Podpis elektroniczny

Transkrypt

Podpis elektroniczny
ale nie od strony X.509 – schematu dla
certyfikatów kluczy publicznych
służącego do budowania hierarchicznej
struktury PKI
Kubuś Puchatek =
Winnie the Pooh
• Dokument
elektroniczny
• Podpis cyfrowy
• Telefon
komórkowy
ELECTRONIC RECORDS:
A WORKBOOK FOR
ARCHIVISTS
INTERNATIONAL COUNCIL ON ARCHIVES
COMMITTEE ON CURRENT RECORDS
IN AN ELECTRONIC ENVIRONMENT
(ICA Study 16) APRIL 2005
At the core of this Workbook are
the four principles
• The archives should facilitate the establishment of
policies, procedures, systems, standards and practices
designed to assist records creators to create and retain
records which are authentic, reliable and preservable;
• The archives should be involved in the entire records life
cycle (conception, creation, maintenance) to ensure the
capture, preservation and continued accessibility of
records identified as having archival value;
• The archives should manage the review of records in
order to identify those of archival value; and
• The archives should articulate requirements for
preservation and accessibility to ensure that archival
records remain available, accessible, and
understandable through time.
Ustawa z dnia 29 sierpnia 1997 r. o
prawie bankowym
• Art. 7 pkt 1 stanowi: „oświadczenia woli
składane w związku z dokonywaniem
czynności bankowych mogą być wyrażone za
pomocą elektronicznych nośników informacji.
Związane z czynnościami bankowymi
dokumenty mogą być sporządzane za pomocą
elektronicznych nośników informacji, jeżeli
dokumenty te zostaną w sposób należyty
utrwalone i zabezpieczone”.
Centralnego Repozytorium
Wzorów Dokumentów (CRD)
CRD
• Centralne Repozytorium Wzorów Dokumentów (CRD)
zostało stworzone w celu zapewnienia jednolitego i
bezpiecznego źródła informacji o dokumentach
elektronicznych w administracji publicznej. Dostęp do
CRD jest bezpłatny i umożliwia pobranie wszystkich
wzorów dokumentów elektronicznych
(opublikowanych w CRD).
• Podstawa prawna CRD
– rozporządzenie MSWiA z dnia 27 listopada 2006 r. w
sprawie sporządzania i doręczania pism w formie
dokumentów elektronicznych (Dz.U.2006 r.Nr 227,poz.1664)
oraz
– rozporządzenie MSWiA z dnia 24 lipca 2007 w sprawie
warunków udostępniania formularzy i wzorów dokumentów
w postaci elektronicznej (Dz.U.2007 r.,Nr 151, poz.1078)
Dziennik Ustaw - rok 2007, nr 151, p
• ROZPORZĄDZENIE MINISTRA SPRAW
WEWNĘTRZNYCH I ADMINISTRACJI z
dnia 24 lipca 2007 r. w sprawie warunków
udostępniania formularzy i wzorów
dokumentów w postaci elektronicznej
Dz. U - 2006, nr 227, poz. 1664
Na podstawie art. 391 § 2 ustawy z dnia 14 czerwca
1960 r. — Kodeks postępowania administracyjnego
(Dz. U. z 2000 r. Nr 98, poz. 1071, z późn. zm.2))
zarządza się, co następuje:
§ 1. Rozporządzenie określa:
1) strukturę i sposób sporządzania pism w formie
dokumentów elektronicznych;
2) warunki organizacyjno-techniczne doręczania
pism w formie dokumentów elektronicznych, w tym
formę urzędowego oświadczania odbioru tych
pism przez ich adresata;
3) sposób udostępniania kopii dokumentów
elektronicznych.
Dz. U - 2006, nr 227, poz. 1664
§ 3. 1. Pisma w formie dokumentów elektronicznych
oraz urzędowe poświadczenie odbioru sporządza
się w strukturach fizycznych dokumentów
elektronicznych w formie zgodnej z formatami
danych określonych w przepisach wydanych na
podstawie art. 18 pkt 1 ustawy z dnia 17 lutego
2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne (Dz. U. Nr 64, poz.
565 oraz z 2006 r. Nr 12, poz. 65 i Nr 73, poz. 501),
zwanej dalej „ustawą o informatyzacji”, i podpisuje
bezpiecznym podpisem elektronicznym.
Dziennik Ustaw - rok 2006, nr 227, p
• Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 27
listopada 2006 r. w sprawie sporządzania i
doręczania pism w formie dokumentów
elektronicznych
Dz. U. - 2007, nr 151, poz. 1078
• 6. Wniosek o udostępnienie wzoru elektronicznego
zawiera:
1) wskazanie wzoru elektronicznego wraz z
przyporządkowanym do niego jednolitym identyfikatorem;
2) nazwą odbiorcy usług certyfikacyjnych ubiegającego się o
udostępnienie i adres jego siedziby lub miejsca
zamieszkania, w przypadku osoby fizycznej;
3) wskazanie rodzaju powszechnie używanego, przenośnego
informatycznego nośnika danych, na którym ma być
udostępniony;
4) własnoręczny podpis albo bezpieczny podpis
elektroniczny odbiorcy ubiegającego się o udostępnienie.
Ustawa z dnia 18 września 2001 r.
o podpisie elektronicznym
Dz.U. z 2001 r. Nr 130, poz. 1450
podpis elektroniczny - dane w postaci
elektronicznej, które wraz z innymi
danymi, do których zostały dołączone
lub z którymi są logicznie powiązane,
służą do identyfikacji osoby składającej
podpis elektroniczny
Dz.U. z 2001 r. Nr 130, poz. 1450
bezpieczny podpis elektroniczny - podpis elektroniczny,
który:
a) jest przyporządkowany wyłącznie do osoby
składającej ten podpis,
b) jest sporządzany za pomocą podlegających wyłącznej
kontroli osoby składającej podpis elektroniczny
bezpiecznych urządzeń służących do składania podpisu
elektronicznego i danych służących do składania
podpisu elektronicznego,
• c) jest powiązany z danymi, do których został dołączony,
w taki sposób, że jakakolwiek późniejsza zmiana tych
danych jest rozpoznawalna,
Dz.U. 2001 nr 130 poz. 1450
Akty wykonawcze (9)
• Dz.U. 2002 nr 128 poz. 1094 Rozporządzenie Rady Ministrów z
dnia 7 sierpnia 2002 r. w sprawie określenia warunków
technicznych o organizacyjnych dla kwalifikowanych podmiotów
świadczących usługi certyfikacyjne, polityk certyfikacji dla
kwalifikowanych certyfikatów wydawanych przez te podmioty
oraz warunków technicznych dla bezpiecznych urządzeń
służących do składania i weryfikacji podpisu elektronicznego.
• Dz.U. 2002 nr 128 poz. 1097 Rozporządzenie Ministra
Gospodarki z dnia 6 sierpnia 2002 r. w sprawie wzoru i
szczegółowego zakresu wniosku o dokonanie wpisu do rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
związane z podpisem elektronicznym.
Gospodarki z dnia 6 sierpnia 2002 r. w sprawie wysokości
opłaty za rozpatrzenie wniosku o wpis do rejestru
Dz.U. 2001 nr 130 poz. 1450
Akty wykonawcze (9)
Gospodarki z dnia 6 sierpnia 2002 r. w sprawie sposobu
prowadzenia rejestru kwalifikowanych podmiotów świadczących
usługi certyfikacyjne związane z podpisem elektronicznym,
wzoru tego rejestru oraz szczegółowego trybu postępowania w
sprawach o wpis do rejestru.
Gospodarki z dnia 9 sierpnia 2002 r. w sprawie określenia
szczegółowego trybu tworzenia i wydawania zaświadczenia
certyfikacyjnego związanego z podpisem elektronicznym.
Finansów z dnia 16 grudnia 2003 r. w sprawie obowiązkowego
ubezpieczenia odpowiedzialności cywilnej kwalifikowanego
podmiotu świadczącego usługi certyfikacyjne
Dz.U. 2001 nr 130 poz. 1450
Akty wykonawcze (9)
Gospodarki, Pracy i Polityki Społecznej z dnia 23 grudnia
2003 r. w sprawie opłat za przechowywania dokumentów i
danych związanych z usługami certyfikacyjnymi
Spraw Wewnętrznych i Administracji z dnia 24 lipca 2007 r.
w sprawie warunków udostępniania formularzy i wzorów
dokumentów w postaci elektronicznej
• Dz.U. 2009 nr 67 poz. 567 Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 17 kwietnia 2009 r.
zmieniające rozporządzenie w sprawie warunków
udostępniania formularzy i wzorów dokumentów w postaci
elektronicznej
Dz.U. z 2001 r. Nr 130, poz. 1450
Art. 13
1. Podmiot świadczący usługi certyfikacyjne, z zastrzeżeniem ust.
5 oraz art. 10 ust. 1 pkt 9, przechowuje i archiwizuje
dokumenty i dane w postaci elektronicznej bezpośrednio
związane z wykonywanymi usługami certyfikacyjnymi w sposób
zapewniający bezpieczeństwo przechowywanych dokumentów i
danych.
2. W przypadku kwalifikowanych podmiotów świadczących usługi
certyfikacyjne obowiązek przechowania dokumentów i danych,
o których mowa w ust. 1, trwa przez okres 20 lat od chwili
powstania danego dokumentu lub danych.
Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w
sprawie określenia warunków technicznych o organizacyjnych dla
polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych
przez te podmioty oraz warunków technicznych dla bezpiecznych
urządzeń służących do składania i weryfikacji podpisu
elektronicznego.
Dz.U. 2002 nr 128 poz. 1094
Rozdział 3
Podstawowe wymagania organizacyjne i
techniczne dotyczące polityk certyfikacji dla
kwalifikowanych certyfikatów
§ 12. Maksymalny okres ważności
kwalifikowanego certyfikatu przewidziany przez
politykę certyfikacji wynosi nie więcej niż 2 lata.
Ustawa z dnia 18 września 2001 r. podpisie
elektronicznym
Planowane zmiany:
– prace od 2008 r.
– 27-04-2010 - Rada Ministrów przyjęła projekt ustawy o podpisach
elektronicznych, przedłożony przez ministra gospodarki, który ma zastąpić
dotychczas obowiązujące przepisy zawarte w akcie prawnym z września
2001 r. o podpisie elektronicznym.
– 06-08-2010 – projekt został skierowany po I czytaniu do Komisji
Infrastruktury, z zaleceniem zasięgnięcia opinii Komisji Administracji i Spraw
Wewnętrznych
– 21.09.2010 r. Komisja Infrastruktury skierowała projekt do podkomisji stałej
do spraw transportu kolejowego, łączności i nowoczesnych środków
informacyjnych
• Projekt wymaga przygotowania ponad dziesięć rozporządzeń.
– Wrzesień 2010 - Rząd chce aby ustawa o podpisie elektronicznym
obowiązywała od 1 stycznia 2011 r.
– 2010-11-23 Druki Sejmowe VI kadencja - Druk nr 3629 - Rządowy projekt
ustawy o podpisach elektronicznych. – 160 str.
– 2010-12-15 wpłynął - Druk nr 3768 Poselski projekt ustawy o zmianie
ustawy o podpisie elektronicznym, ustawy o podatku od towarów i
usług, ustawy - Kodeks cywilny oraz ustawy o ewidencji ludności i
dowodach osobistych
• 2011-01-04 skierowano do I czytania na posiedzeniu Sejmu
– 2010-12-31 Uwagi do projektu rządowego
PROJEKT: Art. 1.
•
•
•
•
•
1. Ustawa określa:
1) rodzaje podpisów elektronicznych oraz certyfikatów
służących do ich weryfikacji;
2) stosowanie podpisów elektronicznych, pieczęci
elektronicznej oraz skutki ich złożenia;
3) rodzaje usług certyfikacyjnych oraz zasady ich
świadczenia;
4) zasady nadzoru nad podmiotami świadczącymi
usługi certyfikacyjne wydającymi certyfikaty
kwalifikowane.
2. Przepisy ustawy stosuje się do podmiotów, które
świadczą publicznie usługi certyfikacyjne lub inne usługi
PROJEKT: Art. 2. Użyte w
ustawie określenia oznaczają:
•
•
1)
podpis elektroniczny – dane w postaci elektronicznej dołączone do
innych danych elektronicznych lub z nimi logicznie powiązane i służące jako
metoda uwierzytelnienia;
[OLD: dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały
•
2)
dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby
składającej podpis elektroniczny]
zaawansowany podpis elektroniczny – podpis elektroniczny:
– a)
przyporządkowany wyłącznie podpisującemu,
– b)
umożliwiający identyfikację podpisującego,
– c)
utworzony za pomocą środków, które podpisujący może mieć pod
wyłączną kontrolą,
– d)
powiązany z danymi, do których się odnosi, w taki sposób, że
każda późniejsza zmiana tych danych jest wykrywalna;
•
3)
pieczęć elektroniczna – dane w postaci elektronicznej,
przyporządkowane danemu podmiotowi w taki sposób, że możliwa jest jego
identyfikacja, dołączone do innych danych lub z nimi logicznie powiązane
tak, że każda późniejsza zmiana tych danych jest wykrywalna;
PROJEKT: Art. 2.
•
•
•
•
•
4)
podpis kwalifikowany – zaawansowany podpis elektroniczny,
składany przez podpisującego będącego osobą fizyczną za pomocą
bezpiecznego urządzenia do składania podpisu elektronicznego,
weryfikowany za pomocą certyfikatu kwalifikowanego;
5)
dane do składania podpisu elektronicznego – niepowtarzalne
i przyporządkowane podpisującemu dane, wykorzystywane przez
podpisującego do składania podpisu elektronicznego;
6)
weryfikacja podpisu elektronicznego – proces umożliwiający
identyfikację podpisującego i stwierdzenie, że podpis został złożony za
pomocą danych, o których mowa w pkt 5, oraz że podpisane dane nie uległy
zmianie po jego złożeniu, a w przypadku podpisu elektronicznego opartego
o certyfikat, ustalenie statusu certyfikatu;
7)
dane do weryfikacji podpisu elektronicznego – przyporządkowane
podpisującemu dane, które są wykorzystywane do weryfikacji podpisu
elektronicznego;
8)
dokładność synchronizacji – ustaloną dopuszczalną maksymalną
pod względem wartości bezwzględnej różnicę między danym czasem a
czasem urzędowym lub czasem UTC(PL);
PROJEKT: Art. 2.
•
•
•
•
9)
urządzenie do składania podpisu elektronicznego –
skonfigurowany sprzęt lub oprogramowanie stosowane w celu składania
podpisu elektronicznego;
10) bezpieczne urządzenie do składania podpisu elektronicznego –
urządzenie do składania podpisu elektronicznego spełniające wymagania
określone w niniejszej ustawie oraz przepisach wydanych na podstawie art.
26 ust. 3 i uznane za takie przez jednostki notyfikowane na podstawie
przepisów o systemie oceny zgodności;
11) urządzenie do weryfikacji podpisu elektronicznego –
skonfigurowany
sprzęt lub oprogramowanie służące do weryfikacji podpisu elektronicznego
przy wykorzystaniu danych do weryfikacji podpisu elektronicznego;
12) podpisujący – osobę fizyczną, osobę prawną albo jednostkę
organizacyjną nieposiadającą osobowości prawnej, która działa w imieniu
własnym
albo w imieniu innych osób fizycznych, osób prawnych lub jednostek
organizacyjnych nieposiadających osobowości prawnej, posiadającą
urządzenie do składania podpisu elektronicznego;
PROJEKT: Art. 2.
•
13) podmiot kwalifikowany – podmiot wydający certyfikaty
kwalifikowane, wpisany do rejestru, o którym mowa w art. 30 ust. 1;
• 14) certyfikat – zaświadczenie elektroniczne, za pomocą którego
dane do weryfikacji podpisu elektronicznego są przypisane
podpisującemu, umożliwiając jego identyfikację;
• 15) certyfikat kwalifikowany – certyfikat podpisującego będącego
osobą fizyczną, spełniający wymagania określone w ustawie,
wydany przez podmiot kwalifikowany;
• 16) certyfikat atrybutów – zaświadczenie elektroniczne
powiązane
z certyfikatem służącym do weryfikacji podpisu elektronicznego,
określające uprawnienia i cechy osoby lub podmiotu wskazanego
w certyfikacie, w szczególności umocowanie podpisującego do
działania
w imieniu innych osób fizycznych, prawnych lub jednostek
organizacyjnych nieposiadających osobowości prawnej;
PROJEKT: Art. 2.
•
•
•
17) znakowanie czasem – usługę polegającą na dołączaniu do danych
logicznie powiązanych z podpisem elektronicznym lub innymi danymi w
postaci elektronicznej informacji o czasie wykonania tej usługi, zgodnym
z czasem urzędowym lub czasem UTC(PL) przy okresowej technicznej
weryfikacji wymaganej dokładności synchronizacji do czasu urzędowego
lub czasu UTC(PL) oraz opatrzeniu tych danych zaawansowanym
podpisem elektronicznym podmiotu świadczącego usługę znakowania
czasem;
18) kwalifikowane znakowanie czasem – znakowanie czasem z ciągłą
techniczną weryfikacją wymaganej dokładności synchronizacji czasu
w stosunku do czasu urzędowego lub czasu UTC(PL);
19) odbiorca usług certyfikacyjnych – osobę fizyczną, osobę prawną albo
jednostkę organizacyjną nieposiadającą osobowości prawnej, która:
– a)
zawarła z podmiotem świadczącym usługi certyfikacyjne umowę
świadczenie usług certyfikacyjnych lub
– b)
działa w oparciu o certyfikat lub inne dane elektroniczne,
poświadczone przez podmiot świadczący usługi certyfikacyjne, w granicach
określonych w polityce certyfikacji,
Ustawa o dowodach osobistych
(Dz. U. Nr 167, poz. 1131).
•
W dniu 6 sierpnia 2010 r. Sejm uchwalił Nowa ustawę o
dowodach osobistych.
• Ustawa ma za zadanie przystosować polskie dokumenty
tożsamości do ogólnoeuropejskiego systemu identyfikacji osób
fizycznych, którego wdrożenie jest jednym z celów działań Komisji
Europejskiej. Dowody osobiste, które będą wydawane na podstawie
nowej ustawy, mają za zadanie nie tylko poświadczać tożsamość
posiadacza dowodu, ale również służyć jego uwierzytelnieniu za
pomocą wbudowanego chipa w systemach teleinformatycznych
podmiotów publicznych oraz przy dostępie do rejestrów
publicznych. Otwiera to drogę do dalszej informatyzacji administracji
publicznej i stwarza możliwość załatwiania wielu spraw za
pośrednictwem internetu.
•
Przetarg do połowy 2011 r. ….
– Wartość 400 mln PLN
– Tryb dialogu konkurencyjnego
Art. 2. 1. Użyte w niniejszej ustawie
określenia oznaczają:
• 11) podpis osobisty - dane w postaci elektronicznej złożone za
pomocą danych służących do składania podpisu osobistego zawartych
w ważnym dowodzie osobistym, które:
– a) wraz z innymi danymi, do których zostały dołączone lub z którymi
są logicznie powiązane, pozwalają na identyfikację posiadacza
dowodu osobistego,
– b) są przyporządkowane wyłącznie do posiadacza dowodu
osobistego,
– c) są powiązane z danymi, do których się odnoszą, w taki sposób,
że każda późniejsza zmiana tych danych jest wykrywalna,
– d) są uzupełnione przez ministra właściwego do spraw
wewnętrznych danymi pozwalającymi na określenie czasu złożenia
tego podpisu;
• Art. 3. Do podpisu osobistego uregulowanego w niniejszej ustawie nie
stosuje się przepisów ustawy z dnia 18 września 2001 r. o podpisie
elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.3).
•
•
•
•
•
•
•
•
•
•
Art. 35. Wniosek o aktywację certyfikatu podpisu osobistego lub certyfikatu
ograniczonej identyfikacji zawiera:
1) imię (imiona) i nazwisko osoby ubiegającej się o aktywację certyfikatu;
2) numer PESEL osoby ubiegającej się o aktywację certyfikatu;
3) adres, na który przesyła się dane służące do aktywacji certyfikatu;
4) własnoręczny czytelny podpis wnioskodawcy, a w przypadku wniosku złożonego
w formie dokumentu elektronicznego - podpis uwierzytelniony w sposób określony w
art. 20a ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne.
Art. 48. 1. Utratę lub uszkodzenie dowodu osobistego zgłasza się na formularzu
utraty lub uszkodzenia dowodu osobistego.
2. Formularz, o którym mowa w ust. 1, zawiera:
1) dane, o których mowa w art. 39 pkt 1-7;
2) własnoręczny czytelny podpis zgłaszającego, a w przypadku formularza
złożonego w formie dokumentu elektronicznego - podpis uwierzytelniony w sposób
określony w art. 20a ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji
działalności podmiotów realizujących zadania publiczne.
Ustawa z dnia 17 lutego 2005 r. o informatyzacji
działalności podmiotów realizujących zadania
publiczne (D.U. nr 64 z 2005 poz. 565)
• Art. 20a. 1. Identyfikacja użytkownika
systemów teleinformatycznych
udostępnianych przez podmioty określone w
art. 2 następuje przez zastosowanie
kwalifikowanego certyfikatu przy zachowaniu
zasad przewidzianych w ustawie z dnia 18
września 2001 r. o podpisie elektronicznym
(Dz. U. Nr 130, poz. 1450, z późn. zm.), lub
profilu zaufanego ePUAP.
Po co ten podpis?
• NBP – ma swój
• e-delaracje
– PFRON – ma swój
– ZUS – Płatnik
– PIT
– ESP
Co zamiast tego?
• SHA - Secure Hash Algorithm opracowany przez National
Institute of Standards and Technology w 1993 r.
Hash Algorithm - Jednokierunkowa funkcja mieszająca/ skrótu
lub funkcja haszująca - przyporządkowuje dowolnie dużej
liczbie (wiadomości) krótką, zwykle posiadającą stały rozmiar
wartość (skrót wiadomości).
• SHA -1 od 1995 r. do 2010 r.
• SHA -2 (Family)
– SHA-256/224 – 256 bits
– SHA-512/384 – 512 bits
• MD5 - Message-Digest algorithm 5 – (Skrót wiadomości
wersja 5) algorytm zaprojektowany przez profesora Ronalda
Rivesta z MIT w 1994 r.
Jak to działa?
•
•
•
•
MD5
(128-bit skrót)
Co zamiast tego?
8240909001dbfd5ff3322d
fdacd59a13
• Co zamiast tego?
• 2aeec6619414d569ca13
2b1432cdb876
• [kolizja 2004 r.]
•
•
•
•
SHA-1
(160-bit skrót)
Co zamiast tego?
1285f60ab046f1722db88
3a5022483a3de546255
• Co zamiast tego?
• 285c544daa0643d836ae
5c79715315a1702e496f
• [kolizja ??? 2004 r.]
Dwie spacje
Gdzie naprawdę jest podpis
cyfrowy?

Podpis elektroniczny

Transkrypt

Podobne dokumenty

Podpis elektroniczny - Powiatowy Urząd Pracy

Czym jest podpis elektroniczny? Podpis elektroniczny to plik

E-ADMINISTRACJA - URZĘDY CORAZ BLIŻEJ OBYWATELI

Zakład Ubezpieczeń Społecznych BEZPIECZNY PODPIS

Uszczegółowienie wniosku o udostępnienie zbiorów danych

integralność i niezaprzeczalność elektronicznej dokumentacji

zgoda na lot - Aeroklub Jeleniogórski

WNIOSEK O WYDANIE PROTOKOŁU Z

LEX - Podpis elektroniczny.