信任服务类型
了解 Adobe Acrobat 和 Acrobat Reader 如何使用欧盟信任列表来判断电子签名、签章或时间戳是否符合欧盟第 910/2014 号法规 (eIDAS) 的要求,以及该判断存在哪些局限性。
什么是欧盟信任列表?
欧盟信任列表 (EUTL) 是信任服务提供商 (TSP) 的权威公共登记册,这些提供商已根据欧盟关于电子身份识别和信任服务的第 910/2014 号法规 (eIDAS) 及其后续法规——欧盟第 2024/1183 号法规 (eIDAS 2.0),获得欧盟成员国监管机构授予的合格状态。[AV1]
每个成员国都维护着自己的国家信任列表,该列表以电子形式发布,并在欧盟层面汇总为一个统一的综合列表。这些列表共同标识了整个欧盟范围内 400 多个活跃的及过往的合格信任服务提供商。信任服务提供商 (TSP) 必须在其成员国的信任列表中以“活跃合格”状态出现,其任何服务才能根据 eIDAS 规定具有合格信任服务的法律效力。
在 eIDAS 中,合格层级的电子签名、印章和时间戳具有最强的法律效力。合格电子签名 (QES) 在所有欧盟成员国内在法律上等同于手写签名,是欧盟内跨境交易中唯一自动获得认可的电子签名类型。每个成员国监管在其境内设立的提供商,但在一个成员国获得批准的合格 TSP 的服务可在任何其他成员国使用,只要它们符合相同的合规级别。
正在寻找欧盟以外的数字身份提供商?请浏览 Adobe 批准的信任列表 (AATL) ›
了解 Adobe 和 TSP 领导者如何推进 web 和移动设备上基于云的签名标准。了解云签名 ›
Acrobat 如何实施 EUTL 支持
Adobe Acrobat 和 Acrobat Reader 包含对 EUTL 的内置支持,以协助用户判断 PDF 文档上的数字签名、签章或时间戳是否符合 eIDAS 规定的合格技术标准。此支持作为 Adobe 批准的信任列表 (AATL) 框架的扩展而实施的,该框架管控着 Acrobat 如何管理和定期刷新其本地受信任根证书存储。
范围:涵盖哪些合格服务
Acrobat 的 EUTL 实施范围限定在合格信任服务的特定子集。它仅包括那些颁发证书并运营用于在 PDF 工作流程中创建基于证书的数字签名的基础设施的合格信任服务提供商。具体而言,Acrobat 识别与以下信任服务相关的合格信任锚点:
|
|
Acrobat 中的覆盖范围 |
注释 |
|---|---|---|
|
电子签名合格证书(自然人) |
包括 |
通过合规签名创建设备 (QSCD)(包括远程 QSCD)颁发 |
|
电子印章合格证书(法人实体) |
包括 |
通过合规签章创建设备颁发 |
|
合格电子时间戳服务 |
包括 |
用于确定签名时间,以进行长期验证 |
|
QES 合格验证服务 |
不包括 |
Acrobat 不会调用或集成外部合规验证服务提供商 |
只有信任锚点与基于 PDF 的数字签名、签章和时间戳工作流相关的合格 TSP 才会纳入 Acrobat 的本地信任存储。不合格 TSP 以及在上述范围之外运营信任服务的合格 TSP 不包含在 Acrobat 的 EUTL 衍生配置中。
更新频率和时间限制
Acrobat 在签名验证时不会实时查询权威的 EUTL。相反,Acrobat 维护一个从 EUTL 衍生的相关合规信任锚点的本地快照,该快照会定期更新。
- 更新频率
大约每月更新,通常在每个日历月的第一周。 - 更新机制
Adobe 发布新的 EUTL 衍生快照,具有互联网访问权限的 Acrobat 安装程序会自动下载该快照,使用与 AATL 更新相同的基础设施。 - 来源
源自成员国发布并在欧盟层面编译的权威欧盟信任列表,Acrobat 的快照仅限于上述范围表中列出的服务类型。 - 更新延迟
从发布到任何成员国的信任列表到在 Acrobat 本地信任存储中生效,可能需要长达约 30 天的时间。发布后,Acrobat 可能需要长达 14 天的时间来获取更新的 EUTL 快照并使其在本地可用。这种额外的延迟取决于信任存储刷新速率,该速率将更新限制为距离上次更新不少于 14 天。
如果需要,用户可以随时通过 Acrobat 首选项 > 信任管理器 > 自动更新欧盟信任列表 (EUTL) > 立即更新,来强制手动刷新 EUTL。
由于 Acrobat 不会根据 EUTL 的实时副本来验证签名,因此对签名、签章或时间戳是否符合 eIDAS 合格标准的判断并非在所有情况下都准确。特别是,如果某个成员国的信任列表发生了更新(例如,添加新批准的合格 TSP 或反映现有 TSP 状态的变更),在下次计划更新之前,该变更不会在 Acrobat 中体现。 在此期间内,Acrobat 可能无法识别合法的合规信任锚点,或者可能识别已被撤销的信任锚点。
验证输出:三种可能状态
当 Acrobat 验证 PDF 文档上的数字签名、签章或时间戳时,它会根据其本地信任存储(包括 EUTL 衍生快照)评估证书链,并在签名验证面板中呈现以下三种状态之一:
- 欧盟合格——信任锚点已确认
证书链可解析到 Acrobat 当前 EUTL 衍生快照中存在的信任锚点,且签名、签章或时间戳满足 eIDAS 规定的合格结构要求。Acrobat 会显示:“根据欧盟第 910/2014 号法规,此为合格电子签名,基于欧盟信任列表信息(最后检查日期:yyyy-mm-dd)。”此判断基于 Acrobat 上次更新 EUTL 时可用的信任信息,未必反映当前时刻的状态。 - 不确定——在本地未找到信任锚点
证书链无法解析到 Acrobat 当前 EUTL 衍生快照中的信任锚点。这并不一定意味着签名、印章或时间戳不合格。签发 TSP 可能在 Acrobat 最后一次更新后已被添加到会员国的可信列表中。依赖方在得出关于合格状态的结论之前,应直接对照欧盟信任列表浏览器验证信任锚点的当前状态。 - 无效——签名已损坏,或不符合策略要求
Acrobat 已判定签名、签章或时间戳未通过加密验证。这可能是因为用于签名的证书已过期或被撤销、证书链无效,或者文档在应用签名之后被修改。
针对文档签名者
如果您使用从下方所列合格 TSP 获得的数字 ID 签署文档,则您签名的合格状态来自签发 TSP 以及所使用的创建设备,并且不受查看应用程序如何显示验证结果的影响。
针对依赖方的重要注意事项
由于 Acrobat 验证结果基于欧盟信任列表的定期快照,在受监管或法律敏感环境下的依赖方,在依赖结果之前,应直接对照“欧盟信任列表浏览器”验证签署 TSP 的当前合格状态。
在需要具有法律约束力的决定时,依赖方应使用合格的验证服务。
查找合格的信任服务提供商
Adobe 是首家在 PDF 签署体验中为基于 EUTL 的合格 TSP 提供全面支持的全球 PDF 供应商。从 EUTL 中列出的合格 TSP 获得数字 ID 后,您可以使用 Adobe Acrobat Reader、Adobe Acrobat 或 Adobe Acrobat Sign 安全地签署文档。Adobe 平台支持欧盟各成员国的所有合格 TSP,使您的组织能够灵活地选择最符合您合规要求的提供商。
按成员国和服务类型整理的合格信任服务提供商完整列表,由欧盟委员会在欧盟信任列表浏览器中维护。Adobe 支持的这些提供商子集每月进行审核和更新。
正在寻找欧盟以外的数字身份提供商?请浏览 Adobe 批准的信任列表 (AATL) ›
了解 Adobe 和 TSP 领导者如何推进 web 和移动设备上基于云的签名标准。了解云签名 ›