PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA

Maciej Domagalski

Krajowa Izba Rozliczeniowa SA

Regionalne Centrum Sprzedaży w Poznaniu

Charakterystyka działań z obszaru e gospodarki i e –administracji podejmowanych na regionalnym poziomie

Plan prezentacji

1. Podstawowe definicje

2. Rodzaje podpisu elektronicznego

3. Funkcje podpisu elektronicznego

4. Aspekty prawne

5. Zastosowania

6. Podpisywanie i weryfikacja dokumentów elektronicznych w praktyce

Krajowa Izba Rozliczeniowa S.A.

KIR SA działa od 1992 roku

Spółka akcyjna 12 banków założycieli oraz Narodowego Banku Polskiego i Związku Banków Polskich

Założona by świadczyć usługi rozliczeniowe, każdego dnia poprzez system ELIXIR® pośredniczy w realizacji ok. 4 mln zleceń płatniczych na kwotę ponad 9 miliardów złotych

Do zabezpieczania transakcji w systemie ELIXIR® od 1994 roku wykorzystujemy podpis elektroniczny i certyfikaty klucza publicznego generowane przez System Zarządzania Certyfikatami SZAFIR,

Status „Instytucji zaufania publicznego”

Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub logicznie z nimi powiązane, umożliwiają identyfikację osoby fizycznej składającej ten podpis, Bezpieczny podpis elektroniczny - podpis elektroniczny, który jest:

• przyporządkowany wyłącznie do jednej osoby, • sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis

elektroniczny bezpiecznych urządzeń i danych służących do składania podpisu elektronicznego,

• powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna

Czym jest podpis elektroniczny? – podstawowe definicje

Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby, Kwalifikowany certyfikat - certyfikat spełniający warunki określone w ustawie o podpisie elektronicznym, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne Kwalifikowany podmiot świadczący usługi certyfikacyjne - podmiot świadczący usługi certyfikacyjne, wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne

Podpis elektroniczny – podstawowe definicje

Podpis kwalifikowany Podpis niekwalifikowany

Jest składany z użyciem klucza przypisanego do

certyfikatu kwalifikowanego Jest weryfikowany certyfikatem zwykłym, tzw.

powszechnym

Certyfikaty kwalifikowane wydają centra certyfikacji

wpisane do rejestru prowadzonego przez Narodowe

Centrum Certyfikacji

(dawniej CENTRAST S.A.)

Certyfikat zwykły może wydać każdy podmiot

świadczący usługi certyfikacyjne.

Jest składany za pomocą bezpiecznego

urządzenia Nie zostały określone specjalne wymagania

Jest przypisany do osoby fizycznej Nie jest przypisany do konkretnej osoby

Stosuje się do podpisywania dokumentów mających

moc prawną w postaci elektronicznej

Służy głównie do zabezpieczenia poczty elektronicznej i

sygnowania treści dokumentów elektronicznych

Skutki prawne są identyczne jak przy podpisie

odręcznym

Nie wywołuje skutków prawnych równorzędnych

podpisowi własnoręcznemu, chyba że strony

umówią się inaczej

Podpis kwalifikowany a niekwalifikowany

Funkcje podpisu elektronicznego

Podpis elektroniczny realizuje następujące funkcje:

• niezaprzeczalność – niemożność zaprzeczenia autorstwu wiadomości

• integralność (spójność) – możliwość stwierdzenia, że wiadomość nie została zmieniona po jej podpisaniu przez autora.

• unikalność – każdy dokument elektroniczny posiada unikalny podpis elektroniczny ściśle związany z danym dokumentem

Użytkownik

Podpisany dokument

elektroniczny

Podpisany dokument

elektroniczny

Odbiorca Ośrodek Certyfikacji

Lista CRL

Klucz tajny nadawcy

NADAWCA ODBIORCA

Podpisywanie dokumentów Weryfikacja podpisu

Klucz publiczny nadawcy

System certyfikacji kluczy

Podpis

elektroniczny to

bezpieczne

przechowywanie

danych w

niebezpiecznym

środowisku

Podpis

elektroniczny to

bezpieczne

przechowywanie

danych w

niebezpiecznym

środowisku

S%Q##Jna6!

~`Po=<Rsop

T@*10Rasc

29hfI))Dewk

$8SY3$@La

d8*#&%1*b

Lista unieważnionych i zawieszonych certyfikatów

• Informacja o unieważnieniu i zawieszeniu certyfikatów

• Numer seryjny certyfikatu

• Data i godzina zawieszenia/ unieważnienia

• Powód zawieszenia/ unieważnienia

Co to jest i do czego służy znakowanie czasem?

Znakowanie czasem - usługa polegająca na dołączaniu do danych w postaci elektronicznej oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę.

Czas, którym znakowany jest dokument nie jest związany z czasem systemowym (stacji roboczej, serwera), lecz pochodzi z niezależnego źródła, jakim jest zaufana trzecia strona (Time Stamping Authority).

Oznaczenie czasem dokumentu potwierdza istnienie dokumentu w określonej postaci w określonym czasie - nie pozwala natomiast na określenie daty utworzenia dokumentu ani też daty jego modyfikacji.

Aspekty prawne

Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym

Art. 5 ust. 2.

Dane w postaci elektronicznej opatrzone bezpiecznym podpisem

elektronicznym weryfikowanym przy pomocy ważnego

kwalifikowanego certyfikatu są równoważne pod względem skutków

prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba

że przepisy odrębne stanowią inaczej.

Uniwersalność zastosowania podpisu elektronicznego

Moc dowodowa e-podpisu

Art. 6 ust. 1

Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód, że został złożony przez osobę określoną w tym certyfikacie, jako osoba składająca podpis elektroniczny – niezaprzeczalność autorstwa

Moc dowodowa znacznika czasu

Art. 7 ust. 2

Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego.

Zastosowania podpisu elektronicznego Deklaracje ZUS (obowiązkowo od 21 lipca 2008r)

e-Deklaracje do Urzędu Skarbowego

Podania i wnioski administracyjne (od 1 maja 2008)

Faktury VAT (e-faktury)

Oferty i umowy, w tym zawierane na odległość

Aukcje elektroniczne

Krajowy Rejestr Sądowy - KRS

Dane do Generalnego Inspektora Informacji Finansowej (GIIF)

Dokumenty wewnętrzne, np. wnioski urlopowe

Dokumentacja medyczna

Elektroniczna Legitymacja Studencka (ELS) – podpisywanie danych

Zastosowania podpisu elektronicznego

Sprawozdania o odpadach

Sprawozdania o ilości i masie sprzętu wprowadzonego do obrotu na terytorium kraju

Sprawozdania o wysokości należnej opłaty produktowej dla sprzętu

Sprawozdania o wysokości pobranej opłaty depozytowej i przekazanej nieodebranej opłaty depozytowej

Wnioski o wpis do rejestru dla wprowadzającego baterie lub akumulatory oraz dla prowadzącego zakład przetwarzania zużytych baterii lub akumulatorów

Deklaracje dot. podatku od środków transportowych

Zastosowania podpisu elektronicznego

Wnioski zakładów ubezpieczeń do Polskiej Izby Ubezpieczeń o

udostępnienie informacji z rejestru

Dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia

Skonsolidowane bilanse jednostek samorządu terytorialnego

Wniosek o wpis do rejestru zastawów

Powiadomienia do Głównego Inspektora Sanitarnego

Zgłoszenia celne

Aby składać bezpieczne podpisy elektroniczne należy posiadać:

kwalifikowany certyfikat klucza publicznego,

kartę kryptograficzną,

czytAnik kart kryptograficznych,

oprogramowanie.

Aby weryfikować bezpieczne podpisy elektroniczne wystarczy samo oprogramowanie.

Wyposażenie użytkownika bezpiecznego podpisu elektronicznego

Certyfikat klucza publicznego

Certyfikat to dane podpisane cyfrowo przez stronę, której ufamy (Certificate Authority). Certyfikat zawiera:

– dane subskrybenta,

– klucz publiczny subskrybenta,

Zadaniem certyfikatu jest potwierdzenie tożsamości właściciela klucza publicznego.

– dane wystawcy certyfikatu,

– podpis cyfrowy wystawcy certyfikatu.

Karta kryptograficzna

Karta posiada certyfikat

bezpieczeństwa: ITSEC E3 high, jako jeden spośród trzech dopuszczonych przez ustawę o podpisie elektronicznym.

Czytnik kart

Standardowo czytniki są podłączane do komputera przez port USB,

Czytnik pośredniczy w przekazywaniu danych pomiędzy kartą, a oprogramowaniem.

Oprogramowanie

Aplikacja SZAFIR - aplikacja do składania i weryfikacji bezpiecznych podpisów (część bezpiecznego urządzenia do składania i weryfikacji podpisów)

– Prezentuje podpisywany dokument

– Prezentuje zawartość certyfikatu użytkownika i odbiorcy

– Sprawdza ważność certyfikatu na listach unieważnionych i zawieszonych certyfikatów

– Posiada deklarację zgodności zgodną z normą PN-EN 45014

Realizowane formaty podpisu

• Możliwość składania podpisu elektronicznego w jednym z dwóch formatów dopuszczonych przez ustawę o podpisie elektronicznym. Są to formaty:

• XAdES (w wariantach XAdES-BES, XAdES-T, XAdES-C) z opcją kontrasygnaty

• PKCS#7 (z możliwością znakowania czasem i podpisu wielokrotnego)

• Możliwość składania podpisu: • zwykłego, • wbudowanego (kontrasygnaty).

• Weryfikowanie zwykłych oraz bezpiecznych podpisów elektronicznych we wszystkich wymienionych wyżej formatach:

XAdES

• XAdES (XML Advanced Electronic Signatures)

• Zgodny z wymaganiami prawnymi dla zaawansowanych podpisów cyfrowych określonych w dyrektywie europejskiej "Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures”

• komponenty SZAFIR SDK wspierają 3 najczęściej stosowane formy XAdES: XAdES-BES, XAdES-T oraz XAdES-C

Formy podpisu XAdES

• XAdES-BES (XAdES Basic Electronic Signature)

– podstawowa forma podpisu XAdES);

• XAdES-T (XAdES with Time-Stamp)

– podpis XAdES oznakowany czasem

• XAdES-C (XAdES with complete validation data)

– podpis XAdES oznakowany czasem, z dołączonymi informacjami – listami CRL oraz certyfikatami – zapewniającymi długotrwałą ważność dowodową podpisu

Dziękuję za uwagę

www.kir.com.pl