4 przykłady podpisów elektronicznych: od mokrego po SES
•
14 min
Czytaj
Czas czytania:
Data publikacji:
Data aktualizacji:
Podpis cyfrowy to szczególny rodzaj podpisu elektronicznego, który oferuje zaawansowaną autoryzację dzięki wykorzystaniu technologii PKI (Public Key Infrastructure) - weryfikując tożsamość podpisującego i wydając certyfikaty cyfrowe przez zaufane strony certyfikujące.
Mimo że uproszczona nazwa "podpisy cyfrowe" może sugerować działanie tak proste jak podpisanie dokumentu na papierze, podpisy cyfrowe wykraczają poza tę koncepcję, aby zapewnić prawidłową weryfikację tożsamości podpisującego oraz zagwarantować, że dokument nie zostanie sfałszowany, niezależnie od etapu jego cyfrowej podróży.
Dwa typy podpisów elektronicznych zaliczają się do kategorii podpisów cyfrowych: AES (Zaawansowany Podpis Elektroniczny) oraz QES (Kwalifikowany Podpis Elektroniczny).
W tym artykule:
- zagłębimy się w dokładne działanie podpisów cyfrowych,
- przyjrzymy się historii prawnej podpisów cyfrowych,
- rozszyfrujemy zawiłości wykorzystywanych technologii kryptograficznych,
- wyjaśnimy podpisy AES i QES wraz z przykładami zastosowań,
- na koniec omówimy Autenti jako przykład kwalifikowanego dostawcy usług zaufania.
Spis treści
1. Jak działają podpisy cyfrowe?
2. Certyfikaty cyfrowe, integralność dokumentów i Urzędy Certyfikacji
3. Znaczniki czasu dla dodatkowego bezpieczeństwa
4. Podpisy cyfrowe: historia prawna i regulacje
5. Podpis cyfrowy: AES
6. Podpis cyfrowy: QES
7. Autenti jako kwalifikowany dostawca usług zaufania
8. Często zadawane pytania
Jak działają podpisy cyfrowe?
Chociaż zrozumienie podpisów cyfrowych może wydawać się trudne ze względu na ich techniczny charakter, po prostym wyjaśnieniu cała koncepcja staje się łatwa do zrozumienia.
W skrócie, podpisy cyfrowe działają w oparciu o algorytmy matematyczne, technologię PKI (Infrastruktura Klucza Publicznego), certyfikaty cyfrowe i Urzędy Certyfikacji.
Technologia Infrastruktury Klucza Publicznego
Po pierwsze, cyfrowe podpisywanie dokumentu powoduje, że dostawca podpisu cyfrowego wydaje klucz prywatny powiązany bezpośrednio z osobą podpisującą dokument oraz z podpisywanym dokumentem.
Następnie, dla zapewnienia odpowiedniego bezpieczeństwa, klucz prywatny jest używany do zaszyfrowania danych hash - wygenerowanego ciągu liczb powiązanego z dokumentem.
Klucz prywatny może być dostępny tylko dla osoby podpisującej dokument. Aby zweryfikować, czy podpis nie został naruszony po złożeniu, weryfikatorzy używają drugiego zestawu kluczy wydanych zgodnie z PKI - kluczy publicznych.
Klucze publiczne deszyfrują cyfrowo podpisany dokument, sprawdzając zasadniczo, czy unikalne ciągi liczb (kody hash) dokumentu są zgodne. Jeśli nie są, podpis na dokumencie zostaje uznany za nieważny.
Ponieważ technologia PKI generuje unikalne kody dla każdego podpisu, które można bezpiecznie zweryfikować, możemy porównać je do odcisków palców - unikalnych dla każdego podpisującego.
Dla porównania, najprostsze podpisy elektroniczne, takie jak zaznaczenie pola "Zgadzam się" lub podpis w stopce e-maila, nie oferują tak zaawansowanych metod weryfikacji.
Nie oznacza to jednak, że wszystkie proste rozwiązania podpisu elektronicznego, jak SES (Proste Podpisy Elektroniczne) nie są bezpieczne. Wręcz przeciwnie, podpisy SES są prawnie wiążące i bezpieczne, będąc jednocześnie najbardziej uniwersalnymi z podpisów elektronicznych - pozwalającymi na podpisanie 90% dokumentów w transakcjach biznesowych.
Certyfikaty cyfrowe, integralność dokumentów i Urzędy Certyfikacji
Powiązaną z technologią PKI częścią podpisów cyfrowych są certyfikaty cyfrowe.
Certyfikat cyfrowy to dokument elektroniczny, faktyczny plik zawierający klucz publiczny wygenerowany za pomocą technologii Infrastruktury Klucza Publicznego (PKI), który jest następnie używany do weryfikacji tożsamości podpisującego.
Certyfikaty cyfrowe nie są jednak wydawane samodzielnie. Tu właśnie wkraczają Urzędy Certyfikacji.
Urzędy Certyfikacji to zaufane podmioty lub organizacje, które wydają certyfikaty cyfrowe i bezpiecznie je przechowują. Weryfikują one tożsamość osoby podpisującej dokument i wiążą tę zweryfikowaną tożsamość z samym dokumentem za pomocą kluczy, o których mówiliśmy wcześniej.
Powiązanie tożsamości z certyfikatem cyfrowym zapewnia nienaruszalną integralność dokumentu i ochronę przed wszelkimi próbami fałszerstwa lub manipulacji podczas jego cyfrowej podróży.
Znaczniki czasu dla dodatkowego bezpieczeństwa
Dodatkowym, choć nieobowiązkowym elementem podpisu cyfrowego jest również znacznik daty i czasu - w szczególności kwalifikowane znaczniki czasu.
Zaleca się dodatkowo opatrzyć podpis elektroniczny znacznikiem czasu, aby jeszcze bardziej zabezpieczyć go przed manipulacją.
Dzieje się tak, ponieważ znacznik czasu działa jak cyfrowa pieczęć potwierdzająca, że dokument istniał w określonym czasie i nie został zmieniony od tego momentu. Może być stosowany do każdego rodzaju danych elektronicznych, czy to pliku, czy dokumentu.
Kwalifikowany znacznik czasu łączy dokument z dokładnym czasem jego utworzenia na podstawie numeru hash wygenerowanego wcześniej za pomocą technologii PKI, ale niekoniecznie ma dostęp do treści podpisanego dokumentu czy tożsamości podpisującego.
Wszelkie zmiany w dokumencie lub zarejestrowanym czasie będą łatwo wykrywalne dzięki oznaczonemu czasowi, co znane jest jako ochrona integralności.
Kwalifikowane znaczniki czasu są zdefiniowane przez przepisy i wiążą się z silnym domniemaniem, że data i czas są dokładne, a integralność dokumentu została zachowana. Znaczniki te są powszechnie uznawane we wszystkich państwach członkowskich UE, co czyni je wiarygodnymi i interoperacyjnymi.
Podpisy cyfrowe: historia prawna i regulacje
Znając sposób działania podpisów cyfrowych, możemy przejść do tła ich historii prawnej, skupiając się na regulacjach w Unii Europejskiej.
Oba typy podpisów cyfrowych, AES i QES zostały oficjalnie uznane przez Unię Europejską w 2014 roku wraz z wprowadzeniem rozporządzenia eIDAS we wszystkich państwach członkowskich.
eIDAS oznacza elektroniczną IDentyfikację, Uwierzytelnianie i usługi Zaufania (electronic IDentification, Authentication and Trust Services) i jest to rozporządzenie, które ustanowiło standardy bezpiecznego podpisywania dokumentów elektronicznych i cyfrowych.
Najnowszym dodatkiem do rozporządzenia eIDAS było eIDAS 2.0, które oficjalnie weszło w życie w maju 2024 roku.
Krótkie podsumowanie eIDAS 2.0: wprowadza ono istotne aktualizacje, w tym nowe wymagania dla niekwalifikowanych dostawców usług zaufania, co ostatecznie zwiększa ich rozpoznawalność i wiarygodność. Co więcej, w odpowiedzi na rosnące zagrożenia cybernetyczne, wymusza ono również bardziej rygorystyczne standardy bezpieczeństwa i procesy certyfikacji, a dostawcy usług zaufania muszą teraz spełniać wymagania dyrektywy NIS2.
Aby uzyskać szczegółowe informacje na temat eIDAS 2.0, przeczytaj ten artykuł.
Ale podpisy elektroniczne i cyfrowe nie są regulowane tylko w Unii Europejskiej. Odpowiednikiem eIDAS jest E-Sign Act w Stanach Zjednoczonych, federalna ustawa ZertES w Szwajcarii czy Electronic Transactions Act w Australii.
Podpis cyfrowy: AES
Zaawansowane Podpisy Elektroniczne są świetnym przykładem podpisów cyfrowych, ponieważ weryfikują tożsamość podpisującego w nieco bardziej zaawansowany sposób niż Proste Podpisy Elektroniczne (SES).
W przypadku AES możesz mieć pewność, że podpisujący udowodni swoją tożsamość poprzez weryfikację dokumentu tożsamości online.
Przykład: załóżmy, że prowadzisz firmę działającą w modelu zdalnym, w związku z czym podpisujesz umowy o pracę lub umowy o współpracę z kontrahentami całkowicie zdalnie.
Oczywiście, mógłbyś wysłać dokumentację pocztą do każdego pracownika, czekać na podpisanie papierów i odesłanie ich z powrotem lub zeskanowanie podpisu. Jednak znacznie szybszą i bezpieczniejszą opcją byłoby skorzystanie z podpisu AES.
Wybierając Autenti, otrzymujesz jedną platformę do łatwego zbierania podpisów AES od pracowników, mając jednocześnie 100% pewności, że ich tożsamość została zweryfikowana.
W takim przypadku każdy nowy pracownik otrzymałby e-mail z prośbą o podpisanie dokumentacji. Jednak przed podpisaniem musiałby potwierdzić swoją tożsamość za pomocą dowodu osobistego. Po dokonaniu weryfikacji, podpisujący otrzymuje kod potwierdzający SMS i może zakończyć proces podpisywania.
Typowe przypadki użycia podpisów AES
Typowe przypadki użycia podpisów AES obejmują:
- umowy zlecenia i umowy o dzieło, które nie przenoszą praw własności intelektualnej,
- umowy o współpracy,
- umowy sprzedaży rzeczy ruchomej,
- umowy zamiany,
- umowy najmu (pod warunkiem, że są zawierane na okres do jednego roku).
Podpis cyfrowy: QES
Załóżmy jednak, że Twoje zdalnie podpisywane umowy o pracę są nieco bardziej wymagające, na przykład wiążą się z przeniesieniem praw własności intelektualnej.
W takim przypadku podpisy AES nie będą wystarczające i pojawia się potrzeba wykorzystania kwalifikowanych podpisów elektronicznych.
Zgodnie z rozporządzeniem eIDAS, podpisy QES są równoważne rzeczywistym podpisom odręcznym, co czyni je najbardziej bezpiecznymi.
Kwalifikowane Podpisy Elektroniczne to obszar, w którym certyfikaty cyfrowe działają z pełną mocą, zapewniając właściwą integralność dokumentów.
Korzystając z usługi QES Autenti, otrzymujesz dostęp do ponad 170 dostawców podpisów QES w całej Unii Europejskiej, wybierając tego, który odpowiada Twojej lokalizacji lub preferencjom.
Jeśli chodzi o sam proces, utworzenie podpisu cyfrowego typu QES wymaga dodatkowej weryfikacji tożsamości przeprowadzanej przez zaufaną stronę trzecią. Weryfikacja ta może obejmować potwierdzenie tożsamości poprzez bankowość elektroniczną lub zdalne przeprowadzenie procesu weryfikacji wideo.
Typowe przypadki użycia podpisów QES
Typowe przypadki użycia podpisów QES obejmują:
- Umowa o pracę z przeniesieniem praw własności intelektualnej
- Umowa o zakazie konkurencji
- Udzielenie pełnomocnictwa pracownikowi
- Wypowiedzenie umowy o pracę
- Umowa ubezpieczeniowa
- Umowa rachunku bankowego
Jeśli nie jesteś pewien, który typ podpisu elektronicznego powinieneś wybrać, zawsze możesz porównać je tutaj.
Autenti jako kwalifikowany dostawca usług zaufania
Aby mieć absolutną pewność, że podpisy cyfrowe są realizowane w bezpieczny sposób i są zgodne z regulacjami ustalonymi przez rząd, osoby prywatne i podmioty nie składają podpisów samodzielnie. Korzystają z Dostawców Usług Zaufania (TSP).
Zgodnie z regulacjami, Dostawcy Usług Zaufania muszą wdrażać środki techniczne i organizacyjne w celu zarządzania ryzykiem i zapewnienia bezpieczeństwa swoich usług, zapobiegając i minimalizując wpływ incydentów bezpieczeństwa.
Dostawcy są zobowiązani do powiadamiania organów nadzorczych w ciągu 24 godzin o znaczących naruszeniach lub utracie integralności, informowania dotkniętych osób w razie potrzeby oraz współpracy w przypadku incydentów transgranicznych.
Ponadto, organy nadzorcze muszą przekazywać roczne podsumowania naruszeń do ENISA, a Komisja Europejska może ustanawiać szczególne środki i procedury poprzez akty wykonawcze.
Autenti jest wpisane do rejestru Dostawców Usług Zaufania, gwarantując bezpieczeństwo i uznanie prawne. Oprócz tego, bezpieczeństwo jest zapewnione przez pełną zgodność z regulacjami eIDAS, zgodność z RODO, właściwe archiwizowanie elektronicznie podpisanych dokumentów oraz zgodność ze standardem PDF.
Platforma Autenti koncentruje się na łatwości użytkowania, aby naprawdę uczynić podpisy elektroniczne i cyfrowe bezproblemowymi.
Philippe Enjalbal, Wiceprezes Credit Agricole, tak mówi o partnerstwie z Autenti:
"Proces otwierania konta w naszym banku w pełni zdalnie jest odpowiedzią na potrzeby naszych klientów i kolejnym krokiem w rozwoju naszych usług bankowości elektronicznej [...]. Te nowe rozwiązania są mile widziane przez klientów, którzy chętnie z nich korzystają."
Często zadawane pytania
Czym jest podpis cyfrowy?
Podpis cyfrowy to szczególny rodzaj podpisu elektronicznego, który zapewnia podwyższony poziom autoryzacji z dodatkowymi technikami kryptograficznymi używanymi do zabezpieczenia podpisanego dokumentu przed manipulacją. Podpisy cyfrowe opierają się na technologii PKI z algorytmami matematycznymi, kodami hash, kluczami prywatnymi i publicznymi, a także certyfikatami cyfrowymi działającymi jako prawdziwy odcisk palca dla każdego podpisanego dokumentu.
Jak przeprowadzana jest weryfikacja tożsamości dla podpisów AES?
Weryfikacja tożsamości dla podpisów AES jest przeprowadzana całkowicie online poprzez weryfikację dokumentu tożsamości podpisującego. Po zweryfikowaniu dokumentu tożsamości, podpisujący otrzymuje kod SMS w celu zakończenia procesu podpisywania.
Jak przeprowadzana jest weryfikacja tożsamości dla podpisów QES?
Weryfikacja tożsamości dla podpisów QES jest przeprowadzana na różne sposoby, w zależności od dostawcy Kwalifikowanego Podpisu Elektronicznego. Może być tak prosta jak zalogowanie się do swojego konta bankowego elektronicznie lub nieco trudniejsza, wymagająca sesji wideo twarzą w twarz z Urzędem Certyfikacji.
Czym różnią się podpisy AES i QES od podpisów SES?
Podpisy AES i QES różnią się od podpisów SES głównie pod względem procesu wymaganego do podpisania dokumentów. Na przykład, podpisy SES weryfikują tożsamość podpisującego poprzez prosty kod weryfikacyjny wysyłany e-mailem, podczas gdy AES weryfikuje dokumentację tożsamości podpisującego online, a QES może nawet wymagać sesji wideo w celu potwierdzenia tożsamości podpisującego.
Jak sprawdzić ważność podpisu cyfrowego na dokumencie?
Najbezpieczniejszym sposobem weryfikacji ważności podpisu cyfrowego na dokumencie jest użycie dedykowanego narzędzia, takiego jak Walidator Autenti. Walidator Autenti zapewnia, że Twój dokument jest całkowicie autentyczny i nie został naruszony. Dodatkowo możesz pobrać Poświadczenie Walidacji - szczegółowy raport z weryfikacji - idealny do wykorzystania jako dowód w sprawach prawnych.
