Podpis elektroniczny
Transkrypt
Podpis elektroniczny
Podpis elektroniczny ale nie od strony X.509 – schematu dla certyfikatów kluczy publicznych służącego do budowania hierarchicznej struktury PKI Kubuś Puchatek = Winnie the Pooh • Dokument elektroniczny • Podpis cyfrowy • Telefon komórkowy ELECTRONIC RECORDS: A WORKBOOK FOR ARCHIVISTS INTERNATIONAL COUNCIL ON ARCHIVES COMMITTEE ON CURRENT RECORDS IN AN ELECTRONIC ENVIRONMENT (ICA Study 16) APRIL 2005 At the core of this Workbook are the four principles • The archives should facilitate the establishment of policies, procedures, systems, standards and practices designed to assist records creators to create and retain records which are authentic, reliable and preservable; • The archives should be involved in the entire records life cycle (conception, creation, maintenance) to ensure the capture, preservation and continued accessibility of records identified as having archival value; • The archives should manage the review of records in order to identify those of archival value; and • The archives should articulate requirements for preservation and accessibility to ensure that archival records remain available, accessible, and understandable through time. Ustawa z dnia 29 sierpnia 1997 r. o prawie bankowym • Art. 7 pkt 1 stanowi: „oświadczenia woli składane w związku z dokonywaniem czynności bankowych mogą być wyrażone za pomocą elektronicznych nośników informacji. Związane z czynnościami bankowymi dokumenty mogą być sporządzane za pomocą elektronicznych nośników informacji, jeżeli dokumenty te zostaną w sposób należyty utrwalone i zabezpieczone”. Centralnego Repozytorium Wzorów Dokumentów (CRD) CRD • Centralne Repozytorium Wzorów Dokumentów (CRD) zostało stworzone w celu zapewnienia jednolitego i bezpiecznego źródła informacji o dokumentach elektronicznych w administracji publicznej. Dostęp do CRD jest bezpłatny i umożliwia pobranie wszystkich wzorów dokumentów elektronicznych (opublikowanych w CRD). • Podstawa prawna CRD – rozporządzenie MSWiA z dnia 27 listopada 2006 r. w sprawie sporządzania i doręczania pism w formie dokumentów elektronicznych (Dz.U.2006 r.Nr 227,poz.1664) oraz – rozporządzenie MSWiA z dnia 24 lipca 2007 w sprawie warunków udostępniania formularzy i wzorów dokumentów w postaci elektronicznej (Dz.U.2007 r.,Nr 151, poz.1078) Dziennik Ustaw - rok 2007, nr 151, p • ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 24 lipca 2007 r. w sprawie warunków udostępniania formularzy i wzorów dokumentów w postaci elektronicznej Dz. U - 2006, nr 227, poz. 1664 Na podstawie art. 391 § 2 ustawy z dnia 14 czerwca 1960 r. — Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071, z późn. zm.2)) zarządza się, co następuje: § 1. Rozporządzenie określa: 1) strukturę i sposób sporządzania pism w formie dokumentów elektronicznych; 2) warunki organizacyjno-techniczne doręczania pism w formie dokumentów elektronicznych, w tym formę urzędowego oświadczania odbioru tych pism przez ich adresata; 3) sposób udostępniania kopii dokumentów elektronicznych. Dz. U - 2006, nr 227, poz. 1664 § 3. 1. Pisma w formie dokumentów elektronicznych oraz urzędowe poświadczenie odbioru sporządza się w strukturach fizycznych dokumentów elektronicznych w formie zgodnej z formatami danych określonych w przepisach wydanych na podstawie art. 18 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565 oraz z 2006 r. Nr 12, poz. 65 i Nr 73, poz. 501), zwanej dalej „ustawą o informatyzacji”, i podpisuje bezpiecznym podpisem elektronicznym. Dziennik Ustaw - rok 2006, nr 227, p • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 listopada 2006 r. w sprawie sporządzania i doręczania pism w formie dokumentów elektronicznych Dz. U. - 2007, nr 151, poz. 1078 • 6. Wniosek o udostępnienie wzoru elektronicznego zawiera: 1) wskazanie wzoru elektronicznego wraz z przyporządkowanym do niego jednolitym identyfikatorem; 2) nazwą odbiorcy usług certyfikacyjnych ubiegającego się o udostępnienie i adres jego siedziby lub miejsca zamieszkania, w przypadku osoby fizycznej; 3) wskazanie rodzaju powszechnie używanego, przenośnego informatycznego nośnika danych, na którym ma być udostępniony; 4) własnoręczny podpis albo bezpieczny podpis elektroniczny odbiorcy ubiegającego się o udostępnienie. Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym Dz.U. z 2001 r. Nr 130, poz. 1450 podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym Dz.U. z 2001 r. Nr 130, poz. 1450 bezpieczny podpis elektroniczny - podpis elektroniczny, który: a) jest przyporządkowany wyłącznie do osoby składającej ten podpis, b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, • c) jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna, Dz.U. 2001 nr 130 poz. 1450 Akty wykonawcze (9) • Dz.U. 2002 nr 128 poz. 1094 Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych o organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. • Dz.U. 2002 nr 128 poz. 1097 Rozporządzenie Ministra Gospodarki z dnia 6 sierpnia 2002 r. w sprawie wzoru i szczegółowego zakresu wniosku o dokonanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, związane z podpisem elektronicznym. • Dz.U. 2002 nr 128 poz. 1098 Rozporządzenie Ministra Gospodarki z dnia 6 sierpnia 2002 r. w sprawie wysokości opłaty za rozpatrzenie wniosku o wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, związane z podpisem elektronicznym. Dz.U. 2001 nr 130 poz. 1450 Akty wykonawcze (9) • Dz.U. 2002 nr 128 poz. 1099 Rozporządzenie Ministra Gospodarki z dnia 6 sierpnia 2002 r. w sprawie sposobu prowadzenia rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne związane z podpisem elektronicznym, wzoru tego rejestru oraz szczegółowego trybu postępowania w sprawach o wpis do rejestru. • Dz.U. 2002 nr 128 poz. 1101 Rozporządzenie Ministra Gospodarki z dnia 9 sierpnia 2002 r. w sprawie określenia szczegółowego trybu tworzenia i wydawania zaświadczenia certyfikacyjnego związanego z podpisem elektronicznym. • Dz.U. 2003 nr 229 poz. 2282 Rozporządzenie Ministra Finansów z dnia 16 grudnia 2003 r. w sprawie obowiązkowego ubezpieczenia odpowiedzialności cywilnej kwalifikowanego podmiotu świadczącego usługi certyfikacyjne Dz.U. 2001 nr 130 poz. 1450 Akty wykonawcze (9) • Dz.U. 2004 nr 6 poz. 48 Rozporządzenie Ministra Gospodarki, Pracy i Polityki Społecznej z dnia 23 grudnia 2003 r. w sprawie opłat za przechowywania dokumentów i danych związanych z usługami certyfikacyjnymi • Dz.U. 2007 nr 151 poz. 1078 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 24 lipca 2007 r. w sprawie warunków udostępniania formularzy i wzorów dokumentów w postaci elektronicznej • Dz.U. 2009 nr 67 poz. 567 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 17 kwietnia 2009 r. zmieniające rozporządzenie w sprawie warunków udostępniania formularzy i wzorów dokumentów w postaci elektronicznej Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym Dz.U. z 2001 r. Nr 130, poz. 1450 Art. 13 1. Podmiot świadczący usługi certyfikacyjne, z zastrzeżeniem ust. 5 oraz art. 10 ust. 1 pkt 9, przechowuje i archiwizuje dokumenty i dane w postaci elektronicznej bezpośrednio związane z wykonywanymi usługami certyfikacyjnymi w sposób zapewniający bezpieczeństwo przechowywanych dokumentów i danych. 2. W przypadku kwalifikowanych podmiotów świadczących usługi certyfikacyjne obowiązek przechowania dokumentów i danych, o których mowa w ust. 1, trwa przez okres 20 lat od chwili powstania danego dokumentu lub danych. Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych o organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. Dz.U. 2002 nr 128 poz. 1094 Rozdział 3 Podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów § 12. Maksymalny okres ważności kwalifikowanego certyfikatu przewidziany przez politykę certyfikacji wynosi nie więcej niż 2 lata. Ustawa z dnia 18 września 2001 r. podpisie elektronicznym Planowane zmiany: – prace od 2008 r. – 27-04-2010 - Rada Ministrów przyjęła projekt ustawy o podpisach elektronicznych, przedłożony przez ministra gospodarki, który ma zastąpić dotychczas obowiązujące przepisy zawarte w akcie prawnym z września 2001 r. o podpisie elektronicznym. – 06-08-2010 – projekt został skierowany po I czytaniu do Komisji Infrastruktury, z zaleceniem zasięgnięcia opinii Komisji Administracji i Spraw Wewnętrznych – 21.09.2010 r. Komisja Infrastruktury skierowała projekt do podkomisji stałej do spraw transportu kolejowego, łączności i nowoczesnych środków informacyjnych • Projekt wymaga przygotowania ponad dziesięć rozporządzeń. – Wrzesień 2010 - Rząd chce aby ustawa o podpisie elektronicznym obowiązywała od 1 stycznia 2011 r. – 2010-11-23 Druki Sejmowe VI kadencja - Druk nr 3629 - Rządowy projekt ustawy o podpisach elektronicznych. – 160 str. – 2010-12-15 wpłynął - Druk nr 3768 Poselski projekt ustawy o zmianie ustawy o podpisie elektronicznym, ustawy o podatku od towarów i usług, ustawy - Kodeks cywilny oraz ustawy o ewidencji ludności i dowodach osobistych • 2011-01-04 skierowano do I czytania na posiedzeniu Sejmu – 2010-12-31 Uwagi do projektu rządowego PROJEKT: Art. 1. • • • • • 1. Ustawa określa: 1) rodzaje podpisów elektronicznych oraz certyfikatów służących do ich weryfikacji; 2) stosowanie podpisów elektronicznych, pieczęci elektronicznej oraz skutki ich złożenia; 3) rodzaje usług certyfikacyjnych oraz zasady ich świadczenia; 4) zasady nadzoru nad podmiotami świadczącymi usługi certyfikacyjne wydającymi certyfikaty kwalifikowane. 2. Przepisy ustawy stosuje się do podmiotów, które świadczą publicznie usługi certyfikacyjne lub inne usługi związane z podpisem elektronicznym. PROJEKT: Art. 2. Użyte w ustawie określenia oznaczają: • • 1) podpis elektroniczny – dane w postaci elektronicznej dołączone do innych danych elektronicznych lub z nimi logicznie powiązane i służące jako metoda uwierzytelnienia; [OLD: dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały • 2) dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny] zaawansowany podpis elektroniczny – podpis elektroniczny: – a) przyporządkowany wyłącznie podpisującemu, – b) umożliwiający identyfikację podpisującego, – c) utworzony za pomocą środków, które podpisujący może mieć pod wyłączną kontrolą, – d) powiązany z danymi, do których się odnosi, w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna; • 3) pieczęć elektroniczna – dane w postaci elektronicznej, przyporządkowane danemu podmiotowi w taki sposób, że możliwa jest jego identyfikacja, dołączone do innych danych lub z nimi logicznie powiązane tak, że każda późniejsza zmiana tych danych jest wykrywalna; PROJEKT: Art. 2. • • • • • 4) podpis kwalifikowany – zaawansowany podpis elektroniczny, składany przez podpisującego będącego osobą fizyczną za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego, weryfikowany za pomocą certyfikatu kwalifikowanego; 5) dane do składania podpisu elektronicznego – niepowtarzalne i przyporządkowane podpisującemu dane, wykorzystywane przez podpisującego do składania podpisu elektronicznego; 6) weryfikacja podpisu elektronicznego – proces umożliwiający identyfikację podpisującego i stwierdzenie, że podpis został złożony za pomocą danych, o których mowa w pkt 5, oraz że podpisane dane nie uległy zmianie po jego złożeniu, a w przypadku podpisu elektronicznego opartego o certyfikat, ustalenie statusu certyfikatu; 7) dane do weryfikacji podpisu elektronicznego – przyporządkowane podpisującemu dane, które są wykorzystywane do weryfikacji podpisu elektronicznego; 8) dokładność synchronizacji – ustaloną dopuszczalną maksymalną pod względem wartości bezwzględnej różnicę między danym czasem a czasem urzędowym lub czasem UTC(PL); PROJEKT: Art. 2. • • • • 9) urządzenie do składania podpisu elektronicznego – skonfigurowany sprzęt lub oprogramowanie stosowane w celu składania podpisu elektronicznego; 10) bezpieczne urządzenie do składania podpisu elektronicznego – urządzenie do składania podpisu elektronicznego spełniające wymagania określone w niniejszej ustawie oraz przepisach wydanych na podstawie art. 26 ust. 3 i uznane za takie przez jednostki notyfikowane na podstawie przepisów o systemie oceny zgodności; 11) urządzenie do weryfikacji podpisu elektronicznego – skonfigurowany sprzęt lub oprogramowanie służące do weryfikacji podpisu elektronicznego przy wykorzystaniu danych do weryfikacji podpisu elektronicznego; 12) podpisujący – osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która działa w imieniu własnym albo w imieniu innych osób fizycznych, osób prawnych lub jednostek organizacyjnych nieposiadających osobowości prawnej, posiadającą urządzenie do składania podpisu elektronicznego; PROJEKT: Art. 2. • 13) podmiot kwalifikowany – podmiot wydający certyfikaty kwalifikowane, wpisany do rejestru, o którym mowa w art. 30 ust. 1; • 14) certyfikat – zaświadczenie elektroniczne, za pomocą którego dane do weryfikacji podpisu elektronicznego są przypisane podpisującemu, umożliwiając jego identyfikację; • 15) certyfikat kwalifikowany – certyfikat podpisującego będącego osobą fizyczną, spełniający wymagania określone w ustawie, wydany przez podmiot kwalifikowany; • 16) certyfikat atrybutów – zaświadczenie elektroniczne powiązane z certyfikatem służącym do weryfikacji podpisu elektronicznego, określające uprawnienia i cechy osoby lub podmiotu wskazanego w certyfikacie, w szczególności umocowanie podpisującego do działania w imieniu innych osób fizycznych, prawnych lub jednostek organizacyjnych nieposiadających osobowości prawnej; PROJEKT: Art. 2. • • • 17) znakowanie czasem – usługę polegającą na dołączaniu do danych logicznie powiązanych z podpisem elektronicznym lub innymi danymi w postaci elektronicznej informacji o czasie wykonania tej usługi, zgodnym z czasem urzędowym lub czasem UTC(PL) przy okresowej technicznej weryfikacji wymaganej dokładności synchronizacji do czasu urzędowego lub czasu UTC(PL) oraz opatrzeniu tych danych zaawansowanym podpisem elektronicznym podmiotu świadczącego usługę znakowania czasem; 18) kwalifikowane znakowanie czasem – znakowanie czasem z ciągłą techniczną weryfikacją wymaganej dokładności synchronizacji czasu w stosunku do czasu urzędowego lub czasu UTC(PL); 19) odbiorca usług certyfikacyjnych – osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która: – a) zawarła z podmiotem świadczącym usługi certyfikacyjne umowę świadczenie usług certyfikacyjnych lub – b) działa w oparciu o certyfikat lub inne dane elektroniczne, poświadczone przez podmiot świadczący usługi certyfikacyjne, w granicach określonych w polityce certyfikacji, Ustawa o dowodach osobistych (Dz. U. Nr 167, poz. 1131). • W dniu 6 sierpnia 2010 r. Sejm uchwalił Nowa ustawę o dowodach osobistych. • Ustawa ma za zadanie przystosować polskie dokumenty tożsamości do ogólnoeuropejskiego systemu identyfikacji osób fizycznych, którego wdrożenie jest jednym z celów działań Komisji Europejskiej. Dowody osobiste, które będą wydawane na podstawie nowej ustawy, mają za zadanie nie tylko poświadczać tożsamość posiadacza dowodu, ale również służyć jego uwierzytelnieniu za pomocą wbudowanego chipa w systemach teleinformatycznych podmiotów publicznych oraz przy dostępie do rejestrów publicznych. Otwiera to drogę do dalszej informatyzacji administracji publicznej i stwarza możliwość załatwiania wielu spraw za pośrednictwem internetu. • Przetarg do połowy 2011 r. …. – Wartość 400 mln PLN – Tryb dialogu konkurencyjnego Ustawa o dowodach osobistych Art. 2. 1. Użyte w niniejszej ustawie określenia oznaczają: • 11) podpis osobisty - dane w postaci elektronicznej złożone za pomocą danych służących do składania podpisu osobistego zawartych w ważnym dowodzie osobistym, które: – a) wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, pozwalają na identyfikację posiadacza dowodu osobistego, – b) są przyporządkowane wyłącznie do posiadacza dowodu osobistego, – c) są powiązane z danymi, do których się odnoszą, w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna, – d) są uzupełnione przez ministra właściwego do spraw wewnętrznych danymi pozwalającymi na określenie czasu złożenia tego podpisu; • Art. 3. Do podpisu osobistego uregulowanego w niniejszej ustawie nie stosuje się przepisów ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.3). Ustawa o dowodach osobistych • • • • • • • • • • Art. 35. Wniosek o aktywację certyfikatu podpisu osobistego lub certyfikatu ograniczonej identyfikacji zawiera: 1) imię (imiona) i nazwisko osoby ubiegającej się o aktywację certyfikatu; 2) numer PESEL osoby ubiegającej się o aktywację certyfikatu; 3) adres, na który przesyła się dane służące do aktywacji certyfikatu; 4) własnoręczny czytelny podpis wnioskodawcy, a w przypadku wniosku złożonego w formie dokumentu elektronicznego - podpis uwierzytelniony w sposób określony w art. 20a ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Art. 48. 1. Utratę lub uszkodzenie dowodu osobistego zgłasza się na formularzu utraty lub uszkodzenia dowodu osobistego. 2. Formularz, o którym mowa w ust. 1, zawiera: 1) dane, o których mowa w art. 39 pkt 1-7; 2) własnoręczny czytelny podpis zgłaszającego, a w przypadku formularza złożonego w formie dokumentu elektronicznego - podpis uwierzytelniony w sposób określony w art. 20a ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (D.U. nr 64 z 2005 poz. 565) • Art. 20a. 1. Identyfikacja użytkownika systemów teleinformatycznych udostępnianych przez podmioty określone w art. 2 następuje przez zastosowanie kwalifikowanego certyfikatu przy zachowaniu zasad przewidzianych w ustawie z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.), lub profilu zaufanego ePUAP. Po co ten podpis? • NBP – ma swój • e-delaracje – PFRON – ma swój – ZUS – Płatnik – PIT – ESP Co zamiast tego? • SHA - Secure Hash Algorithm opracowany przez National Institute of Standards and Technology w 1993 r. Hash Algorithm - Jednokierunkowa funkcja mieszająca/ skrótu lub funkcja haszująca - przyporządkowuje dowolnie dużej liczbie (wiadomości) krótką, zwykle posiadającą stały rozmiar wartość (skrót wiadomości). • SHA -1 od 1995 r. do 2010 r. • SHA -2 (Family) – SHA-256/224 – 256 bits – SHA-512/384 – 512 bits • MD5 - Message-Digest algorithm 5 – (Skrót wiadomości wersja 5) algorytm zaprojektowany przez profesora Ronalda Rivesta z MIT w 1994 r. Jak to działa? • • • • MD5 (128-bit skrót) Co zamiast tego? 8240909001dbfd5ff3322d fdacd59a13 • Co zamiast tego? • 2aeec6619414d569ca13 2b1432cdb876 • [kolizja 2004 r.] • • • • SHA-1 (160-bit skrót) Co zamiast tego? 1285f60ab046f1722db88 3a5022483a3de546255 • Co zamiast tego? • 285c544daa0643d836ae 5c79715315a1702e496f • [kolizja ??? 2004 r.] Dwie spacje Gdzie naprawdę jest podpis cyfrowy?