Podpis elektroniczny

Kwalifikowany podpis elektroniczny

Kwalifikowany podpis elektroniczny jest odpowiednikiem odręcznego podpisu i jest on zrównany pod względem prawnym z własnoręcznym podpisem. Jest traktowany jako dowód osobisty, ponieważ identyfikuje daną osobę i jest do niej trwale przypisany.

Aby wyrobić własny kwalifikowany podpis elektroniczny potrzebna jest specjalna karta z mikroprocesorem zawierającym tzw. kwalifikowany certyfikat, czytnik oraz odpowiednie oprogramowanie. Podpis elektroniczny weryfikowany jest za pomocą kwalifikowanego certyfikatu wystawianego przez tzw. centra certyfikacji. Ich lista znajduje się na stronie Narodowego Centrum Certyfikacji.

RMAE4REDL827J

Na zdjęciu wydrukowana kartka papieru. W jej lewym rogu widać drukowanymi literami słowo podpis a nad nim odręcznym pismem napisane: Maria Kowalska. W prawym górnym rogu widać dłoń trzymającą długopis. Z lewej strony fragment dłoni podtrzymującej kartkę. — Istotną cechą podpisu elektronicznego jest zabezpieczenie przed jego podrobieniem. Dodatkowo podpis elektroniczny chroni dokumenty przed nieuprawnionymi zmianami i antydatowaniem.
Źródło: Learnetic S.A., domena publiczna.

O e‑podpis może wnioskować każdy, zarówno przedsiębiorca jak i osoba prywatna. Jest to jednak, w przeciwieństwie do profilu zaufanego, usługa płatna. Kosztuje około 300 złotych netto. Ponadto do ceny za tzw. zestaw startowy musimy jeszcze doliczyć kwotę za odnowienie certyfikatu (na rok lub dwa lata).

Warto pamiętać, że dzięki wykorzystaniu mechanizmów weryfikujących tożsamość, usługi świadczone w e‑urzędzie mają skutek prawny.

R6LXSEACN91V7

Ćwiczenie 1

ĆWICZENIE: Wskaż prawidłową odpowiedź

Źródło: Learnetic S.A., licencja: CC BY 4.0.

Wstęp: Czym różni się podpis cyfrowy od „skanu podpisu”?

Wiele osób myli podpis elektroniczny z wklejeniem obrazka (skanu) odręcznego podpisu do pliku PDF. Z punktu widzenia informatyki to dwa różne światy. Skan podpisu: To tylko mapa bitowa. Nie daje żadnej gwarancji, że dokument nie został zmieniony po podpisaniu, ani że podpis wkleiła właściwa osoba. Kwalifikowany podpis elektroniczny: To mechanizm kryptograficzny. Gwarantuje on matematyczną pewność co do tożsamości nadawcy oraz integralności danych.

Fundamenty Techniczne: Kryptografia Asymetryczna

Aby zrozumieć działanie podpisu, musimy przypomnieć sobie działanie szyfrowania asymetrycznego (z kluczem publicznym i prywatnym), np. algorytmu RSA lub krzywych eliptycznych (ECC).

W klasycznej komunikacji szyfrowanej:

Klucz Publiczny - Służy do szyfrowania wiadomości. Jest on dostępny dla wszystkich (KIndeks dolny pub).
Klucz Prywatny - Służy do odszyfrowania wiadomości. Zna go tylko właściciel (KIndeks dolny priv).

W podpisie elektronicznym ten proces zostaje odwrócony:

Używamy Klucza Prywatnego do „podpisania” (zaszyfrowania) skrótu wiadomości.
Odbiorca używa Klucza Publicznego do weryfikacji (odszyfrowania).

Zasada: Jeśli coś zostało poprawnie „odszyfrowane” kluczem publicznym Marka, to matematycznie pewne jest, że zostało „zaszyfrowane” (podpisane) wyłącznie kluczem prywatnym Marka.

Skrót (Hash) – Serce Podpisu

Podpisywanie całego, dużego pliku (np. filmu 1GB) kluczem prywatnym byłoby operacją bardzo powolną obliczeniowo. Dlatego w praktyce podpisuje się tylko skrót wiadomości (hash).

Używa się do tego Funkcji Skrótu (np. SHA‑256). Właściwości funkcji skrótu kluczowe dla podpisu:

Jednokierunkowość: Z hasha nie da się odtworzyć pliku.
Odporność na kolizje: Znalezienie dwóch różnych plików dających ten sam hash jest obliczeniowo niewykonalne.
Lawinowość: Zmiana jednego bitu w pliku źródłowym zmienia całkowicie wynikowy hash.

Algorytm Tworzenia i Weryfikacji Podpisu

Oznaczmy:

M – Wiadomość (dokument)
H(M) – Funkcja skrótu z wiadomości
KIndeks dolny priv – Klucz prywatny nadawcy
KIndeks dolny pub – Klucz publiczny nadawcy
S – Podpis cyfrowy

Proces Tworzenia Podpisu (u Nadawcy)

Nadawca tworzy skrót dokumentu: h=H(M).
Nadawca szyfruje skrót swoim kluczem prywatnym: S=E(h,Kpriv)
Nadawca wysyła parę: Dokument (M) + Podpis (S).

Proces Weryfikacji (u Odbiorcy)

Odbiorca otrzymuje M oraz S i posiada Kpub nadawcy.

Odbiorca samodzielnie oblicza skrót otrzymanego dokumentu: h′=H(M).
Odbiorca odszyfrowuje podpis S kluczem publicznym nadawcy, uzyskując oryginalny skrót: h=D(S,KIndeks dolny priv)
Porównanie: Odbiorca sprawdza czy h=h′.

Wnioski z weryfikacji:

Jeśli h=h′ → Podpis jest ważny. Dokument nie został zmieniony, a nadawca jest autentyczny.
Jeśli h=h′ → Dokument został sfałszowany w transporcie LUB podpis nie pochodzi od właściciela klucza publicznego.

Infrastruktura Klucza Publicznego (PKI)

Skąd mamy pewność, że Klucz Publiczny, którego używamy do weryfikacji, naprawdę należy do Jana Kowalskiego, a nie do hakera podszywającego się pod niego? Tu wkracza Certyfikat Cyfrowy i PKI (Public Key Infrastructure).

Urząd Certyfikacji (CA - Certificate Authority): To zaufana „trzecia strona” (np. KIR, Sigillum, Asseco).
Certyfikat (zgodny ze standardem X.509): To cyfrowy dokument, który wiąże Klucz Publiczny z tożsamością osoby (Imię, Nazwisko, PESEL/NIP).
Podpis CA: Urząd Certyfikacji podpisuje ten certyfikat swoim własnym kluczem prywatnym, gwarantując jego prawdziwość.

Słownik

profil zaufany (eGO)

metoda bezpłatnej weryfikacji tożsamości; za pomocą której można zidentyfikować petenta korzystającego z usług e‑urzędu; pełni również funkcję zwykłego podpisu elektronicznego, nadając dokumentom podpisanym z jego użyciem moc prawną

kwalifikowany podpis elektroniczny

rodzaj podpisu elektronicznego, mający taką samą moc prawną, co podpis własnoręczny; żeby podpis kwalifikowany był ważny, musi zostać poświadczony za pomocą kwalifikowanego certyfikatu podpisu elektronicznego - taki certyfikat umożliwia zweryfikowanie osoby, która składa podpis na dokumencie; złożenie kwalifikowanego podpisu elektronicznego ma takie same skutki prawne, jak podpisanie dokumentu w sposób odręczny

E‑Urząd

Strefa wyzwań