PKI standardy i praktyka Miosz Smolarczyk Tre Standardy

PKI – standardy i praktyka Miłosz Smolarczyk

Treść • Standardy i podstawy prawne • XAd. ES 1. 3. 2 – – Struktura podpisu Rozszerzenia Weryfikacja Problemy prawne i techniczne • Nowa ustawa

Podstawy prawne • • • Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (Dz. U. Nr 130, poz. 1450) Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 roku (Dz. U. Nr 128, poz. 1094) w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. Wkrótce nowa ustawa

Standardy • • PN-ISO/IEC 9796 X. 509, PN-ISO/IEC 9594 -8: 2006 XML Signature, XAd. ES, PKCS #7, … ISO/IEC 27001: 2005 - norma Systemu Zarządzania Bezpieczeństwem Informacji • ISO/IEC 17799: 2005 - zalecenia i najlepsze praktyki • Wiele innych…

XAd. ES • XML Advanced Electronic Signatures – Rozszerzenia XML-DSig • Aktualna wersja 1. 3. 2 • Stosowany w Administracji Publicznej

XAd. ES – podstawowy schemat

XAd. ES - rozszerzenia • XAd. ES-T (timestamp), adding timestamp field to protect against repudiation; • XAd. ES-C (complete), adding references to verification data (certificates and revocation lists) to the signed documents to allow off-line verification and verification in future (but does not store the actual data); • XAd. ES-X (extended), adding timestamps on the references introduced by XAd. ES-C to protect against possible compromise of certificates in chain in future; • XAd. ES-A (archival), adding possibility for periodical timestamping (e. g. each year) of the archived document to prevent compromise caused by weakening signature during long -time storage period.

XAd. ES - weryfikacja • Pozytywna weryfikacja niemożliwa bez wszystkich referencji (także zewnętrznych) • Przykład z życia – doręczanie dokumentu do obywatela: Decyzja (XAd. ES) UPD (XAd. ES) Decyzja (XAd. ES-A) UPD Weryfikacja UPD (XAd. ES) Decyzja (XAd. ES-A)

XAd. ES – weryfikacja

Weryfikacja c. d. „Bezpieczny podpis elektroniczny (…) wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu. ”

Weryfikacja c. d. • Procedura standardowa: – Sprawdzenie integralności dokumentów – Sprawdzenie zgodności podpisu z dokumentem – Sprawdzenie ważności certyfikatu, na podstawie aktualnych CRL/ARL • X. 509: listy są aktualne, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy. W szczególnym przypadku nieważny certyfikat może zostać zweryfikowany prawidłowo!

Weryfikacja c. d. • Procedura bezpieczna: – – Oznaczenie czasem, np. : XAd. ES-T Sprawdzenie integralności dokumentów Sprawdzenie zgodności podpisu z dokumentem Sprawdzenie ważności certyfikatu, na podstawie aktualnych (z definicji) CRL/ARL – Zwrócenie informacji o niekompletnej weryfikacji i jej statusie – Zwrócenie ostatecznego wyniku weryfikacji po zweryfikowaniu certyfikatu z użyciem list CRL/ACL następujących po znaczniku czasu – Rozszerzenie do postaci archiwalnej (w zależności od potrzeb), np. : XAd. ES-A

Inne problemy • Oparcie na zaufaniu do urządzeń i aplikacji – Czy w rzeczywistości użytkownik wie co podpisuje? • Konieczna „konserwacja” podpisów • Problemy prawne …

Nowa ustawa • Stan: odesłana do konsultacji • Założenia: upowszechnienie i obniżenie kosztów korzystania z podpisu elektronicznego • Środki: – Więcej usług certyfikacyjnych – Umożliwienie samorządom świadczenia usług niekwalifikowanych (konieczna także nowelizacja Ustawy o informatyzacji) – Zniesienie obowiązku zawierania umów na piśmie z subskrybentem

Nowa ustawa – 5 rodzajów podpisów • • • Zaawansowany - przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za pomocą środków które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna. Kwalifikowany – zaawansowany podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego. Łączny – z założenia przyporządkowany grupie. Urzędowy – podpis zaawansowany, weryfikowany za pomocą ważnego certyfikatu urzędowego. Pieczęć elektroniczna – podpis zaawansowany, składany przez podpisującego nie będącego osobą fizyczną weryfikowanego przy pomocy ważnego certyfikatu systemowego.

Nowa ustawa – 4 rodzaje certyfikatów • Kwalifikowany (tak jak dotychczas) • Systemowy – przyporządkowany podpisującemu składającemu pieczęć elektroniczną • Urzędowy – kwalifikowany lub wydany przez Urząd, na potrzeby komunikacji z obywatelami • Certyfikat atrybutów - określa uprawnienia osoby wskazanej w certyfikacie.

Nowa ustawa – skutki prawne podpisu • Zaawansowany podpis elektroniczny, weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu • Dane w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym wywołują skutki złożenia oświadczenia woli w formie pisemnej. • Podpis łączny wywołuje skutki reprezentacji łącznej na zasadach określonych przez właściwe przepisy, umowę albo statut.

Nowa ustawa – podpis bez podpisu? • Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba ta w celu dokonania czynności która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.

Datownik elektroniczny • Rozróżnienie kwalifikowanej i niekwalifikowanej usługi oznaczenia czasem • Datownik elektroniczny stanowi dowód tego, że usługa została wykonana w czasie określonym w tym datowniku. Skutki prawne stosowania datownika elektronicznego określają przepisy odrębne.

Nowa ustawa – podsumowanie • Dostosowanie do dyrektywy UE • Uhonorowanie certyfikatów zagranicznych • Upowszechnienie e-podpisu ? • Na razie brak projektów aktów wykonawczych

Dziękuję Miłosz Smolarczyk