← Back to all articles

Langetermijn-pdf-validatie: waarom een conforme pdf van vandaag in 2035 kan mislukken

SealDoc Team · · 6 min read

Een documentarchief is alleen nuttig als de documenten erin verifieerbaar zijn op het moment dat een auditor erom vraagt. Niet op het moment dat je ze aanmaakte. Niet wanneer je advocaten ze willen. Wanneer iemand buiten je organisatie je vraagt iets te bewijzen.

Voor digitaal ondertekende en van een tijdstempel voorziene documenten heeft verificatie een houdbaarheidsdatum. De cryptografische mechanismen die een PDF/A-3-document vandaag betrouwbaar maken, hangen af van certificaten, algoritmen en vertrouwensketens die kunnen verlopen, worden ingetrokken of worden afgeschreven. Een documentarchief bouwen zonder hiervoor te plannen is een archief bouwen dat op het slechtst mogelijke moment zal mislukken.

Het probleem met certificaatafhankelijke verificatie

Een pdf-digitale handtekening wordt geverifieerd via een certificaatketen: het certificaat van de ondertekenaar, het certificaat van de uitgevende CA en het certificaat van de root-CA. Elk certificaat heeft een geldigheidsperiode, doorgaans een tot drie jaar voor eindentiteitscertificaten.

Als je een handtekening verifieert nadat het certificaat van de ondertekenaar is verlopen, zal de verificatie mislukken tenzij de verificatieprogram kan vaststellen dat het certificaat geldig was op het moment van ondertekening. Dat vaststellen vereist:

  1. Weten wanneer het document is ondertekend (een betrouwbare tijdstempel)
  2. De intrekkingsstatus van het certificaat op het moment van ondertekening (OCSP-reactie of CRL)
  3. De volledige certificaatketen zoals die bestond op het moment van ondertekening

Vijf jaar na ondertekening is het certificaat allang verlopen. De CA is mogelijk niet meer actief. De OCSP-responder serveert zeker geen reacties meer voor dat certificaat. De intrekkingsstatus van het moment van ondertekening bestaat nergens meer online.

Zonder deze informatie weigert een strikte verificatieprogram de handtekening te bevestigen, ook al was ze volkomen geldig toen ze werd aangebracht.

Langetermijnvalidatie (LTV)

Langetermijnvalidatie (LTV) is de techniek voor het direct in het document inbedden van het bewijs dat nodig is voor toekomstige verificatie. De standaard voor pdf is gedefinieerd in ETSI EN 319 132 (PAdES) en ISO 32000.

Een LTV-geschikt PDF/A-3-document bevat:

  • De handtekening- en tijdstempeltokens (zoals altijd)
  • De volledige certificaatketen van elk betrokken certificaat bij ondertekening en tijdstempeling
  • De intrekkingsinformatie (OCSP-reacties of CRL-snapshots) vastgelegd op het moment van ondertekening, terwijl de certificaten nog geldig waren en de OCSP-responders nog actief

Met deze ingebedde informatie kan een verificatieprogram in 2035 de volledige vertrouwensketen reconstrueren zoals die in 2026 bestond, zonder netwerktoegang.

LTV-informatie toevoegen vereist het inbedden ervan voordat de betrokken certificaten verlopen. Dit wordt doorgaans direct na ondertekening gedaan, of binnen een korte periode, niet jaren later.

Algoritme-afschrijving

SHA-1 werd in 2017 afgeschreven als handtekeningalgoritme. Certificaten ondertekend met SHA-1 worden niet meer vertrouwd door grote verificatoren. Elke pdf ondertekend met een SHA-1-certificaat is nu onverifieerbaar in strikte modus.

SHA-256 is de huidige standaard en zal naar verwachting nog lange tijd veilig blijven, maar “voorzienbare toekomst” is in cryptografie een gekwalificeerd begrip. NIST werkt sinds 2016 aan post-kwantumcryptografische standaarden en de overgang naar kwantumbestendige algoritmen wordt verwacht binnen de komende 10 tot 15 jaar.

Voor een document dat tot 2040 verifieerbaar moet blijven, kan het in 2026 gekozen ondertekeningalgoritme zijn afgeschreven voordat de archiefperiode eindigt. De maatregel is archivale tijdstempeling: een nieuw tijdstempel aanbrengen voordat het algoritme van het oude is afgeschreven, waarbij het nieuwe tijdstempel het document plus het oude tijdstempel dekt. Dit behoudt de vertrouwensketen over algoritme-overgangen.

Archivale tijdstempeling

Een archivaal tijdstempel verlengt de geldigheid van een van een tijdstempel voorzien document voorbij het punt waar het algoritme of certificaat van het originele tijdstempel als zwak kan worden beschouwd.

Het proces:

  1. Het document heeft een bestaand RFC 3161-tijdstempel uit 2026
  2. Voordat SHA-256 wordt afgeschreven (hypothetisch, rond 2036), vraag je een nieuw tijdstempel aan
  3. Het nieuwe tijdstempel dekt het document plus het bestaande tijdstempeltoken uit 2026
  4. Het nieuwe tijdstempel gebruikt het dan aanbevolen algoritme (kwantumbestendig, circa 2036)
  5. Een verificatieprogram in 2040 verifieert: het tijdstempel uit 2036 (met het 2036-algoritme) dekte het tijdstempel uit 2026, dat het document met zijn originele hash dekte

Deze keten is telescopisch: elk nieuw tijdstempel staat garant voor alle vorige. Je hoeft het originele document niet opnieuw te ondertekenen; je hoeft alleen een nieuw tijdstempel toe te voegen voordat het vorige cryptografisch onvoldoende wordt.

Voor een belastingarchief van 10 jaar is een enkelvoudige hertijdstempeling halverwege de periode meestal voldoende. Voor archieven van 20 of 30 jaar (medische dossiers, onroerendgoed, overheidsaanbestedingen) moet bij de initiële archivering een hertijdstempelingschema worden vastgesteld.

Stabiliteit van lettertypen en kleurprofielen

Los van cryptografische overwegingen heeft PDF/A-3 een eenvoudiger langetermijnvoordeel ten opzichte van gewone pdf: het verplicht dat alle lettertypen en kleurprofielen in het bestand zijn ingebed. Een pdf die verwijst naar een extern lettertype of een systeemkleurprofiel gebruikt, kan er over tien jaar anders uitzien wanneer het lettertype niet meer is geinstalleerd of het kleurprofiel is bijgewerkt.

PDF/A-3 verbiedt externe verwijzingen, JavaScript en elke inhoud die runtime-resolutie vereist. Wat in het bestand zit, is alles wat nodig is om het identiek weer te geven in elke conforme viewer, nu en in de toekomst.

Daarom is PDF/A-3 het juiste archiefformaat voor elk document dat over jaren leesbaar moet zijn voor een menselijke auditor. Een gewone pdf die vandaag valideert, kan er in 2035 verkeerd uitzien of onleesbaar zijn, niet door cryptografie, maar omdat een lettertyperenderer is veranderd.

Langetermijnarchieven valideren

VeraPDF is de referentie-implementatie voor PDF/A-validatie. Het is open source, onderhouden door de PDF Association en de Open Preservation Foundation en is het hulpmiddel dat wordt gebruikt door nationale archieven en regelgevende instanties door heel Europa.

VeraPDF uitvoeren op een PDF/A-3-archief bevestigt:

  • Het document voldoet aan ISO 19005-3 (PDF/A-3)
  • Alle lettertypen zijn ingebed
  • Kleurprofielen zijn op zichzelf staand
  • Geen verboden functies (JavaScript, externe inhoud, versleuteling) zijn aanwezig
  • De XMP-metadata is geldig en identificeert correct het conformiteitsniveau

VeraPDF valideert geen cryptografische handtekeningen of tijdstempels. Gebruik daarvoor een PAdES-bewuste verificatieprogram zoals de ETSI Signature Validation API of DSS (Digital Signature Service), de open-sourcebibliotheek onderhouden door de Europese Commissie.

Een volledige langetermijnvalidatieworkflow voert beide uit: VeraPDF voor PDF/A-conformiteit, DSS voor handtekening- en tijdstempelverificatie.

Archieven bouwen die hun bewaartermijn overleven

De praktische checklist voor een documentarchief dat aan het einde van zijn bewaartermijn verifieerbaar blijft:

  1. Gebruik PDF/A-3 voor alle gearchiveerde documenten (alle lettertypen en kleurprofielen ingebed)
  2. Pas PAdES-handtekeningen toe met LTV-informatie ingebed op het moment van ondertekening
  3. Gebruik RFC 3161-tijdstempels van TSA’s op de EU-vertrouwenslijst
  4. Neem de volledige certificaatketen en intrekkingsgegevens op in het document bij archivering
  5. Sla documenten op in WORM-opslag met compliance-modus bewaarvergrendelingen
  6. Neem een hertijdstempelschema op in je bewaringsbeleid, geactiveerd voordat enig ingebed certificaat of algoritme nadering van afschrijving bereikt
  7. Verifieer het archief periodiek (jaarlijks voor archieven met lange bewaring) met VeraPDF en DSS

Stappen 1 tot en met 4 worden uitgevoerd bij archivering. Stappen 5 tot en met 7 zijn operationele verplichtingen voor de levensduur van het archief.

SealDoc en langetermijngeldigheid

SealDoc genereert PDF/A-3-documenten met LTV-geschikte handtekeningen en RFC 3161-tijdstempels van gekwalificeerde EU-TSA’s. De certificaatketens en OCSP-reacties worden ingebed op het moment van documentaanmaak, niet retroactief.

Het evidence pack bevat het verificatiemateriaal: de volledige certificaatketen, de intrekkingssnapshots en de tijdstempeltokens in hun originele CMS-codering. Een auditor in 2035 kan het pack verifiëren met VeraPDF, DSS of OpenSSL zonder netwerktoegang of afhankelijkheid van de infrastructuur van SealDoc.

Hertijdstempeling voor archieven met lange bewaring is beschikbaar als geplande bewerking via de SealDoc-API, waardoor organisaties algoritmische actualiteit kunnen handhaven voor archieven die de verwachte levensduur van huidige cryptografische standaarden overstijgen.

← Back to all articles