PKI – standardy i praktyka Miłosz Smolarczyk

Treść Standardy i podstawy prawne XAdES 1.3.2 Nowa ustawa Struktura podpisu Rozszerzenia Weryfikacja Problemy prawne i techniczne Nowa ustawa

Podstawy prawne Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (Dz. U. Nr 130, poz. 1450) Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 roku (Dz. U. Nr 128, poz. 1094) w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. Wkrótce nowa ustawa

Standardy PN-ISO/IEC 9796 X.509, PN-ISO/IEC 9594-8:2006 XML Signature, XAdES, PKCS #7, … ISO/IEC 27001:2005 - norma Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 17799:2005 - zalecenia i najlepsze praktyki Wiele innych…

XAdES XML Advanced Electronic Signatures Aktualna wersja 1.3.2 Rozszerzenia XML-DSig Aktualna wersja 1.3.2 Stosowany w Administracji Publicznej

XAdES – podstawowy schemat ? - element opcjonalny, * - 0 lub nieskończenie wiele elementów, + - 1 lub nieskończenie wiele elementów

XAdES - rozszerzenia XAdES-T (timestamp), adding timestamp field to protect against repudiation; XAdES-C (complete), adding references to verification data (certificates and revocation lists) to the signed documents to allow off-line verification and verification in future (but does not store the actual data); XAdES-X (extended), adding timestamps on the references introduced by XAdES-C to protect against possible compromise of certificates in chain in future; XAdES-A (archival), adding possibility for periodical timestamping (e.g. each year) of the archived document to prevent compromise caused by weakening signature during long-time storage period.

XAdES - weryfikacja Pozytywna weryfikacja niemożliwa bez wszystkich referencji (także zewnętrznych) Przykład z życia – doręczanie dokumentu do obywatela: Decyzja (XAdES) Decyzja (XAdES) Decyzja (XAdES-A) UPD UPD UPD (XAdES) Weryfikacja UPD (XAdES) UPD (XAdES) Decyzja (XAdES-A)

XAdES – weryfikacja

Weryfikacja c.d. „Bezpieczny podpis elektroniczny (…) wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu.”

Weryfikacja c.d. Procedura standardowa: Sprawdzenie integralności dokumentów Sprawdzenie zgodności podpisu z dokumentem Sprawdzenie ważności certyfikatu, na podstawie aktualnych CRL/ARL X.509: listy są aktualne, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy. W szczególnym przypadku nieważny certyfikat może zostać zweryfikowany prawidłowo!

Weryfikacja c.d. Procedura bezpieczna: Oznaczenie czasem, np.: XAdES-T Sprawdzenie integralności dokumentów Sprawdzenie zgodności podpisu z dokumentem Sprawdzenie ważności certyfikatu, na podstawie aktualnych (z definicji) CRL/ARL Zwrócenie informacji o niekompletnej weryfikacji i jej statusie Zwrócenie ostatecznego wyniku weryfikacji po zweryfikowaniu certyfikatu z użyciem list CRL/ACL następujących po znaczniku czasu Rozszerzenie do postaci archiwalnej (w zależności od potrzeb), np.: XAdES-A

Inne problemy Oparcie na zaufaniu do urządzeń i aplikacji Czy w rzeczywistości użytkownik wie co podpisuje? Konieczna „konserwacja” podpisów Problemy prawne …

Nowa ustawa Stan: odesłana do konsultacji Założenia: upowszechnienie i obniżenie kosztów korzystania z podpisu elektronicznego Środki: Więcej usług certyfikacyjnych Umożliwienie samorządom świadczenia usług niekwalifikowanych (konieczna także nowelizacja Ustawy o informatyzacji) Zniesienie obowiązku zawierania umów na piśmie z subskrybentem

Nowa ustawa – 5 rodzajów podpisów Zaawansowany - przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za pomocą środków które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna. Kwalifikowany – zaawansowany podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego. Łączny – z założenia przyporządkowany grupie. Urzędowy – podpis zaawansowany, weryfikowany za pomocą ważnego certyfikatu urzędowego. Pieczęć elektroniczna – podpis zaawansowany, składany przez podpisującego nie będącego osobą fizyczną weryfikowanego przy pomocy ważnego certyfikatu systemowego.

Nowa ustawa – 4 rodzaje certyfikatów Kwalifikowany (tak jak dotychczas) Systemowy – przyporządkowany podpisującemu składającemu pieczęć elektroniczną Urzędowy – kwalifikowany lub wydany przez Urząd, na potrzeby komunikacji z obywatelami Certyfikat atrybutów - określa uprawnienia osoby wskazanej w certyfikacie.

Nowa ustawa – skutki prawne podpisu Zaawansowany podpis elektroniczny, weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu Dane w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym wywołują skutki złożenia oświadczenia woli w formie pisemnej. Podpis łączny wywołuje skutki reprezentacji łącznej na zasadach określonych przez właściwe przepisy, umowę albo statut.

Nowa ustawa – podpis bez podpisu? Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba ta w celu dokonania czynności która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.

Datownik elektroniczny Rozróżnienie kwalifikowanej i niekwalifikowanej usługi oznaczenia czasem Datownik elektroniczny stanowi dowód tego, że usługa została wykonana w czasie określonym w tym datowniku. Skutki prawne stosowania datownika elektronicznego określają przepisy odrębne.

Nowa ustawa – podsumowanie Dostosowanie do dyrektywy UE Uhonorowanie certyfikatów zagranicznych Upowszechnienie e-podpisu ? Na razie brak projektów aktów wykonawczych

Dziękuję Miłosz Smolarczyk