digital si sunt certificate sa fie protejate impotriva oricaror date care pot fi adaugate.

Semnaturi PDF certificate

Acestea reprezinta semnaturi speciale PDF care nu numai ca protejeaza integritatea documentului si demonstreaza cine a semnat documentul, dar si protejeaza fata de orice modificari in document. De exemplu, un document PDF certificat poate fi blocat pentru prevenirea si controlul aditional al datelor care sunt introduse sau anexate. Nu uitati ca aceste semnaturi PDF sunt adesea referite ca “Semnaturi de certificare”.

Semnaturile PDF certificate sunt deosebit de importante acolo unde doriti sa prezentati un document PDF sau un formular PDF in care utilizatorul poate introduce text numai in zonele specificate. Astfel puteti certifica documentul si ii puteti bloca tot continutul impotriva modificarilor in afara de permiterea completarii campurilor formularului si semnarea digitala in campurile goale existente din PDF. Aceasta asigura ca utilizatorii finali nu vor edita documentul in zonele nedorite inainte de a-l returna.

Retineti ca o semnatura PDF certificata trebuie sa fie prima semnatura pe un document PDF. De exemplu un document care este deja semnat nu poate fi semnat “certificat” mai tarziu.

Urmatoarea imagine arata modul in care sa configurati PDF Sign&Seal pentru semnaturi certificate si optiunile disponibile:

Imaginea de mai jos arata modul in care afiseaza PDF Sign&Seal semnaturile certificate:

Nota: Semnaturile PDF certificate pot fi semnaturi PDF vizibile sau invizibile.

Semnaturi PDF de aprobare

Acesta reprezinta o denumire speciala data semnaturilor PDF in ISO 32000-1,  acolo unde semnatura PDF este aplicata ca parte dintr-un proces de aprobare dupa ce un document PDF a fost certificat. Semnaturile PDF de aprobare sunt aplicate in campurile goale de semnatura existente in documentul PDF. Pot fi aplicate semnaturi PDF de aprobare multiple daca exista campuri goale multiple.

Semnaturi avansate PDF si PadES pe termen lung

Nevoia pentru semnaturi PDF pe termen lung este descrisa mai detaliat in acest subiect. Practic o astfel de semnatura PDF avansata nu numai ca creeaza o semnatura PDF, dar si incorporeaza o marca de timp criptografica de la o autoritate de marca temporala (Time Stamp Authority – TSA). Aceasta arata ca in acel moment a fost creata semnatura si statutul certificatului semnatarului pentru a demonstra ca atat cheia semnatarului cat si certificatul erau valide in momentul semnarii.

Retineti ca semnaturile PDF pe termen lung pot fi semnaturi PDF invizibile sau vizibile.

Semnaturi Adobe® CDS

Atunci cand verificati o semnatura PDF, un pas important reprezinta validarea certificatului semnatarului pentru a asigura ca a fost emis de un furnizor credibil de certificare (cunoscut ca autoritate de certificare sau CA - Certified Authority).

Cele mai recente versiuni Adobe® Reader (v7+) detin implicit numai autoritatea de certificare proprie (Root CA) ca punct final de incredere. Acesta insemna ca pentru a fi verificate automat cu succes semnaturile PDF propri (si aparitia unui tick verde ) aveti nevoie de un certificat de semnare care a fost emis de una dintre autoritatile de certificare subordonate autorizate de Adobe Root CA (inclusiv GlobalSign, GeoTrust etc). Asigurati-va ca certificatul de semnare este legat de Adobe Root CA. Astfel de certificate sunt denumite certificate Adobe CDS (prescurtarea de la Certified Document Services). PDF Sign&Seal si ADSS PDF Server de la Ascertia suporta certificatele CDS ca standard.
Desigur ca o optiune alternativa de a obtine semnaturile PDF credibile in Adobe Reader este sa adaugati o noua autoritate de certificare in lista CA-urilor credibile. Aceasta va permite sa credibilizati o autoritate de certificare preferata. Uneori chiar si realizarea unei configurari cu o singura modificare in Adobe Reader este prea mult de suportat pentru utilizatorii finali. In astfel de cazuri certificatele Adobe CDS sunt de mare valoare.

Ce este Adobe Approve Trust List (AATL)?

Incepand cu v9, Adober Reader permite acum altor CA-uri sa fie adaugate in lista ancorei de incredere de la Adobe (Adobe Root Trust Anchor list) ca puncte finale de incredere. In esenta, atat Acrobat®, cat si Reader au fost programate sa aiba legatura la o pagina web pentru a descarca periodic o lista de certificatele digitale credibile “Root CA”. Orice semnatura digitala creata cu un certificat de semnare PDF care se poate lega inapoi de una dintre aceste CA-uri va fi credibilizata de Acrobat si Reader 9.0 si mai recente.

Daca doriti sa verificati daca este activa lista de incredere, mergeti la Edit(Windows)/Acrobat(Mac)->Preferences->Trust Manager si asigurati-va ca este marcat “Load trusted root certificates from an Adobe server..”. Puteti accesa butonul “Update now” in aceeasi casuta de dialog pentru a descarca cea mai noua versiune a listei de incredere de la Adobe.

Semnaturi PDF – pe scurt

Semnarea unui PDF este esentiala pentru protejarea integritatii documentului, demonstrand cine a semnat si aprobat datele din PDF si cand a avut loc semnarea PDF. Semnaturile PDF pot fi invizibile sau vizibile. Documentele PDF pot fi blocate cu semnaturi PDF certificate, desi semnaturile de aprobare pot fi inca aplicate pe astfel de documente daca exista campuri goale inainte ca semnatura certificata sa fie aplicata. Semnaturile PDF avansate (cunoscute ca semnaturi PAdES) cu marci de timp credibile si informatii despre statutul certificatului semnatarului incorporate sunt esentiale pentru verficarea documentelor PDF pe termen lung.

Cand este importanta verificarea semnaturilor PDF pentru a determina daca un certificat de semnare PDF “se leaga”de un punct de incredere final sau o CA de incredere.

Exista 3 optiuni:
1) certificatul dumneavoastra ar trebui sa se lege de Adobe Root CA (in acest caz detineti un certificat CDS)
2)certificatul dumneavoastra se leaga de o CA tertiara si Adobe Reader a fost configurat sa aiba incredere in aceasta CA
3)certificatul dumneavoastra se leaga de o CA care este parte din programul Adobe AATL si utilizati Reader v9+ pentru a verifica semnatura.

Produsele de la Ascertia suporta toate tipurile de semnaturi PDF cunoscute:

Tipurile semnaturilor PDF

PDF Sign&Seal (desktop)

ADSS PDF Server

Semnaturi PDF invizibile

Semnaturi PDF vizibile

Semnaturi PDF certificate

Semnaturi PDF de aprobare

Semnaturi PDF avansate (PAdES)

Semnaturi CDS

Autorizarea semnaturilor corporative sau calificate

Deseori este necesar sa fie semnate documente in numele unei organizatii sau a unui titular (de exemplu director financiar) utilizand certificate calificate sau alte certificate cu credibilitate inalta. Pentru a putea fi disponibile pentru procese automate, astfel de certificate trebuie sa fie pastrate securizat pe un server protejat de module hardware de securitate (HSM) sau poate un smartcard. In acest articol ne vom referi la toate semnaturile create de astfel de chei sub denumirea “semnaturi corporative”. In cazuri mai complexe, cheile si certificatele multiple pot fi utilizate pentru a permite diferitelor entitati legale sau titularilor sa semneze si sa aprobe documente pentru scopuri multiple.

Problema autorizarii 
Provocarea de a utiliza chei si certificate calificate sau cu inalta credibilitate pe un server este de a se asigura ca fiecare proces de semnare este autorizat corespunzator. Controalele efective interne sunt necesare pentru a se asigura ca accesul la mecanismul de semnare (si la cheie) este protejat si disponibil numai pentru personalul autorizat. Semnaturile electronice avansate calificate solicita ca semnarea datelor sa reprezinte un act intentionat efectuat de catre semnatar. Auditorii solicita de asemenea dovada revizuirii si aprobarii pentru a se asigura ca toate controalele interne sunt eficiente.

Scenariile de utilizare mai complexe pot solicita titularilor multipli dintr-o organizatie sa aprobe cererea de semnare inainte sa fie aplicata o semnatura de server. Fiecare aprobare trebuie sa fie verificata astfel incat intentia de semnare si aprobare sa fie clara. Regulile de conformitate solicita o astfel de actiune.

Solutia 
Raspunsul Ascertia la aceste cerinte a fost sa ofere un mecanism care furnizeaza cereri pentru ca semnaturile de server sa fie autorizate corespunzator de personalul selectat. Specificatia OASIS Digital Signature Services (DSS) ofera un protocol standard pentru semnaturile pe parte de server solicitate. Ascertia si-a extins mesajul de cerere OASIS DSS pentru a-i permite sa includa informatiile de autorizare pentru unul sau mai multi utilizatori (denumiti “autorizatori”).

Un flux de lucru tipic: Utilizatorii de business interactioneaza cu o aplicatie web online care afiseaza unul sau mai multe documente pe care trebuie aplicate semnaturi pe parte de server, de exemplu rapoarte corporative, facturi, propuneri guvernamentale etc. Aplicatia web creeaza un fisier de control al autorizarii care contine documentele introduse si semnaturile persoanelor autorizate care indica aprobarea lor – aceste semnaturi sunt denumite “semnaturi de autorizare”. Aplicatia web trimite fisierul de control al autorizarii catre ADSS Server ca parte din mesajul de cerere de semnare pe parte de server. ADSS Server poate verifica si accepta sau refuza aceste fisiere de control ale autorizarii. Serverul ofera o gama larga de servicii de nivel inalt si usor de utilizat pentru semnare, verificare, aplicare marci de timp, semnare pe termen lung si arhivare.

Diagrama de mai jos sintetizeaza modul in care utilizatorii interactioneaza cu o aplicatie web pentru a crea un fisier de control al autorizarii care apoi este transmis catre ADSS Server pentru procesare:

ADSS Server autentifica cererile din aplicatia de business. Verifica si daca aplicatia este autorizata sa utilizeze profilul de semnare solicitat. Profilurile de semnare sunt pre-definite de administratorii de securitate si ei au optiunea de a selecta un profil de autorizare care trebuie sa indeplineasca cerintele inainte sa inceapa procesul de semnare pe parte de server.

Profilul de autorizare defineste o verificare M sau N – contine o lista de certificate ale persoanelor autorizate (numarul din lista este N). Profilul este apoi setat sa defineasca numarul minim (M) de semnaturi autorizate care trebuie sa fie prezentate in fisierul de control al autorizarii pentra a aproba utilizarea profilurilor de semnare cu cheile lor de semnare. Daca sunt prezente mai putin decat M semnaturi atunci cererea va esua. Daca sunt prezentate M sau mai multe semnaturi si sunt verificate complet, atunci cererea este aprobata si incepe semnarea fisierului (fisierelor).

Activarea semnaturilor de autorizare

Ascertia ofera o biblioteca inteligenta de nivel inalt ADSS Client SDK pentru medii .NET si Java care permite integrarea cu usurinta a lui ADSS Server in aplicatii de business. Pentru semnarea autorizata, acesta reprezinta un detaliu tipic al fluxului de lucru:

1. Aplicatia web prezinta utilizatorului unul sau mai multe documente si creeaza un fisier de control al autorizarii (ACF) utilizand ADSS Client SDK.

2. Primul utilizator revizuieste fisierele care trebuie autorizate si apoi aplicatia solicita semnarea lor, deci crearea unei semnaturi autorizate. ADSS Go>Sign Applet este utilizat pentru a crea un hash si a semna utilizand un smartcard, deci crearea semnaturilor de autorizare multiple.

3. Pe masura ce fiecare utilizator semneaza sunt realizate verificari pentru a se asigura ca fisierele raman nemodificate.

4. Atunci cand fluxul de lucru este finalizat si toate semnaturile de autorizare sunt adunate de aplicatia web, se include fisierul ACF intr-o cerere catre ADSS Server pentru semnare pe parte de server.

5. ADSS Server autentifica aplicatia web utilizand mecanismul definit (AuthID, SSL si semnatura), verifica drepturile ei de a utiliza profilurile de semnatura selectate si cheile/certificatele de semnare, verifica semnaturile ACF conform regulii de autorizare M sau N. Se verifica si daca fisierele specificate nu s-au modificat. In cele din urma daca toate acest verificari sunt corecte atunci fisierele sunt semnate si retransmise aplicatiei de business.

6. NOTA: ADSS Server pastreaza o copie a tuturor mesajelor de cerere si raspuns (optional se pot include si documentele de business) in jurnalele tranzactiilor serviciilor de semnare propri.

Separat aplicatia web poate verifica rolurile indivizilor si alte atribute ca de exemplu limitele de plata. Astfel de aspecte pot fi introduse cu usurinta intr-un director LDAP si pot fi verificate in timp real. De vreme ce aceste elemente sunt dinamice este recomandat ca aceste atribute specifice ale organizatiei sa fie verificate de aplicatia de business.

Concluzie 
ADSS Server ofera servicii usor de utilizat pentru crearea si verificarea semnaturilor digitale care permit aplicatiilor de business sa adauge incredere documentelor si datelor importante de business. Toata complexitatea semnarii si verificarii documentelor poate fi delegata in afara aplicatiei de business si transmisa serverului dedicat si sigur ADSS Server.

Semnarea autorizata se asigura ca poate fi creat o baza de audit permanent care leaga aprobarile individuale in actiunile de semnare corporative sau automate. Beneficiul pentru organizatie este ca poate fi mai usor pentru indivizi sa semneze si sa aprobe un pachet de documente – in loc sa semneze fiecare document in parte. Mai tarziu nu poate exista nicio negare a intentiei de a semna, nu poate exista nicio suspiciune ca fisierele au fost modificate in timpul sau dupa aprobare. Nu va exista nicio indoiala ca documentele finale au fost aprobate de un numar corespunzator de parti autorizate. Acest lucru adauga incredere si da valoare fluxurilor de lucru cu informatii critice de business.

Buletin de securitate: SSL POODLE Vulnerability (CVE-2014-3566)

Un document privind securitatea (https://www.openssl.org/~bodo/ssl-poodle.pdf) a fost publicat pe 14 octombrie 2014 de către Google, descriind un atac de securitate care permite ca fisierele text să fie extrase dintr-o conexiune SSL in momentul in care atat clientul cat si serverul SSL folosesc versiunea 3.0. Problema este inerenta in protocol de aproape 20 de ani, iar singura cale recomandata de a depasi aceasta problema este dezactivarea versiuniiSSL 3.0 si instalarea celei mai moderne versiuni TLS  in locul ei. Pentru a exploata cu succes datele, POODLE, atacatorul, trebuie sa fie in masura sa injecteze un JavaScript malitios in browser-ul victimei si, de asemenea, sa poată observa si manipula traficul in retea.

Impactul acestei vulnerabilitati asupre prosuselor Ascertia

  • SigningHub Cloud: Nu are nici un impact, versiunea SSL 3.0 a fost deja dezactivata din acest serviciu.
  • SigningHub Enterprise (Ascertia Docs): Acest produs nu face parte dintr-un pachet de web-server, asadar este in siguranta fata de POODLE. Cu toate acestea trebuie să va asigurati ca  SSL 3.0 este dezactivat pe serverul IIS web (a se vedea acțiunile corective de mai jos).
  • ADSS Server: Acest produs vine la pachet cu versiunea SSL 3.0 implicit activata. (a se vedea acțiunile corective mai jos pentru a se dezactiva versiunea SSL 3.0)

Actiuni corective

  • Pentru a dezactiva versiunea SSL 3.0 pentru ADSS Server urmati pasii de la KB Article.
  • Pentru a dezactiva versiunea SSl 3.0 de pe serverul de web sau browser (IIS, Apache, Chrome sau Firefox) urmati pasii de aici.

Mighty Free Joomla Templates by MightyJoomla