Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Pracownia Komputerowa Wydz. Prawa i Administracji UJ1 Podpis elektroniczny Zasada i zastosowanie.

Podobne prezentacje


Prezentacja na temat: "Pracownia Komputerowa Wydz. Prawa i Administracji UJ1 Podpis elektroniczny Zasada i zastosowanie."— Zapis prezentacji:

1

2 Pracownia Komputerowa Wydz. Prawa i Administracji UJ1 Podpis elektroniczny Zasada i zastosowanie

3 Pracownia Komputerowa Wydz. Prawa i Administracji UJ2 Podpisywanie dokumentów w postaci cyfrowej Zeskanowany podpis odręczny daje się powtórnie skopiować – zatem łatwo jest taki podpis sfałszować wklejając jego obraz do nowego dokumentu, a nie istnieją metody, które pozwoliłyby na odróżnienie dokumentu oryginalnie podpisanego od opatrzonego przeklejonym podpisem. Dokument cyfrowy, nawet jeśli byłby opatrzony legalnym podpisem w postaci zeskanowanego obrazu pisma ręcznego, łatwo jest później niezauważalnie zmodyfikować - np. zmienić wartość transakcji już po dodaniu zeskanowanego podpisu Problem z podpisywaniem danych cyfrowych Próby podpisywania danych cyfrowych za pomocą metod przejętych z podpisu odręcznego natrafiają na dwa podstawowe problemy:

4 Pracownia Komputerowa Wydz. Prawa i Administracji UJ3 Idea podpisu cyfrowego Zabezpieczanie danych cyfrowych przed sfałszowaniem musi więc opierać się na innych metodach niż proste dołączanie podpisu odręcznego. Metody takie są oparte o techniki kryptograficzne, czyli opierające się na szyfrowaniu danych. W taki właśnie sposób działa elektroniczny odpowiednik podpisu odręcznego – podpis cyfrowy. Rozwiązania zastosowane w podpisie cyfrowym nie są przeniesieniem mechanizmów znanych z podpisywania ręcznego – w szczególności podpis ten nie ma związku z umiejętnością pisania odręcznego, ani z charakterem pisma podpisującego. Podpis cyfrowy może być stosowany tylko do danych cyfrowych. Podpisu takiego nie drukuje się, nie przedstawia w postaci graficznej, a do weryfikacji nie jest przydatny grafolog.

5 Pracownia Komputerowa Wydz. Prawa i Administracji UJ4 Szyfrowanie danych Od starożytności ludzie starali się ukryć treść przesyłanych dokumentów. Znany jest szyfr Cezara polegający na podstawieniu w zaszyfrowanym dokumencie liter przesuniętych o trzy pozycje w alfabecie. Tekst jawny: ALEA IACTA EST Szyfrogram: DOHD LDFWD HVW Współczesna technika komputerowa dostarcza lepszych. Trudniejszych do złamania metod szyfrowania.

6 Pracownia Komputerowa Wydz. Prawa i Administracji UJ5 Zasada szyfrowania z kluczem symetrycznym (tajnym)

7 Pracownia Komputerowa Wydz. Prawa i Administracji UJ6 Przykład szyfrowanie z kluczem symetrycznym Wiele programów biurowych pozwala zapisywać pliki w postaci zaszyfrowanej (z hasłem ochrony przed otwarciem) i do otwarcia pliku potrzebne jest podanie tego samego hasła. Można tworzyć szyfrowane dyski lub katalogi, których nie można odczytać bez znajomości hasła, którym szyfrowano zapisywane tam pliki.

8 Pracownia Komputerowa Wydz. Prawa i Administracji UJ7 Zalety szyfrowania z kluczem symetrycznym Nieskomplikowane algorytmy szyfrujące Szybkie szyfrowanie Dobre zabezpieczenie informacji przechowywanej na dyskach komputera

9 Pracownia Komputerowa Wydz. Prawa i Administracji UJ8 Nie nadaje się do wymiany informacji przez internet, gdyż: Przed rozpoczęciem wymiany informacji trzeba uzgodnić z korespondentem tajny klucz. Nie można go posłać w jawnej (nie szyfrowanej) postaci przez sieć. Trudności z obsługą wielu kluczy (inny do każdego korespondenta) Wady

10 Pracownia Komputerowa Wydz. Prawa i Administracji UJ9 Co zaszyfrowano jednym z kluczy, da się odszyfrować wyłącznie drugim z tej pary. Właściciel publikuje swój klucz publiczny (jawny) w Internecie, każdy może nim szyfrować wiadomości do właściciela tej pary kluczy, odczytać może wyłącznie właściciel klucza prywatnego (tajnego). Asymetryczna kryptografia sprowadza się do faktu, iż na podstawie znajomości jedynie klucza publicznego nie jest możliwe odtworzenie klucza prywatnego.

11 Pracownia Komputerowa Wydz. Prawa i Administracji UJ10 Certyfikowanie kluczy publicznych Możliwe podszycie pod inną osobę, publikując w jej imieniu inny klucz publiczny, do którego prywatny posiada oszust. W wielu sytuacjach konieczne jest certyfikowanie klucza publicznego, aby używający tego klucza miał pewność co do jego właściciela. Tworzy się więc instytucje certyfikujące klucze publiczne zarówno osób jak i serwisów internetowych, np.: banków.

12 Pracownia Komputerowa Wydz. Prawa i Administracji UJ11 Protokół SSL Protokół, służy do bezpiecznej transmisji zaszyfrowanego strumienia danych, nazwany SSL (Secure Socket Layer), SSL jest więc protokołem typu klient-serwer pozwalającym na nawiązanie bezpiecznego połączenia z użyciem certyfikatów. Jest on zorientowany głównie na uwierzytelnianie serwera (np. sklepu internetowego, do którego klient wysyła numer karty kredytowej i chce mieć pewność co do odbiorcy), ale przewiduje również możliwość uwierzytelniania klienta. W 2009 w protokole SSL odkryto podatność w procesie renegocjacji sesji, umożliwiającą wstrzyknięcie nieautoryzowanego fragmentu danych do zaszyfrowanej sesji. W związku z tym, że podatność istnieje na poziomie protokołu a nie implementacji jedyną metodą jego obejścia w momencie odkrycia jest wyłączenie możliwości renegocjacji w ogóle. Równocześnie zaproponowana została poprawka do specyfikacji protokołu w postaci rozszerzenia.

13 Pracownia Komputerowa Wydz. Prawa i Administracji UJ12 K S ClientHello Klient wysyła do serwera zgłoszenie zawierające m.in. obsługiwaną wersję protokołu SSL, dozwolone sposoby szyfrowania i kompresji danych oraz identyfikator sesji. Komunikat ten zawiera również liczbę losową używaną potem przy generowaniu kluczy.

14 Pracownia Komputerowa Wydz. Prawa i Administracji UJ13 K S ServerHello komunikat w którym zwraca klientowi wybrane parametry połączenia: wersję protokołu SSL, rodzaj szyfrowania i kompresji, oraz podobną liczbę losową. Certificate Serwer wysyła swój certyfikat ServerKeyExchange informacja o kluczu publicznym. Rodzaj i długość tego klucza jest określony przez typ algorytmu przesłany w poprzednim komunikacie ServerHelloDone

15 Pracownia Komputerowa Wydz. Prawa i Administracji UJ14 K S ClientKeyExchange wysyłanie wstępnego klucza sesji, ChangeCipherSpec zawiadomienie, że serwer może przełączyć się na komunikację szyfrowaną

16 Pracownia Komputerowa Wydz. Prawa i Administracji UJ15 K S ChangeCipherSpec Serwer zawiadamia, że wykonał polecenie – od tej pory wysyłał będzie tylko zaszyfrowane informacje Finished próba mechanizmu – ten komunikat jest już wysyłany bezpiecznym kanałem

17 Pracownia Komputerowa Wydz. Prawa i Administracji UJ16 Zastosowanie szyfrowania niesymetrycznego do weryfikacji nadawcy

18 Pracownia Komputerowa Wydz. Prawa i Administracji UJ17 Szyfrowanie nieodwracalne Istnieją algorytmy szyfrowania nieodwracalne, a więc takie w których z szyfrogramu nie da się odzyskać oryginalnej wiadomości. Taki szyfrogram, zwany też skrótem identyfikuje oryginalną wiadomość, tak jak odcisk palca identyfikuje człowieka. Gdy oryginalna wiadomość się zmieni, jej skrót zmienia się również.

19 Pracownia Komputerowa Wydz. Prawa i Administracji UJ18 Weryfikacja dokumentu za pomocą jego skrótu

20 Pracownia Komputerowa Wydz. Prawa i Administracji UJ19 Podpis elektroniczny Cechy podpisu elektronicznego: gwarantuje tożsamość podpisującego (uwierzytelnia podpisującego uniemożliwiając podszycie się pod niego), gwarantuje integralność podpisanej wiadomości (zapewnia wykrywalność jakiejkolwiek zmiany dokumentu po jego podpisaniu) podpisujący nie może wyprzeć się podpisu. umożliwia weryfikację podpisu przez osobę niezależną

21 Pracownia Komputerowa Wydz. Prawa i Administracji UJ20 Zasada podpisu elektronicznego

22 Pracownia Komputerowa Wydz. Prawa i Administracji UJ21 Rodzaje podpisu elektronicznego Podpis powszechny (do wymiany poczty elektronicznej) – nie jest równoważny z podpisem ręcznym, Podpis kwalifikowany (do podpisywania dokumentów), składany przy pomocy urządzenia bezpiecznego do składania podpisów, jest równoważny podpisowi ręcznemu. W tym przypadku klucz prywatny, służący do podpisywania nie opuszcza karty kryptograficznej.

23 Pracownia Komputerowa Wydz. Prawa i Administracji UJ22 Zgodnie z ustawą bezpieczny podpis elektroniczny to podpis elektroniczny, który: jest przyporządkowany wyłącznie do osoby składającej ten podpis, jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

24 Pracownia Komputerowa Wydz. Prawa i Administracji UJ23 Przechowywanie klucza prywatnego Karta taka posiada mikroprocesor, który samodzielnie realizuje wiele funkcji związanej z e-podpisem. Wykorzystanie karty wymaga połączenia jej z komputerem za pomocą czytnika. W rozwiązaniach wymagających najwyższego poziomu bezpieczeństwa (np. przy bezpiecznym podpisie elektronicznym) klucz prywatny nigdy nie opuszcza karty kryptograficznej – jest na niej generowany, a wszystkie operacje z jego użyciem są wykonywane na karcie (zwracany jest tylko sam wynik tych operacji). Aby zabezpieczyć klucz prywatny przed dostępem osób niepowołanych stosuje się przechowywanie go na karcie kryptograficznej.

25 Pracownia Komputerowa Wydz. Prawa i Administracji UJ24 Odwołanie certyfikatu Odwołanie certyfikatu nie powoduje żadnych zmian w samych plikach zawierających dane certyfikatu (jest to fizycznie niemożliwe bo mogą być one rozrzucone po milionach komputerów), lecz na umieszczeniu w Internecie informacji o odwołaniu certyfikatu. Odwołanie certyfikatu dokonuje się przez umieszczeniu numeru certyfikatu na liście odwołanych certyfikatów (liście CRL – ang Certificate Revoced List). Lista ta jest swobodnie dostępna w Internecie pod określonym adresem. Podczas weryfikacji podpisu elektronicznego oprogramowanie sprawdza nie tylko samą poprawność danych podpisu, ale także czy certyfikat związany z podpisem nie został odwołany. Certyfikat wydawany przez profesjonalne centrum certyfikacji można odwołać przed upływem jego terminu ważności.

26 Pracownia Komputerowa Wydz. Prawa i Administracji UJ25 Znakowanie czasem zawiera informacje o godzinie, minucie i sekundzie wystawienia pochodzi z Internetu, a nie z ustawień komputera, (do jego złożenia niezbędny jest dostęp online) jest potwierdzony urzędowo podpisem cyfrowym urzędu znacznika czasu. niesie ze sobą prawny skutek daty pewnej – jest przewidziany przez Ustawę o Podpisie Elektronicznym. Znacznik czasu służy do potwierdzenia istnienia dokumentu w określonej chwili jest dodawany do podpisu elektronicznego stając się jego integralną częścią

27 Pracownia Komputerowa Wydz. Prawa i Administracji UJ26 Zastosowania podpisu elektronicznego Administracja publiczna – szczególnie w kontaktach z obywatelem, Gospodarka Bankowość i finanse Postępowanie przed sądami Ubezpieczenia, (przesyłanie deklaracji do ZUS) Np.: TERAZ: obywatel tworzy zeznanie podatkowe – naj c zęściej przy użyciu programu (postać elektroniczna), drukuje i podpisuje o dostarcza do Urzędu skarbowego (postać papierowa) a urzędnik w US przepisuje z deklaracji podatkowej do systemu komputerowego. Z zastosowaniem podpisu elektronicznego obywatel tworzy zeznanie podatkowe, podpisuje podpisem elektronicznym, dostarcza do US, tam urzędnik importuje dane do systemu komputerowego.

28 Pracownia Komputerowa Wydz. Prawa i Administracji UJ27 Przeszkody w upowszechnieniu się podpisu elektronicznego Brak szkolenia potencjalnych użytkowników Wysoka cena certyfikatu Opory mentalne osób mogących zadecydować o stosowaniu podpisu w konkretnych przypadkach (Lepiej mieć dokument na papierze, Jak wydrukować podpis elektroniczny?)

29 Pracownia Komputerowa Wydz. Prawa i Administracji UJ28 Podpis elektroniczny powszechny Wysyłając podpisany wysyłamy również swój klucz publiczny, a więc adresat będzie mógł szyfrować korespondencję do nas. Parę kluczy można wygenerować odpowiednim programem (PGP), lecz wtedy nasi korespondenci nie mają pewności co naszej tożsamości (i tego, od kogo podpis pochodzi) lub uzyskać od trzeciej strony zaufania – czyli Urzędu Certyfikującego, który gwarantuje do kogo klucz i podpis należy.

30 Pracownia Komputerowa Wydz. Prawa i Administracji UJ29 Podpisywanie i szyfrowanie poczty Skonfigurowanie programu pocztowego pozwala na pełniejsze korzystanie z poczty elektronicznej. Jest to konieczne do podpisywania i szyfrowania poczty. Aby podpisywać pocztę trzeba zainstalować w programie pocztowym swój certyfikat oraz klucze prywatny i publiczny. Wtedy przy wysyłaniu a można go podpisać. Darmowy, próbny certyfikat podpisu powszechnego można pobrać ze strony: Certyfikat ten ma ważność 3 miesiące. Wysyłanie poczty podpisanej z darmowych serwerów typu onet.pl nie działa gdyż te serwery dodają do wysyłanej poczty stopkę reklamową, a więc podpisana wiadomość ulega zmianie po podpisaniu i podpis nie jest ważny.

31 Pracownia Komputerowa Wydz. Prawa i Administracji UJ30 Szyfrowanie poczty Wysyłaną pocztę można szyfrować kluczem publicznym adresata. Klucz można uzyskać wyszukując go w Internecie lub skorzystać z przysłanego wraz z podpisaną pocztą. Gdy otrzymujemy podpisany klucz publiczny nadawcy automatycznie instaluje się z naszym programie pocztowym w certyfikatach innych osób. Jeśli znamy wystawcę certyfikatu (w Polsce obecnie jest ich pięciu), można wyszukać certyfikat adresata, przypisany do adresy mailowego, zainstalować w programie pocztowym w certyfikatach innych osób. Od tej pory możemy pod ten adres wysyłać pocztę szyfrowaną.

32 Pracownia Komputerowa Wydz. Prawa i Administracji UJ31 Uregulowania prawne Ustawa o podpisie elektronicznym weszła w życie 16 sierpnia 2002r. Jej przepisy stwarzają ramy prawne dla stosowania podpisu elektronicznego zarówno w gospodarce jak i administracji, jako równorzędnego pod względem skutków prawnych z podpisem własnoręcznym. Określają również zasady funkcjonowania infrastruktury klucza publicznego. Przewidziany ustawą nadzór sprawuje w tym zakresie minister właściwy do spraw gospodarki. Obecnie Minister Gospodarki powierzył ten nadzór Narodowemu Bankowi Polskiemu (Narodowe Centrum Certyfikacji)

33 Pracownia Komputerowa Wydz. Prawa i Administracji UJ32 Struktura klucza publicznego PKI (Public Key Infrastructure) Narodowe Centrum Certyfikacji Krajowa Izba Rozliczeniowa Unizeto Technologies Szczecin https://www.certum.pl/ Polska Wytwórnia Papierów Wartościowych Warszawa SAFE TECHNOLOGIES S.A. Raszyn (od 21 września 2009 r.), Mobicert Sp. z o.o. Kraków (od 21 września 2009r.)

34 Pracownia Komputerowa Wydz. Prawa i Administracji UJ33 Podpis elektroniczny w Unii Europejskiej dyrektywa 1999/93/EC, , głowna dyrektywa unijna o podpisie elektronicznym, lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2 000:013:0012:01:PL:HTML dyrektywa 1999/93/EChttp://eur- lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2 000:013:0012:01:PL:HTML dyrektywa 2001/115/EC, 2001, 7 str., dyrektywa o fakturach elektronicznych, dyrektywa 2001/115/EC dyrektywa 2003/511/EC, 2003, o standardach technicznych podpisu elektronicznego dyrektywa 2003/511/EC

35 Pracownia Komputerowa Wydz. Prawa i Administracji UJ34 Dyrektywa 1999/93/EC podpis elektroniczny, czyli deklaracja tożsamości autora złożona w formie elektronicznej pod dokumentem. Może to być na przykład podpis pod em lub zeskanowany podpis odręczny wklejony w dokument PDF. zaawansowany (bezpieczny) podpis elektroniczny, czyli podpis, który za pomocą odpowiednich środków technicznych (kryptograficznych) jest jednoznacznie i w sposób trudny do sfałszowania związany z dokumentem oraz autorem. Kategoria ta odnosi się do większości systemów tradycyjnie nazywanych podpisem elektronicznym i wykorzystujących różne algorytmy kryptograficzne dla zapewnienia bezpieczeństwa. kwalifikowany podpis elektroniczny, czyli taki podpis zaawansowany, który został złożony przy pomocy certyfikatu kwalifikowanego oraz przy użyciu bezpiecznego urządzenia do składania podpisu (SSCD). Prawo unijne (dyrektywa 1999/93/EC) wyróżnia następujące rodzaje podpisu elektronicznego:

36 Pracownia Komputerowa Wydz. Prawa i Administracji UJ35 Ważność w Polsce zagranicznych certyfikatów wystawca certyfikatu będzie akredytowany w Polsce, będzie umieszczony w wykazie wystawców certyfikatów mających swoją siedzibę za granicą, wystawca certyfikatu spełnia wymagania ustawy i została mu udzielona akredytacja w państwie członkowskim Unii Europejskiej, wystawca certyfikatu, mający siedzibę na terytorium Unii Europejskiej, spełniający wymogi ustawy, udzielił gwarancji za ten certyfikat, certyfikat ten został uznany za kwalifikowany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi, certyfikat ten został uznany za kwalifikowany w drodze umowy o Europejskim Obszarze Gospodarczym, wystawca certyfikatu, został uznany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi. Certyfikat wydany przez podmiot świadczący usługi, nie mający siedziby na terytorium RP i nie świadczący usług na jej terytorium za granicą, będzie mógł być uznany za ważny, jeśli spełniony zostanie jeden z następujących warunków:


Pobierz ppt "Pracownia Komputerowa Wydz. Prawa i Administracji UJ1 Podpis elektroniczny Zasada i zastosowanie."

Podobne prezentacje


Reklamy Google