Infolinka 270 005 200
 
 

Nápověda

Obsah

5. Ověření a přerazítkování datové zprávy

Portál pro práci s datovými schránkami nabízí funkci ověření autenticity a neporušenosti datové zprávy, která byla prostřednictvím Informačního systému datových schránek zaslána z jedné datové schránky do jiné. Máte-li k dispozici nějakou datovou zprávu a jste-li vlastníkem datové schránky, můžete tímto způsobem věrohodně prokázat, zda se jedná o pravou datovou zprávu v nezměněné podobě bez ohledu na platnost časového razítka a značky, kterou byla v době jejího uložení na disk počítače označena.

Ověřit můžete jakoukoli datovou zprávu jako celek, tedy i včetně příloh. Ověřující uživatel nemusí být odesílatelem ani adresátem ověřované zprávy. Nezáleží ani na stáří datové zprávy.

Pokud byla datová zpráva úspěšně ověřena, můžete důvěřovat celému obsahu takové zprávy.

Dále je možné na datovou zprávu aplikovat proces autorizace. Ten umožní zkontrolovat, zda konkrétní datová zpráva splňuje podmínky dlouhodobé průkaznosti. Pokud ne, systém automaticky doplní novou, rozšířenou značku.

Okno pro ověření a přerazítkování datové zprávy otevřete klepnutím na záložku Ověření datové zprávy.

Ověření a přerazítkování datové zprávy

5.1. Ověření datové zprávy

Chcete-li datovou zprávu uloženou v souboru ověřit, zda byla řádně doručena pomocí systému ISDS, klepněte v okně Ověření datové zprávy v části Ověření na tlačítko Vybrat.

Tlačítko Vybrat

Otevře se okno Ověřit datovou zprávu, ve kterém určíte soubor, ve kterém je zpráva uložena a odešlete jej k ověření.

Ověření datové zprávy

Klepnutím na tlačítko Procházet se otevře standardní dialog pro volbu disku, složky a souboru – v něm vyberete soubor se zprávou, kterou chcete ověřit.

Klepnutím na tlačítko Ověření datové zprávy se ze specifikovaného souboru načte příslušná datová zpráva, ověří se a výsledek je obratem oznámen.

  • Pokud je zpráva v pořádku, je zobrazeno hlášení: Obsah předložené datové zprávy se shoduje se záznamy Informačního systému datových schránek. Zpráva byla přenesena.

    Ověření datové zprávy - zpráva je v pořádku

    Tlačítkem Pokračovat se vrátíte do okna pro ověření datové zprávy.

  • V opačném případě (třeba pokud jste se pokusili vložit jiný interaktivní elektronický formulář ve formátu ZFO, který nemá strukturu datové zprávy Informačního systému datových schránek) je vypsáno: Obsah předložené datové zprávy se neshoduje se záznamy informačního systému datových schránek. Zpráva nebyla přenesena.

    Ověření datové zprávy - zpráva nemá strukturu datové zprávy

    Tlačítkem Zpět se vrátíte do okna pro ověření datové zprávy.

5.2. Přerazítkování datové zprávy

Chcete-li zkontrolovat, zda konkrétní datová zpráva splňuje podmínky dlouhodobé průkaznosti, klepněte v okně Ověření datové zprávy v části Přerazítkovat na tlačítko Vybrat. Pokud daná zpráva podmínky dlouhodobé autorizace nesplňuje, systém automaticky doplní novou, rozšířenou pečeť MV.

Tlačítko Vybrat

Otevře se okno Přerazítkovat datovou zprávu, ve kterém vyhledáte soubor, ve kterém je zpráva uložena a odešlete jej k přerazítkování.

Autorizace datové zprávy

Klepnutím na tlačítko Procházet se otevře standardní dialog pro volbu disku, složky a souboru – v něm vyberete soubor se zprávou, kterou chcete přerazítkovat.

Tlačítko Vybrat soubor

Klepnutím na tlačítko Přerazítkovat datovou zprávu se ze specifikovaného souboru načte příslušná datová zpráva a podrobí přerazítkování. Pokud je proces úspěšný, promítne se přerazítkování do názvu nově uloženého souboru – například ODZ_181103_platiDo_2018_10_01.zfo, kde tučně je zvýrazněna nová část názvu s údajem platnosti přerazítkování.

Přerazítkovat lze samozřejmě pouze soubory povoleného typu – podepsané datové zprávy, jejich dodejky a doručenky. Přerazítkování jiného typu souboru je odmítnuto.

Autorizace datové zprávy - Odmítnutí

5.2.1. Technické poznámky k procesu přerazítkování

Uživatelský Portál ISDS z důvodu zjednodušení pochopení práce s časovými razítky používá jednotný pojem Přerazítkování, který se však interně dělí na dvě odlišné operace:

  • Re-autorizace – jednorázové nahrazení neplatného (expirovaného) podpisu značkou / pečetí MV ve stažené zprávě podpisem novým aktuálním (při splnění daných podmínek). Odpovídá novému stažení zprávy z ISDS.
  • Archivace – opakované přidávání časových razítek do stávající značky / pečetě MV, trvale prokazující dlouhodobou platnost zprávy.

Pro vkládání časových archivních razítek do značky MV byl zvolen standard CAdES (CMS Advanced Electronic Signature) popsaný v RFC 5126 a implementovaného podle dokumentu ETSI TS 101 733 v1.8.3.

5.2.2. Varianty chování pro různé datové zprávy

Datové zprávy ISDS lze rozdělit podle stáří a stupně podepsání do několika skupin. Pro každou skupinu popíšeme chování systému ISDS.

Ve všech případech se předpokládá, že zpráva prošla ověřovacím procesem (ověření, že zpráva prošla systémem ISDS a nebyla změněna), jinak by se vůbec nedostala dál.

Správná funkce je v této verzi zaručena pro časová razítka autority PostSignum, I.CA i eIdentity.

  Podací razítko Podpis MV Časové razítko CAdES 1) Akce Vrací se varianta
1 Expirované Expirovaný Není Re-autorizace CAdES-T
2 Expirované OK Není, pouze CAdES-EPES Archivace CAdES-T
3 OK Expirovaný Není Re-autorizace CAdES-T
4 OK OK Není Archivace CAdES-T
5 Jakékoliv Jakýkoliv OK Archivace CAdES-A
6 Jakékoliv Jakýkoliv Expirované Chyba --

Poznámky:

1) myslí se poslední razítko v CAdES struktuře archivních razítek.

Skupina 1: Jedná se o staré zprávy z prvního roku provozu, stažené ještě v době před 16. 4. 2011, kdy se začalo přidávat časové razítko do značky MV.

Skupina 2: Jedná se o malou skupinu zpráv, které byly staženy nedávno (platí stále značka / pečeť MV), ale při stažení se nepodařilo získat od PostSignum on-line razítko (v tom případě se formát podpisu uloží jako CAdES-B). Protože je značka / pečeť MV v pořádku, lze provést v rámci Archivace doplnění časového razítka. Stejná situace může nastat u zpráv trezorových, stažených až po okamžiku expirace certifikátu podacího razítka a současně s nedodáním časového razítka do značky při stažení.

Skupina 3: Většina normálních starých zpráv stažených před 16. 4. 2011. Po vložení do systému se provede Re-autorizace – neplatná značka MV se nahradí novou včetně aktuálního časového razítka, výsledkem je podepsaná zpráva ve formátu CAdES-T. Pro takovou zprávu je dalším krokem opakovaná archivace. Termín posledního předání „normálně získané“ zprávy k Re-autorizaci je 23. 6. 2013, kdy vyprší platnost certifikátu TSU používaných 16. 4. 2011 při nasazení razítek do značky MV. Zprávy, stažené bez razítka (viz skupina 2), půjde re-autorizovat i nadále (pokud se takové objeví).

Skupina 4: Menší část zpráv stažených po 16. 4. 2011 bez časového razítka (ve formátu CAdES-EPES). Protože je značka MV platná, není třeba provést Re-autorizaci, ale již Archivaci, i když je výsledkem jen formát CAdES-T (přidání časového razítka).

Skupina 5: Normální stav u správně archivovaných zpráv. Zpráva je označena prvním nebo archivním časovým razítkem v CAdES struktuře. V tom případě již nezáleží na stavu předchozích podpisů. Opakované volání Archivace způsobí přidání dalšího razítka a tím zachování trvalé průkaznosti zprávy.

Skupina 6: Běžná situace, kdy si majitel zprávy včas neprodlouží platnost pomocí archivního razítka - zapomene provést další krok v Archivaci. Zpráva se stává nearchivovatelnou bez možnosti dodatečné nápravy.

5.2.2.1. Hlášení Portálu

Portál vrací v případě, že akce neproběhla, některý z následujících stavů:

Text na Portálu Poznámka
Předložená data nejsou podepsaná datová zpráva, dodejka ani doručenka. Předaný soubor není podepsané XML s datovou zprávou či dodejkou.
Předložená data neodpovídají žádné datové zprávě, dodejce ani doručence. Předaný soubor odpovídá zprávě či dodejce, ale odpovídající zpráva nebyla v systému nalezena – např. vložení zprávy z testovacího prostředí.
Platnost elektronické značky / pečeti MV vypršela. Archivace již není možná. Značka nebo pečeť MV již není platná, zprávu nelze dále udržovat pomocí archivních CAdES razítek.
Dokument v tomto okamžiku splňuje podmínky dlouhodobé průkaznosti a není třeba jej zatím doplňovat časovým razítkem. Podpis MV splňuje formát CAdES-A a nové razítko nerozšíří jeho platnost. Je tedy nyní zbytečné provádět archivaci.
Nepodařilo se získat časové razítko. Opakujte akci později. TSA nevrátila rychle razítko, nelze pokračovat.
Od okamžiku získání posledního časového razítka neuplynula minimální lhůta <N> hodin. Opakujte akci po uplynutí minimální lhůty. Mezi sestavením variant CAdES musí uplynout určitý čas (např. 24 hodin u PostSignum) podle politik TSA o umísťování neplatných certifikátů na CRL Před touto dobou není jistota, že nebyl odvolán certifikát předchozího razítka.
Neočekávaná chyba v procesu autorizace. Zkuste akci opakovat později, a pokud potíže přetrvávají, obraťte se na Infolinku. Jiná chyba, neměla by nastat.