Zastosowania podpisu elektronicznego

Charakterystyka działań z obszaru e gospodarki i e –administracji podejmowanych
na regionalnym poziomie
PODPIS ELEKTRONICZNY
PODSTAWY WIEDZY I ZASTOSOWANIA
Maciej Domagalski
Krajowa Izba Rozliczeniowa SA
Regionalne Centrum Sprzedaży w Poznaniu
Plan prezentacji
1. Podstawowe definicje
2. Rodzaje podpisu elektronicznego
3. Funkcje podpisu elektronicznego
4. Aspekty prawne
5. Zastosowania
6. Podpisywanie i weryfikacja dokumentów
elektronicznych w praktyce
Krajowa Izba Rozliczeniowa S.A.
 KIR SA działa od 1992 roku
 Spółka akcyjna 12 banków założycieli oraz Narodowego
Banku Polskiego i Związku Banków Polskich
 Założona by świadczyć usługi rozliczeniowe, każdego
dnia poprzez system ELIXIR® pośredniczy w realizacji ok.
4 mln zleceń płatniczych na kwotę ponad 9 miliardów
złotych
 Do zabezpieczania transakcji w systemie ELIXIR® od
1994 roku wykorzystujemy podpis elektroniczny i
certyfikaty klucza publicznego generowane przez
System Zarządzania Certyfikatami SZAFIR,
 Status „Instytucji zaufania publicznego”
Czym jest podpis elektroniczny? – podstawowe definicje
Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi
danymi, do których zostały dołączone lub logicznie z nimi powiązane,
umożliwiają identyfikację osoby fizycznej składającej ten podpis,
Bezpieczny podpis elektroniczny - podpis elektroniczny, który jest:
• przyporządkowany wyłącznie do jednej osoby,
• sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis
elektroniczny bezpiecznych urządzeń i danych służących do składania podpisu
elektronicznego,
• powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek
późniejsza zmiana tych danych jest rozpoznawalna
Podpis elektroniczny – podstawowe definicje
Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do
weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej
podpis elektroniczny i które umożliwiają identyfikację tej osoby,
Kwalifikowany certyfikat - certyfikat spełniający warunki określone w ustawie
o podpisie elektronicznym, wydany przez kwalifikowany podmiot świadczący
usługi certyfikacyjne
Kwalifikowany podmiot świadczący usługi certyfikacyjne - podmiot
świadczący usługi certyfikacyjne, wpisany do rejestru kwalifikowanych
podmiotów świadczących usługi certyfikacyjne
Podpis kwalifikowany a niekwalifikowany
Podpis kwalifikowany
Jest składany z użyciem klucza przypisanego do
certyfikatu kwalifikowanego
Certyfikaty kwalifikowane wydają centra certyfikacji
wpisane do rejestru prowadzonego przez Narodowe
Centrum Certyfikacji
Podpis niekwalifikowany
Jest weryfikowany certyfikatem zwykłym, tzw.
powszechnym
Certyfikat zwykły może wydać każdy podmiot
świadczący usługi certyfikacyjne.
(dawniej CENTRAST S.A.)
Jest składany za pomocą bezpiecznego
urządzenia
Nie zostały określone specjalne wymagania
Jest przypisany do osoby fizycznej
Nie jest przypisany do konkretnej osoby
Stosuje się do podpisywania dokumentów mających
moc prawną w postaci elektronicznej
Służy głównie do zabezpieczenia poczty elektronicznej i
sygnowania treści dokumentów elektronicznych
Skutki prawne są identyczne jak przy podpisie
odręcznym
Nie wywołuje skutków prawnych równorzędnych
podpisowi własnoręcznemu, chyba że strony
umówią się inaczej
Funkcje podpisu elektronicznego
 Podpis elektroniczny realizuje następujące funkcje:
• niezaprzeczalność – niemożność zaprzeczenia autorstwu
wiadomości
• integralność (spójność) – możliwość stwierdzenia, że wiadomość nie
została zmieniona po jej podpisaniu przez autora.
• unikalność – każdy dokument elektroniczny posiada unikalny podpis
elektroniczny ściśle związany z danym dokumentem
Lista
CRL
Użytkownik
Podpisany
dokument
elektroniczny
Ośrodek Certyfikacji
Odbiorca
Podpisany
dokument
elektroniczny
System certyfikacji kluczy
NADAWCA
ODBIORCA
Klucz publiczny nadawcy
Klucz tajny nadawcy
Podpis
elektroniczny to
bezpieczne
przechowywanie
danych w
niebezpiecznym
środowisku
Podpis
elektroniczny to
bezpieczne
przechowywanie
danych w
niebezpiecznym
środowisku
S%Q##Jna6!
~`Po=<Rsop
T@*10Rasc
29hfI))Dewk
$8SY3$@La
d8*#&%1*b
Podpisywanie dokumentów
Weryfikacja podpisu
Lista unieważnionych i zawieszonych certyfikatów
•
•
•
•
Informacja o unieważnieniu i zawieszeniu certyfikatów
Numer seryjny certyfikatu
Data i godzina zawieszenia/ unieważnienia
Powód zawieszenia/ unieważnienia
Co to jest i do czego służy znakowanie czasem?
 Znakowanie czasem - usługa polegająca na dołączaniu do danych w
postaci elektronicznej oznaczenia czasu w chwili wykonania tej usługi
oraz poświadczenia elektronicznego tak powstałych danych przez
podmiot świadczący tę usługę.
 Czas, którym znakowany jest dokument nie jest związany z czasem
systemowym (stacji roboczej, serwera), lecz pochodzi z niezależnego
źródła, jakim jest zaufana trzecia strona (Time Stamping Authority).
 Oznaczenie czasem dokumentu potwierdza istnienie dokumentu w
określonej postaci w określonym czasie - nie pozwala natomiast na
określenie daty utworzenia dokumentu ani też daty jego modyfikacji.
Aspekty prawne
Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym
Art. 5 ust. 2.
Dane w postaci elektronicznej opatrzone bezpiecznym podpisem
elektronicznym weryfikowanym przy pomocy ważnego
kwalifikowanego certyfikatu są równoważne pod względem skutków
prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba
że przepisy odrębne stanowią inaczej.
Uniwersalność zastosowania podpisu elektronicznego
Moc dowodowa e-podpisu
Art. 6 ust. 1
Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego
kwalifikowanego certyfikatu stanowi dowód, że został złożony przez osobę
określoną w tym certyfikacie, jako osoba składająca podpis elektroniczny –
niezaprzeczalność autorstwa
Moc dowodowa znacznika czasu
Art. 7 ust. 2
Znakowanie czasem przez kwalifikowany podmiot świadczący usługi
certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w
rozumieniu przepisów Kodeksu cywilnego.
Zastosowania podpisu elektronicznego











Deklaracje ZUS (obowiązkowo od 21 lipca 2008r)
e-Deklaracje do Urzędu Skarbowego
Podania i wnioski administracyjne (od 1 maja 2008)
Faktury VAT (e-faktury)
Oferty i umowy, w tym zawierane na odległość
Aukcje elektroniczne
Krajowy Rejestr Sądowy - KRS
Dane do Generalnego Inspektora Informacji Finansowej (GIIF)
Dokumenty wewnętrzne, np. wnioski urlopowe
Dokumentacja medyczna
Elektroniczna Legitymacja Studencka (ELS) – podpisywanie danych
Zastosowania podpisu elektronicznego
 Sprawozdania o odpadach
 Sprawozdania o ilości i masie sprzętu wprowadzonego do obrotu na
terytorium kraju
 Sprawozdania o wysokości należnej opłaty produktowej dla sprzętu
 Sprawozdania o wysokości pobranej opłaty depozytowej i przekazanej
nieodebranej opłaty depozytowej
 Wnioski o wpis do rejestru dla wprowadzającego baterie lub
akumulatory oraz dla prowadzącego zakład przetwarzania zużytych
baterii lub akumulatorów
 Deklaracje dot. podatku od środków transportowych
Zastosowania podpisu elektronicznego
 Wnioski zakładów ubezpieczeń do Polskiej Izby Ubezpieczeń o
udostępnienie informacji z rejestru
 Dokumenty związane z zawieraniem i wykonywaniem umów
ubezpieczenia
 Skonsolidowane bilanse jednostek samorządu terytorialnego
 Wniosek o wpis do rejestru zastawów
 Powiadomienia do Głównego Inspektora Sanitarnego
 Zgłoszenia celne
Wyposażenie użytkownika bezpiecznego podpisu elektronicznego
Aby składać bezpieczne podpisy elektroniczne należy posiadać:
 kwalifikowany certyfikat klucza publicznego,
 kartę kryptograficzną,
 czytAnik kart kryptograficznych,
 oprogramowanie.
Aby weryfikować bezpieczne podpisy elektroniczne wystarczy samo
oprogramowanie.
Certyfikat klucza publicznego
 Certyfikat to dane podpisane
cyfrowo przez stronę, której ufamy
(Certificate Authority). Certyfikat
zawiera:
– dane subskrybenta,
– klucz publiczny subskrybenta,
 Zadaniem certyfikatu jest
potwierdzenie tożsamości
właściciela klucza publicznego.
– dane wystawcy certyfikatu,
– podpis cyfrowy wystawcy
certyfikatu.
Karta kryptograficzna
 Karta posiada certyfikat
bezpieczeństwa: ITSEC E3 high, jako
jeden spośród trzech
dopuszczonych przez ustawę o
podpisie elektronicznym.
Czytnik kart
 Standardowo czytniki są podłączane
do komputera przez port USB,
 Czytnik pośredniczy w
przekazywaniu danych pomiędzy
kartą, a oprogramowaniem.
Oprogramowanie
 Aplikacja SZAFIR - aplikacja do składania i weryfikacji bezpiecznych
podpisów (część bezpiecznego urządzenia do składania i weryfikacji
podpisów)
– Prezentuje podpisywany dokument
– Prezentuje zawartość certyfikatu użytkownika i odbiorcy
– Sprawdza ważność certyfikatu na listach unieważnionych i
zawieszonych certyfikatów
– Posiada deklarację zgodności zgodną z normą PN-EN 45014
Realizowane formaty podpisu
• Możliwość składania podpisu elektronicznego w jednym z dwóch
formatów dopuszczonych przez ustawę o podpisie elektronicznym. Są to
formaty:
• XAdES (w wariantach XAdES-BES, XAdES-T, XAdES-C) z opcją
kontrasygnaty
• PKCS#7 (z możliwością znakowania czasem i podpisu wielokrotnego)
• Możliwość składania podpisu:
• zwykłego,
• wbudowanego (kontrasygnaty).
• Weryfikowanie zwykłych oraz bezpiecznych podpisów elektronicznych we
wszystkich wymienionych wyżej formatach:
XAdES
• XAdES (XML Advanced Electronic Signatures)
• Zgodny z wymaganiami prawnymi dla zaawansowanych podpisów
cyfrowych określonych w dyrektywie europejskiej "Directive 1999/93/EC
of the European Parliament and of the Council of 13 December 1999 on a
Community framework for electronic signatures”
• komponenty SZAFIR SDK wspierają 3 najczęściej stosowane formy XAdES:
XAdES-BES, XAdES-T oraz XAdES-C
Formy podpisu XAdES
• XAdES-BES (XAdES Basic Electronic Signature)
– podstawowa forma podpisu XAdES);
• XAdES-T (XAdES with Time-Stamp)
– podpis XAdES oznakowany czasem
• XAdES-C (XAdES with complete validation data)
– podpis XAdES oznakowany czasem, z dołączonymi informacjami – listami
CRL oraz certyfikatami – zapewniającymi długotrwałą ważność
dowodową podpisu
Dziękuję za uwagę
www.kir.com.pl