Podpis elektroniczny i pieczęć kwalifikowana zostały stworzone z myślą o ułatwieniu obrotu dokumentami firmowymi, gospodarczymi, prawnymi i administracyjnymi. Jakie systemy zapewniają pełne bezpieczeństwo korzystania z tych rozwiązań?
Podpis elektroniczny i pieczęć kwalifikowana zostały uregulowane w rozporządzeniu unijnym eIDAS. Dzięki tym rozwiązaniom zdecydowanie łatwiej i szybciej daje się załatwić sprawy kadrowe, administracyjne i gospodarcze. Z poniższej treści dowiesz się, czym dokładnie jest podpis elektroniczny i pieczęć kwalifikowana, dlaczego te rozwiązania uznaje się za bezpieczne oraz o czym dokładnie mówi rozporządzenie eIDAS.
Rozporządzenie eIDAS
23 lipca 2014 roku Parlament Europejski oraz Rada Unii Europejskiej opublikowały Rozporządzenie nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, oraz uchylające dyrektywę 1999/92/WE. Przepisy tego aktu prawnego obowiązują od 1 lipca 2016 roku i regulują kwestie takie jak podpis elektroniczny i pieczęć kwalifikowana. Obowiązek ich zaimplementowania do wewnętrznego ustawodawstwa miały wszystkie państwa członkowskie Unii Europejskiej.
Podstawowym celem rozporządzenia jest zwiększenie zaufania do transakcji elektronicznych poprzez zapewnienie bezpiecznej elektronicznej identyfikacji podmiotów i uwierzytelniania danych. Prawodawcom unijnym zależało na tym, aby na rynku międzynarodowym panowały jednolite zasady traktowania i uznawania usług zaufania.
Czym jest podpis elektroniczny?
Rozporządzenie eIDAS określa podpis elektroniczny jako dane w formie elektronicznej, które zostały dodane do innych danych elektronicznych lub logicznie z nimi powiązane. Celem takiego połączenia jest umożliwienie osobie podpisującej dokument złożenia podpisu. Podpis elektroniczny dedykowany jest osobom fizycznym.
Rozróżnia się podpis elektroniczny:
- zwykły;
- kwalifikowany;
- zaawansowany.
Mianem podpisu „zwykłego” określa się wszystkie dane zapisane w postaci elektronicznej umożliwiające ustalenie tożsamości osoby składającej podpis. To najmniej zaawansowana, a jednocześnie najpowszechniejsza forma podpisu elektronicznego.
Podpis zaawansowany powinien:
- być unikalnie przyporządkowanym do podpisującego;
- umożliwiać dokonanie bezbłędnego ustalenia tożsamości;
- być powiązany z podpisywanymi danymi w sposób umożliwiający rozpoznanie każdej późniejszej zmiany danych.
Aby złożyć kwalifikowany podpis elektroniczny, konieczne jest posiadanie urządzenia kwalifikowanego, lub oprogramowania, którego działanie będzie się opierać o kwalifikowany certyfikat.
Czym jest pieczęć kwalifikowana?
Pieczęć kwalifikowana jest usługą zaufania dedykowaną podmiotom posiadającym osobowość prawną. Pozwala na elektroniczne pieczętowanie dokumentów lub plików przy wykorzystaniu danych firmowych. Pieczęć kwalifikowana nie jest tożsama z podpisem elektronicznym. Oznacza to, że na dokumentach mogą widnieć dwa rozwiązania elektroniczne jednocześnie – zarówno pieczęć, jak i podpis.
Rozporządzenie unijne wskazuje, że pieczęć kwalifikowana to jeden z rodzajów pieczęci elektronicznej. Ta z kolei jest danymi zapisanymi w postaci elektronicznej, które zostały logicznie powiązane lub dodane do innych danych, aby w ten sposób stać się gwarantem autentyczności ich pochodzenia oraz integralnego ich powiązania.
Działanie pieczęci kwalifikowanej opiera się o połączenie: kwalifikowanego certyfikatu, karty kryptograficznej lub karty z czytnikiem, oprogramowania do składania i weryfikacji pieczęci elektronicznej oraz usługi weryfikacji danych podmiotu.
Podpis elektroniczny i pieczęć kwalifikowana – mechanizm działania gwarantem bezpieczeństwa danych
Przy składaniu podpisu elektronicznego oraz pieczęci elektronicznej wykorzystywane są asymetryczne algorytmy kryptograficzne wyposażone w parę wzajemnie uzupełniających się kluczy – prywatnego oraz publicznego. Jeśli jakieś dane zostaną zaszyfrowane przy pomocy jednego z kluczy, to będą mogły zostać odszyfrowane wyłącznie przy użyciu klucza komplementarnego.
Taka technologia stanowi gwarancję poufności, weryfikacji autentyczności i potwierdzenia tożsamości nadawcy dokumentów elektronicznych, które są przetwarzane w systemach teleinformatycznych.
Najpopularniejszym algorytmem asymetrycznym stosowanym w procedurze tworzenia podpisu elektronicznego jest RSA. Występują tam dwa klucze – publiczny oraz prywatny. Klucz publiczny jest jawnym. Klucz prywatny przechowuje się na zabezpieczonej przed kopiowaniem karcie kryptograficznej. Jest dostępny wyłącznie dla jego właściciela.
W podpisie kwalifikowanym wykorzystano mechanizm powiązania klucza publicznego z daną osobą poprzez potwierdzenie certyfikatem wydawanym przez instytucję certyfikowaną. Klucze prywatne mogą zostać przetworzone wyłącznie w urządzeniach spełniających restrykcyjne wymogi prawa unijnego.
Certyfikaty kwalifikowane wydawane są przez kwalifikowane podmioty świadczące usługi certyfikacyjne. W Polsce znajduje się 5 takich firm, a wszystkie zostały umieszczone w Narodowym Centrum Certyfikacji.
Typowy zestaw do składania podpisu lub pieczęci elektronicznej składa się z:
- czytnika kart kryptograficznych;
- karty kryptograficznej;
- certyfikatu zapisanego na karcie.
Certyfikat zawiera: parę kluczy algorytmu kryptograficznego oraz informacje o podmiocie, na który został wystawiony.
Etapy składania podpisu lub pieczęci elektronicznej przebiegają następująco:
- obliczanie funkcji skrótu wiadomości – dokumentu zapisanego w formie elektronicznej;
- szyfrowanie odpowiedniej wartości funkcji skrótu algorytmem kryptograficznym;
- znakowanie czasem;
- dołączenie certyfikatu;
- weryfikacja podpisu elektronicznego.
Cechy świadczące o bezpieczeństwie podpisu kwalifikowanego i pieczęci kwalifikowanej
Kwalifikowany podpis elektroniczny i pieczęć kwalifikowana to instrumenty cechujące się najwyższym poziomem bezpieczeństwa danych. Gwarantują to ich cechy:
- integralność (dokumenty opatrzone pieczęcią i podpisem elektronicznym mają taką samą ważność i moc prawną jak unikalny podpis własnoręczny);
- dostępność (obydwa rodzaje usług zaufania są powszechnie dostępne);
- poufność;
- autentyczność;
- rozliczalność;
- niezaprzeczalność;
- niezawodność.
Bezpieczeństwo podpisu elektronicznego i pieczęci kwalifikowanej w największym stopniu zależy od zastosowanej funkcji skrótu i algorytmu kryptograficznego. Dzięki funkcji skrótu możliwe staje się weryfikowanie integralności podpisanego dokumentu. Każda zmiana w treści i wyglądzie dokumentu wiąże się z istotną zmianą wartości funkcji skrótu. Im większa długość i wyższa jakość zastosowanych kluczy, tym większe bezpieczeństwo algorytmu RSA.
Podsumowując, podpis elektroniczny dedykowany jest osobom fizycznym, a pieczęć kwalifikowana osobom prawnym. Podpis elektroniczny i pieczęć kwalifikowana stanowią usługę zaufania. Są to dane zapisane w postaci elektronicznej dodane lub powiązane z innymi danymi, również zapisanymi w postaci elektronicznej. Zarówno podpis, jak i pieczęć zostały tak skonstruowane, aby cechować się najwyższym bezpieczeństwem. Bezpieczeństwo to strzeżone jest przez prawo unijne i krajowe.
