Validasi jangka panjang

Spec Spec: ETSI EN 319 142-1 ETSI EN 319 142-1 Spec Spec: RFC 6960 RFC 6960 Spec Spec: ISO 32000-2, §12.8.4 ISO 32000-2 §12.8.4 Evidence § Standard-backed Evidence: Standard-backed

Sekilas pandang

Tanda tangan yang Anda verifikasi hari ini bertumpu pada fakta-fakta yang tidak bertahan selamanya: sertifikat yang kedaluwarsa, server pencabutan yang berhenti daring, dan algoritme hash yang melemah. Validasi jangka panjang merekam bukti tersebut ke dalam dokumen selagi masih dapat diperoleh. Dengan demikian, tanda tangan dapat diperiksa bertahun-tahun kemudian tanpa perlu meminta jawaban dari pihak mana pun.

Mengapa hal ini penting

Risiko berbahaya dari tanda tangan digital adalah bahwa ia bisa diam-diam berhenti dapat diverifikasi meskipun tampak tidak berubah. Tidak ada satu pun isi berkas yang berubah. Otoritas sertifikat berhenti menjawab pertanyaan tentang sertifikat yang sudah lama kedaluwarsa. Validator yang membutuhkan jawaban tersebut tidak lagi bisa memperolehnya. Kontrak yang jelas sah pada hari penandatanganannya menjadi “tidak dapat ditentukan” satu dekade kemudian. Padahal, satu dekade kemudian sering kali justru saat sengketa paling mungkin terjadi dan taruhannya paling tinggi. Jika kewajiban retensi Anda diukur dalam tahun, tanda tangan tanpa validasi jangka panjang adalah risiko yang baru muncul di kemudian hari.

Versi singkat

• Keabsahan tanda tangan bergantung pada fakta eksternal yang peka terhadap waktu: jendela masa berlaku sertifikat dan status pencabutan dari sebuah server.
• Fakta-fakta tersebut menjadi tidak dapat diperoleh setelah sertifikat kedaluwarsa — otoritas tidak berkewajiban menjawab selamanya.
• Validasi jangka panjang menangkap bukti pada saat penandatanganan — sertifikat, respons OCSP, CRL — dan menanamkannya ke dalam Document Security Store (DSS) dokumen.
• Sebuah stempel waktu dokumen kemudian membuktikan bahwa bukti itu sendiri ada dan sah pada saat itu, serta dapat diperbarui sebelum perlindungannya sendiri melemah.
• Hasilnya: dokumen membawa buktinya sendiri. Verifikasi tidak lagi bergantung pada keberadaan sebuah server.

Bagaimana NextPDF menanganinya

Prinsipnya adalah “kumpulkan buktinya selagi Anda masih bisa, lalu segel.” Ketika NextPDF menghasilkan tanda tangan jangka panjang, ia mengumpulkan rantai sertifikat dan respons pencabutan yang membuktikan bahwa sertifikat penanda tangan sah pada saat penandatanganan. Ia menuliskannya ke dalam DSS sebagai nilai tertanam, bukan sebagai tautan. Ia kemudian menambahkan stempel waktu dokumen di atas keseluruhannya. Nilai tertanam itulah intinya. Tautan ke server pencabutan justru menjadi ketergantungan yang ingin dihilangkan oleh validasi jangka panjang.

Lapisan jangka panjang ditulis sebagai revisi dokumen terpisah, ditambahkan tanpa mengganggu rentang byte tanda tangan asli. Tanda tangan pertama tetap dapat diverifikasi. Materi jangka panjang ditambahkan di sekelilingnya, bukan ke dalamnya. Ketika perlindungan pada stempel waktu dokumen itu sendiri menua, tingkat arsip memungkinkan stempel waktu lain dilapiskan di atasnya. Hasilnya berupa rantai tempat setiap stempel waktu menjamin segala sesuatu di bawahnya.

1. Sign The signature and its signed attributes are written (B-B).
2. Capture evidence Certificate chain, OCSP responses, and CRLs proving the certificate was valid at signing time are gathered.
3. Embed in the DSS The evidence is written into the document as embedded values, not links (B-LT).
4. Seal with a document timestamp A timestamp proves the embedded evidence existed and was valid at that moment (B-LTA).
5. Renew before it weakens Another timestamp is layered before the previous one’s protection ages, extending verifiability.

Bagaimana validasi jangka panjang menjaga tanda tangan tetap dapat diverifikasi seiring waktu: tanda tangan dibuat, bukti ditangkap selagi masih dapat diperoleh, bukti disegel oleh stempel waktu dokumen, dan segel diperbarui sebelum melemah.

Apa kata buktinya

Evidence § Standard-backed Evidence: Standard-backed Kebutuhan ini dinyatakan dengan jelas oleh Spec Spec: RFC 6960, §4.4.4 RFC 6960 §4.4.4 : status pencabutan dapat bertahan lebih lama daripada jendela masa berlaku sertifikat, dan mekanisme batas arsip memberi validator konteks historis untuk memutuskan apakah suatu tanda tangan dapat diandalkan pada saat ia dihasilkan, bahkan setelah sertifikat yang digunakan untuk validasi telah kedaluwarsa. Itulah alasan validasi jangka panjang ada. Respons pencabutan hanya tersedia untuk waktu yang terbatas, jadi Anda harus menangkapnya sebelum waktu itu berakhir.

Mekanismenya berasal dari ETSI. Spec Spec: ETSI EN 319 142-2, §5.5 ETSI EN 319 142-2 §5.5 menyatakan bahwa perilaku jangka panjang memerlukan Document Security Store yang membawa data validasi sebagai nilai, diikuti oleh stempel waktu dokumen. Spec Spec: ISO 32000-2, §12.8.3.3 ISO 32000-2 §12.8.3.3 merangkai semuanya: PAdES adalah CAdES CMS yang dipadukan dengan validasi jangka panjang (§12.8.4) dan kamus stempel waktu dokumen (§12.8.5). Dan Spec Spec: ETSI EN 319 142-2, §6.3.2.2 ETSI EN 319 142-2 §6.3.2.2 adalah alasan mengapa stempel waktu dipasang lebih awal: ia sebaiknya diterapkan segera setelah penandatanganan agar waktu yang terekam sedekat mungkin dengan waktu sebenarnya.

Mesin NextPDF mengimplementasikannya sebagai tingkat B-LT dan B-LTA: nilai pencabutan tertanam di dalam DSS, stempel waktu dokumen yang menyegelnya, dan loop arsip yang memperbarui segel tersebut — ditulis sebagai revisi tambahan yang menjaga rentang byte tanda tangan asli tetap utuh.

Human-factors note: Human-factors note

Pesan utamanya — tangkap bukti selagi masih dapat diperoleh, karena nanti tidak akan bisa lagi — dinyatakan sebelum mekanisme DSS apa pun, karena untuk topik yang kritis terhadap keselamatan, peringatan memang seharusnya berada di depan prosedur. Pembaca yang hanya memahami bahwa bukti pencabutan memiliki masa simpan sudah memahami hal yang mencegah kegagalan sepuluh tahun kemudian.

Contoh praktis

Tingkat yang Anda pilih adalah keputusan jangka panjang itu sendiri. API membuat persyaratan ini eksplisit sebelum Anda berkomitmen.

<?php

declare(strict_types=1);

use NextPDF\Security\Signature\SignatureLevel;

// B-LT embeds validation material; B-LTA adds the renewable seal.
$level = SignatureLevel::PAdES_B_LTA;

$level->requiresDss();                // true  → certificates + revocation embedded
$level->requiresDocumentTimestamp();  // true  → a document timestamp seals the DSS

// The high-level seam produces the level end to end: it embeds the DSS
// dictionary and appends the DocTimeStamp revision in one call.
$document
    ->setSignature($cert, SignatureLevel::PAdES_B_LTA, $tsaClient)
    ->save();

// The engine produces this only if the deployment can supply what it needs
// (a TSA, and revocation data reachable at signing time). It fails with an
// actionable error rather than embedding nothing and reporting success.

Lapisan tingkat tinggi yang ditunjukkan di atas — setSignature($cert, SignatureLevel::PAdES_B_LTA, $tsaClient)->save() — kini terhubung secara menyeluruh; rilis sebelumnya mengekspos enum tingkat tetapi tidak menyertakan lapisan yang menghasilkannya. Yang ditulisnya adalah strukturnya: kamus DSS dan revisi DocTimeStamp yang dijelaskan oleh Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 . Struktur tersebut tidak diuji kesesuaian profilnya, dan lapisan ini tidak menyatakan apa pun mengenai kesesuaian ETSI maupun keabsahan hukum. Tingkat B-LT dan B-LTA memerlukan Pro dan Enterprise sekaligus; pada tingkat lain mana pun, lapisan ini gagal-tertutup alih-alih menghasilkan hasil parsial. Dokumen terenkripsi juga gagal-tertutup untuk B-LT dan B-LTA; DSS dan stempel waktu dokumen tidak ditulis di atas konten terenkripsi, karena hal itu akan membuatnya ditulis secara keliru.

Pilihan ini tidak dapat ditambahkan belakangan dengan biaya rendah. Bukti pencabutan harus ditangkap pada saat penandatanganan, selagi jawabannya masih ada. Memutuskan “kami akan menambahkan validasi jangka panjang nanti” biasanya berarti memutuskan “kami tidak akan memiliki buktinya saat membutuhkannya.”

Kesalahpahaman umum

Kesalahpahamannya adalah “validasi jangka panjang membuat tanda tangan sah selamanya.” Ia tidak membuat apa pun menjadi sah. Ia menjaga kemampuan untuk memeriksa keabsahan yang telah ditetapkan pada saat penandatanganan. Jika sertifikat sudah dicabut ketika dokumen ditandatangani, menanamkan fakta itu tidak menyelamatkan tanda tangan. Sebaliknya, ia mendokumentasikan kegagalan tersebut secara permanen. Validasi jangka panjang adalah mekanisme pelestarian bukti, bukan mekanisme penciptaan bukti. Kesalahpahaman kedua adalah keyakinan bahwa B-LTA bersifat “atur lalu lupakan.” Stempel waktu arsip melindungi dengan algoritme yang juga ikut menua. Tanpa pembaruan, berkas B-LTA pada akhirnya mewarisi kerapuhan yang sama yang seharusnya ia hindari.

Batasan dan ruang lingkup

NextPDF mengumpulkan dan menanamkan bukti serta menuliskan stempel waktu. Ia tidak memiliki kendali atas kebenaran bukti tersebut maupun jadwal pembaruannya. Respons pencabutan hanya sebaik otoritas yang menerbitkannya dan saat respons itu diambil. Konektivitas ke otoritas tersebut pada saat penandatanganan merupakan tanggung jawab penerapan. Mesin tidak dapat mengada-adakan jawaban pencabutan yang tidak bisa ia peroleh. Pembaruan arsip adalah proses operasional. Mesin dapat menambahkan stempel waktu lain, tetapi ia tidak dapat memutuskan kapan kebijakan retensi Anda mengharuskannya. Apakah data tertanam tersebut kelak dinilai memadai merupakan persoalan validator dan kebijakan, yang dibahas dalam Memvalidasi tanda tangan dengan benar. Halaman ini tidak menyatakan keterterimaan hukum, yang bergantung pada yurisdiksi, penanda tangan, dan sertifikat.

Ketersediaan validasi jangka panjang per tingkat:

Long-term validation (DSS embedding and the archival timestamp loop) — edition availability

Edition	Availability
Core	○ Not in this edition
Pro	○ PAdES B-T — stempel waktu tepercaya pada nilai tanda tangan — tersedia, tetapi materi validasi tertanam (DSS) bukan bagian dari B-T.
Enterprise	○ PAdES B-LT dan B-LTA: nilai sertifikat dan pencabutan tertanam di dalam DSS, stempel waktu dokumen yang menyegelnya, dan loop arsip yang dapat diperbarui.

Dokumen terkait

• Profil dasar PAdES — menjelaskan posisi B-LT dan B-LTA dalam tahapan tingkat serta apa yang ditambahkan masing-masing.
• Stempel waktu dan waktu tepercaya — stempel waktu dokumen yang menyegel bukti tertanam.
• Memvalidasi tanda tangan dengan benar — bagaimana validator menggunakan materi tertanam, dan mengapa “sah” saja belum lengkap.
• Alur kerja perjanjian yang ditandatangani — alur kerja menyeluruh tempat materi validasi jangka panjang diterapkan dalam praktik.

Glosarium

• Validasi jangka panjang (LTV) — menanamkan bukti yang diperlukan untuk memverifikasi tanda tangan sehingga verifikasi kelak tidak bergantung pada layanan eksternal.
• Document Security Store (DSS) — struktur PDF yang menyimpan sertifikat dan data pencabutan tertanam untuk validasi jangka panjang.
• Respons OCSP — pernyataan bertanda tangan mengenai status pencabutan sertifikat pada suatu titik waktu (Online Certificate Status Protocol, RFC 6960).
• CRL — Certificate Revocation List; daftar bertanda tangan berisi sertifikat yang telah dicabut.
• Stempel waktu dokumen — stempel waktu RFC 3161 yang diterapkan pada keseluruhan dokumen, membuktikan bahwa bukti tertanam ada dan sah pada saat itu.
• Loop arsip — berulang kali menambahkan stempel waktu dokumen baru sebelum perlindungan stempel sebelumnya melemah, sehingga memperpanjang keterverifikasian.