Upload
others
View
24
Download
0
Embed Size (px)
Citation preview
PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA
Maciej Domagalski
Krajowa Izba Rozliczeniowa SA
Regionalne Centrum Sprzedaży w Poznaniu
Charakterystyka działań z obszaru e gospodarki i e –administracji podejmowanych na regionalnym poziomie
Plan prezentacji
1. Podstawowe definicje
2. Rodzaje podpisu elektronicznego
3. Funkcje podpisu elektronicznego
4. Aspekty prawne
5. Zastosowania
6. Podpisywanie i weryfikacja dokumentów elektronicznych w praktyce
Krajowa Izba Rozliczeniowa S.A.
KIR SA działa od 1992 roku
Spółka akcyjna 12 banków założycieli oraz Narodowego Banku Polskiego i Związku Banków Polskich
Założona by świadczyć usługi rozliczeniowe, każdego dnia poprzez system ELIXIR® pośredniczy w realizacji ok. 4 mln zleceń płatniczych na kwotę ponad 9 miliardów złotych
Do zabezpieczania transakcji w systemie ELIXIR® od 1994 roku wykorzystujemy podpis elektroniczny i certyfikaty klucza publicznego generowane przez System Zarządzania Certyfikatami SZAFIR,
Status „Instytucji zaufania publicznego”
Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub logicznie z nimi powiązane, umożliwiają identyfikację osoby fizycznej składającej ten podpis, Bezpieczny podpis elektroniczny - podpis elektroniczny, który jest:
• przyporządkowany wyłącznie do jednej osoby, • sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis
elektroniczny bezpiecznych urządzeń i danych służących do składania podpisu elektronicznego,
• powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna
Czym jest podpis elektroniczny? – podstawowe definicje
Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby, Kwalifikowany certyfikat - certyfikat spełniający warunki określone w ustawie o podpisie elektronicznym, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne Kwalifikowany podmiot świadczący usługi certyfikacyjne - podmiot świadczący usługi certyfikacyjne, wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne
Podpis elektroniczny – podstawowe definicje
Podpis kwalifikowany Podpis niekwalifikowany
Jest składany z użyciem klucza przypisanego do
certyfikatu kwalifikowanego Jest weryfikowany certyfikatem zwykłym, tzw.
powszechnym
Certyfikaty kwalifikowane wydają centra certyfikacji
wpisane do rejestru prowadzonego przez Narodowe
Centrum Certyfikacji
(dawniej CENTRAST S.A.)
Certyfikat zwykły może wydać każdy podmiot
świadczący usługi certyfikacyjne.
Jest składany za pomocą bezpiecznego
urządzenia Nie zostały określone specjalne wymagania
Jest przypisany do osoby fizycznej Nie jest przypisany do konkretnej osoby
Stosuje się do podpisywania dokumentów mających
moc prawną w postaci elektronicznej
Służy głównie do zabezpieczenia poczty elektronicznej i
sygnowania treści dokumentów elektronicznych
Skutki prawne są identyczne jak przy podpisie
odręcznym
Nie wywołuje skutków prawnych równorzędnych
podpisowi własnoręcznemu, chyba że strony
umówią się inaczej
Podpis kwalifikowany a niekwalifikowany
Funkcje podpisu elektronicznego
Podpis elektroniczny realizuje następujące funkcje:
• niezaprzeczalność – niemożność zaprzeczenia autorstwu wiadomości
• integralność (spójność) – możliwość stwierdzenia, że wiadomość nie została zmieniona po jej podpisaniu przez autora.
• unikalność – każdy dokument elektroniczny posiada unikalny podpis elektroniczny ściśle związany z danym dokumentem
Użytkownik
Podpisany dokument
elektroniczny
Podpisany dokument
elektroniczny
Odbiorca Ośrodek Certyfikacji
Lista CRL
Klucz tajny nadawcy
NADAWCA ODBIORCA
Podpisywanie dokumentów Weryfikacja podpisu
Klucz publiczny nadawcy
System certyfikacji kluczy
Podpis
elektroniczny to
bezpieczne
przechowywanie
danych w
niebezpiecznym
środowisku
Podpis
elektroniczny to
bezpieczne
przechowywanie
danych w
niebezpiecznym
środowisku
S%Q##Jna6!
~`Po=<Rsop
T@*10Rasc
29hfI))Dewk
$8SY3$@La
d8*#&%1*b
Lista unieważnionych i zawieszonych certyfikatów
• Informacja o unieważnieniu i zawieszeniu certyfikatów
• Numer seryjny certyfikatu
• Data i godzina zawieszenia/ unieważnienia
• Powód zawieszenia/ unieważnienia
Co to jest i do czego służy znakowanie czasem?
Znakowanie czasem - usługa polegająca na dołączaniu do danych w postaci elektronicznej oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę.
Czas, którym znakowany jest dokument nie jest związany z czasem systemowym (stacji roboczej, serwera), lecz pochodzi z niezależnego źródła, jakim jest zaufana trzecia strona (Time Stamping Authority).
Oznaczenie czasem dokumentu potwierdza istnienie dokumentu w określonej postaci w określonym czasie - nie pozwala natomiast na określenie daty utworzenia dokumentu ani też daty jego modyfikacji.
Aspekty prawne
Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym
Art. 5 ust. 2.
Dane w postaci elektronicznej opatrzone bezpiecznym podpisem
elektronicznym weryfikowanym przy pomocy ważnego
kwalifikowanego certyfikatu są równoważne pod względem skutków
prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba
że przepisy odrębne stanowią inaczej.
Uniwersalność zastosowania podpisu elektronicznego
Moc dowodowa e-podpisu
Art. 6 ust. 1
Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód, że został złożony przez osobę określoną w tym certyfikacie, jako osoba składająca podpis elektroniczny – niezaprzeczalność autorstwa
Moc dowodowa znacznika czasu
Art. 7 ust. 2
Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego.
Zastosowania podpisu elektronicznego Deklaracje ZUS (obowiązkowo od 21 lipca 2008r)
e-Deklaracje do Urzędu Skarbowego
Podania i wnioski administracyjne (od 1 maja 2008)
Faktury VAT (e-faktury)
Oferty i umowy, w tym zawierane na odległość
Aukcje elektroniczne
Krajowy Rejestr Sądowy - KRS
Dane do Generalnego Inspektora Informacji Finansowej (GIIF)
Dokumenty wewnętrzne, np. wnioski urlopowe
Dokumentacja medyczna
Elektroniczna Legitymacja Studencka (ELS) – podpisywanie danych
Zastosowania podpisu elektronicznego
Sprawozdania o odpadach
Sprawozdania o ilości i masie sprzętu wprowadzonego do obrotu na terytorium kraju
Sprawozdania o wysokości należnej opłaty produktowej dla sprzętu
Sprawozdania o wysokości pobranej opłaty depozytowej i przekazanej nieodebranej opłaty depozytowej
Wnioski o wpis do rejestru dla wprowadzającego baterie lub akumulatory oraz dla prowadzącego zakład przetwarzania zużytych baterii lub akumulatorów
Deklaracje dot. podatku od środków transportowych
Zastosowania podpisu elektronicznego
Wnioski zakładów ubezpieczeń do Polskiej Izby Ubezpieczeń o
udostępnienie informacji z rejestru
Dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia
Skonsolidowane bilanse jednostek samorządu terytorialnego
Wniosek o wpis do rejestru zastawów
Powiadomienia do Głównego Inspektora Sanitarnego
Zgłoszenia celne
Aby składać bezpieczne podpisy elektroniczne należy posiadać:
kwalifikowany certyfikat klucza publicznego,
kartę kryptograficzną,
czytAnik kart kryptograficznych,
oprogramowanie.
Aby weryfikować bezpieczne podpisy elektroniczne wystarczy samo oprogramowanie.
Wyposażenie użytkownika bezpiecznego podpisu elektronicznego
Certyfikat klucza publicznego
Certyfikat to dane podpisane cyfrowo przez stronę, której ufamy (Certificate Authority). Certyfikat zawiera:
– dane subskrybenta,
– klucz publiczny subskrybenta,
Zadaniem certyfikatu jest potwierdzenie tożsamości właściciela klucza publicznego.
– dane wystawcy certyfikatu,
– podpis cyfrowy wystawcy certyfikatu.
Karta kryptograficzna
Karta posiada certyfikat
bezpieczeństwa: ITSEC E3 high, jako jeden spośród trzech dopuszczonych przez ustawę o podpisie elektronicznym.
Czytnik kart
Standardowo czytniki są podłączane do komputera przez port USB,
Czytnik pośredniczy w przekazywaniu danych pomiędzy kartą, a oprogramowaniem.
Oprogramowanie
Aplikacja SZAFIR - aplikacja do składania i weryfikacji bezpiecznych podpisów (część bezpiecznego urządzenia do składania i weryfikacji podpisów)
– Prezentuje podpisywany dokument
– Prezentuje zawartość certyfikatu użytkownika i odbiorcy
– Sprawdza ważność certyfikatu na listach unieważnionych i zawieszonych certyfikatów
– Posiada deklarację zgodności zgodną z normą PN-EN 45014
Realizowane formaty podpisu
• Możliwość składania podpisu elektronicznego w jednym z dwóch formatów dopuszczonych przez ustawę o podpisie elektronicznym. Są to formaty:
• XAdES (w wariantach XAdES-BES, XAdES-T, XAdES-C) z opcją kontrasygnaty
• PKCS#7 (z możliwością znakowania czasem i podpisu wielokrotnego)
• Możliwość składania podpisu: • zwykłego, • wbudowanego (kontrasygnaty).
• Weryfikowanie zwykłych oraz bezpiecznych podpisów elektronicznych we wszystkich wymienionych wyżej formatach:
XAdES
• XAdES (XML Advanced Electronic Signatures)
• Zgodny z wymaganiami prawnymi dla zaawansowanych podpisów cyfrowych określonych w dyrektywie europejskiej "Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures”
• komponenty SZAFIR SDK wspierają 3 najczęściej stosowane formy XAdES: XAdES-BES, XAdES-T oraz XAdES-C
Formy podpisu XAdES
• XAdES-BES (XAdES Basic Electronic Signature)
– podstawowa forma podpisu XAdES);
• XAdES-T (XAdES with Time-Stamp)
– podpis XAdES oznakowany czasem
• XAdES-C (XAdES with complete validation data)
– podpis XAdES oznakowany czasem, z dołączonymi informacjami – listami CRL oraz certyfikatami – zapewniającymi długotrwałą ważność dowodową podpisu
Dziękuję za uwagę
www.kir.com.pl