PKI – standardy i praktyka

Miłosz Smolarczyk

Treść

•

Standardy i podstawy prawne

•

XAdES 1.3.2

–

Struktura podpisu

–

Rozszerzenia

–

Weryfikacja

–

Problemy prawne i techniczne

•

Nowa ustawa

Podstawy prawne

•

Ustawa o podpisie elektronicznym z dnia 18

września 2001 roku (Dz. U. Nr 130, poz. 1450)

•

Rozporządzenie Rady Ministrów z dnia 7

sierpnia 2002 roku (Dz. U. Nr 128, poz. 1094)

w sprawie określenia warunków technicznych

i organizacyjnych dla kwalifikowanych

podmiotów świadczących usługi

certyfikacyjne, polityk certyfikacji dla

kwalifikowanych certyfikatów wydawanych

przez te podmioty oraz warunków

technicznych dla bezpiecznych urządzeń

służących do składania i weryfikacji podpisu

elektronicznego.

•

Wkrótce nowa ustawa

Standardy

•

PN-ISO/IEC 9796

•

X.509, PN-ISO/IEC 9594-8:2006

•

XML Signature, XAdES, PKCS #7, …

•

ISO/IEC 27001:2005 - norma Systemu
Zarządzania Bezpieczeństwem Informacji

•

ISO/IEC 17799:2005 - zalecenia i najlepsze
praktyki

•

Wiele innych…

XAdES

•

XML Advanced Electronic Signatures

–

Rozszerzenia XML-DSig

•

Aktualna wersja 1.3.2

•

Stosowany w Administracji Publicznej

XAdES – podstawowy schemat

XAdES - rozszerzenia

•

XAdES-T (timestamp), adding timestamp field to protect against repudiation;

•

XAdES-C (complete), adding references to verification data (certificates and revocation lists)
to the signed documents to allow off-line verification and verification in future (but does not
store the actual data);

•

XAdES-X (extended), adding timestamps on the references introduced by XAdES-C to protect
against possible compromise of certificates in chain in future;

•

XAdES-A (archival), adding possibility for periodical timestamping (e.g. each year) of the
archived document to prevent compromise caused by weakening signature during long-time
storage period.

XAdES - weryfikacja

•

Pozytywna weryfikacja niemożliwa bez
wszystkich referencji (także zewnętrznych)

•

Przykład z życia – doręczanie dokumentu do
obywatela:

Decyzja

(XAdES)

Decyzja

(XAdES)

Decyzja

(XAdES)

Decyzja

(XAdES)

Decyzja

(XAdES-

A)

Decyzja

(XAdES-

A)

UPD

UPD

UPD

(XAdES)

UPD

(XAdES)

UPD

(XAdES)

Decyzja

(XAdES-

A)

Decyzja

(XAdES-

A)

Weryfikacja

XAdES – weryfikacja

Weryfikacja c.d.

„

Bezpieczny podpis elektroniczny

(…) wywołuje skutki prawne
określone ustawą, jeżeli został
złożony w okresie ważności tego
certyfikatu.”

Weryfikacja c.d.

•

Procedura standardowa:

–

Sprawdzenie integralności dokumentów

–

Sprawdzenie zgodności podpisu z dokumentem

–

Sprawdzenie ważności certyfikatu, na podstawie
aktualnych CRL/ARL

•

X.509: listy są aktualne, jeśli nie nastąpiła jeszcze
data planowego wystawienia następnej listy.

W szczególnym przypadku nieważny

certyfikat może zostać zweryfikowany

prawidłowo!

Weryfikacja c.d.

•

Procedura bezpieczna:

–

Oznaczenie czasem, np.: XAdES-T

–

Sprawdzenie integralności dokumentów

–

Sprawdzenie zgodności podpisu z dokumentem

–

Sprawdzenie ważności certyfikatu, na podstawie
aktualnych (z definicji) CRL/ARL

–

Zwrócenie informacji o niekompletnej weryfikacji i jej
statusie

–

Zwrócenie ostatecznego wyniku weryfikacji po
zweryfikowaniu certyfikatu z użyciem list CRL/ACL
następujących po znaczniku czasu

–

Rozszerzenie do postaci archiwalnej (w zależności od
potrzeb), np.: XAdES-A

Inne problemy

•

Oparcie na zaufaniu do urządzeń i aplikacji

–

Czy w rzeczywistości użytkownik wie co
podpisuje?

•

Konieczna „konserwacja” podpisów

•

Problemy prawne …

Nowa ustawa

•

Stan: odesłana do konsultacji

•

Założenia: upowszechnienie i obniżenie
kosztów korzystania z podpisu
elektronicznego

•

Środki:

–

Więcej usług certyfikacyjnych

–

Umożliwienie samorządom świadczenia usług
niekwalifikowanych (konieczna także nowelizacja
Ustawy o informatyzacji)

–

Zniesienie obowiązku zawierania umów na piśmie
z subskrybentem

Nowa ustawa – 5 rodzajów
podpisów

•

Zaawansowany - przyporządkowany wyłącznie

podpisującemu i umożliwiający jego identyfikację, utworzony

za pomocą środków które podpisujący ma pod wyłączną

kontrolą i powiązany z danymi, do których się odnosi w taki

sposób, że każda późniejsza zmiana tych danych jest

wykrywalna.

•

Kwalifikowany – zaawansowany podpis elektroniczny,

weryfikowany przy pomocy ważnego kwalifikowanego

certyfikatu, złożony za pomocą bezpiecznego urządzenia do

składania podpisu elektronicznego.

•

Łączny – z założenia przyporządkowany grupie.

•

Urzędowy – podpis zaawansowany, weryfikowany za pomocą

ważnego certyfikatu urzędowego.

•

Pieczęć elektroniczna – podpis zaawansowany, składany

przez podpisującego nie będącego osobą fizyczną

weryfikowanego przy pomocy ważnego certyfikatu

systemowego.

Nowa ustawa – 4 rodzaje
certyfikatów

•

Kwalifikowany (tak jak dotychczas)

•

Systemowy – przyporządkowany
podpisującemu składającemu pieczęć
elektroniczną

•

Urzędowy – kwalifikowany lub wydany przez
Urząd, na potrzeby komunikacji z obywatelami

•

Certyfikat atrybutów - określa uprawnienia
osoby wskazanej w certyfikacie.

Nowa ustawa – skutki prawne
podpisu

•

Zaawansowany podpis elektroniczny,
weryfikowany przy pomocy certyfikatu wywołuje
skutek prawny, jeżeli został złożony w okresie
ważności tego certyfikatu

•

Dane w postaci elektronicznej opatrzone
kwalifikowanym podpisem elektronicznym
wywołują skutki złożenia oświadczenia woli w formie
pisemnej.

•

Podpis łączny wywołuje skutki reprezentacji łącznej
na zasadach określonych przez właściwe przepisy,
umowę albo statut.

Nowa ustawa – podpis bez
podpisu?

•

Ilekroć dane w postaci elektronicznej zostały
opatrzone imieniem, nazwiskiem i numerem
PESEL osoby fizycznej przyjmuje się, iż
osoba ta w celu dokonania czynności która
nie wywołuje skutków prawnych, złożyła
podpis dla celów identyfikacyjnych.

Datownik elektroniczny

•

Rozróżnienie kwalifikowanej i
niekwalifikowanej usługi oznaczenia czasem

•

Datownik elektroniczny stanowi dowód
tego, że usługa została wykonana w czasie
określonym w tym datowniku. Skutki
prawne stosowania datownika
elektronicznego określają przepisy odrębne.

Nowa ustawa – podsumowanie

•

Dostosowanie do dyrektywy UE

•

Uhonorowanie certyfikatów zagranicznych

•

Upowszechnienie e-podpisu ?

•

Na razie brak projektów aktów
wykonawczych

Dziękuję

Miłosz Smolarczyk