Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

PKI – standardy i praktyka Miłosz Smolarczyk. Treść Standardy i podstawy prawne XAdES 1.3.2 –Struktura podpisu –Rozszerzenia –Weryfikacja –Problemy prawne.

Podobne prezentacje


Prezentacja na temat: "PKI – standardy i praktyka Miłosz Smolarczyk. Treść Standardy i podstawy prawne XAdES 1.3.2 –Struktura podpisu –Rozszerzenia –Weryfikacja –Problemy prawne."— Zapis prezentacji:

1 PKI – standardy i praktyka Miłosz Smolarczyk

2 Treść Standardy i podstawy prawne XAdES –Struktura podpisu –Rozszerzenia –Weryfikacja –Problemy prawne i techniczne Nowa ustawa

3 Podstawy prawne Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (Dz. U. Nr 130, poz. 1450) Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 roku (Dz. U. Nr 128, poz. 1094) w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. Wkrótce nowa ustawa

4 Standardy PN-ISO/IEC 9796 X.509, PN-ISO/IEC :2006 XML Signature, XAdES, PKCS #7, … ISO/IEC 27001: norma Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 17799: zalecenia i najlepsze praktyki Wiele innych…

5 XAdES XML Advanced Electronic Signatures –Rozszerzenia XML-DSig Aktualna wersja Stosowany w Administracji Publicznej

6 XAdES – podstawowy schemat

7 XAdES - rozszerzenia XAdES-T (timestamp), adding timestamp field to protect against repudiation; XAdES-C (complete), adding references to verification data (certificates and revocation lists) to the signed documents to allow off-line verification and verification in future (but does not store the actual data); XAdES-X (extended), adding timestamps on the references introduced by XAdES-C to protect against possible compromise of certificates in chain in future; XAdES-A (archival), adding possibility for periodical timestamping (e.g. each year) of the archived document to prevent compromise caused by weakening signature during long-time storage period.

8 XAdES - weryfikacja Pozytywna weryfikacja niemożliwa bez wszystkich referencji (także zewnętrznych) Przykład z życia – doręczanie dokumentu do obywatela: Decyzja (XAdES) Decyzja (XAdES-A) UPD (XAdES) UPD (XAdES) UPD (XAdES) Decyzja (XAdES-A) Weryfikacja

9 XAdES – weryfikacja

10 Weryfikacja c.d. Bezpieczny podpis elektroniczny (…) wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu.

11 Weryfikacja c.d. Procedura standardowa: –Sprawdzenie integralności dokumentów –Sprawdzenie zgodności podpisu z dokumentem –Sprawdzenie ważności certyfikatu, na podstawie aktualnych CRL/ARL X.509: listy są aktualne, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy. W szczególnym przypadku nieważny certyfikat może zostać zweryfikowany prawidłowo!

12 Weryfikacja c.d. Procedura bezpieczna: –Oznaczenie czasem, np.: XAdES-T –Sprawdzenie integralności dokumentów –Sprawdzenie zgodności podpisu z dokumentem –Sprawdzenie ważności certyfikatu, na podstawie aktualnych (z definicji) CRL/ARL –Zwrócenie informacji o niekompletnej weryfikacji i jej statusie –Zwrócenie ostatecznego wyniku weryfikacji po zweryfikowaniu certyfikatu z użyciem list CRL/ACL następujących po znaczniku czasu –Rozszerzenie do postaci archiwalnej (w zależności od potrzeb), np.: XAdES-A

13 Inne problemy Oparcie na zaufaniu do urządzeń i aplikacji –Czy w rzeczywistości użytkownik wie co podpisuje? Konieczna konserwacja podpisów Problemy prawne …

14 Nowa ustawa Stan: odesłana do konsultacji Założenia: upowszechnienie i obniżenie kosztów korzystania z podpisu elektronicznego Środki: –Więcej usług certyfikacyjnych –Umożliwienie samorządom świadczenia usług niekwalifikowanych (konieczna także nowelizacja Ustawy o informatyzacji) –Zniesienie obowiązku zawierania umów na piśmie z subskrybentem

15 Nowa ustawa – 5 rodzajów podpisów Zaawansowany - przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za pomocą środków które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna. Kwalifikowany – zaawansowany podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego. Łączny – z założenia przyporządkowany grupie. Urzędowy – podpis zaawansowany, weryfikowany za pomocą ważnego certyfikatu urzędowego. Pieczęć elektroniczna – podpis zaawansowany, składany przez podpisującego nie będącego osobą fizyczną weryfikowanego przy pomocy ważnego certyfikatu systemowego.

16 Nowa ustawa – 4 rodzaje certyfikatów Kwalifikowany (tak jak dotychczas) Systemowy – przyporządkowany podpisującemu składającemu pieczęć elektroniczną Urzędowy – kwalifikowany lub wydany przez Urząd, na potrzeby komunikacji z obywatelami Certyfikat atrybutów - określa uprawnienia osoby wskazanej w certyfikacie.

17 Nowa ustawa – skutki prawne podpisu Zaawansowany podpis elektroniczny, weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu Dane w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym wywołują skutki złożenia oświadczenia woli w formie pisemnej. Podpis łączny wywołuje skutki reprezentacji łącznej na zasadach określonych przez właściwe przepisy, umowę albo statut.

18 Nowa ustawa – podpis bez podpisu? Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba ta w celu dokonania czynności która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.

19 Datownik elektroniczny Rozróżnienie kwalifikowanej i niekwalifikowanej usługi oznaczenia czasem Datownik elektroniczny stanowi dowód tego, że usługa została wykonana w czasie określonym w tym datowniku. Skutki prawne stosowania datownika elektronicznego określają przepisy odrębne.

20 Nowa ustawa – podsumowanie Dostosowanie do dyrektywy UE Uhonorowanie certyfikatów zagranicznych Upowszechnienie e-podpisu ? Na razie brak projektów aktów wykonawczych

21 Dziękuję Miłosz Smolarczyk


Pobierz ppt "PKI – standardy i praktyka Miłosz Smolarczyk. Treść Standardy i podstawy prawne XAdES 1.3.2 –Struktura podpisu –Rozszerzenia –Weryfikacja –Problemy prawne."

Podobne prezentacje


Reklamy Google