Bankowość elektroniczna

Podpis elektroniczny

Podpis elektroniczny to dane w postaci elektronicznej, służące do identyfikacji osoby, która go składa. Dane te, powinny być logicznie powiązane z innymi danymi elektronicznymi lub do nich dołączone, tak aby tworzyły "nierozerwalną" całość.

Podstawy prawne funkcjonowania podpisu elektronicznego zawarte są w: "Ustawie z dnia 18 września 2001 roku o podpisie elektronicznym" oraz w 7 rozporządzeniach do ustawy m.in.

• Rozporządzenie rady Ministrów z dnia 7 sierpnia 2002 roku w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego.
• Rozporządzenie Ministra Gospodarki z dnia 6 sierpnia 2002 r. w sprawie sposobu prowadzenia rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne związane z podpisem elektronicznym, wzoru tego rejestru oraz szczegółowego trybu postępowania w sprawach o wpis do rejestru.
• Rozporządzenie Ministra Gospodarki z dnia 9 sierpnia 2002r. w sprawie określenia szczegółowego trybu tworzenia i wydawania zaświadczenia certyfikacyjnego związanego z podpisem elektronicznym.

Zwykły podpis elektroniczny - potwierdzony zwykłym certyfikatem wydanym przez firmę XYZ.

Bezpieczny podpis - potwierdzony certyfikatami kwantyfikowanymi. Posiada moc prawną podpisu własnoręcznego. Musi spełniać następujące cechy:

• jest przyporządkowany wyłącznie do osoby, która go składa,
• jest niepowtarzalny, czyli tylko jedna osoba może nim dysponować,
• jest sporządzony przy pomocy bezpiecznego urządzenia i klucza prywatnego, do którego dostęp ma wyłącznie ta osoba,
• umożliwia wykrycie ewentualnych prób jego podrobienia podejmowanych po jego złożeniu.

Podpis elektroniczny mogą składać wyłącznie osoby fizyczne. Mogą to czynić w imieniu własnym lub w imieniu innej osoby fizycznej, bądź osoby prawnej, a także w imieniu jednostki organizacyjnej nieposiadajacej osobowości prawnej.

Podpis elektroniczny opiera się na przydzieleniu każdemu użytkownikowi pary kluczy (klucz publiczny-służy do sprawdzania kto podpisał dokument, oraz klucz prywatny - którego użytkownik powinien chronić przed ujawnieniem i pozostawić wyłącznie do własnej dyspozycji) oraz wirtualnego dokumentu potwierdzającego fakt posiadania konkretnych kluczy przez konkretną osobę.

Elementy wykorzystywane do składania podpisu:

• klucz prywatny i klucz publiczny
• certyfikat,
• nośnik kluczy i certyfikatu

Klucz prywatny i klucz publiczny. Klucze to liczby całkowite, o określonej, bezpiecznej długości. Przykładowo dla algorytmu RSA, długość liczby zapisanej w systemie dwójkowym nie powinna być krótsza niż 1024 cyfry. Tworzenie i dystrybucja kluczy, w szczególności klucza prywatnego, musi być dokonana w taki sposób, aby użytkownik miał pewność, że jest jego wyłącznym posiadaczem. Proces generowania kluczy realizowany jest w ścisłej współpracy z wydawcą certyfikatów.

Certyfikat, czyli dokument elektroniczny potwierdzający przynależność pary kluczy do konkretnego użytkownika, wydawany przez podmiot zwany urzędem certyfikacji.

Wydawać certyfikaty lub wykonywać inne usługi związane z podpisem elektronicznym mogą:

• przedsiębiorcy,
• NBP,
• -organy władzy publicznej (np. organy samorządu terytorialnego).

Podmioty te, zwane podmiotami świadczącymi usługi certyfikacyjne mogą wystąpić z wnioskiem do ministra właściwego do spraw gospodarki o wpisanie do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Wpis do rejestru stanowi potwierdzenie, że podmiot ten jest instytucją posiadającą wystarczający potencjał merytoryczny i techniczny dla wydawcy kwalifikowanych certyfikatów i spełnia wymogi ustawowe. Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne jest jawny oraz publicznie dostępny.

Wydanie certyfikatu (nie tylko kwantyfikowanego) musi być poprzedzone m.in.:

• stwierdzeniem tożsamości osoby ubiegającej się o certyfikat,
• zawarciem umowy na świadczenie usług certyfikacyjnych z dostawca tych usług,
• poinformowaniem wnioskodawcy o cechach żądanego certyfikatu, jego stosowaniu i skutkach użycia.

Wydanie kwantyfikowanego certyfikatu wymaga osobistego stawienia się w punkcie rejestracji.

Powszechnie stosowanym standardem opisujacym zawartość certyfikatu jest norma ISO/IEC 9594-8, nazywana często w skrócie norma X.509.

Podstawowe informacje zapisane w certyfikacie to:

• określenie właściciela (posiadacza certyfikatu) - poprzez podanie, np. imienia i nazwiska, bądź pseudonimu oraz kraju pochodzenia,
• wskazanie wydawcy certyfikatu (urzędu certyfikacji),
• wskazanie - poprzez podanie odpowiedniego identyfikatora - polityki certyfikacji, czyli zbioru reguł określających sposób postępowania wydawcy przy wydawaniu certyfikatu określonego typu,
• wskazanie okresu ważności certyfikatu opisane datami wydania certyfikatu i momentem utraty przez niego ważności.

Dodatkowo w certyfikacie zapisane mogą być dane związane z pracą wykonywaną przez jego posiadacza:

• nazwa firmy-pracodawcy,
• wskazanie komórki organizacyjnej,
• zajmowane stanowisko,
• uprawnienia do podejmowania zobowiązań finansowych do określonej kwoty.

Wygenerowane klucze i otrzymany od danego urzędu certyfikacji certyfikat muszą być przechowywane przez subskrybenta w sposób bezpieczny. Decyzja odnośnie wyboru nośnika kluczy należy do użytkownika i jest ściśle związana z przewidywanym zakresem używania certyfikatu. Klucze i certyfikat mogą się znajdować:

• bezpośrednio w rejestrach systemu operacyjnego komputera - wariant taki może być zaakceptowany w sytuacji gdy komputer jest urządzeniem wykorzystywanym jedynie przez właściciela danych służących do składania podpisu,
• na nośniku wymiennym, np. na dyskietce, płycie optycznej lub nośnikach dla łącza USB,
• na karcie mikroprocesorowej z koprocesorem kryptograficznym - zapewnia najwyższy stopień ochrony zapisanych składników.

Bezpieczne urządzenie do składania podpisu

Urządzenie takie składa się z oprogramowania podpisującego oraz współpracującego z nim komponentu technicznego. Komponentem technicznym jest:

• moduł kryptograficzny, w którym następuje proces szyfrowania danych, przy zachowaniu zasad, że klucz kryptograficzny nie opuszcza tego modułu w trakcie wykonywania operacji szyfrowania.
• Mikroprocesorowa karta kryptograficzna. Są one bardziej popularne, ze względu na stosunkowo niską cenę, zdolność do współpracy z popularnymi systemami operacyjnymi oraz rozmiary komponentu.

Wszystkie urządzenia mające służyć do składania bezpiecznego podpisu elektronicznego powinny posiadać certyfikaty bezpieczeństwa i deklaracje zgodności ze standardami.

Oprogramowanie podpisujące jest ściśle związane z komponentem technicznym i realizuje zadania związane z:

• przygotowaniem danych, które maja być podpisane,
• zapewnieniem takiej komunikacji z komponentem technicznym, aby transmitowane do niego dane odpowiadały danym, które maja być podpisane,
• tworzeniem podpisu elektronicznego w rożnych formatach.

Oprogramowanie to uniemożliwia fałszowanie podpisu, lub zmianę danych do podpisu przygotowanych przez podpisującego na inne, przez wrogie oprogramowanie. Użytkownik musi mieć zawsze pewność, że podpisuje to co widzi, lub przynajmniej to co chce podpisać.

Podpisywanie dokumentów elektronicznych

Od strony użytkownika złożenie podpisu wiąże się z wydaniem jednego polecenia przekazywanego przez naciśnięcie odpowiedniego przycisku widocznego na monitorze komputera.

Składanie podpisu z punktu widzenia wykonywanych operacji:

1. dokument elektroniczny widziany przez nas w zrozumiałej postaci na ekranie komputera jest w jego pamięci zapisany jako ciąg zer i jedynek,
2. obliczenie skrótu dokumentu, czyli charakterystycznej dla niego liczby o określonej długości zależnej od użytej funkcji skrótu,
3. szyfrowanie uzyskanego skrótu przy wykorzystaniu klucza prywatnego osoby podpisującej. W trakcie wykorzystywania klucza prywatnegp użytkownik proszony jest o udzielenie zgody na takie użycie. W praktyce wyrażenie zgody jest równoważne np. z podaniem kodu PIN karty na której znajdują się klucze.
4. Po zaszyfrowaniu skrótu dokument elektroniczny jest już podpisany. Podpisanym dokumentem elektronicznym jest dokument pierwotny wraz z załączonym do niego zaszyfrowanym skrótem. Opcjonalnie w skład podpisu może wchodzić również certyfikat osoby podpisującej, zawierający klucz publiczny oraz informacja o tym, czy certyfikat był ważny w momencie podpisywania dokumentu.

Weryfikacja podpisu

Sprawdzenie podpisu elektronicznego obejmuje weryfikację w dwu płaszczyznach;

• uzyskanie pozytywnego wyniku na poziomie technologii daje odbiorcy dokumentu informację o tym, czy dokument czy nie została zmieniona treść dokumentu i czy dokument był podpisany przy użyciu atrybutów należących do konkretnej osoby,
• sprawdzenie, czy podpis został złożony z wykorzystaniem kluczy posiadających ważny certyfikat.

O ile sprawdzenie ważności podpisu od strony technologicznej może być realizowane w trybie off-line, gdyż wszystkie niezbędne komponenty zawarte są w weryfikowanym dokumencie, o tyle sprawdzenie ważności certyfikatu wymaga kontaktu z urzędem certyfikacji.

Sprawdzenie ważności certyfikatu:

1. Użytkownik otrzymuje podpisany elektronicznie dokument.
2. Użytkownik sprawdza certyfikat uwierzytelniający podpis na dokumencie(dowiaduje się, ze człowiek, który podpisał się na dokumencie nazywa się tak i tak).
3. Użytkownik sprawdza listę unieważnionych i zawieszonych certyfikatów (bo klient mógł utrącić lub zgubić certyfikat).
4. Użytkownik sprawdza zaświadczenie certyfikacyjne wystawione przez Centrast S.A. dla firmy, która wystawiła certyfikat(sprawdzenie czy firma wystawiająca certyfikat jest wiarygodna i posiada zaświadczenie certyfikacyjne.
5. Użytkownik sprawdza listę unieważnionych i zawieszonych zaświadczeń certyfikacyjnych.
6. Podpis jest autentyczny.

  copyright © www.finansowe.strefa.pl/