serwisy tematyczne
Katalog rozwiązań
Newsletter
artykuly-4

15.08.2008
e-Podpis

e-Podpis w Europie.

Ponad 450 milionów obywateli Unii Europejskiej ma lub będzie miało własny odręczny podpis, którym praktycznie codziennie się posługuje. Jak jest on ważny, każdy może się przekonać choćby podczas płatności kartą debetową czy kredytową np. za zakupy. Wzór naszego odręcznego podpisu towarzyszy nam we wszystkich dokumentach ze zdjęciem. Co ciekawe wielu obywateli nie zdaje sobie sprawy z faktu, iż dokumenty nieopatrzone takim podpisem niejednokrotnie są po prostu nieważne.

W dobie Społeczeństwa Informacyjnego, nie jesteśmy już w stanie wykorzystywać wyłącznie odręcznego rodzaju podpisu. Oczywiście przez czas jakiś będzie on jeszcze służył nam w ogromnej liczbie załatwianych spraw, z czasem jednakże zostanie wyparty przez podpis elektroniczny.

 

Kwestą nie jest czy, ale jak go wdrożyć w życie danej gospodarki by bezboleśnie przynosił jej profity. Dokumentem regulującym e-Podpis w Unii Europejskiej jest dyrektywa Parlamentu Europejskiego i Rady 1999/93/EC z 13 grudnia 1999 roku w sprawie wspólnotowych ram w zakresie podpisów elektronicznych. Jej głównym celem jest ułatwienie stosowania e-Podpisu oraz uznanie go w świetle prawa. Dyrektywa definiuje podpis elektroniczny jako:

„… dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane i służące jako metoda uwierzytelnienia.”

 

Kraj

 

Instytucje i daty

 

Adresy

 

Austria

 

Ustawa weszła w życie 1 stycznia 2000 roku. Odpowiedzialna za nią jest komisja kontrolująca telekomunikację w Austrii.

 

www.rtr.at
www.signatur.rtr.at

 

Belgia

 

Istnieją dwa dokumenty regulujące elektroniczny podpis w Belgii. Podział dotyczy przeznaczenia
e-Podpisu na cywilne i sądowe) oraz świadczenia usług certyfikacyjnych.

 

mineco.fgov.be

 

Cypr

 

Procedura w trakcie uchwalania.

 

www.mcw.gov.cy

 

Czechy

 

Ustawa o elektronicznym podpisie 227/2000 Coll. z 29 czerwca 2000 roku wraz z poprawkami.

 

www.micr.cz

 

Dania

 

Ministerstwo Nauki, Technologii i Innowacji mieszczące się w Kopenhadze ma w swoich obowiązkach promowanie rozwiązań zawartych w ustawie z 31 maja 2000 roku dotyczącej
e-Podpisu

 

www.videnskabsministeriet.dk

 

Estonia

 

47 paragrafów zawiera estońska ustawa regulująca cyfrowy podpis. Dokument wszedł w życie 15 grudnia 2000 roku.

 

www.esis.ee

 

Finlandia

 

Fińskie Ministerstwo Transportu i Komunikacji implementuje ustawę o e-Podpisie z lutego 2003 roku. Ustawa przygotowana została przez Ministerstwo Sprawiedliwości.

 

www.mintc.fi

 

Francja

 

Ustawa 13 marca 2000 roku. Obecnie 577 deputowanych jest w fazie dyskusji o nowym prawie dotyczącym cyfrowego handlu.

 

www.legifrance.gouv.fr
www.assemblee-nationale.fr

 

Niemcy

 

Prawo o cyfrowym podpisie weszło w życie 22 maja 2001 roku.

 

www.iid.de

 

Grecja

 

Ustawa prezydencka 150/2001

 

www.dpa.gr
www.gge.gr

 

Węgry

 

Ustawa XXXV z 2001 roku o elektronicznym podpisie.

 

www.hif.hu
www.nhh.hu/

 

Irlandia

 

Ustawa o handlu elektronicznym. Numer 27 z 2000 roku. Mówi o nie dyskryminacji podpisu elektronicznego w handlu.

 

www.oireachtas.ie
www.irlgov.ie

 

Włochy

 

Ustawa z marca 1997 roku została dostosowana w 2002 roku do dyrektywy UE 1999/93/EC

 

www.tesoro.it/welcome.asp

 

Łotwa

 

Ustawa Prawo Elektronicznych Dokumentów, które weszło w życie 1 stycznia 2003 roku. Na kartach ośmiu rozdziałów opracowano sposoby powstawania, przesyłania, zarządzania, elektronicznego podpisywania archiwizowania dokumentów cyfrowych.

 

www.dvi.gov.lv

 

Litwa

 

Prawo o elektronicznym podpisie z 11 lipca 2000 roku oraz poprawki z 6 czerwca 2002 roku

 

www3.lrs.lt/

 

Luksemburg

 

72 artykuły określają „COMMERCE ELECTRONIQUE” tego malutkiego kraju o najwyższym na świcie PKB per capita. Ustawa z 8 września 2000 roku.

 

www.e-certification.lu

 

Malta

 

Ustawa o handlu elektronicznym z 10 maja 2002 roku z późniejszymi zmianami.

 

justice.gov.mt

 

Holandia

 

Ustawa o podpisie elektronicznym z 8 maja 2003.

 

www.dutchdpa.nl
www.cbpweb.nl

 

Polska

 

59 aktów zawiera nasza ustawa o podpisie elektronicznym z 18 września 2001 roku.

 

www.mswia.gov.pl

 

Portugalia

 

Rozporządzenie z 3 kwietnia 2003. Dokument numer 62/2003. 41 artykułów zmieniło wcześniejsze rozporządzenie z 1999 roku.

 

www.citiap.gov.pt

 

Słowacja

 

Ustawa z 15 marca 2002 roku o podpisie elektronicznym zmieniająca i dopełniająca inne ustawy

 

www.zbierka.sk

 

Słowenia

 

Ustawa z czerwca 2000 roku z późniejszymi zmianami

 

e-uprava.gov.si
zakonodaja.gov.si
www.uradni-list.si

 

Hiszpania

 

Ustawa regulująca kwestie elektronicznego handlu i podpisu z 19 grudnia 2003 roku. Numer LAY 59/2003 o dźwięcznej nazwie „de diciembre, de firma
electrónica.”

 

www2.setsi.mityc.es

 

Szwecja

 

Lag (2000:832) „om kvalificerade elektroniska signaturer”, czyli 23 artykuły ustawy o elektronicznym podpisie z 1 stycznia 2001 roku.

 

www.notisum.se

 

Wielka Brytania

 

Ustawa „Regulacja o elektronicznym podpisie” z 2002 roku. Sygnatura 318.

 

www.hmso.gov.uk

 

 

Problemy wdrożeniowe i koszty e-Podpisu.

Kraje członkowskie UE różnie rozumieją zapisy dyrektywy i dzięki temu różnie je implementują. Dla przykładu Wielka Brytania i Malta nie różnicują narodowego i zagranicznego certyfikatu kwalifikowanego w swoim narodowym prawodawstwie dotyczącym e-Podpisu. Dyrektywa mówi, iż można używać pseudonimów (nick) w certyfikacie, estońska ustawa zabrania. Z powodu kłopotów w prawidłowej implementacji dyrektywy członkowie UE sami sobie rzucają kłody pod nogi i oddalają w czasie ponad narodowe wykorzystanie cyfrowego podpisu. Istnieje opinia, iż dyrektywa stała się materiałem do zmian w krajach członkowskich, a winno się ją traktować jako społeczne ramy używania e-Podpisu w zamyśle ponadnarodowo.

Wielka Brytania nie zrównuje podpisu odręcznego i cyfrowego, bo nie identyfikuje w swoim prawie samego podpisu odręcznego. W większości krajów nie występuje różnica pomiędzy akredytowanymi i nie akredytowanymi dostawcami usług certyfikacyjnych.

W dyrektywie nie ma zapisów, jaki podmiot winien promować interopracyjnośći w tym ustalać standardy jednakowej wymiany informacji ponad narodowej.Największym powodzeniem jak na razie w Unii Europejskiej cyfrowy podpis cieszy się w sektorach bankowym i administracji publicznej. Koszty są bardzo różne: od darmowych rozwiązań do sięgających ok. 60 euro za roczny abonament dotyczący kwalifikowanego podpisu.

Technologia ePodpisu

Do składania podpisu elektronicznego niezbędne są następujące elementy:

  • klucz prywatny;
  • klucz publiczny;
  • certyfikat potwierdzający przynależność pary kluczy do konkretnej osoby;
  • oprogramowanie podpisujące;

Klucze. Technika wykorzystywana przy składaniu podpisu elektronicznego zakłada istnienie pary kluczy asymetrycznych (zwanych kluczem prywatnym i publicznym). Są to liczby pierwsze, określonej bezpiecznej wielkości, za którą obecnie uznaje się 1024 bity. Taka wielkość kluczy gwarantuje, że są one odporne na złamanie znanymi metodami kryptograficznymi. Jeden z pary kluczy - klucz publiczny, powinien być powszechnie udostępniany wszystkim zainteresowanym. Drugiego z pary - klucza prywatnego, należy strzec przed niepowołanym dostępem.

Dla zapewnienia bezpieczeństwa używania podpisu elektronicznego, istotne jest, aby każdy użytkownik posługiwał się unikalną parą kluczy. Dlatego ważny jest sposób jej tworzenia i pozyskania. Do tworzenia kluczy powinny być wykorzystywane tzw. losowe generatory liczb pierwszych, zapewniające ich niepowtarzalność. Równie istotne jest zapewnienie bezpieczeństwa klucza prywatnego, tzn. chronienie go przed skopiowaniem lub niepożądanym użyciem. Bezpieczeństwo kluczy (zarówno ich unikalność jak i ochrona przed skopiowaniem) należy do "obowiązków" użytkownika.

Bezpośrednio z kluczami powiązany jest certyfikat . Potwierdza on przynależność konkretnego klucza publicznego do konkretnej osoby. Najczęściej wystawca certyfikatu sam generuje klucze w imieniu osoby ubiegającej się o nie. Poza tym, istotny jest proces weryfikacji danych osoby chcącej posiadać certyfikat. W zależności od tego, do jakich celów ma służyć podpis elektroniczny, istnieją różne certyfikaty i związane z tym inne procedury weryfikacji. Aby posługiwać się podpisem kwalifikowanym, czyli takim który wywołuje takie same skutki prawne jak podpis własnoręczny, konieczne jest posiadanie certyfikatu kwalifikowanego.

W tym wypadku poza wypełnieniem odpowiedniego wniosku, niezbędna jest wizyta w punkcie rejestracji w celu zweryfikowania spójności i poprawności podanych danych. Są jednak dwa wyjątki, gdy taka wizyta nie jest konieczna. Możliwe jest posłużenie się notarialnym poświadczeniem tożsamości (czyli zamiast do punktu rejestracji można udać się do notariusza). Drugi przypadek występuje wtedy, gdy osoba ubiegająca się o wydanie kwalifikowanego certyfikatu, posiada ważny kwalifikowany certyfikat. Taka osoba może podpisać wniosek o wydanie nowego kwalifikowanego certyfikatu kwalifikowanym podpisem elektronicznym.

Certyfikat zawiera następujące dane:

  • imię, nazwisko, bądź pseudonim oraz kraj pochodzenia - określenie właściciela;
  • wystawca certyfikatu (urząd certyfikacji);
  • polityka certyfikacji;
  • okres ważności certyfikatu (data wydania certyfikatu i utraty ważności);
  • dodatkowo: nazwa firmy - pracodawcy, zajmowane stanowisko;

Ważny jest także wybór nośnika kluczy. Wszystko zależy od tego do jakich celów zamierzamy używać podpisu elektronicznego i na jak dużym bezpieczeństwie nam zależy. Istnieje kilka sposobów przechowywania kluczy:

  • bezpośrednio w rejestrach systemu operacyjnego komputera;
  • na nośniku wymiennym (dyskietka, płyta itp.);
  • karta kryptograficzna;

Każdy z wymienionych nośników posiada zabezpieczenia przed użyciem klucza prywatnego (najczęściej przed użyciem należy podać kod PIN). Jednak tylko karta kryptograficzna jest odporna na nieograniczone ataki (np. trzykrotne wpisanie złego numeru PIN powoduje zablokowanie karty). Przechowywanie klucza prywatnego bezpośrednio w rejestrach komputera lub na nośniku wymiennym wiąże się jeszcze z jednym ryzykiem. W czasie używania klucza, klucz może zostać skopiowany, gdyż występuje w postaci jawnej w oprogramowaniu podpisującym. Jedynie karta kryptograficzna uniemożliwia opuszczenie karty przez klucz prywatny.

Aby złożyć bezpieczny podpis elektroniczny potrzebne jest bezpieczne urządzenie do składania podpisu. Składa się ono z oprogramowania podpisującego i komponentu technicznego (karta kryptograficzna). Oprogramowanie podpisujące ma następujące zadania:
  • przygotowuje dane do podpisania;
  • odpowiada za prezentację danych do podpisu;
  • tworzy podpis elektroniczny w różnych formatach;

Samo podpisanie dokumentu elektronicznego przebiega następująco. Na podstawie treści dokumentu, przy zastosowaniu odpowiedniego algorytmu matematycznego obliczany jest skrót. Skrót dokumentu jest to liczba o określonej długości, nazywana często "odciskiem palca" dokumentu. Nie ma praktycznie możliwości, aby dwa dokumenty miały taki sam skrót (nawet, gdy różnią się tylko jednym znakiem).

Następnie skrót ten jest szyfrowany za pomocą klucza prywatnego. Aby użyć klucza prywatnego należy najczęściej podać PIN lub w jakiś inny sposób uwierzytelnić się. Podpis elektroniczny to właśnie ten zaszyfrowany skrót dokumentu dołączony do dokumentu właściwego, do którego dołączony powinien być certyfikat klucza publicznego lub jego identyfikator.

Metoda podpisywania dokumentu jest taka sama bez względu na to czy stosujemy podpis kwalifikowany czy zwykły. Różnice mogą dotyczyć nośników kluczy i rodzajów certyfikatów.

Weryfikacja podpisu elektronicznego dotyczy dwóch aspektów:
  • sprawdzenia czy dany dokument nie został zmieniony od momentu podpisania;
  • sprawdzenia czy podpis został złożony z użyciem kluczy posiadających ważny certyfikat;
W czasie weryfikacji podpisanego dokumentu, oprogramowanie odbiorcy wykonuje następujące czynności:
  • wylicza skrót z podpisanego dokumentu;
  • deszyfruje podpis, otrzymany wraz z podpisanym dokumentem, za pomocą klucza publicznego;
  • porównuje obydwa skróty;

Gdy porównanie przebiegnie pomyślnie, oznacza to, iż od momentu podpisania dokument nie został zmieniony. Weryfikacja integralności może być realizowana w trybie off-line. Jednak dla sprawdzenia ważności certyfikatu, niezbędne jest połączenie z wystawcą certyfikatu. Każdy urząd certyfikacji jest zobowiązany do publikacji listy unieważnionych certyfikatów (lista CRL). Kiedy na takiej liście nie ma certyfikatu osoby składającej podpis, odbiorca może mieć pewność, że podpisany dokument wywoła określone skutki prawne.

Technologia zastosowana do podpisu elektronicznego pozwala nie tylko na podpisywanie dokumentów elektronicznych, ale także na korzystanie z innych funkcji. Jedną z nich jest szyfrowanie dokumentów . Funkcja ta umożliwia zabezpieczenie przesyłanych danych przed odczytem ich przez nieupoważnione osoby. Ponieważ do szyfrowania używa się klucza publicznego odbiorcy, a zdeszyfrować można jedynie za pomocą klucza prywatnego odbiorcy, nadawca nie będzie w stanie odczytać ponownie dokumentu, jeżeli nie zachowa orginału.

Inną przydatną usługą jest znakowanie czasem . Umożliwia ono jednoznaczne określenie czasu powstania dokumentu lub złożonego pod nim podpisu. W ten sposób odbiorca może mieć pewność, że dokument nie został utworzony później niż w momencie znakowania czasem (ma to znaczenie np. przy ustalaniu praw autorskich), a także że podpis elektroniczny został złożony w czasie ważności certyfikatu. Aby oznaczyć czasem dokument lub sam podpis, należy wysłać do urzędu znacznika czasu TSA (Time-Stamping Authority) żądanie, a następnie pobrać znacznik czasu i umieścić go w strukturze podpisu elektronicznego. Ponieważ kwalifikowane urzędy TSA muszą korzystać z odpowiednich źródeł określania czasu, czas oznaczony przez urząd można traktować tak jak datę pewną na dokumencie papierowym. Rozszerza to zakres stosowania podpisu elektronicznego na te obszary (w szczególności administracji publicznej), gdzie wymagana jest data pewna przy składaniu dokumentów.

Autor: Jakub Giza

Źródło: Parlament Europejski i Rada: “dyrektywa 1999/93/EC”. Studium dla Komisji Europejskiej: “The legal and market aspects of electrsignatures”. Część pt. 'Technologia' - Małgorzata Rucińska-Wagemann



Wszelkie prawa zastrzeżone | Polityka prywatności
Projekt: 2BITS