podpis elektroniczny

Podpis elektroniczny

Infrastruktura Klucza Publicznego Zastosowanie podpisu elektronicznego Zagrożenia

Podpis elektroniczny, 18 maja 2006

PKI – Infrastruktura Klucza Publicznego


Infrastruktura - system urządzeń, działań i instytucji, które wspierają bezpośrednio lub pośrednio produkcyjną sferę gospodarki lub są niezbędnym zapleczem dla funkcjonowania społeczeństwa

PKI - to nowoczesne rozwiązanie dostarczające usługi bezpieczeństwa użytkownikom elektronicznej wymiany danych. Umożliwia bezpośrednie, bezpieczne przesyłanie, podpisywanie i szyfrowanie dokumentów elektronicznych.

PKI – Infrastruktura Klucza Publicznego

• urzędy certyfikacyjne (CA)

• urzędy rejestracyjne (RA)

• subskrybenci certyfikatów (użytkownicy)

• oprogramowanie

• sprzęt


Centra Certyfikacyjne


Certum, Unizeto Sp. z o.o. Szafir, Krajowa Izba Rozliczeniowa S.A. Sigillum, Państwowa Wytwórnia

Papierów Wartościowych S.A. SIGNET, TP Internet Sp. z o.o.

Usługi świadczone przez Centra Certyfikacji

Podstawowe funkcje:• Emisja certyfikatów• Odnowienie certyfikatów• Unieważnianie certyfikatów• Emisja list certyfikatów unieważnionych

Usługi dodatkowe:• Kurier Elektroniczny• Elektroniczny Datownik


Cechy podpisu elektronicznego

• uwierzytelnienie źródła danych

• niezaprzeczalność nadania

• integralność danych

• jednoznaczne przypisanie podpisu kwalifikowanego do osoby

Przy zastosowaniu szyfrowania dodatkowo:

• poufność

• integralność danych


Certyfikat


Podstawowe atrybuty certyfikatu

• Identyfikator subskrybenta

• Numer seryjny certyfikatu

• Okres ważności certyfikatu

• Klucz publiczny

• Nazwa wystawcy certyfikatu

Certyfikat jest podpisany przez organ wydający certyfikaty, co pozwala na zweryfikowanie jego autentyczności


Podpisywanie


Weryfikacja


Szyfrowanie


Rodzaje certyfikatów

Certyfikaty zwykłe• zapewniają ochronę integralności przesyłek e-mail

i dokumentów elektronicznych• służą do szyfrowania dokumentów• umożliwiają bezpieczne przechowywanie danych

i ich transfer poprzez Internet• służą do jednoznacznej identyfikacji dla poczty

e-mail, serwerów WWW, urządzeń sieciowychi oprogramowania



Certyfikaty kwalifikowane• służą do weryfikacji podpisów elektronicznych, które

wywołują skutki prawne równoważne podpisowi własnoręcznemu

• wydawane są na podstawie umowy i po weryfikacji tożsamości użytkownika w Punkcie Rejestracji

• przeznaczone są dla osób fizycznych• nie służą do szyfrowania dokumentów


Ustawa o podpisie elektronicznym art. 3

1) podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny,

2) bezpieczny podpis elektroniczny - podpis elektroniczny, który:

a) jest przyporządkowany wyłącznie do osoby składającej ten podpis,

b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznegoi danych służących do składania podpisu elektronicznego.


Ustawa o podpisie elektronicznym art. 5

Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi (...)



Rodzaje podpisu elektronicznego


Wydawcy certyfikatów

Urządzenie do składania podpisu

elektronicznego

bezpieczny podpis

elektroniczny

kwalifikowany certyfikat

kwalifikowany podmiot

świadczący usługi certyfikacyjne

bezpieczne urządzenie do

składania podpisu elektronicznego

zwykły podpis elektroniczny

zwykły certyfikatpodmiot

świadczący usługi certyfikacyjne

brak wymogów


Kurier Elektroniczny - zasada działania

POTWIERDZENIE NADANIA


Elektroniczny datownik

Urząd znacznika czasu - instytucja wydającą automatycznie znaczniki

wiarygodnego czasu.

• Znacznik czasu zapewnia, iż dane istniały przed ich oznaczeniem

• Stanowi dowód, iż od tego czasu dane nie były modyfikowane

• Zapewnia wiarygodność czasu, którym oznakowano dane

Znacznik czasu ułatwia tworzenie elektronicznych systemów rejestracji dokumentów oraz zwiększa bezpieczeństwo procesów biznesowych, uniemożliwiając antydatowanie umów, sporządzanie dokumentów z datą wsteczną, dokonywania w nich zmian po oznakowaniu czasem.


Strong Internet


Korzyści: Bezpieczne uwierzytelnienie zastępujące tradycyjne logowanie

oparte o login i hasło. Wyeliminowanie możliwości przechwycenia, podejrzenia lub

kradzieży loginu i hasła. Jednokrotne logowanie do wielu różnorodnych zasobów Wiarygodna identyfikacja właściciela certyfikatu w Internecie,

sieci lokalnej oraz systemach informatycznych. Wiarygodna identyfikacja działań określonego użytkownika w

systemach informatycznych.

Zastosowanie podpisu elektronicznego

oficjalna korespondencja• dokumentacja• ustalenia• umowy• aneksy• e-faktury

korespondencja wewnętrzna• podania• decyzje

inne relacje• kontakty z administracją• sprawozdawczość• zaopatrzenie• udział w aukcjach

elektronicznych

kontakty z klientami• informacja• przyjmowanie zleceń• zamówienia


Płaszczyzny kontaktów


Korzyści dla użytkowników e-dokumentu

• zmniejszenie kosztów• usprawnienie działalności• przyspieszenie przebiegu procesów

• tworzenie dokumentów - eliminacja wersji papierowych (toner, papier, drukarki wraz z konserwacją, czas pracy)

• dystrybucja dokumentów (kolejki na poczcie, kopertowanie, znaczki, oczekiwanie na dostarczenie)

• przechowywanie dokumentów (ograniczenie objętości archiwów, łatwość archiwizacji i przeszukiwania zbiorów danych)


Korzyści dla użytkowników e-dokumentu


0

1

2

3

4

5

6

7

8

9

[PLN]

tworzeniedokumentu

przesłaniedokumentu

odbiórdokumentu

koszty razem

Porównanie kosztów dokumentu tradycyjnego i elektronicznego

Inne zastosowania karty


Podpis w administracji


Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (obowiązuje od 16 sierpnia 2002 r.)

Art.58.

2. W terminie 4 lat od dnia wejścia w życie ustawy organy władzy publicznej umożliwią odbiorcom usług certyfikacyjnych wnoszenie podań i wniosków oraz innych czynności w postaci elektronicznej, w przypadkach gdy przepisy prawa wymagają składania ich w określonej formie lub według określonego wzoru.

TERMIN DOSTOSOWAWCZY UPŁYWA: 16 sierpnia 2006 r.

Przyszłość


e-faktury z podpisem zaawansowanym

2007 r. e-deklaracje ZUS 2007 r. e-podatki

Zagrożenia związane z transmisją danych


• Dostęp do danych przez osoby nieuprawnione

• Możliwość ingerencji w dane

• Niebezpieczeństwo podania fałszywej tożsamości nadawcy (brak możliwości jednoznacznego ustalenia tożsamości)

• Możliwość modyfikacji czasu nadania wiadomości

• Brak potwierdzenia, że dokument doszedł do odbiorcy

Zagrożenia


[kwiecień 2006] „Specjaliści z Politechniki Wrocławskiej odkryli słabe punkty protokołów SSL/TSL i SSH, najpopularniejszych protokołów zapewniających bezpieczną komunikację w Internecie.”

Zagrożenia


„Programiści G DATA wykryli lukę w oprogramowaniu wykorzystywanym do składania podpisu kwalifikowanego. Po wprowadzeniu do komputera odpowiedniego kodu, istnieje możliwość podmiany podpisywanego dokumentu.”

Użytkownik - najsłabsze ogniwo bezpiecznego systemu komputerowego


Edukacja użytkowników Zabezpieczenia aktywne Zabezpieczenia pasywne Aktualizacja zabezpieczeń

Oferta ZETO Świdnica


Elementy składowe zestawu: 1 x certyfikat kwalifikowany (okres ważności: 1 rok), 1 x certyfikat niekwalifikowany Certum Gold (okres ważności: 1 rok), 1 x karta kryptograficzna cryptoCertum, 1 x czytnik kart na złącze USB lub RS232, 1 x oprogramowanie podpisujące proCertum SecureSign, 1 x oprogramowanie weryfikujące proCertum SecureSignVer, 1 x instrukcja obsługi i regulamin usług certyfikacyjnych,

1 x oprogramowanie SignetProofer + instrukcja obsługi, 1 x oprogramowanie Sigillum + instrukcja obsługi,

1 x autoryzacja notarialna użytkownika podpisu kwalifikowanego, 1 x instalacja i konfiguracja oprogramowania, 1 x kompleksowe szkolenie.

podpis elektroniczny

Documents