Ustawa o podpisie elektronicznym
Art. 5. Ust 2.
Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.
Art. 6. Ust 1.
Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę określoną w tym certyfikacie, jako składającą podpis elektroniczny.
Bezpieczny podpis elektroniczny
Ustawa o podpisie elektronicznym z 18 września 2001 roku:
„Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi”.
Bezpieczny podpis elektroniczny, jest odpowiednikiem podpisu odręcznego i podobnie jak on pełni funkcje:
Uwierzytelnienia (ang. authentication)
Identyfikacji (ang. identification)
Oświadczenia wiedzy (declaration of knowledge)
Oświadczenia woli (declaration of will).
Bezpieczny podpis elektroniczny dodatkowo może służyć do:
potwierdzenia integralności danych,
potwierdzenia autorstwa wiadomości.
Podpis elektroniczny bezpieczny, a zwykły
Bezpieczny podpis elektroniczny w Polsce został powołany do istnienia na mocy Ustawy o Podpisie Elektronicznym.
Bezpieczny podpis elektroniczny jest dokonywany z użyciem kwalifikowanego certyfikatu, wydawanego jedynie przez akredytowane centra certyfikacji (w 2008 w Polsce Certum, Kir, Sigillum).
Podstawową różnicą pomiędzy podpisem bezpiecznym, a tzw. „zwykłym” jest moc prawna - tylko bezpieczny podpis elektroniczny ma zagwarantowaną moc prawną podpisu odręcznego, czyli może być przedstawiony w sądzie jako potwierdzający wiedzę/wolę danej osoby.
Bezpieczny podpis elektroniczny jest wykonywany przy użyciu „bezpiecznego urządzenia”, a więc zestawu komponentów spełniających określone normy technologiczne (podane w rozporządzeniu Rady Ministrów).
Zwykły podpis elektroniczny nie musi spełniać wielu szczegółowych norm niezbędnych dla podpisu bezpiecznego, jednak jego status prawny nie jest potwierdzony ustawowo. Przy komunikowaniu się z urzędami wymagany jest podpis bezpieczny.
Certyfikat elektroniczny
Definicja (ustawa o podpisie elektronicznym). Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby. W praktyce
Stworzono (przyjęte w całym świecie) normy określające jednolity format certyfikatu elektronicznego. Nosi on nazwę X.509 (aktualnie w wersji 3). Certyfikaty obecne w tym standardzie są niewielkimi plikami rozpoznawanymi przez większość systemów operacyjnych i używanymi przez oprogramowanie podczas składania i weryfikacji podpisu elektronicznego, a także do licznych innych zastosowań. Certyfikaty elektroniczne są niepodrabialne, ponieważ same są zabezpieczone podpisem cyfrowym.
Normy, standardy, akty prawne...
Standard X.509 v3 opisany w RFC 2459 - opisujący sposób użycia asymetrycznych algorytmów kryptograficznych w celu składania podpisu elektronicznego oraz jego weryfikacji.
Ustawa o podpisie elektronicznym z dnia 18 września 2001 r.
Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. Nr 1094
Dyrektywa i normy UE - Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 o wspólnotowej infrastrukturze podpisów elektronicznych: Polityki i regulaminy certyfikacji - w repozytorium Urzędu Certyfikacji.
Ochrona danych osobowych
Przepis prawny:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)
Osoby i instytucje przechowujące dane osobowe są zobowiązane do przestrzegania przepisów wynikających z ustawy o ochronie danych osobowych. W szczególności dane gromadzone w punktach rejestracji i punktach weryfikacji tożsamości muszą spełniać rygory tej ustawy.
Oznacza to m.in., że dane osobowe klientów musza być przechowywane w zamykanych pomieszczeniach i zabezpieczane przed dostępem osób postronnych.
Dane komputerowe zawierające informacje podlegające ochronie muszą być chronione zarówno organizacyjnie (kontrola dostępu do pomieszczeń, nie udostępnianie tych osobom nieuprawnionym), sprzętowo (zabezpieczenia dostępu do komputerów i softwarowo (programy antywirusowe, firewalle).
Inspektorzy weryfikujący dane klientów muszą uzyskać od GIODO zezwolenie na przetwarzanie danych, czyli uzyskać status administratora danych osobowych.
Odpowiedzialność karna
Ustawa o ochronie danych osobowych
Art. 49.
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Art. 50.
Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 51.
Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53.
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54.
Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Odpowiedzialność karna
Ustawa o podpisie elektronicznym
Art. 45.
45.Kto świadczy usługi certyfikacyjne jako kwalifikowany podmiot świadczący usługi certyfikacyjne bez uprzedniego zawarcia wymaganej umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom tych usług, podlega grzywnie do 1.000.000 złotych.
Art. 46.
Kto, świadcząc usługi certyfikacyjne, wbrew obowiązkowi określonemu w ustawie nie informuje osoby ubiegającej się o certyfikat o warunkach uzyskania i używania certyfikatu podlega grzywnie do 30.000 złotych.
Art. 47.
Kto składa bezpieczny podpis elektroniczny za pomocą danych służących do składania podpisu elektronicznego, które zostały przyporządkowane do innej osoby, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.
Art. 48.
Kto, świadcząc usługi certyfikacyjne, kopiuje lub przechowuje dane służące do składania bezpiecznego podpisu lub poświadczenia elektronicznego lub inne dane, które mogłyby służyć do ich odtworzenia, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.
Art. 49.
Kto, świadcząc usługi certyfikacyjne, wydaje certyfikat zawierający nieprawdziwe dane, o których mowa w art. 20 ust. 1, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.
Tej samej karze podlega osoba, która w imieniu podmiotu świadczącego usługi certyfikacyjne umożliwia wydanie certyfikatu, o którym mowa w ust. 1.
Tej samej karze podlega osoba, która posługuje się certyfikatem, o którym mowa w ust. 1.
Art. 50.
Kto, świadcząc usługi certyfikacyjne, wbrew obowiązkowi, o którym mowa w art. 21 ust. 2 pkt 5 i 6, zaniecha unieważnienia certyfikatu, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.
Art. 51.
Kto, świadcząc usługę znakowania czasem jako kwalifikowany podmiot świadczący usługi certyfikacyjne, umożliwia oznaczenie danych czasem innym niż z chwili wykonywania tej usługi oraz poświadcza elektronicznie tak powstałe dane, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.
Art. 52.
Kto, będąc obowiązanym do zachowania tajemnicy związanej ze świadczeniem usług certyfikacyjnych, ujawnia lub wykorzystuje, wbrew warunkom określonym w ustawie, informacje objęte tą tajemnicą, podlega grzywnie do 1.000.000 złotych lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.
Jeżeli sprawca dopuszcza się czynu określonego w ust. 1 jako podmiot świadczący usługi certyfikacyjne lub jako kontroler albo w celu osiągnięcia korzyści majątkowej lub osobistej, podlega grzywnie do 5.000.000 złotych lub karze pozbawienia wolności do lat 5 albo obu tym karom łącznie.
Art. 53.
Karom określonym w art. 45-51 podlega także ten, kto dopuszcza się czynów, o których mowa w tych przepisach, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej
Odpowiedzialność karna
Kodeks karny
Art. 267.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. § 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
Infrastruktura klucza publicznego
Podstawowe pojęcia - algorytm, klucz kryptograficzny
Każdy szyfr, czy mechanizm uwierzytelniania posługuje się kluczem kryptograficznym.
Klucz kryptograficzny - parametr (zbiór danych), który steruje operacjami szyfrowania lub deszyfrowania informacji) - def. ogólna, nabiera konkretnego znaczenia w połączeniu z właściwym algorytmem szyfrowym.
- np.: kluczem może być wielkość przesunięcia dla szyfru Cezara (=3), fraza hasła podawanego wartownikowi, współczesny klucz algorytmów DES, RSA itd.
Podstawowe pojęcia - algorytm, klucz kryptograficzny
Każdy szyfr, czy mechanizm uwierzytelniania posługuje się kluczem kryptograficznym.
Klucz kryptograficzny - parametr (zbiór danych), który steruje operacjami szyfrowania lub deszyfrowania informacji) - def. ogólna, nabiera konkretnego znaczenia w połączeniu z właściwym algorytmem szyfrowym.- np.: kluczem może być wielkość przesunięcia dla szyfru Cezara (=3), fraza hasła podawanego wartownikowi, współczesny klucz algorytmów DES, RSA itd.
Typy współczesnych algorytmów szyfrowych
|
Algorytmy symetryczne (współcześnie używane - np. DES, 3DES).- Istnieje jeden klucz, który służy zarówno do zaszyfrowania, jak i odszyfrowania informacji.
Algorytmy asymetryczne (współcześnie używane - np. RSA) .- Istnieje para kluczy, z których jeden służy do szyfrowania, a drugi do odszyfrowywania informacji.
|
Szyfrowanie symetryczne
Mamy tylko jeden klucz, który zarówno szyfruje dane, jak i odszyfrowuje je.
Jest to najstarszy typ szyfrowania.
Zwykle szyfrowanie symetryczne jest prostsze - tak koncepcyjnie, jak i obliczeniowo - od szyfrowania asymetrycznego.
Duża szybkość działania - to podstawowa zaleta tego rodzaju szyfrowania.
Mnogość znanych algorytmów.
Główna wada w porównaniu do szyfrowania asymetrycznego: w zdecydowanej większości zastosowań klucz szyfrujący musi być w całości tajny. Uwierzytelnianie i szyfrowanie na masową skalę jest tu więc prawie niemożliwe, bo każda para nadawca - odbiorca wiadomości wymaga zastosowania osobnego klucza.
Współczesne, najczęściej używane algorytmy to DES i 3DES, AES.
Aktualnie szyfrowanie symetryczne jest bardzo często stosowane w połączeniu z szyfrowaniem asymetrycznym - symetrycznie szyfrowane są właściwe dane, a asymetrycznie tylko klucz szyfrowy.
Szyfrowanie asymetryczne
Użytkownik (zwykle właściciel certyfikatu, choć może być nim np. program komputerowy) posiada unikalną parę kluczy kryptograficznych. W odróżnieniu od kryptografii symetrycznej, tutaj klucze nie są w całości tajne.
|
Klucz prywatny znany jest tylko użytkownikowi. Służy on do deszyfrowania i generowania podpisów.
Klucz publiczny jest udostępniony wszystkim uczestnikom wymiany informacji. Umożliwia szyfrowanie wiadomości wysyłanych do właściciela klucza prywatnego i weryfikowanie podpisów.
Klucze są powiązane ze sobą kryptograficznie.
|
Kryptografia asymetryczna - szyfrowanie
|
Dane zaszyfrowane przy pomocy klucza publicznego można rozszyfrować jedynie kluczem prywatnym.
Nie da się odszyfrować danych za pomocą klucza je szyfrującego
Funkcja skrótu
Funkcja skrótu (ang. hash, funkcja „haszująca”) jest to przekształcenie powodujące utworzenie reprezentacji z dokumentu. Funkcja ta pełni ważną rolę przy tworzeniu podpisu elektronicznego. Własności:
Z danych dowolnie dużych generuje wartość o relatywnie krótką - np. dla skrótu SHA1 - 160 bitów (co odpowiada 20 znakom pisarskim).
Jest mocno wrażliwa na zmiany w oryginalnych danych (zmiana jednego bitu powoduje trudną do przewidzenia modyfikację całego skrótu).
Prawdopodobieństwo istnienia informacji o tych samych skrótach jest bardzo małe i prawie niemożliwe jest wygenerowanie dokumentu o tym samym skrócie co zadany (przy 160 bitach jest ok. 1048 kombinacji).
Jest nieodwracalna - nie można obliczyć oryginalnych danych na podstawie ich skrótu.
Znajduje zastosowanie w wielu operacjach instytucji klucza publicznego.
Istota podpisywania elektronicznego
Podpisywanie elektroniczne danych od strony algorytmicznej sprowadza się do:
Obliczenia funkcji skrótu z danych do podpisania
Zaszyfrowaniu obliczonego skrótu za pomocą klucza prywatnego osoby podpisującej.
Zaszyfrowany kluczem prywatnym skrót z wiadomości jest właściwym podpisem elektronicznym tej wiadomości.
Podpis elektroniczny ma sens jedynie w powiązaniu z samą wiadomością, dlatego jest do niej dołączany tworząc „podpisany dokument”.
Ponieważ same dane podpisu elektronicznego nie zawierają informacji o osobie podpisującej (są ciągiem bitów nie mającym prostej interpretacji), to informacja o podpisującym musi być dołączana w postaci dodatkowej struktury certyfikatu elektronicznego.
Podpis elektroniczny - weryfikacja
Sprawdzenie poprawności podpisu polega na:
Odszyfrowaniu dołączonego podpisu kluczem publicznym,
Utworzeniu skrótu z dokumentu oryginalnego,
Porównaniu wyników z dwóch poprzednich punktów - jeśli są identyczne, to znaczy, że podpis pasuje do dokumentu.
|
PKI - infrastruktura klucza publicznego
Mamy technologię, do identyfikacji, szyfrowania itp. Ale…
To zwykle nie wystarczy, do jej w pełni wartościowego użycia w normalnym obrocie prawnym i gospodarczym.
Potrzebne jest jeszcze przełożenie samej techniki na zaufanie, że za złożonym podpisem elektronicznym stoi określona osoba.
Inaczej mówiąc - ktoś musi pilnować tego, aby wydawanie kluczy do podpisu było wiarygodne. Potrzebne są usługi Zaufanej Trzeciej Strony, a głównym ich instrumentem jest Certyfikat Elektroniczny.
Zaufaną trzecią stroną jest w PKI Urząd Certyfikacji, czyli instytucja, która zajmuje się weryfikacją tożsamości osób, którym wydawane są certyfikaty i, która czuwa nad tym, aby dane zawarte w certyfikacie były zgodne ze stanem faktycznym.
Certyfikat elektroniczny
Co zawiera certyfikat?
klucz publiczny (jest on powiązany z chronionym przez właściciela certyfikatu kluczem prywatnym),
informacje o właścicielu certyfikatu, ew. także o firmie - sponsorze,
informacje o przeznaczeniu certyfikatu oraz jego okresie ważności,
informacje o wydawcy certyfikatu.
Certyfikat podpisany jest kluczem prywatnym Urzędu certyfikacji, który certyfikat wystawił. |
|
|
Certyfikat elektroniczny - informatycznie
Patrząc od strony informatycznej, certyfikat jest plikiem (zwykle o rozszerzeniu „crt”) zawierającym niezbędne informacje.
Pliki crt są odczytywane przez oprogramowanie systemowe (np. Windows, Uniks); mogą być kasowane, kopiowane, wysyłane pocztą elektroniczną itp.
Oprogramowanie systemowe prezentuje właściwości certyfikatu: zawartość pól opisujących wydawcę i posiadacza certyfikatu oraz zakres zastosowań.
Dane certyfikatu są podpisane przez urząd certyfikacji, co zapewnia ich integralność (każda zmiana danych zawartych w certyfikacie jest rozpoznawalna podczas weryfikacji) i chroni przed sfałszowaniem.
Aby certyfikat mógł posłużyć do szyfrowania i podpisywania należy go zarejestrować w systemie operacyjnym komputera.
Urząd certyfikacji CA
Podstawową jednostką w strukturze PKI jest Urząd Certyfikacji - CA (ang. Cerification Authority), czyli organizacja ciesząca się zaufaniem publicznym weryfikująca tożsamość jednostek i wydające certyfikaty.
CA stosuje ponadprzeciętne środki zabezpieczania informacji w celu utrzymania i pogłębiania zaufania, utrzymuje odpowiednią infrastrukturę sieciową, publikuje dane niezbędne dla prawidłowego funkcjonowania podpisu elektronicznego w ramach struktury PKI.
Urzędy certyfikacji mogą funkcjonować jako niezależne organizacje tzw. RootCA (wierzymy takiemu urzędowi z założenia lub z „innych” powodów).
Urzędy certyfikacji mogą funkcjonować w hierarchii zaufania z
urzędami nadrzędnymi (RootCA) - potwierdzającymi zaufanie innych urzędów
urzędami podrzędnymi (SubCA)
Na szczycie hierarchii zaufania znajduje się zwykle jakaś szczególnie ważna instytucja. Np. dla hierarchii polskich urzędów wydających certyfikaty kwalifikowane „rootem” jest Narodowy Bank Polski (Centrast).
Cofnięcie zaufania dla urzędu certyfikacji powoduje, że wydane przez niego certyfikaty stają się „niezaufane”.
Zarządzanie zaufaniem certyfikatów.
Certyfikat z nieznanego źródła jest przez system operacyjny komputera (także zaświadczenie certyfikacyjne) jest widziany jako „niezaufany”.
Certyfikaty nie mające statusu zaufanych skutkują wyświetlaniem komunikatów ostrzegawczych przy weryfikacji podpisów złożonych z ich użyciem.
Użytkownik może zdecydować, czy potraktuje nieznany systemowi operacyjnemu certyfikat jako zaufany (a więc pochodzący od wiarygodnego źródła), czy też pozostawi w stanie niezaufanym.
Jeśli certyfikat jest ważny i uznany jako „zaufany”, to wszystkie prawidłowe podpisy złożone za jego pomocą będą traktowane jako „poprawne”.
Zainstalowanie zaświadczenia certyfikacyjnego urzędu certyfikacji wystawiającego dany certyfikat powoduje uznanie za zaufane wszystkich certyfikatów wystawionych przez ten urząd (usunięcie zaświadczenia z rejestru systemowego spowoduje cofnięcie zaufania dla jego certyfikatów).
W podobny sposób usunięcie zaświadczenia certyfikacyjnego rootCA powoduje cofnięcie zaufania dla podległych mu urzędów SubCA.
Zaświadczenia certyfikacyjne urzędu certyfikacji, nadające „zaufanie” jego certyfikatom znajdują się w repozytorium. Dla Sigillum są one dostępne pod adresem:
Zasady bezpieczeństwa
Przechowywanie kluczy prywatnych
Klucze prywatne powinny być szczególnie chronione, bo dostęp do nich umożliwiłby osobie niepowołanej podejmowanie zobowiązań w naszym imieniu.
|
|
|
Przechowywanie kluczy prywatnych
Klucze prywatne powinny być szczególnie chronione, bo dostęp do nich umożliwiłby osobie niepowołanej podejmowanie zobowiązań w naszym imieniu.
|
|
Podstawy bezpieczeństwa informacji
Poufność - zapewnienie, że informacja jest dostępna jedynie osobom upoważnionym.
Integralność - zapewnienie dokładności i kompletności informacji oraz metod przetwarzania.
Dostępność - zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.
Zasoby wrażliwe należące do Subskrybenta
Umowa
Karta kryptograficzna
Passphraze - hasło służące do unieważniania certyfikatu/ów
Możliwe zagrożenia wewnętrzne system
Błąd operatora - błędnie wpisane dane, błąd literowy, nadmiarowy znak/symbol
Zaniedbanie - niedopełnienie obowiązków, popadnięcie rutynę
Nieumyślna ingerencja współpracownika
Samodzielne przeróbki - nieautoryzowane dokonywanie zmiana np. danych
Samodzielne testowanie zabezpieczeń - sprawdzanie co się stanie gdy, …
Zagrożenia zewnętrzne
|
Zagrożenia losowe
Awaria systemu teleinformatycznego
Awaria zasilania
Pożar
Zalanie
Rodzaje zabezpieczeń
Zabezpieczenia fizyczne - czujniki, detektory, zamki
Zabezpieczenia teleinformatyczne - firewall, oprogramowanie antywirusowe
Zabezpieczenia proceduralne - określone sposoby postępowania
Zdrowy rozsądek
Zabezpieczenia teleinformatyczne
Login, hasło
Karty kryptograficzne
Oprogramowanie antywirusowe
Łaty do programów
Firewall'e - śluza bezpieczeństwa
Kopie zapasowe
Zabezpieczenia proceduralne
Przechowywanie oraz tworzenie silnych haseł
Zasada czystego biurka - wszystkie dane wrażliwe jeżeli nie są wykorzystywane powinny być odpowiednio zabezpieczone i przechowywane
Wygaszony monitor
Dostęp do komputera tylko dla upoważnionych - blokowanie komputera po odejściu od biurka
Ochrona danych osobowych
Definicje pojęć
Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Administrator danych - organ, instytucja, jednostka organizacyjna, podmiot lub osoba (...), decydujące o celach i środkach przetwarzania danych osobowych.
Przetwarzanie danych - jakakolwiek operacja wykonywana na danych osobowych, taka jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza ta, którą wykonuje się w systemach informatycznych.
Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Ochrona danych osobowych
Wymagania dot. przetwarzania danych:
Osoba, której dane dotyczą, wyrazi na to zgodę,
Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
Jest niezbędne do wykonania określonych prawem zadań, realizowanych dla dobra publicznego,
Jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą
Usunięcie danych osobowych nie wymaga zgody osoby zainteresowanej
Ochrona danych osobowych
Zabezpieczenia zbiorów danych osobowych:
Fizyczne
Organizacyjne
Informatyczne
Ochrona danych osobowych
Przetwarzając dane osobowe należy pamiętać, że:
Zabrania się nieuprawnionego: przeglądania, kopiowania, modyfikowania oraz usuwania danych osobowych,
Wszelkie dokumenty i wydruki, zawierające dane osobowe po zakończeniu pracy powinny być umieszczone w zamykanych szafkach,
Nie można przekazać danych w żadnej formie czy to w postaci elektronicznej czy też w postaci wydruku osobom trzecim, które nie są uprawnione do dostępu do nich,
Po zakończeniu pracy wszelkie dokumenty, wydruki i pliki elektroniczne zawierające dane osobowe, które przestały być użyteczne należy zniszczyć w sposób uniemożliwiający ich odczytanie,
Zastosowanie podpisu elektronicznego
Ogólne zasady kryptografii - wstęp
Terminy:
Kryptografia (ang. cryptography) pochodzi z j. greckiego i oznacza „ukrytą wiadomość”. Podobne terminy: encryption (szyfrowanie), decryption (rozszyfrowywanie).
Podpis elektroniczny nie tylko do podpisywania. Mówi się „podpis elektroniczny”; mamy „Ustawę o podpisie elektronicznym”, jednak od strony terminologicznej sprawa jest dość zawikłana. Najczęściej termin „podpis elektroniczny” symbolizuje nie tylko podpisywanie cyfrowe dokumentów, ale także powiązane z nim: szyfrowanie wiadomości, znakowanie czasem, usługi zaufanej trzeciej strony i inne. Zastosowania te wykraczają poza tradycyjne znaczenie słowa „podpis”.
PKI - Public Key Infrastrukture (Infrastruktura klucza publicznego) - zbiorczy termin używany do określenia infrastruktury sprzętowej, programistycznej, prawnej i organizacyjnej pozwalający na praktyczne wykorzystanie mechanizmów podpisu elektronicznego.
Idea podpisu cyfrowego
Zabezpieczanie danych cyfrowych przed sfałszowaniem musi więc opierać się na innych metodach niż proste dołączanie podpisu odręcznego. Metody takie zostały opracowane i są oparte o techniki kryptograficzne, czyli opierające się na szyfrowaniu danych. W taki właśnie sposób działa elektroniczny odpowiednik podpisu odręcznego - podpis elektroniczny. Rozwiązania zastosowane w podpisie elektronicznym nie są przeniesieniem mechanizmów znanych z podpisywania ręcznego - w szczególności podpis ten nie ma związku z umiejętnością pisania odręcznego, ani z charakterem pisma podpisującego. Podpis elektroniczny może być stosowany tylko do danych cyfrowych. Podpisu takiego nie drukuje się, nie przedstawia w postaci graficznej.
Istota podpisu cyfrowego
W warstwie technologicznej podpisywanie elektroniczne polega na dodawaniu do oryginalnej wiadomości specjalnie spreparowanego ciągu danych. Ten ciąg danych konfrontowany z dokumentem pozwala na potwierdzenie:
Integralności - a więc potwierdza, że aktualnie przedstawione dokument jest zgodny z przedstawionym do podpisu
Faktu użycia odpowiedniego klucza prywatnego - w konsekwencji zwykle potwierdzenie, że podpisu dokonała określona osoba.
Podpis elektroniczny wg Ustawy o Podpisie Elektronicznym
jest przyporządkowany wyłącznie do osoby składającej ten podpis,
jest sporządzony za pomocą urządzeń, z wykorzystaniem danych; środki te podlegają wyłącznej kontroli osoby składającej podpis elektroniczny,
jest powiązany z danymi, do których został dołączony, .w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna (Ustawa)
może określać maksymalną kwotę zawieranych transakcji (*)
Gdzie można stosować dokumenty elektroniczne (z podpisem)
Umowy zawierane w drodze elektronicznej
Aukcje elektroniczne
Systemy obiegu dokumentów wewnętrzne i zewnętrzne
Wnioski i podania, np. administracyjne
Sprawozdania do GIIF
Deklaracje do ZUS
Faktury VAT
Komunikacja z KRS
Komunikacja z GIODO
Deklaracje podatkowe (system e-Deklaracje)
Komunikacja on-line z częścią banków
Podpis cyfrowy a odręczny - różnice
Podpis ręczny |
Podpis cyfrowy |
|
|
|
|
Certyfikaty kwalifikowane i niekwalifikowane - różnice
Ograniczenia w użytkowaniu bezpiecznego podpisu elektronicznego i certyfikatu kwalifikowanego:
Certyfikat kwalifikowany może być używany jedynie do składania podpisu elektronicznego na dokumentach lub uwierzytelniania użytkownika (np. GIIF).
Nie mogą być stosowane np. do logowania do systemu operacyjnego szyfrowania danych, podpisywania poczty elektronicznej (choć same załączniki do poczty mogą być podpisane bezpiecznym podpisem elektronicznym).
Certyfikaty kwalifikowane mogą być używane tylko z bezpiecznymi aplikacjami i urządzeniami, tzn. spełniającymi wymogi ustawy o podpisie elektronicznym, o czym mówi oświadczenie producenta.
Certyfikaty nie będące kwalifikowanymi nie posiadają takich ograniczeń.
Miejsce przechowywania klucza prywatnego
Nośnikiem klucza prywatnego powiązanego z certyfikatem kwalifikowanym jest urządzenie kryptograficzne (np. karta mikroprocesorowa lub token), które musi posiadać odpowiedni certyfikat bezpieczeństwa. Także generowanie kluczy do bezpiecznego podpisu elektronicznego musi być realizowane w bezpiecznym komponencie sprzętowym. Oznacza to, że nie istnieją kopie klucza prywatnego powiązanego z certyfikatem kwalifikowanym i jedynym miejscem jego składowania jest czip na karcie kryptograficznej. Certyfikaty nie będące kwalifikowanymi mogą być przechowywane na komputerze użytkownika w postaci plików (zwykle plików pkcs#12), dyskietce, płycie CD, ew. (podobnie jak klucze do certyfikatów kwalifikowanych) w urządzeniu kryptograficznym. Użytkownik ma pełna swobodę w wyborze nośnika certyfikatu.
Skutki prawne
Podpis elektroniczny weryfikowany przy pomocy certyfikatu kwalifikowanego wywołuje skutki prawne podpisu odręcznego. Jest to gwarantowane zapisami Ustawy o Podpisie Elektronicznym. Podpis elektroniczny weryfikowany przy pomocy certyfikatu niekwalifikowanego wywołuje skutki prawne podpisu odręcznego jeśli obie strony zawarły wcześniej umowę o wzajemnym uznaniu podpisów weryfikowanych przy pomocy certyfikatów niekwalifikowanych.
Zastosowania podpisu elektronicznego:
|
Ogólne zasady kryptografii
Współczesne techniki szyfrowe - fakt podstawowy
Wszystkie dane komputerowe są w środowisku informatycznym zapisane jako liczby np.:
Tekst - każda litera alfabetu, znak pisarski ma swój numer, po którym jest rozpoznawany (strona kodowa).
Grafika - obrazy są zapisywane w postaci liczb określających jasność i kolor każdego piksela obrazu.
Dźwięki są przez komputer widziane jako ciągi liczb określających wartość sygnału akustycznego w kolejnych chwilach czasu itp.
I inne…
Liczby powstałe z tych danych można w dowolnie łączyć i dzielić, przez co z kilku małych liczb można tworzyć większe, będące agregatami danych wejściowych. Ten fakt jest podstawą wniosku, że niemal wszystkie używane współcześnie dane można zaszyfrować. Tylko techniki szyfrowe zapewniają bezpieczeństwo w przypadku danych cyfrowych, które łatwo mogą być powielane, czy też modyfikowane bez zostawiania żadnych śladów pozwalających stwierdzić fakt manipulacji.
Ogólne zasady kryptografii
Dlaczego wprowadzono podpis elektroniczny? Próby podpisywania danych cyfrowych za pomocą metod przejętych z podpisu odręcznego natrafiają na dwa podstawowe problemy:
Zeskanowany podpis odręczny daje się powtórnie skopiować - zatem łatwo jest taki podpis sfałszować wklejając jego obraz do nowego dokumentu, a nie istnieją metody, które pozwoliłyby na odróżnienie dokumentu oryginalnie podpisanego od opatrzonego przeklejonym podpisem.
Dokument cyfrowy, nawet jeśli byłby opatrzony legalnym podpisem w postaci zeskanowanego obrazu pisma ręcznego, łatwo jest później niezauważalnie zmodyfikować - np. zmienić wartość transakcji już po dodaniu zeskanowanego podpisu.
|
Ogólne zasady kryptografii
Idea podpisu cyfrowego cd.
Patrząc od strony informatycznej, podpisywanie cyfrowe polega na dodawaniu do oryginalnego dokumentu niewielkich porcji specjalnie spreparowanych danych.
Dane te są możliwe do obliczenia tylko dzięki kryptograficznemu przetworzeniu dwóch elementów:
Treści dokumentu
Klucza prywatnego osoby podpisującej (tajnego ciągu danych)
Technologia została tak opracowana, że przy dzisiejszym poziomie techniki komputerowej praktycznie niemożliwe jest sfałszowanie takiego podpisu (stworzenie go bez znajomości klucza prywatnego). Inaczej mówiąc nie jest możliwe wyliczenie przez osoby postronne danych podpisu pasujących jednocześnie do klucza prywatnego osoby podpisującej i nowego (czyli zapewne podstawionego) dokumentu.
Ogólne zasady kryptografii
Podpisywanie cyfrowe - jak to działa?
Istotą podpisywania danych jest zaszyfrowanie skrótu wiadomości kluczem prywatnym. Oprogramowanie podpisujące:
tworzy z wiadomości skrót,
zaszyfrowuje powstały skrót kluczem prywatnym osoby podpisującej - tak uzyskujemy „podpis”,
po dołączeniu podpisu do pliku oryginalnej wiadomości otrzymujemy „podpisany dokument”.
|
Podpis elektroniczny - korzyści
Użycie klucza prywatnego udowadnia świadomą decyzję właściciela klucza - stanowi więc oświadczenie wiedzy (w innych sytuacjach także woli).
Poprawna weryfikacja podpisu gwarantuje integralność dokumentu, czyli jego zgodność z oryginałem (co do najdrobniejszego szczegółu).
Łatwość użycia - podpisywanie sprowadza się do wskazania dokumentu, wywołania opcji „podpis”, wybrania certyfikatu i wprowadzania PINu.
Precyzyjna i łatwa weryfikacja - w odróżnieniu od podpisu odręcznego, do weryfikacji podpisu cyfrowego nie jest niezbędna wiedza grafologiczna.
Łatwość użycia w sieci, szybkiego zebrania podpisów z wielu miejsc.
Możliwość użycia znaczników czasu, potwierdzających czas podpisania.
Dzięki użyciu certyfikatów, możliwość stosowania znacznie bardziej precyzyjnych (w porównaniu do podpisu odręcznego) opisów podmiotów składających podpisy (np. podanie kwoty granicznej transakcji itp..).
Uzyskanie możliwości odwołania ważności podpisu (dzięki listom CRL)
Podpisywanie nie tylko przez ludzi, ale i np. serwery, urządzenia sieciowe…
Mnogość dodatkowych, przyszłościowych zastosowań…
Korzyści z zastosowania podpisu elektronicznego
Usprawnienie pracy w zakresie przesyłania, przetwarzania i składowania informacji poprzez:
wyeliminowanie fizycznego obiegu dokumentów
wyeliminowanie wielu zbędnych kontaktów bezpośrednich
umożliwienie dostępu do dokumentów bez zaangażowania jakiejkolwiek obsługi
skrócenie czasu podpisywania dokumentów i obsługi spraw
usprawnienie procesu archiwizacji dokumentów
możliwość natychmiastowego zweryfikowania upoważnień finansowych (*)
Obniżenie kosztów związanych z obsługą interesantów, przetwarzaniem i składowaniem informacji poprzez:
optymalizacja czasu pracy
zmniejszenie ilości wysyłanych przesyłek tradycyjnych zwłaszcza „poleconych”
optymalizację lokali i środków przeznaczonych do obsługi klientów/partnerów oraz używanych do wewnętrznej obsługi firmy,
zmniejszenie kosztów wykonywania ekspertyz dokumentów.
Co zapewnia nam zastosowanie podpisu elektronicznego
|
|
Certyfikat elektroniczny - okres ważności
|
Certyfikat - identyfikacja podmiotu certyfikatu
|
|
|
|
Podział certyfikatów
Certyfikat kwalifikowany - spełnia wymogi Ustawy o Podpisie Elektronicznym; wywołuje skutki prawne identyczne z użyciem podpisu ręcznego. Zastosowanie certyfikatu kwalifikowanego jest ograniczone wyłącznie do podpisywania dokumentów.
Certyfikaty nie kwalifikowane („komercyjne”, „zwykłe”, „popularne”) mają szerszy zakres zastosowania: oprócz podpisywania dokumentów, także do podpisywanie poczty elektronicznej, szyfrowanie, logowanie, podpisywanie oprogramowania i inne. .Użycie certyfikatu komercyjnego też może wywoływać skutki prawne, jednak aby umowa była wiążąca, strony powinny wcześniej zawrzeć osobną umowę podpisaną odręcznie
Zaświadczenia certyfikacyjne - wg nomenklatury stosowanej w UoPE nie są „certyfikatami”, ponieważ nie są przypisane do osoby fizycznej. Identyfikują urząd certyfikacji. i mają identyczny format. W mowie potocznej zaświadczenia certyfikacyjne są często nazywane „certyfikatami urzędu”. Mimo że UoPE wiąże termin „certyfikat” z osobą fizyczną, to w praktyce PKI stosuje certyfikaty (niekwalifikowane) nie związane z osobami - np. certyfikaty serwera, kontrolera domen, czy innego urządzenia.
Certyfikat, a prywatność
Certyfikat kwalifikowany zawiera tylko: imię, nazwisko, numer PESEL lub NIP, adres poczty elektronicznej. Są to dane przewidziane przez UoPE - podstawowe, niezbędne dla efektywnej identyfikacji osoby. Są one stosowne do celu jaki ma pełnić certyfikat w strukturze PKI - zaświadczać o kontakcie z konkretną osobą.
Numer NIP lub PESEL jest konieczny ze względu na to, że samo imię i nazwisko nie identyfikuje jednoznacznie osoby (jest w Polsce wielu Janów Kowalskich).
Dodatkowo w certyfikacie mogą być umieszczone dane firmy (jeśli to firma jest jego sponsorem): nazwa i adres oraz stanowisko. Większość tych informacji z założenia jest jawna.
Certyfikat kwalifikowany nie zawiera innych (w szczególności bliższych) danych o osobie prywatnej, ani firmie. Danych tych nie można umieścić w certyfikacie nawet na życzenie subskrybenta.
Certyfikaty niekwalifikowane mogą zawierać dodatkowe dane, umieszczane na życzenie subskrybenta i zależy to od typu certyfikatu i polityki centrum certyfikacji wydającego dany certyfikat. Klient może zdecydować, czy chce aby jego certyfikat kwalifikowany był publikowany w bazie LDAP.
Znacznik czasu
W wielu sytuacjach do prawidłowego funkcjonowania dokumentu otoczeniu prawnym prawie niezbędne okazuje się dodatkowe potwierdzenie istnienia dokumentu w określonym momencie. Służy do tego znacznik czasu.
Znacznik czasu:
Jest integralną częścią podpisu elektronicznego i łączy dane o:
czasie wystawienia
dokumencie, którego dotyczy (jest z tym dokumentem kryptograficznie powiązany za pomocą funkcji skrótu)
urzędzie znacznika czasu.
Dane o czasie pobiera nie z ustawień komputera, ale z niezależnego serwera. Dlatego do jego zastosowania niezbędny jest dostęp do sieci Internet. Weryfikacja znacznika czasu może odbyć się już offline.
Znacznik czasu jest podpisany przez urząd certyfikacji go wydający (a więc jest niemożliwy do podrobienia przez osoby postronne).
Narzędziem przewidzianym przez Ustawę o Podpisie elektronicznym i niesie ze sobą tzw. „skutki daty pewnej” (o ile podmiot wystawiający znaczniki czasu uzyska wpis na listę kwalifikowanych podmiotów świadczących tego rodzaju usługi).
Certyfikaty - weryfikacja
Aby stwierdzić, czy dany certyfikat zachowuje swoją ważność należy:
zweryfikować, czy certyfikat jest prawidłowo podpisany przez CA (robi to automatycznie oprogramowanie systemowe podczas wczytywania certyfikatu)
sprawdzić, czy sam CA nie został odwołany (lista ARL).
pobrać listę unieważnionych certyfikatów CRL wygenerowaną przez CA i sprawdzić, czy szukany certyfikat na niej się znajduje.
Niezależnie od powyższej weryfikacji, sprawdzamy okres ważności. Po jego upływie certyfikat zachowuje swoją funkcjonalność, jednak po jego otwarciu pojawia się informacja o upłynięciu okresu ważności.
Do prawidłowej i pełnej weryfikacji certyfikatu niezbędny jest dostęp do Internetu.
Podczas weryfikacji podpisu elektronicznego weryfikacja certyfikatu odbywa się automatycznie.
Oprogramowanie do podpisu elektronicznego
Dla certyfikatów kwalifikowanych (tylko do podpisywania plików):
Niezbędne jest oprogramowanie dedykowane do bezpiecznego podpisu elektronicznego (musi spełnić zadość konieczności zapewnienia zgodności z UoPE).
Do roku 2007 każde centrum certyfikacji stosowało własne, niekompatybilne wzajemnie, formaty plików. Ostatnio odbywa się wdrażanie jednolitego w całej Polsce (i wielu innych krajach europejskich) formatu XAdES.
Dla certyfikatów zwykłych (wielość zastosowań):
Programy pochodzące z różnych źródeł zwykle są kompatybilne z ogólnie przyjętym standardem. Umożliwiają podpisywanie, szyfrowanie, uwierzytelnianie.
Oprogramowanie systemowe Windows, Unix
Programy pocztowe - np. Outlook, Outlook Express, The Bat, Thunderbird…
Inne: Adobe Acrobat, AutoCad, Microsoft Office (Word, Excel, Powerpoint) itp. …
Formaty plików podpisu dokumentów
Podpis elektroniczny może być wewnętrzny lub zewnętrzny.
Postać zewnętrzna to utrzymanie rozdziału na dwie struktury (pliki): wiadomość i (oddzielnie) podpis do tej wiadomości.
Postać wewnętrzna podpisu elektronicznego łączy podpisywaną wiadomość i dane podpisu w jedną strukturę (zwykle jeden plik). Jest ona powszechniejsza, ponieważ utrzymywanie wzajemnie dopełniających się informacji w jednym miejscu zmniejsza niebezpieczeństwo ich rozłączenia.
W Sigillum do 2007 roku stosowane były 2 formaty plików sdoc i SignPro. Aktualnie podstawowym programem Sigillum jest Sigillum SignPro. Obsługuje on nie tylko podpisy Sigillum, ale wszystkich polskich kwalifikowanych centrów certyfikacji (także KiR i Unizeto).
Sigillum Sign (nie „Pro”) podpisujący w formacie sdoc stosuje się rzadziej, a program ten ostatnio służy głównie do weryfikacji podpisu elektronicznego (jest on całkowicie darmowy i nie wymaga zakupu certyfikatu Sigillum).
Niestety, jak na razie, nie doszło do pełnego międzynarodowego zunifikowania formatów podpisu dokumentu i jedynie podpis poczty elektronicznej jest jednolity na całym świecie.
Oprogramowanie do podpisu elektronicznego
Do wykorzystania certyfikatów kwalifikowanych, a także komercyjnych z kluczami zapisanymi na karcie kryptograficznej, niezbędne jest oprogramowanie mające możliwość współpracy z kartą tego rodzaju (nie każdy program do podpisu potrafi wykorzystać klucz z karty). Pośredniczenie pomiędzy systemem operacyjnym komputera, a kartą kryptograficzną jest realizowane przez oprogramowanie typu middleware.
W przypadku kart Sigillum typu multisign programem tego rodzaju jest aplikacja Cryptocard Suite produkcji Cryptotech, która także umożliwia zarządzanie funkcjami karty (m.in. Zmiana PINu, blokowanie karty itp.).
Aby różne programy do podpisu elektronicznego mogły skorzystać z kluczy obecnych na karcie kryptograficznej, niezbędne jest zarejestrowanie w systemie certyfikatu z karty (służy do tego też program CryptoCard Suite).
W przypadku niektórych programów nie udaje się wykorzystać ogólnego oprogramowania systemowego, a wtedy konieczne jest wyszukanie sterowników tworzonych przez innych producentów (np. program pocztowy The Bat! w wersji darmowej nie obsługuje podpisu za pomocą karty kryptograficznej).
Właściwości programu Sigillum SignPro
|
|
|
Szyfrowanie i podpisywanie poczty elektronicznej
Do zabezpieczania poczty elektronicznej stosuje się certyfikaty niekwalifikowane. Używane certyfikaty powinny spełniać pewne warunki:
muszą mieć status certyfikatów „zaufanych” - do tego niezbędna jest rejestracja zaświadczenia certyfikacyjnego urzędu wydającego certyfikat.
Podpisywanie - adres poczty elektronicznej wpisany do certyfikatu musi dokładnie odpowiadać adresowi przypisanemu do konta nadawcy (MS Outlook sam rozpoznaje obecność certyfikatu mogącego posłużyć do podpisania wiadomości pocztowej (po jego zarejestrowaniu w magazynie osobistym Windows).
Szyfrowanie - adres e-mail wpisany w certyfikat musi być zgodny z aktualnym adresem odbiorcy (trzeba powiązać certyfikat z właściwościami kontaktu)
Odbiór zaszyfrowanej wiadomości:
Osoba odbierająca zaszyfrowaną wiadomość, do jej odczytania będzie musiała użyć klucza prywatnego (czyli np. wpisać PIN do karty kryptograficznej), dla osób nie mających dostępu do klucza prywatnego wiadomość będzie nieczytelna.
Weryfikacja podpisu poczty elektronicznej
Po weryfikacji podpisu poczty e-mail program pocztowy wyświetla komunikaty związane z:
Zwykle programy pocztowe umożliwiają zarządzanie zaufaniem dla użytych certyfikatów. W takim układzie możliwe jest „zaufanie”
Możliwe jest także zrezygnowanie z wyświetlania informacji o poprawności podpisu cyfrowego. |
|
|
Podsumowanie
Technologia podpisu elektronicznego łączy w całość kilka elementów:
Kryptografię i międzynarodowe standardy - jako podstawę koncepcyjną.
Strukturę organizacyjną i technologiczną (urzędy certyfikacji, sieć Internet, sprzęt komputerowy) - jako narzędzie realizacyjne.
Rozwiązania prawne (w Polsce związane przede wszystkim z Ustawą o Podpisie elektronicznym) - służące do powiązania tej technologii z systemem prawnym i gospodarczym.
Nastąpiło już wprowadzenie podpisu elektronicznego w większości krajów świata, a w szczególności w UE. W Polsce aktualnie realizuje się doskonalenie systemu i wdrożenia w:
Administracji (już działające projekty to m.in.: e-faktura, e-Deklaracje, dostęp do GIIF, GIODO, dostęp online do KRS)
Obrocie gospodarczym i zastosowaniach prawnych (wdrożenia m.in. w bankach Nordea, Millennium, BPH, dostęp do aukcji elektronicznych PPP, e-Przetarg COIG).
Planowane jest wprowadzenie dowodów osobistych zawierających moduł kryptograficzny umożliwiający podpisywanie elektroniczne danych.
Efektem zamierzonym jest stan, w którym zdecydowana większość czynności prawnych będzie mogła być realizowana zdalnie - bez konieczności wizyty w urzędach, bankach itp.
Przewodnik dla Inspektorów dotyczący obsługi klienta
Sigillum PCCE ma w swojej ofercie zarówno:
kwalifikowane certyfikaty zgodne z Ustawą o podpisie elektronicznym służące tylko i wyłącznie do składania oświadczeń woli użytkownika
komercyjne certyfikaty służące m. in. do podpisywania i/lub szyfrowania poczty elektronicznej
Wszelkie istotne informacje na temat produktów Sigillum PCCE można odnaleźć na stronie internetowej www.sigillum.plW celu zakupienia usług certyfikacyjnych zawsze konieczny jest osobisty kontakt przyszłego właściciela certyfikatu z Inspektorem ds. Rejestracji Potwierdzenie zapłaty w przypadku klienta indywidualnego (Subskrybenta) Musi zostać przedstawione w Punkcie Rejestracji nie później niż w momencie zawarcia Umowy Klient zbiorowy (Zamawiający) uiszcza opłatę po wydaniu certyfikatu i wystawieniu faktury
DOKUMENTY NIEZBĘDNE DO PRZYGOTOWANIA UMÓW o świadczenie usług certyfikacyjnych
Taka procedura kontaktu pozwala na wcześniejsze przygotowanie umowy i skrócenie czasu potrzebnego na wizytę w Punkcie Rejestracji.
Podstawowe dokumenty tożsamości
dowód osobisty
paszport (jeżeli występuje jako dokument podstawowy, niezbędne jest przedstawienie oryginalnych dokumentów nadania numeru PESEL odpowiednio dla certyfikatów kwalifikowanych i/lub komercyjnych).
Podstawowe dokumenty tożsamości
prawo jazdy
w przypadku obcokrajowców - Karta Stałego Pobytu, oryginalne dokumenty nadania numeru NIP i PESEL;
tajne hasło niezbędne w przypadku konieczności zawieszenia lub unieważnienia certyfikatu, złożone z min. 8 znaków w tym: duża litera, mała litera, cyfra, znak specjalny (np. !, @, #, *, &, +). Może być dostarczone do Punktu Rejestracji wcześniej w zaklejone i podpisanej kopercie lub przygotowane na miejscu w Punkcie Rejestracji.
UWAGA: W przypadku certyfikatów komercyjnych w zależności od rodzaju wymagane są jeden lub dwa dokumenty tożsamości.
Klient zbiorowy (Zamawiający)
DOKUMENTY NIEZBĘDNE DO PRZYGOTOWANIA UMÓW o świadczenie usług certyfikacyjncyh
Dokumenty wymagane podczas weryfikacji Zamawiającego przy nabywaniu usług certyfikacyjnych Sigillum PCCE
CHARAKTER ZAMAWIAJĄCEGO |
DOKUMENTY JEDNOZNACZNIE OKREŚLAJĄCE ZAMAWIAJĄCEGO |
Indywidualna działalność gospodarcza, a także notariusze, radcy prawni, adwokaci prowadzący indywidualne kancelarie, lekarze, stomatolodzy, farmaceuci |
|
Spółka cywilna |
|
|
|
Przedsiębiorstwo państwowe |
|
Spółdzielnie |
|
Fundacje |
|
Stowarzyszenia |
|
Kościoły (archidiecezje, diecezje, parafie) i związki wyznaniowe (gminy wyznaniowe, związki gmin) |
|
Partie polityczne, związki zawodowe |
|
Jednostki samorządu terytorialnego: |
|
Zakłady budżetowe lub gospodarstwa pomocnicze |
|
Jednostki budżetowe |
|
Pozostałe jednostki organizacyjne |
|
Pozostałe jednostki organizacyjne |
|
Wizyta w Punkcie Rejestracji z Infrastrukturą
Podpisanie umowy z Zamawiającym
Zamawiający okazuje dokumenty tożsamości oraz dokumenty jednoznacznie określające Zamawiającego określone w Polityce certyfikacji
Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;
Zamawiający sprawdza i podpisuje przygotowana przez Inspektora ds. Rejestracji Umowę z Zamawiającym, Formularz zgłoszeniowy oraz pozostałe załączniki.
Podpisanie umowy z Subskrybentem - natychmiastowy odbiór certyfikatu
Subskrybent okazuje dokumenty tożsamości
Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;
Należy poinformować Subskrybenta o konieczności przygotowania tajnego hasła, które będzie niezbędne w przypadku zaistnienia konieczności zawieszenia lub unieważnienia certyfikatu, hasło powinno mieć minimum 8 znaków w tym: duża litera, mała litera, cyfra, znak specjalny (np. *, &, #, !). Hasło może być przygotowane na miejscu w Punkcie Rejestracji lub dostarczone wcześniej przez Subskrybenta w zaklejonej i podpisanej kopercie.
Inspektor ds. Rejestracji generuje certyfikat/ certyfikaty i umieszcza je na odpowiednim nośniku:
karta kryptograficzna w przypadku certyfikatu kwalifikowanego
karta kryptograficzna lub dowolny nośnik (CD, pendrive) w przypadku certyfikatów komercyjnych
Subskrybent potwierdza prawidłowość danych zawartych w certyfikacie podpisując dokument „Raport z zawartości certyfikatu”;
Inspektor ds. Rejestracji przekazuje Subskrybentowi zapisane na nośniku certyfikat/ certyfikaty, czytnik (w przypadku certyfikatu wydanego na karcie kryptograficznej) oraz płytę CD z nizędnym oprogramowaniem
Wizyta w Punkcie Rejestracji z Infrastrukturą
Podpisanie umowy z Zamawiającym
Zamawiający okazuje dokumenty tożsamości oraz dokumenty jednoznacznie określające Zamawiającego określone w Polityce certyfikacji
Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;
Zamawiający sprawdza i podpisuje przygotowana przez Inspektora ds. Rejestracji Umowę z Zamawiającym, Formularz zgłoszeniowy oraz pozostałe załączniki.
Podpisanie umowy z Subskrybentem - natychmiastowy odbiór certyfikatu
Subskrybent okazuje dokumenty tożsamości
Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;
Należy poinformować Subskrybenta o konieczności przygotowania tajnego hasła, które będzie niezbędne w przypadku zaistnienia konieczności zawieszenia lub unieważnienia certyfikatu, hasło powinno mieć minimum 8 znaków w tym: duża litera, mała litera, cyfra, znak specjalny (np. *, &, #, !). Hasło może być przygotowane na miejscu w Punkcie Rejestracji lub dostarczone wcześniej przez Subskrybenta w zaklejonej i podpisanej kopercie.
Inspektor ds. Rejestracji generuje certyfikat/ certyfikaty i umieszcza je na odpowiednim nośniku:
karta kryptograficzna w przypadku certyfikatu kwalifikowanego
karta kryptograficzna lub dowolny nośnik (CD, pendrive) w przypadku certyfikatów komercyjnych
Subskrybent potwierdza prawidłowość danych zawartych w certyfikacie podpisując dokument „Raport z zawartości certyfikatu”;
Inspektor ds. Rejestracji przekazuje Subskrybentowi zapisane na nośniku certyfikat/ certyfikaty, czytnik (w przypadku certyfikatu wydanego na karcie kryptograficznej) oraz płytę CD z nizędnym oprogramowaniem
Wizyta w Punkcie Rejestracji bez Infrastruktury (Punkt weryfikacji tożsamości)
Podpisanie umowy z Zamawiającym
Zamawiający okazuje dokumenty tożsamości oraz dokumenty jednoznacznie określające Zamawiającego określone w Polityce certyfikacji
Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;
Zamawiający sprawdza i podpisuje przygotowana przez Inspektora ds. Rejestracji Umowę z Zamawiającym, Formularz zgłoszeniowy oraz pozostałe załączniki.
Podpisanie umowy z Subskrybentem - odbiór certyfikatu po 14 dniach roboczych
PIERWSZA WIZYTA
Po okazaniu dokumentów tożsamości przez Subskrybenta Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;
Subskrybent sprawdza i podpisuje Umowę Subskrybencką, Formularz zgłoszenia certyfikującego oraz pozostałe załączniki.
DRUGA WIZYTA
Subskrybent potwierdza prawidłowość danych zawartych w certyfikacie podpisując dokument „Raport z zawartości certyfikatu”;
Inspektor ds. Rejestracji przekazuje zapisane na nośniku certyfikat/ certyfikaty, czytnik (w przypadku certyfikatu wydanego na karcie kryptograficznej) oraz niezbędne oprogramowanie do karty.
Unieważnienie/zawieszenie/ uchylenie zawieszenia certyfikatu
W przypadku gdy Subskrybent lub Zamawiający wybiorą możliwość zgłoszenia zmiany stanu ważności certyfikatu poprzez stawienie się osobiste w godzinach pracy Punktu Rejestracji:
Inspektor ds. Rejestracji weryfikuje tożsamość na podstawie okazanego dowodu tożsamości;
Inspektor ds. Rejestracji prosi o wypełnienie i podpisanie dyspozycji zawieszenia/ uchylenia zawieszenia/ unieważnienia certyfikatu;
Inspektor ds. Rejestracji prosi o podanie tajnego hasła;
DOPIERO WTEDY NASTAPI REALIZACJA ŻĄDANEJ DYSPOZYCJI
Zarówno Subskrybent jak i zamawiający w przypadku dyspozycji certyfikatem w zakresie Unieważnienie/zawieszenie/ uchylenie zawieszenia certyfikatu przy braku tajnego hasła (zgubienie zapomnienie itp.) muszą stawić się osobiście w Punkcie Rejestracji
KLIENT INDYWIDUALNY (SUBSKRYBENT)
Inspektor ds. Rejestracji weryfikuje tożsamość na podstawie okazanego dowodu tożsamości;
Inspektor ds. Rejestracji prosi o wypełnienie i podpisanie dyspozycji zawieszenia/ uchylenia zawieszenia/ unieważnienia certyfikatu
DOPIERO WTEDY NASTAPI REALIZACJA ŻĄDANEJ DYSPOZYCJI
KLIENT ZBIOROWY (ZAMAWIAJĄCY)
Inspektor ds. Rejestracji weryfikuje tożsamość na podstawie okazanego dowodu tożsamości. Sprawdza umocowanie przedstawiciela w organizacji (na podstawie oryginalnych dokumentów nie starszych niż 6 miesięcy)
Inspektor ds. Rejestracji poprosi o wypełnienie dyspozycji zawieszenia/ uchylenia zawieszenia/unieważnienia certyfikatu
DOPIERO WTEDY NASTAPI REALIZACJA ŻĄDANEJ DYSPOZYCJI
1