Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

PKI – standardy i praktyka

OpublikowałKuba Święs Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "PKI – standardy i praktyka"— Zapis prezentacji:

1 PKI – standardy i praktyka
Miłosz Smolarczyk

2 Treść Standardy i podstawy prawne XAdES 1.3.2 Nowa ustawa
Struktura podpisu Rozszerzenia Weryfikacja Problemy prawne i techniczne Nowa ustawa

3 Podstawy prawne Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (Dz. U. Nr 130, poz. 1450) Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 roku (Dz. U. Nr 128, poz. 1094) w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. Wkrótce nowa ustawa

4 Standardy PN-ISO/IEC 9796 X.509, PN-ISO/IEC 9594-8:2006
XML Signature, XAdES, PKCS #7, … ISO/IEC 27001: norma Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 17799: zalecenia i najlepsze praktyki Wiele innych…

5 XAdES XML Advanced Electronic Signatures Aktualna wersja 1.3.2
Rozszerzenia XML-DSig Aktualna wersja 1.3.2 Stosowany w Administracji Publicznej

6 XAdES – podstawowy schemat
? - element opcjonalny, * - 0 lub nieskończenie wiele elementów, lub nieskończenie wiele elementów

7 XAdES - rozszerzenia XAdES-T (timestamp), adding timestamp field to protect against repudiation; XAdES-C (complete), adding references to verification data (certificates and revocation lists) to the signed documents to allow off-line verification and verification in future (but does not store the actual data); XAdES-X (extended), adding timestamps on the references introduced by XAdES-C to protect against possible compromise of certificates in chain in future; XAdES-A (archival), adding possibility for periodical timestamping (e.g. each year) of the archived document to prevent compromise caused by weakening signature during long-time storage period.

8 XAdES - weryfikacja Pozytywna weryfikacja niemożliwa bez wszystkich referencji (także zewnętrznych) Przykład z życia – doręczanie dokumentu do obywatela: Decyzja (XAdES) Decyzja (XAdES) Decyzja (XAdES-A) UPD UPD UPD (XAdES) Weryfikacja UPD (XAdES) UPD (XAdES) Decyzja (XAdES-A)

9 XAdES – weryfikacja

10 Weryfikacja c.d. „Bezpieczny podpis elektroniczny (…) wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu.”

11 Weryfikacja c.d. Procedura standardowa:
Sprawdzenie integralności dokumentów Sprawdzenie zgodności podpisu z dokumentem Sprawdzenie ważności certyfikatu, na podstawie aktualnych CRL/ARL X.509: listy są aktualne, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy. W szczególnym przypadku nieważny certyfikat może zostać zweryfikowany prawidłowo!

12 Weryfikacja c.d. Procedura bezpieczna: Oznaczenie czasem, np.: XAdES-T
Sprawdzenie integralności dokumentów Sprawdzenie zgodności podpisu z dokumentem Sprawdzenie ważności certyfikatu, na podstawie aktualnych (z definicji) CRL/ARL Zwrócenie informacji o niekompletnej weryfikacji i jej statusie Zwrócenie ostatecznego wyniku weryfikacji po zweryfikowaniu certyfikatu z użyciem list CRL/ACL następujących po znaczniku czasu Rozszerzenie do postaci archiwalnej (w zależności od potrzeb), np.: XAdES-A

13 Inne problemy Oparcie na zaufaniu do urządzeń i aplikacji
Czy w rzeczywistości użytkownik wie co podpisuje? Konieczna „konserwacja” podpisów Problemy prawne …

14 Nowa ustawa Stan: odesłana do konsultacji
Założenia: upowszechnienie i obniżenie kosztów korzystania z podpisu elektronicznego Środki: Więcej usług certyfikacyjnych Umożliwienie samorządom świadczenia usług niekwalifikowanych (konieczna także nowelizacja Ustawy o informatyzacji) Zniesienie obowiązku zawierania umów na piśmie z subskrybentem

15 Nowa ustawa – 5 rodzajów podpisów
Zaawansowany - przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za pomocą środków które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna. Kwalifikowany – zaawansowany podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego. Łączny – z założenia przyporządkowany grupie. Urzędowy – podpis zaawansowany, weryfikowany za pomocą ważnego certyfikatu urzędowego. Pieczęć elektroniczna – podpis zaawansowany, składany przez podpisującego nie będącego osobą fizyczną weryfikowanego przy pomocy ważnego certyfikatu systemowego.

16 Nowa ustawa – 4 rodzaje certyfikatów
Kwalifikowany (tak jak dotychczas) Systemowy – przyporządkowany podpisującemu składającemu pieczęć elektroniczną Urzędowy – kwalifikowany lub wydany przez Urząd, na potrzeby komunikacji z obywatelami Certyfikat atrybutów - określa uprawnienia osoby wskazanej w certyfikacie.

17 Nowa ustawa – skutki prawne podpisu
Zaawansowany podpis elektroniczny, weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu Dane w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym wywołują skutki złożenia oświadczenia woli w formie pisemnej. Podpis łączny wywołuje skutki reprezentacji łącznej na zasadach określonych przez właściwe przepisy, umowę albo statut.

18 Nowa ustawa – podpis bez podpisu?
Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba ta w celu dokonania czynności która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.

19 Datownik elektroniczny
Rozróżnienie kwalifikowanej i niekwalifikowanej usługi oznaczenia czasem Datownik elektroniczny stanowi dowód tego, że usługa została wykonana w czasie określonym w tym datowniku. Skutki prawne stosowania datownika elektronicznego określają przepisy odrębne.

20 Nowa ustawa – podsumowanie
Dostosowanie do dyrektywy UE Uhonorowanie certyfikatów zagranicznych Upowszechnienie e-podpisu ? Na razie brak projektów aktów wykonawczych

21 Dziękuję Miłosz Smolarczyk

Pobierz ppt "PKI – standardy i praktyka"

Podobne prezentacje

SI CEPiK Przekazywanie danych o badaniach do

SI CEPiK Przekazywanie danych o badaniach do
Plany ustawodawcze w obszarze ubezpieczeń komunikacyjnych w Polsce

Plany ustawodawcze w obszarze ubezpieczeń komunikacyjnych w Polsce
IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET

IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET
Projekt ustawy o zmianie ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne oraz niektórych innych ustaw.

Projekt ustawy o zmianie ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne oraz niektórych innych ustaw.
Departament Informatyzacji MAiC

Departament Informatyzacji MAiC
Nowy model komunikacji z emitentami

Nowy model komunikacji z emitentami
ROMAN QUALITY SUPPORT - - cell:

ROMAN QUALITY SUPPORT - - cell:
elektronicznego fakturowania

elektronicznego fakturowania
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA

PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA
Forma czynności prawnych I

Forma czynności prawnych I
Skutki prawne oświadczeń woli opatrzonych podpisem elektronicznym

Skutki prawne oświadczeń woli opatrzonych podpisem elektronicznym
Ochrona danych osobowych

Ochrona danych osobowych
PKI, OPIE Auth Mateusz Jasiak.

PKI, OPIE Auth Mateusz Jasiak.
Wszczęcie postępowania (art. 61 KPA)

Wszczęcie postępowania (art. 61 KPA)
Metody identyfikacji: podpis elektroniczny, ePUAP, biometryka

Metody identyfikacji: podpis elektroniczny, ePUAP, biometryka
Informatyzacja a prawo podatkowe

Informatyzacja a prawo podatkowe
E-Administracja- zagadnienia podstawowe

E-Administracja- zagadnienia podstawowe
Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski

Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski
dr Remigiusz W. Kaszubski Dyrektor ZBP

dr Remigiusz W. Kaszubski Dyrektor ZBP

Podobne prezentacje

Reklamy Google