Podpis elektroniczny
description
Transcript of Podpis elektroniczny
Podpis elektroniczny
Infrastruktura Klucza Publicznego Zastosowanie podpisu elektronicznego Zagrożenia
Podpis elektroniczny, 18 maja 2006
PKI – Infrastruktura Klucza Publicznego
Podpis elektroniczny, 18 maja 2006
Infrastruktura - system urządzeń, działań i instytucji, które wspierają bezpośrednio lub pośrednio produkcyjną sferę gospodarki lub są niezbędnym zapleczem dla funkcjonowania społeczeństwa
PKI - to nowoczesne rozwiązanie dostarczające usługi bezpieczeństwa użytkownikom elektronicznej wymiany danych. Umożliwia bezpośrednie, bezpieczne przesyłanie, podpisywanie i szyfrowanie dokumentów elektronicznych.
PKI – Infrastruktura Klucza Publicznego
• urzędy certyfikacyjne (CA)
• urzędy rejestracyjne (RA)
• subskrybenci certyfikatów (użytkownicy)
• oprogramowanie
• sprzęt
Podpis elektroniczny, 18 maja 2006
Centra Certyfikacyjne
Podpis elektroniczny, 18 maja 2006
Certum, Unizeto Sp. z o.o. Szafir, Krajowa Izba Rozliczeniowa S.A. Sigillum, Państwowa Wytwórnia
Papierów Wartościowych S.A. SIGNET, TP Internet Sp. z o.o.
Usługi świadczone przez Centra Certyfikacji
Podstawowe funkcje:• Emisja certyfikatów• Odnowienie certyfikatów• Unieważnianie certyfikatów• Emisja list certyfikatów unieważnionych
Usługi dodatkowe:• Kurier Elektroniczny• Elektroniczny Datownik
Podpis elektroniczny, 18 maja 2006
Cechy podpisu elektronicznego
• uwierzytelnienie źródła danych
• niezaprzeczalność nadania
• integralność danych
• jednoznaczne przypisanie podpisu kwalifikowanego do osoby
Przy zastosowaniu szyfrowania dodatkowo:
• poufność
• integralność danych
Podpis elektroniczny, 18 maja 2006
Certyfikat
Podpis elektroniczny, 18 maja 2006
Podstawowe atrybuty certyfikatu
• Identyfikator subskrybenta
• Numer seryjny certyfikatu
• Okres ważności certyfikatu
• Klucz publiczny
• Nazwa wystawcy certyfikatu
Certyfikat jest podpisany przez organ wydający certyfikaty, co pozwala na zweryfikowanie jego autentyczności
Podpis elektroniczny, 18 maja 2006
Podpisywanie
Podpis elektroniczny, 18 maja 2006
Weryfikacja
Podpis elektroniczny, 18 maja 2006
Szyfrowanie
Podpis elektroniczny, 18 maja 2006
Rodzaje certyfikatów
Certyfikaty zwykłe• zapewniają ochronę integralności przesyłek e-mail
i dokumentów elektronicznych• służą do szyfrowania dokumentów• umożliwiają bezpieczne przechowywanie danych
i ich transfer poprzez Internet• służą do jednoznacznej identyfikacji dla poczty
e-mail, serwerów WWW, urządzeń sieciowychi oprogramowania
Podpis elektroniczny, 18 maja 2006
Rodzaje certyfikatów
Certyfikaty kwalifikowane• służą do weryfikacji podpisów elektronicznych, które
wywołują skutki prawne równoważne podpisowi własnoręcznemu
• wydawane są na podstawie umowy i po weryfikacji tożsamości użytkownika w Punkcie Rejestracji
• przeznaczone są dla osób fizycznych• nie służą do szyfrowania dokumentów
Podpis elektroniczny, 18 maja 2006
Ustawa o podpisie elektronicznym art. 3
1) podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny,
2) bezpieczny podpis elektroniczny - podpis elektroniczny, który:
a) jest przyporządkowany wyłącznie do osoby składającej ten podpis,
b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznegoi danych służących do składania podpisu elektronicznego.
Podpis elektroniczny, 18 maja 2006
Ustawa o podpisie elektronicznym art. 5
Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi (...)
Podpis elektroniczny, 18 maja 2006
Rodzaje certyfikatów
Rodzaje podpisu elektronicznego
Rodzaje certyfikatów
Wydawcy certyfikatów
Urządzenie do składania podpisu
elektronicznego
bezpieczny podpis
elektroniczny
kwalifikowany certyfikat
kwalifikowany podmiot
świadczący usługi certyfikacyjne
bezpieczne urządzenie do
składania podpisu elektronicznego
zwykły podpis elektroniczny
zwykły certyfikatpodmiot
świadczący usługi certyfikacyjne
brak wymogów
Podpis elektroniczny, 18 maja 2006
Kurier Elektroniczny - zasada działania
POTWIERDZENIE NADANIA
Podpis elektroniczny, 18 maja 2006
Elektroniczny datownik
Urząd znacznika czasu - instytucja wydającą automatycznie znaczniki
wiarygodnego czasu.
• Znacznik czasu zapewnia, iż dane istniały przed ich oznaczeniem
• Stanowi dowód, iż od tego czasu dane nie były modyfikowane
• Zapewnia wiarygodność czasu, którym oznakowano dane
Znacznik czasu ułatwia tworzenie elektronicznych systemów rejestracji dokumentów oraz zwiększa bezpieczeństwo procesów biznesowych, uniemożliwiając antydatowanie umów, sporządzanie dokumentów z datą wsteczną, dokonywania w nich zmian po oznakowaniu czasem.
Podpis elektroniczny, 18 maja 2006
Strong Internet
Podpis elektroniczny, 18 maja 2006
Korzyści: Bezpieczne uwierzytelnienie zastępujące tradycyjne logowanie
oparte o login i hasło. Wyeliminowanie możliwości przechwycenia, podejrzenia lub
kradzieży loginu i hasła. Jednokrotne logowanie do wielu różnorodnych zasobów Wiarygodna identyfikacja właściciela certyfikatu w Internecie,
sieci lokalnej oraz systemach informatycznych. Wiarygodna identyfikacja działań określonego użytkownika w
systemach informatycznych.
Zastosowanie podpisu elektronicznego
oficjalna korespondencja• dokumentacja• ustalenia• umowy• aneksy• e-faktury
korespondencja wewnętrzna• podania• decyzje
inne relacje• kontakty z administracją• sprawozdawczość• zaopatrzenie• udział w aukcjach
elektronicznych
kontakty z klientami• informacja• przyjmowanie zleceń• zamówienia
Podpis elektroniczny, 18 maja 2006
Płaszczyzny kontaktów
Podpis elektroniczny, 18 maja 2006
Korzyści dla użytkowników e-dokumentu
• zmniejszenie kosztów• usprawnienie działalności• przyspieszenie przebiegu procesów
• tworzenie dokumentów - eliminacja wersji papierowych (toner, papier, drukarki wraz z konserwacją, czas pracy)
• dystrybucja dokumentów (kolejki na poczcie, kopertowanie, znaczki, oczekiwanie na dostarczenie)
• przechowywanie dokumentów (ograniczenie objętości archiwów, łatwość archiwizacji i przeszukiwania zbiorów danych)
Podpis elektroniczny, 18 maja 2006
Korzyści dla użytkowników e-dokumentu
Podpis elektroniczny, 18 maja 2006
0
1
2
3
4
5
6
7
8
9
[PLN]
tworzeniedokumentu
przesłaniedokumentu
odbiórdokumentu
koszty razem
Porównanie kosztów dokumentu tradycyjnego i elektronicznego
Inne zastosowania karty
Podpis elektroniczny, 18 maja 2006
Podpis w administracji
Podpis elektroniczny, 18 maja 2006
Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (obowiązuje od 16 sierpnia 2002 r.)
Art.58.
2. W terminie 4 lat od dnia wejścia w życie ustawy organy władzy publicznej umożliwią odbiorcom usług certyfikacyjnych wnoszenie podań i wniosków oraz innych czynności w postaci elektronicznej, w przypadkach gdy przepisy prawa wymagają składania ich w określonej formie lub według określonego wzoru.
TERMIN DOSTOSOWAWCZY UPŁYWA: 16 sierpnia 2006 r.
Przyszłość
Podpis elektroniczny, 18 maja 2006
e-faktury z podpisem zaawansowanym
2007 r. e-deklaracje ZUS 2007 r. e-podatki
Zagrożenia związane z transmisją danych
Podpis elektroniczny, 18 maja 2006
• Dostęp do danych przez osoby nieuprawnione
• Możliwość ingerencji w dane
• Niebezpieczeństwo podania fałszywej tożsamości nadawcy (brak możliwości jednoznacznego ustalenia tożsamości)
• Możliwość modyfikacji czasu nadania wiadomości
• Brak potwierdzenia, że dokument doszedł do odbiorcy
Zagrożenia
Podpis elektroniczny, 18 maja 2006
[kwiecień 2006] „Specjaliści z Politechniki Wrocławskiej odkryli słabe punkty protokołów SSL/TSL i SSH, najpopularniejszych protokołów zapewniających bezpieczną komunikację w Internecie.”
Zagrożenia
Podpis elektroniczny, 18 maja 2006
„Programiści G DATA wykryli lukę w oprogramowaniu wykorzystywanym do składania podpisu kwalifikowanego. Po wprowadzeniu do komputera odpowiedniego kodu, istnieje możliwość podmiany podpisywanego dokumentu.”
Użytkownik - najsłabsze ogniwo bezpiecznego systemu komputerowego
Podpis elektroniczny, 18 maja 2006
Edukacja użytkowników Zabezpieczenia aktywne Zabezpieczenia pasywne Aktualizacja zabezpieczeń
Oferta ZETO Świdnica
Podpis elektroniczny, 18 maja 2006
Elementy składowe zestawu: 1 x certyfikat kwalifikowany (okres ważności: 1 rok), 1 x certyfikat niekwalifikowany Certum Gold (okres ważności: 1 rok), 1 x karta kryptograficzna cryptoCertum, 1 x czytnik kart na złącze USB lub RS232, 1 x oprogramowanie podpisujące proCertum SecureSign, 1 x oprogramowanie weryfikujące proCertum SecureSignVer, 1 x instrukcja obsługi i regulamin usług certyfikacyjnych,
1 x oprogramowanie SignetProofer + instrukcja obsługi, 1 x oprogramowanie Sigillum + instrukcja obsługi,
1 x autoryzacja notarialna użytkownika podpisu kwalifikowanego, 1 x instalacja i konfiguracja oprogramowania, 1 x kompleksowe szkolenie.