Podpis elektroniczny: Różnice pomiędzy wersjami

Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny" (Dz. U).

Podpis elektroniczny (nazywany również podpisem cyfrowym) - to stosowany w procesie elektronicznej wymiany danych odpowiednik podpisu odręcznego w środowisku dokumentów papierowych. Polska Norma (PN-I-02000) definiuje podpis cyfrowy jako " przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę". Inna definicja traktuje podpis elektroniczny jako niezbędny warunek dla bezpieczeństwa szeroko rozumianego e-biznesu, a w szczególności bankowości elektronicznej.

TL;DR

Podpis elektroniczny to elektroniczne dane służące do identyfikacji osoby. Jest odpowiednikiem podpisu odręcznego w środowisku cyfrowym. Rozporządzenie eIDAS z 2014 roku reguluje podpisy elektroniczne w Unii Europejskiej. Istnieją różne rodzaje podpisów elektronicznych, a ich celem jest zapewnienie autentyczności, integralności i poufności przekazu. Certyfikaty cyfrowe przyporządkowują dane do konkretnych osób. Bezpieczeństwo podpisu elektronicznego opiera się na minimalizacji ryzyka, kontroli urządzeń i wychwyceniu zmian personalnych. Przechowywanie klucza prywatnego jest największym zagrożeniem dla bezpieczeństwa podpisu elektronicznego.

Pierwsze postanowienia prawne

Pierwsze wzmianki o podpisie elektronicznym pochodzą ze Stanów Zjednoczonych, kiedy to w połowie lat 90. XX wieku została przyjęta pierwsza na świecie uchwała dotycząca podpisu elektronicznego. Wtedy to po raz pierwszy na świecie przypisano taką samą moc prawną podpisowi własnoręcznemu jak cyfrowemu. Na mocy kolejnych ustaw określone zostało samo określenie podpisu elektronicznego jako elektronicznego identyfikatora stworzonego przez komputer, który stosowany w sposób dobrowolny oraz zamierzony, wywołuje równoznaczny skutek prawny jaki następuje w przypadku podpisu elektronicznego.

Pierwsze ustawy w Europie zostały przyjęte we Włoszech (15 marzec 1997r.) oraz w Niemczech (13 lipiec 1997r.). Zgodnie z art. 15 włoskiej ustawy umowy, dokumenty oraz dane przesyłane, utworzone i przechowywane za pomocą systemów informatycznych są tak samo ważne jak umowy ręczne.

Rozporządzenie eIDAS

Najnowszym europejskim dokumentem prawnym dotyczącym środków identyfikacji elektronicznej jest rozporządzenie eIDAS z 2014 roku, które określa:

1. Określa przypisy prawne nie tylko dla podpisów elektronicznych, ale również dla pieczęci elektronicznych, usług rejestrowanego połączenia elektronicznego oraz dla elektronicznych znaków czasu
2. Uchwala przepisy prawne, które dotyczą ogólnopojętych usług zaufania
3. Określa zasady przyjmowania przez państwa członkowskie Unii Europejskiej środków identyfikacji elektronicznej osób prawnych oraz fizycznych, będące objęte elektronicznym systemem innego państwa. (M. Marucha-Jaworska, 2015 str. 65,66)

Rodzaje podpisów elektronicznych

• Ze względu na technikę tworzenia
  • Podpis sensu largo
  • Podpis sensu stricto
• Ze względu na metody, które są oparte na kryptografii
  • Podpis z certyfikatem
  • Podpis bez certyfikatu
  • Podpis kwalifikowany (z certyfikatem kwalifikowanym)

Cechy podpisu elektronicznego

Podpis elektroniczny jest tak skonstruowany, aby uniemożliwiał osobom trzecim podszywanie się pod osobę która posługuje się e-podpisem, jak również ma zapobiec w wyparciu się podpisu przez autora,. Jest to tzw. autentykacja lub inaczej uwierzytelnianie osób. E-podpis musi też zapewnić integralność transakcji czyli wykrywać zmiany w danych transakcji oraz pozwalać na weryfikacje podpisu przez osobę niezależną. Bardzo ważną cechą e-podpisu jest to ze wiadomość oraz dane w zawarte w dokumencie mogą być odczytane tylko i wyłącznie przez osobę dla której ta wiadomość jest przeznaczona czyli zaadresowana. Data i czas dołączone do dokumentu który został podpisany za pomocą e-podpisu wykluczają ponowne wprowadzenie do obiegu dokumentu kiedyś podpisanego co jest bardzo użyteczne np.: przy wystawianiu czeku gdyż umożliwia jego realizację tylko raz.

Ujmując powyższą treść w prostych słowach podpis elektroniczny ma służyć jako potwierdzenie tego że treść przesłana drogą elektroniczną nie została zmieniona bez naszej wiedzy oraz, że pochodzi od konkretnego nadawcy.

Certyfikaty cyfrowe

Do szyfrowania podpisu elektronicznego wykorzystywane są różne techniki kryptograficzne celem zwiększenia bezpieczeństwa. Kolejnym krokiem w tej kwestii było wprowadzenie certyfikatu który pełni rolę elektronicznego zaświadczenia, za pomocą którego dane służące do weryfikacji e-podpisu są przyporządkowywane określonej osobie. Certyfikat traci swoja ważność po przekroczeniu okresu na jaki został wydany.

• Kwalifikowany certyfikat zawiera:

1. numer certyfikatu
2. wskazanie, że został wydany jako certyfikat kwalifikowany
3. określenie podmiotu świadczącego usługi certyfikacyjne oraz państwa, w którym podmiot ma swoją siedzibę
4. imię i nazwisko lub pseudonim osoby składającej podpis
5. dane służące do weryfikacji podpisu
6. ograniczenia zakresu ważności certyfikatu
7. ograniczenie najwyższej wartości granicznej transakcji

Wymagania wobec podpisu cyfrowego

Aby podpis cyfrowy spełniał swoją rolę, konieczne jest spełnienie następujących warunków:

• powinien umożliwiać weryfikację, czy istotnie dana osoba podpisała się
• podrobienie podpisu osoby X przez osobę Y powinno być niewykonalne
• podpis musi być związany z konkretnym dokumentem tak, by kopiowanie podpisu z dokumentu na dokument nie było możliwe.

Bezpieczeństwo podpisu elektronicznego jest oparte przede wszystkim na:

• Minimalizacji ryzyka poufności danych osobowych osoby składającej podpis,
• Kontroli urządzeń, za pomocą których składa się podpis,
• Szybkim wychwyceniu ewentualnych zmian personalnych, które są połączone z podpisem minimalizacji ewentualnych urządzeń technicznych urządzenia.

W rzeczywistości oprócz spełnienia ww. wymogów podpis cyfrowy uniemożliwia modyfikację już podpisanego dokumentu co spowodowałoby nieważność podpisu. Chroni więc także przed manipulacją. Dodatkowo spełnienie wszystkich powyższych warunków powoduje niemożność wyparcia się tegoż podpisu przez osobę go składającą (spełnienie zasady niezaprzeczalności). Tym samym podpis elektroniczny gwarantuje dużo wyższy poziom bezpieczeństwa niż podpis tradycyjny.

Najsłabszym punktem podpisu elektronicznego jest przechowywanie i używanie klucza prywatnego. Zdobycie go przez inną osobę oznacza złamanie całego zabezpieczenia. Jego wykradnięcie może nastąpić przy użyciu konia trojańskiego zainstalowanego na komputerze użytkownika - właściciela klucza. Przechowywanie klucza na dyskietce również w pełni nie uchroni przed tego typu podstępem. Sam podpis nie gwarantuje więc poufności, integralności i autentyczności przekazu. Owa gwarancja istnieje dopiero wtedy, gdy do stworzenia i weryfikacji podpisu zastosowano weryfikowane certyfikaty uzyskane dzięki infrastrukturze klucza publicznego PKI (Public Key Infrastructure).

Bibliografia

• Capiga M. i in. (2011). Wielowymiarowość bezpieczeństwa finansowego banku - na przykładzie polskich regulacji prawnych " Bezpieczny Bank ", nr 3(45), s. 50
• Gospodarowicz A. (red.) (2005), praca zbiorowa, Bankowość elektroniczna, Warszawa: Polskie Wydawnictwo Ekonomiczne
• Ustawa z dnia 18 września 2001r. o podpisie elektronicznym, Dz. U. z 2001r. nr 130, poz. 1450
• Janowski J. (2007). Podpis elektroniczny w obrocie prawnym, Wolters Kluwer Polska
• Jurkowski A. (2001), Bankowość elektroniczna, Warszawa: NBP
• Marucha-Jaworska M. (2014), Podpisy elektroniczne, biometria, identyfikacja elektroniczna Lex a Wolters Kluwer Business str. 46-48, 216
• Rzymowski J, Kamiński M. (2002). Podpis elektroniczny. Komentarz. Ustawa. Akty wykonawcze, Sesja, Łódź

Autor: Agnieszka Baliszewska, Bartosz Bieńkowski, Małgorzata Kowalczyk