Podpis elektroniczny: Różnice pomiędzy wersjami

Z Encyklopedia Zarządzania
m (Porządkowanie kategorii)
m (Czyszczenie tekstu)
Linia 16: Linia 16:
'''Podpis elektroniczny''' - [[dane]] w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny" (Dz. U).
'''Podpis elektroniczny''' - [[dane]] w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny" (Dz. U).


Podpis elektroniczny (nazywany również podpisem cyfrowym)- to stosowany w procesie elektronicznej wymiany danych odpowiednik podpisu odręcznego w środowisku dokumentów papierowych. Polska [[Norma]] (PN-I-02000) definiuje podpis cyfrowy jako " przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę". Inna [[definicja]] traktuje podpis elektroniczny jako niezbędny warunek dla bezpieczeństwa szeroko rozumianego e-biznesu, a w szczególności bankowości elektronicznej.
Podpis elektroniczny (nazywany również podpisem cyfrowym) - to stosowany w procesie elektronicznej wymiany danych odpowiednik podpisu odręcznego w środowisku dokumentów papierowych. Polska [[Norma]] (PN-I-02000) definiuje podpis cyfrowy jako " przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę". Inna [[definicja]] traktuje podpis elektroniczny jako niezbędny warunek dla bezpieczeństwa szeroko rozumianego e-biznesu, a w szczególności bankowości elektronicznej.


==TL;DR==
==TL;DR==
Linia 48: Linia 48:
==Certyfikaty cyfrowe==
==Certyfikaty cyfrowe==
Do [[algorytmy szyfrowania|szyfrowania]] podpisu elektronicznego wykorzystywane są różne techniki kryptograficzne celem zwiększenia [[bezpieczeństwo informacji|bezpieczeństwa]]. Kolejnym krokiem w tej kwestii było wprowadzenie certyfikatu który pełni rolę elektronicznego zaświadczenia, za pomocą którego dane służące do weryfikacji e-podpisu są przyporządkowywane określonej osobie. [[Certyfikat]] traci swoja ważność po przekroczeniu okresu na jaki został wydany.
Do [[algorytmy szyfrowania|szyfrowania]] podpisu elektronicznego wykorzystywane są różne techniki kryptograficzne celem zwiększenia [[bezpieczeństwo informacji|bezpieczeństwa]]. Kolejnym krokiem w tej kwestii było wprowadzenie certyfikatu który pełni rolę elektronicznego zaświadczenia, za pomocą którego dane służące do weryfikacji e-podpisu są przyporządkowywane określonej osobie. [[Certyfikat]] traci swoja ważność po przekroczeniu okresu na jaki został wydany.
*''Kwalifikowany certyfikat zawiera:''
* ''Kwalifikowany certyfikat zawiera:''
# numer certyfikatu
# numer certyfikatu
# wskazanie, że został wydany jako certyfikat kwalifikowany
# wskazanie, że został wydany jako certyfikat kwalifikowany
Linia 70: Linia 70:
W rzeczywistości oprócz spełnienia ww. wymogów podpis cyfrowy '''uniemożliwia modyfikację już podpisanego dokumentu''' co spowodowałoby nieważność podpisu. Chroni więc także przed manipulacją. Dodatkowo spełnienie wszystkich powyższych warunków powoduje niemożność wyparcia się tegoż podpisu przez osobę go składającą (spełnienie zasady niezaprzeczalności). Tym samym podpis elektroniczny gwarantuje dużo wyższy poziom bezpieczeństwa niż podpis tradycyjny.
W rzeczywistości oprócz spełnienia ww. wymogów podpis cyfrowy '''uniemożliwia modyfikację już podpisanego dokumentu''' co spowodowałoby nieważność podpisu. Chroni więc także przed manipulacją. Dodatkowo spełnienie wszystkich powyższych warunków powoduje niemożność wyparcia się tegoż podpisu przez osobę go składającą (spełnienie zasady niezaprzeczalności). Tym samym podpis elektroniczny gwarantuje dużo wyższy poziom bezpieczeństwa niż podpis tradycyjny.


Najsłabszym punktem podpisu elektronicznego jest przechowywanie i używanie klucza prywatnego. Zdobycie go przez inną osobę oznacza złamanie całego zabezpieczenia. Jego wykradnięcie może nastąpić przy użyciu konia trojańskiego zainstalowanego na komputerze użytkownika- właściciela klucza. Przechowywanie klucza na dyskietce również w pełni nie uchroni przed tego typu podstępem. Sam podpis nie gwarantuje więc poufności, integralności i autentyczności przekazu. Owa [[gwarancja]] istnieje dopiero wtedy, gdy do stworzenia i weryfikacji podpisu zastosowano weryfikowane certyfikaty uzyskane dzięki infrastrukturze klucza publicznego PKI (Public Key Infrastructure).
Najsłabszym punktem podpisu elektronicznego jest przechowywanie i używanie klucza prywatnego. Zdobycie go przez inną osobę oznacza złamanie całego zabezpieczenia. Jego wykradnięcie może nastąpić przy użyciu konia trojańskiego zainstalowanego na komputerze użytkownika - właściciela klucza. Przechowywanie klucza na dyskietce również w pełni nie uchroni przed tego typu podstępem. Sam podpis nie gwarantuje więc poufności, integralności i autentyczności przekazu. Owa [[gwarancja]] istnieje dopiero wtedy, gdy do stworzenia i weryfikacji podpisu zastosowano weryfikowane certyfikaty uzyskane dzięki infrastrukturze klucza publicznego PKI (Public Key Infrastructure).


==Bibliografia==
==Bibliografia==
<noautolinks>
<noautolinks>
* Capiga M. i in. (2011). Wielowymiarowość bezpieczeństwa finansowego banku- na przykładzie polskich regulacji prawnych " Bezpieczny Bank ", nr 3(45), s. 50
* Capiga M. i in. (2011). Wielowymiarowość bezpieczeństwa finansowego banku - na przykładzie polskich regulacji prawnych " Bezpieczny Bank ", nr 3(45), s. 50
* Gospodarowicz A. (red.) (2005), praca zbiorowa, Bankowość elektroniczna, Warszawa: Polskie Wydawnictwo Ekonomiczne
* Gospodarowicz A. (red.) (2005), praca zbiorowa, Bankowość elektroniczna, Warszawa: Polskie Wydawnictwo Ekonomiczne
* [https://www.nccert.pl/files/ustawaopodpisie.pdf Ustawa z dnia 18 września 2001r. o podpisie elektronicznym], Dz. U. z 2001r. nr 130, poz. 1450
* [https://www.nccert.pl/files/ustawaopodpisie.pdf Ustawa z dnia 18 września 2001r. o podpisie elektronicznym], Dz. U. z 2001r. nr 130, poz. 1450
Linia 84: Linia 84:


{{a|Agnieszka Baliszewska, Bartosz Bieńkowski, Małgorzata Kowalczyk}}
{{a|Agnieszka Baliszewska, Bartosz Bieńkowski, Małgorzata Kowalczyk}}
<!--[[en:Electronic signature]]-->


[[Kategoria:Aplikacje informatyczne]]
[[Kategoria:Aplikacje informatyczne]]


{{#metamaster:description|Podpis elektroniczny - dane służące do identyfikacji osoby składającej podpis w środowisku elektronicznym. Ważny w e-biznesie i bankowości.}}
{{#metamaster:description|Podpis elektroniczny - dane służące do identyfikacji osoby składającej podpis w środowisku elektronicznym. Ważny w e-biznesie i bankowości.}}

Wersja z 10:03, 2 lis 2023

Podpis elektroniczny
Polecane artykuły

Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny" (Dz. U).

Podpis elektroniczny (nazywany również podpisem cyfrowym) - to stosowany w procesie elektronicznej wymiany danych odpowiednik podpisu odręcznego w środowisku dokumentów papierowych. Polska Norma (PN-I-02000) definiuje podpis cyfrowy jako " przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę". Inna definicja traktuje podpis elektroniczny jako niezbędny warunek dla bezpieczeństwa szeroko rozumianego e-biznesu, a w szczególności bankowości elektronicznej.

TL;DR

Podpis elektroniczny to elektroniczne dane służące do identyfikacji osoby. Jest odpowiednikiem podpisu odręcznego w środowisku cyfrowym. Rozporządzenie eIDAS z 2014 roku reguluje podpisy elektroniczne w Unii Europejskiej. Istnieją różne rodzaje podpisów elektronicznych, a ich celem jest zapewnienie autentyczności, integralności i poufności przekazu. Certyfikaty cyfrowe przyporządkowują dane do konkretnych osób. Bezpieczeństwo podpisu elektronicznego opiera się na minimalizacji ryzyka, kontroli urządzeń i wychwyceniu zmian personalnych. Przechowywanie klucza prywatnego jest największym zagrożeniem dla bezpieczeństwa podpisu elektronicznego.

Pierwsze postanowienia prawne

Pierwsze wzmianki o podpisie elektronicznym pochodzą ze Stanów Zjednoczonych, kiedy to w połowie lat 90. XX wieku została przyjęta pierwsza na świecie uchwała dotycząca podpisu elektronicznego. Wtedy to po raz pierwszy na świecie przypisano taką samą moc prawną podpisowi własnoręcznemu jak cyfrowemu. Na mocy kolejnych ustaw określone zostało samo określenie podpisu elektronicznego jako elektronicznego identyfikatora stworzonego przez komputer, który stosowany w sposób dobrowolny oraz zamierzony, wywołuje równoznaczny skutek prawny jaki następuje w przypadku podpisu elektronicznego.

Pierwsze ustawy w Europie zostały przyjęte we Włoszech (15 marzec 1997r.) oraz w Niemczech (13 lipiec 1997r.). Zgodnie z art. 15 włoskiej ustawy umowy, dokumenty oraz dane przesyłane, utworzone i przechowywane za pomocą systemów informatycznych są tak samo ważne jak umowy ręczne.

Rozporządzenie eIDAS

Najnowszym europejskim dokumentem prawnym dotyczącym środków identyfikacji elektronicznej jest rozporządzenie eIDAS z 2014 roku, które określa:

  1. Określa przypisy prawne nie tylko dla podpisów elektronicznych, ale również dla pieczęci elektronicznych, usług rejestrowanego połączenia elektronicznego oraz dla elektronicznych znaków czasu
  2. Uchwala przepisy prawne, które dotyczą ogólnopojętych usług zaufania
  3. Określa zasady przyjmowania przez państwa członkowskie Unii Europejskiej środków identyfikacji elektronicznej osób prawnych oraz fizycznych, będące objęte elektronicznym systemem innego państwa. (M. Marucha-Jaworska, 2015 str. 65,66)

Rodzaje podpisów elektronicznych

Cechy podpisu elektronicznego

Podpis elektroniczny jest tak skonstruowany, aby uniemożliwiał osobom trzecim podszywanie się pod osobę która posługuje się e-podpisem, jak również ma zapobiec w wyparciu się podpisu przez autora,. Jest to tzw. autentykacja lub inaczej uwierzytelnianie osób. E-podpis musi też zapewnić integralność transakcji czyli wykrywać zmiany w danych transakcji oraz pozwalać na weryfikacje podpisu przez osobę niezależną. Bardzo ważną cechą e-podpisu jest to ze wiadomość oraz dane w zawarte w dokumencie mogą być odczytane tylko i wyłącznie przez osobę dla której ta wiadomość jest przeznaczona czyli zaadresowana. Data i czas dołączone do dokumentu który został podpisany za pomocą e-podpisu wykluczają ponowne wprowadzenie do obiegu dokumentu kiedyś podpisanego co jest bardzo użyteczne np.: przy wystawianiu czeku gdyż umożliwia jego realizację tylko raz. Ujmując powyższą treść w prostych słowach podpis elektroniczny ma służyć jako potwierdzenie tego że treść przesłana drogą elektroniczną nie została zmieniona bez naszej wiedzy oraz, że pochodzi od konkretnego nadawcy.

Certyfikaty cyfrowe

Do szyfrowania podpisu elektronicznego wykorzystywane są różne techniki kryptograficzne celem zwiększenia bezpieczeństwa. Kolejnym krokiem w tej kwestii było wprowadzenie certyfikatu który pełni rolę elektronicznego zaświadczenia, za pomocą którego dane służące do weryfikacji e-podpisu są przyporządkowywane określonej osobie. Certyfikat traci swoja ważność po przekroczeniu okresu na jaki został wydany.

  • Kwalifikowany certyfikat zawiera:
  1. numer certyfikatu
  2. wskazanie, że został wydany jako certyfikat kwalifikowany
  3. określenie podmiotu świadczącego usługi certyfikacyjne oraz państwa, w którym podmiot ma swoją siedzibę
  4. imię i nazwisko lub pseudonim osoby składającej podpis
  5. dane służące do weryfikacji podpisu
  6. ograniczenia zakresu ważności certyfikatu
  7. ograniczenie najwyższej wartości granicznej transakcji

Wymagania wobec podpisu cyfrowego

Aby podpis cyfrowy spełniał swoją rolę, konieczne jest spełnienie następujących warunków:

  • powinien umożliwiać weryfikację, czy istotnie dana osoba podpisała się
  • podrobienie podpisu osoby X przez osobę Y powinno być niewykonalne
  • podpis musi być związany z konkretnym dokumentem tak, by kopiowanie podpisu z dokumentu na dokument nie było możliwe.

Bezpieczeństwo podpisu elektronicznego jest oparte przede wszystkim na:

  • Minimalizacji ryzyka poufności danych osobowych osoby składającej podpis,
  • Kontroli urządzeń, za pomocą których składa się podpis,
  • Szybkim wychwyceniu ewentualnych zmian personalnych, które są połączone z podpisem minimalizacji ewentualnych urządzeń technicznych urządzenia.

W rzeczywistości oprócz spełnienia ww. wymogów podpis cyfrowy uniemożliwia modyfikację już podpisanego dokumentu co spowodowałoby nieważność podpisu. Chroni więc także przed manipulacją. Dodatkowo spełnienie wszystkich powyższych warunków powoduje niemożność wyparcia się tegoż podpisu przez osobę go składającą (spełnienie zasady niezaprzeczalności). Tym samym podpis elektroniczny gwarantuje dużo wyższy poziom bezpieczeństwa niż podpis tradycyjny.

Najsłabszym punktem podpisu elektronicznego jest przechowywanie i używanie klucza prywatnego. Zdobycie go przez inną osobę oznacza złamanie całego zabezpieczenia. Jego wykradnięcie może nastąpić przy użyciu konia trojańskiego zainstalowanego na komputerze użytkownika - właściciela klucza. Przechowywanie klucza na dyskietce również w pełni nie uchroni przed tego typu podstępem. Sam podpis nie gwarantuje więc poufności, integralności i autentyczności przekazu. Owa gwarancja istnieje dopiero wtedy, gdy do stworzenia i weryfikacji podpisu zastosowano weryfikowane certyfikaty uzyskane dzięki infrastrukturze klucza publicznego PKI (Public Key Infrastructure).

Bibliografia

  • Capiga M. i in. (2011). Wielowymiarowość bezpieczeństwa finansowego banku - na przykładzie polskich regulacji prawnych " Bezpieczny Bank ", nr 3(45), s. 50
  • Gospodarowicz A. (red.) (2005), praca zbiorowa, Bankowość elektroniczna, Warszawa: Polskie Wydawnictwo Ekonomiczne
  • Ustawa z dnia 18 września 2001r. o podpisie elektronicznym, Dz. U. z 2001r. nr 130, poz. 1450
  • Janowski J. (2007). Podpis elektroniczny w obrocie prawnym, Wolters Kluwer Polska
  • Jurkowski A. (2001), Bankowość elektroniczna, Warszawa: NBP
  • Marucha-Jaworska M. (2014), Podpisy elektroniczne, biometria, identyfikacja elektroniczna Lex a Wolters Kluwer Business str. 46-48, 216
  • Rzymowski J, Kamiński M. (2002). Podpis elektroniczny. Komentarz. Ustawa. Akty wykonawcze, Sesja, Łódź


Autor: Agnieszka Baliszewska, Bartosz Bieńkowski, Małgorzata Kowalczyk