1 / 21

PKI – standardy i praktyka

PKI – standardy i praktyka. Miłosz Smolarczyk. Treść. Standardy i podstawy prawne XAdES 1.3.2 Struktura podpisu Rozszerzenia Weryfikacja Problemy prawne i techniczne Nowa ustawa. Podstawy prawne. Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (Dz. U. Nr 130, poz. 1450)

talon-delaney
Download Presentation

PKI – standardy i praktyka

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PKI – standardy i praktyka Miłosz Smolarczyk

  2. Treść • Standardy i podstawy prawne • XAdES 1.3.2 • Struktura podpisu • Rozszerzenia • Weryfikacja • Problemy prawne i techniczne • Nowa ustawa

  3. Podstawy prawne • Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (Dz. U. Nr 130, poz. 1450) • Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 roku (Dz. U. Nr 128, poz. 1094) w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. • Wkrótce nowa ustawa

  4. Standardy • PN-ISO/IEC 9796 • X.509, PN-ISO/IEC 9594-8:2006 • XML Signature, XAdES, PKCS #7, … • ISO/IEC 27001:2005 - norma Systemu Zarządzania Bezpieczeństwem Informacji • ISO/IEC 17799:2005 - zalecenia i najlepsze praktyki • Wiele innych…

  5. XAdES • XML Advanced Electronic Signatures • Rozszerzenia XML-DSig • Aktualna wersja 1.3.2 • Stosowany w Administracji Publicznej

  6. XAdES – podstawowy schemat

  7. XAdES - rozszerzenia XAdES-T (timestamp), adding timestamp field to protect against repudiation; XAdES-C (complete), adding references to verification data (certificates and revocation lists) to the signed documents to allow off-line verification and verification in future (but does not store the actual data); XAdES-X (extended), adding timestamps on the references introduced by XAdES-C to protect against possible compromise of certificates in chain in future; XAdES-A (archival), adding possibility for periodical timestamping (e.g. each year) of the archived document to prevent compromise caused by weakening signature during long-time storage period.

  8. XAdES - weryfikacja • Pozytywna weryfikacja niemożliwa bez wszystkich referencji (także zewnętrznych) • Przykład z życia – doręczanie dokumentu do obywatela: Decyzja (XAdES) Decyzja (XAdES) Decyzja (XAdES-A) UPD UPD UPD (XAdES) Weryfikacja UPD (XAdES) UPD (XAdES) Decyzja (XAdES-A)

  9. XAdES – weryfikacja

  10. Weryfikacja c.d. „Bezpieczny podpis elektroniczny (…) wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu.”

  11. Weryfikacja c.d. • Procedura standardowa: • Sprawdzenie integralności dokumentów • Sprawdzenie zgodności podpisu z dokumentem • Sprawdzenie ważności certyfikatu, na podstawie aktualnych CRL/ARL • X.509: listy są aktualne, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy. W szczególnym przypadku nieważny certyfikat może zostać zweryfikowany prawidłowo!

  12. Weryfikacja c.d. • Procedura bezpieczna: • Oznaczenie czasem, np.: XAdES-T • Sprawdzenie integralności dokumentów • Sprawdzenie zgodności podpisu z dokumentem • Sprawdzenie ważności certyfikatu, na podstawie aktualnych (z definicji) CRL/ARL • Zwrócenie informacji o niekompletnej weryfikacji i jej statusie • Zwrócenie ostatecznego wyniku weryfikacji po zweryfikowaniu certyfikatu z użyciem list CRL/ACL następujących po znaczniku czasu • Rozszerzenie do postaci archiwalnej (w zależności od potrzeb), np.: XAdES-A

  13. Inne problemy • Oparcie na zaufaniu do urządzeń i aplikacji • Czy w rzeczywistości użytkownik wie co podpisuje? • Konieczna „konserwacja” podpisów • Problemy prawne …

  14. Nowa ustawa • Stan: odesłana do konsultacji • Założenia: upowszechnienie i obniżenie kosztów korzystania z podpisu elektronicznego • Środki: • Więcej usług certyfikacyjnych • Umożliwienie samorządom świadczenia usług niekwalifikowanych (konieczna także nowelizacja Ustawy o informatyzacji) • Zniesienie obowiązku zawierania umów na piśmie z subskrybentem

  15. Nowa ustawa – 5 rodzajów podpisów • Zaawansowany - przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za pomocą środków które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna. • Kwalifikowany – zaawansowany podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego. • Łączny – z założenia przyporządkowany grupie. • Urzędowy – podpis zaawansowany, weryfikowany za pomocą ważnego certyfikatu urzędowego. • Pieczęć elektroniczna – podpis zaawansowany, składany przez podpisującego nie będącego osobą fizyczną weryfikowanego przy pomocy ważnego certyfikatu systemowego.

  16. Nowa ustawa – 4 rodzaje certyfikatów • Kwalifikowany (tak jak dotychczas) • Systemowy – przyporządkowany podpisującemu składającemu pieczęć elektroniczną • Urzędowy – kwalifikowany lub wydany przez Urząd, na potrzeby komunikacji z obywatelami • Certyfikat atrybutów - określa uprawnienia osoby wskazanej w certyfikacie.

  17. Nowa ustawa – skutki prawne podpisu • Zaawansowany podpis elektroniczny, weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu • Dane w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym wywołują skutki złożenia oświadczenia woli w formie pisemnej. • Podpis łączny wywołuje skutki reprezentacji łącznej na zasadach określonych przez właściwe przepisy, umowę albo statut.

  18. Nowa ustawa – podpis bez podpisu? • Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba ta w celu dokonania czynności która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.

  19. Datownik elektroniczny • Rozróżnienie kwalifikowanej i niekwalifikowanej usługi oznaczenia czasem • Datownik elektroniczny stanowi dowód tego, że usługa została wykonana w czasie określonym w tym datowniku. Skutki prawne stosowania datownika elektronicznego określają przepisy odrębne.

  20. Nowa ustawa – podsumowanie • Dostosowanie do dyrektywy UE • Uhonorowanie certyfikatów zagranicznych • Upowszechnienie e-podpisu ? • Na razie brak projektów aktów wykonawczych

  21. Dziękuję Miłosz Smolarczyk

More Related