Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

PKI – standardy i praktyka

Podobne prezentacje


Prezentacja na temat: "PKI – standardy i praktyka"— Zapis prezentacji:

1 PKI – standardy i praktyka
Miłosz Smolarczyk

2 Treść Standardy i podstawy prawne XAdES 1.3.2 Nowa ustawa
Struktura podpisu Rozszerzenia Weryfikacja Problemy prawne i techniczne Nowa ustawa

3 Podstawy prawne Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (Dz. U. Nr 130, poz. 1450) Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 roku (Dz. U. Nr 128, poz. 1094) w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. Wkrótce nowa ustawa

4 Standardy PN-ISO/IEC 9796 X.509, PN-ISO/IEC 9594-8:2006
XML Signature, XAdES, PKCS #7, … ISO/IEC 27001: norma Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 17799: zalecenia i najlepsze praktyki Wiele innych…

5 XAdES XML Advanced Electronic Signatures Aktualna wersja 1.3.2
Rozszerzenia XML-DSig Aktualna wersja 1.3.2 Stosowany w Administracji Publicznej

6 XAdES – podstawowy schemat
? - element opcjonalny, * - 0 lub nieskończenie wiele elementów, lub nieskończenie wiele elementów

7 XAdES - rozszerzenia XAdES-T (timestamp), adding timestamp field to protect against repudiation; XAdES-C (complete), adding references to verification data (certificates and revocation lists) to the signed documents to allow off-line verification and verification in future (but does not store the actual data); XAdES-X (extended), adding timestamps on the references introduced by XAdES-C to protect against possible compromise of certificates in chain in future; XAdES-A (archival), adding possibility for periodical timestamping (e.g. each year) of the archived document to prevent compromise caused by weakening signature during long-time storage period.

8 XAdES - weryfikacja Pozytywna weryfikacja niemożliwa bez wszystkich referencji (także zewnętrznych) Przykład z życia – doręczanie dokumentu do obywatela: Decyzja (XAdES) Decyzja (XAdES) Decyzja (XAdES-A) UPD UPD UPD (XAdES) Weryfikacja UPD (XAdES) UPD (XAdES) Decyzja (XAdES-A)

9 XAdES – weryfikacja

10 Weryfikacja c.d. „Bezpieczny podpis elektroniczny (…) wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu.”

11 Weryfikacja c.d. Procedura standardowa:
Sprawdzenie integralności dokumentów Sprawdzenie zgodności podpisu z dokumentem Sprawdzenie ważności certyfikatu, na podstawie aktualnych CRL/ARL X.509: listy są aktualne, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy. W szczególnym przypadku nieważny certyfikat może zostać zweryfikowany prawidłowo!

12 Weryfikacja c.d. Procedura bezpieczna: Oznaczenie czasem, np.: XAdES-T
Sprawdzenie integralności dokumentów Sprawdzenie zgodności podpisu z dokumentem Sprawdzenie ważności certyfikatu, na podstawie aktualnych (z definicji) CRL/ARL Zwrócenie informacji o niekompletnej weryfikacji i jej statusie Zwrócenie ostatecznego wyniku weryfikacji po zweryfikowaniu certyfikatu z użyciem list CRL/ACL następujących po znaczniku czasu Rozszerzenie do postaci archiwalnej (w zależności od potrzeb), np.: XAdES-A

13 Inne problemy Oparcie na zaufaniu do urządzeń i aplikacji
Czy w rzeczywistości użytkownik wie co podpisuje? Konieczna „konserwacja” podpisów Problemy prawne …

14 Nowa ustawa Stan: odesłana do konsultacji
Założenia: upowszechnienie i obniżenie kosztów korzystania z podpisu elektronicznego Środki: Więcej usług certyfikacyjnych Umożliwienie samorządom świadczenia usług niekwalifikowanych (konieczna także nowelizacja Ustawy o informatyzacji) Zniesienie obowiązku zawierania umów na piśmie z subskrybentem

15 Nowa ustawa – 5 rodzajów podpisów
Zaawansowany - przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za pomocą środków które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna. Kwalifikowany – zaawansowany podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego. Łączny – z założenia przyporządkowany grupie. Urzędowy – podpis zaawansowany, weryfikowany za pomocą ważnego certyfikatu urzędowego. Pieczęć elektroniczna – podpis zaawansowany, składany przez podpisującego nie będącego osobą fizyczną weryfikowanego przy pomocy ważnego certyfikatu systemowego.

16 Nowa ustawa – 4 rodzaje certyfikatów
Kwalifikowany (tak jak dotychczas) Systemowy – przyporządkowany podpisującemu składającemu pieczęć elektroniczną Urzędowy – kwalifikowany lub wydany przez Urząd, na potrzeby komunikacji z obywatelami Certyfikat atrybutów - określa uprawnienia osoby wskazanej w certyfikacie.

17 Nowa ustawa – skutki prawne podpisu
Zaawansowany podpis elektroniczny, weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu Dane w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym wywołują skutki złożenia oświadczenia woli w formie pisemnej. Podpis łączny wywołuje skutki reprezentacji łącznej na zasadach określonych przez właściwe przepisy, umowę albo statut.

18 Nowa ustawa – podpis bez podpisu?
Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba ta w celu dokonania czynności która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.

19 Datownik elektroniczny
Rozróżnienie kwalifikowanej i niekwalifikowanej usługi oznaczenia czasem Datownik elektroniczny stanowi dowód tego, że usługa została wykonana w czasie określonym w tym datowniku. Skutki prawne stosowania datownika elektronicznego określają przepisy odrębne.

20 Nowa ustawa – podsumowanie
Dostosowanie do dyrektywy UE Uhonorowanie certyfikatów zagranicznych Upowszechnienie e-podpisu ? Na razie brak projektów aktów wykonawczych

21 Dziękuję Miłosz Smolarczyk


Pobierz ppt "PKI – standardy i praktyka"

Podobne prezentacje


Reklamy Google