Z e-podpisem do urzędu, czyli podpis elektroniczny w praktyce

Z pojęciem „podpis elektroniczny” już oswoiliśmy się, ale czy rozumiemy tak naprawdę co pod nim się kryje? Czy wystarczy stwierdzić, iż podpis elektroniczny to sposób podpisania dokumentu w postaci elektronicznej? Czy zatem podpisem elektronicznym jest np. obraz podpisu własnoręcznego otrzymany za pomocą skanera, czy też podpis sporządzony elektronicznym piórem, kod PIN karty elektronicznej użyty do podjęcia pieniędzy z bankomatu czy też imię lub nazwisko umieszczone w zakończeniu wiadomości wysłanej e-mailem? Prawo nadało temu pojęciu ściśle określony sens.

offer_edfc_token-cd-medium

offer_789a_CLASIC-medium

Jakie przepisy regulują podpis elektroniczny?

Podstawą zasad dotyczących stosowania podpisu elektronicznego, która zarazem określa co należy pod tym pojęciem rozumieć jest ustawa z dnia 18 września 2001 r. o podpisie elektronicznym. Należy jednak pamiętać, iż obecnie wiele innych aktów pojęciem tym się już posługuje.

Co to jest podpis elektroniczny?

Podpis elektroniczny to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny. Warto przy tym podkreślić, iż wyróżnia się dwie kategorie podpisu elektronicznego:

  • podpis elektroniczny oraz

  • bezpieczny podpis elektroniczny

Co zatem należy rozumieć pod pojęciem bezpieczny podpis elektroniczny?

Duże znaczenie ma w tym wypadku sam przymiotnik „bezpieczny”. Właściwie bowiem wspomniana na wstępnie ustawa w głównej mierze reguluje właśnie bezpieczny podpis elektroniczny (zasady jego tworzenia, używania i jego skutki prawne). Co w tym przypadku należy rozumieć przez określenie bezpieczny? Będzie to taki podpis, który:

  • jest w sposób jednoznaczny przypisany do konkretnej osoby fizycznej (bezpieczny podpis elektronicznych ma bowiem zapewnić potwierdzenie tożsamości osoby składającej odpis elektroniczny),

  • jego złożenie wymaga aktywnego udziału składającego, w celu złożenia bezpiecznego podpisu elektronicznego osoba składająca taki podpis musi mieć pewne szczególne cechy biometryczne, pewną szczególną wiedzę lub szczególne przedmioty, bez których złożenie bezpiecznego podpisu elektronicznego nie jest możliwe; w związku z tym podpis taki może być złożony wyłącznie przez osobę, do której jest przypisany (ta cecha zapewnia niezaprzeczalność złożenia bezpiecznego podpisu elektronicznego),

  • jest w szczególny sposób logicznie powiązany z danymi, do których został dołączony; konstrukcja bezpiecznego podpisu elektronicznego zapewnia integralność tak podpisanych danych; jakakolwiek późniejsza, po złożeniu podpisu, zmiana tych danych jest rozpoznawalna.

Praktyczne zalety podpisu elektronicznego

Z podpisu elektronicznego powinni cieszyć się przede wszystkim osoby prowadzące biznes. Dlaczego? Ponieważ podpis ten może być stosowany w handlu elektronicznym, zdalnej pracy (telepracy), bankowości elektronicznej, usług ubezpieczeniowych, turystycznych itp. Przedsiębiorcy z utęsknieniem wypatrywali wprowadzenia tzw. e-faktur, w których podpis ów także ma zastosowanie.

Jakich czynności należy dokonać, aby korzystać z podpisu elektronicznego?

Do praktycznej realizacji podpisu elektronicznego wykorzystuje się zazwyczaj tzw. szyfrowanie asymetryczne, zwane też inaczej szyfrowaniem z kluczem publicznym. W przeciwieństwie do tradycyjnego szyfrowania, tzw. symetrycznego, w którym używany jest jeden, wspólny dla obydwu komunikujących się ze sobą stron tajny klucz do szyfru, szyfrowanie z kluczem publicznym wykorzystuje dwa osobne klucze (a przy dwukierunkowym przekazie informacji nawet cztery, gdyż każda ze stron musi mieć swoją własną parę kluczy). Jeden z kluczy, używany do szyfrowania wiadomości, nazywa się kluczem publicznym. Nazwa ta pochodzi stąd, że klucz ten musi znać każdy, kto chce wysłać posiadaczowi klucza zaszyfrowaną wiadomość. Drugi z kluczy to klucz prywatny – ten służy do rozszyfrowywania i nie może go znać nikt poza jego właścicielem. Znając klucz publiczny nie można poznać klucza prywatnego – tzn. jest to teoretycznie możliwe, ale przy współczesnym stanie wiedzy niewykonalne obliczeniowo. W najczęściej używanym do szyfrowania asymetrycznego algorytmie RSA klucz prywatny składa się z dwu dużych (rzędu 100 cyfr) liczb pierwszych, zaś klucz publiczny jest ich iloczynem. Bezpieczeństwo szyfru płynie stąd, że przy użyciu wszystkich aktualnie znanych metod matematycznych operacja rozkładu tak dużej liczby na czynniki trwa niezwykle długo.

Jak zatem działa szyfrowanie z kluczem publicznym?

Algorytm szyfrowania z kluczem publicznym skonstruowany jest tak, że to, co zostanie zaszyfrowane kluczem publicznym, może być odszyfrowane jedynie kluczem prywatnym z tej samej pary. Działa to jednak również w odwrotną stronę: to, co zostanie zaszyfrowane kluczem prywatnym, może być odszyfrowane przez każdego, kto zna ten klucz publiczny. Działa to zatem tak, iż fakt, że wiadomość daje się odszyfrować Twoim kluczem publicznym, stanowi dowód, że w istocie musi ona pochodzić od Ciebie, gdyż tylko Ty posiadasz klucz prywatny, niezbędny do jej zaszyfrowania

Czy i jak sprawdzana jest autentyczność kluczy?

Przyjętym rozwiązaniem problemu weryfikacji autentyczności kluczy jest ich certyfikowanie, które polega na dołączeniu do niego informacji o tożsamości właściciela klucza i elektronicznym podpisaniu tak utworzonego dokumentu (certyfikatu) własnym kluczem prywatnym przez tzw. zaufaną trzecią stronę(trusted third party, TTP), która tym samym potwierdza tożsamość osoby, do której należy klucz. Tą zaufaną trzecią stroną wystawiającą certyfikat jest zazwyczaj specjalny tzw. urząd certyfikacyjny (certification authority, CA).

Pierwszą czynnością niezbędną do wykonania, aby móc zacząć używać podpisu elektronicznego, jest wygenerowanie swojej pary kluczy: prywatnego i publicznego. Następnie wygenerowany klucz publiczny należy przedstawić do certyfikacji odpowiedniemu urzędowi certyfikacyjnemu – dołączając niezbędne dokumenty potwierdzające tożsamość. Po otrzymaniu certyfikatu można już korzystać z elektronicznego podpisu. Aby umożliwić innym jego weryfikację, należy swój certyfikat udostępnić publicznie. Zazwyczaj odbywa się to za pośrednictwem specjalnych serwerów kluczy, z których każdy może pobrać certyfikowany klucz publiczny osoby, której podpis chce zweryfikować.

Co to jest i do czego służy certyfikat służbowy?

Cyfrowy certyfikat to po prostu elektroniczne zaświadczenie przyporządkowujące dane służące do weryfikacji podpisu elektronicznego określonemu użytkownikowi. Jest więc zapisywaną w pliku tekstowym porcją danych i stanowi rodzaj gwarancji przy wymianie informacji w niezabezpieczonej sieci (jaką jest np. Internet). Potwierdza tożsamość osoby bądź organizacji, bezpieczeństwo serwera lub witryny, autentyczność programu, dokumentu, wiadomości e-mail, itp. Wśród cyfrowych certyfikatów można wyróżnić:

  • certyfikaty urzędów certyfikacji,

  • certyfikaty serwerów,

  • certyfikaty osobiste,

  • certyfikaty producentów oprogramowania.

Chociaż sam certyfikat jest jawny, to za sprawą kryptografii asymetrycznej nie jest możliwe korzystanie z niego bez posiadania klucza prywatnego powiązanego z zawartym w certyfikacie kluczem publicznym. Klucz prywatny jest dodatkowo chroniony hasłem. Z kolei, ponieważ klucz publiczny instytucji certyfikującej jest powszechnie dostępny, można za jego pomocą sprawdzić autentyczność certyfikatu.

Pamiętaj, że:

  • Dzięki posługiwaniu się podpisem elektronicznym przesyłane dokumenty elektroniczne docierają do adresatów w stanie nienaruszonym; każda, nawet przypadkowa, zmiana w treści przesyłki jest sygnalizowana przez komputer odbiorcy,

  • Zalety podpisu elektronicznego to równoważność z podpisem odręcznym, fakt, iż jest związany wyłącznie z podpisującym, umożliwia identyfikację podpisującego, jest tworzony przez podpisującego, brak konieczności fizycznej obecności przy dokonywaniu większości czynności prawnych, brak konieczności przechowywania dokumentów papierowych,

  • Kto składa bezpieczny podpis elektroniczny za pomocą danych służących do składania podpisu elektronicznego, które zostały przyporządkowane do innej osoby, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie,

  • Certyfikaty wydawane są przez wyspecjalizowane instytucje publicznego zaufania – urzędy certyfikacji. Wydanie certyfikatu poprzedzone jest wieloma, niekiedy bardzo rygorystycznymi czynnościami mającymi na celu potwierdzenie tożsamości osoby bądź instytucji, dla której wydawany jest certyfikat.

Podstawa prawna:

(wg. e-prawnik.pl)