Verschillen tussen het PKCS#7/CMS- en het CAdES-T-formaat
Het handtekeningformaat CAdES-T verschilt van het PKCS#7-formaat door de inclusie van een gecertificeerde timestamp. Conceptueel kan het verschil tussen de twee formaten als volgt worden weergegeven:
De timestamp in de CAdES-T-handtekening is een "gecertificeerde timestamp." Dit betekent dat de timestamp werd gegenereerd door een tijdstempelinstantie die de nauwkeurigheid en betrouwbaarheid van de verstrekte datum en de tijd kan garanderen. Technisch wordt de betrouwbaarheid van de timestamp gegarandeerd door de ondertekening van deze timestamp. Deze handtekening wordt uitgevoerd door de tijdstempelinstantie.
De toevoeging van deze gecertificeerde timestamp in de structuur van de handtekening biedt de mogelijkheid een garantie van sterke onweerlegbaarheid van de ondertekenaar te bekomen. Met andere woorden, de ondertekenaar die de CAdES-T-handtekening gegenereerd heeft, kan later niet ontkennen de handtekening gegenereerd te hebben op de door de timestamp aangegeven datum. Vanuit het oogpunt van de ontvanger van deze handtekening (de verzender) versterkt de validatie van deze timestamp dan ook een van de garanties die reeds aanwezig zijn in de PKCS#7/CMS-handtekening.
In de praktijk zal de verzender die wenst te profiteren van deze extra beveiliging, volgende controles moeten uitvoeren (naast deze die reeds tijdens de validatie van de PKCS#7/CMS-handtekening uitgevoerd werden):
- Verifiëren dat de handtekening die gekoppeld is aan de timestamp weldegelijk betrekking heeft op:
- De timestamp zelf, en…
- …de waarde van de handtekening die aan het bericht gekoppeld is.
- Verifiëren dat de handtekening van de timestamp cryptografisch juist is (RSA- of DSA-decodering van de handtekening en vergelijking van de digests).
- Verifiëren dat de timestamp geproduceerd werd door een betrouwbare tijdstempelinstantie, dit wil zeggen dat het certificaat, gebruikt voor het identificeren van de tijdstempelinstantie, een vertrouwd certificaat is vanuit het oogpunt van de verzender. Dit certificaat mag niet verlopen of ingetrokken worden.