Brunon Hołyst Jacek Pomykała
Podpis e
lektroniczny
- aspekty kryminalistyczne,
prawne i
informatyczne
Celem niniejszego opracowani a jest wprowadzenie czytelnika w ob-szemą problematykę podpisu elek-tronicznego. Z mocy prawa funkcjo-nuje on w Polsce od2001 roku, jed-nak pozostawia to jeszcze wiele do życzenia,zwłaszczaw sferze admini-stracji państwowej. Czy je st eś my w stanie do 2008 roku wprowadzić w życie odpowiednią ustawę? Jakie będą kolejne wyzwania dla dalszego rozwoju bezpiecznych usług elektro -nicznych w Polsce? Czy system prawnynadążyza nowymi problema-mi w rozwoju bezpiecznej komunika-cji elektronicznej? Wreszcie, czy i jak możemy przygotowywać siędo prze-ciwdziałania zagrożeniom wynikają cym z nowych trendów w rozwoju podpisu cyfrowego? Są to pytania, którepojawiająsięwkontekście pod-pisu elektronicznego. Punktem wyj-ścia do naszychrozważań jest więc zrozumienie zarówno samejistoty sy-gnaturycyfrowej, jaki mechanizmów jej działan ia i funkcjonowania w ra-mach sieci teleinformatycznych. W niniejszej pracy przeplatają się różne wątki związane z podpisem elektronicznym - począwszy od prawnych , kryminalistycznych,
a skończywszy na informatyczno--matematycznych. W pierwszej czę ści artykułu odwołujemy się głównie do ustawy o podpisieelektronicznym,
natomiast w drugiej,bardziej formal-nej- do aspektów jego bezpieczeń stwa izastosowań w strukturach gru-powychihierarchicznych.
Istota podpisu elektronicznego wświetleprawa
Ustawa o podpisie elektronicznym obowiązująca od'18 września 2001
PROBLEMYKRYMINALISTYKI256/07
roku jest odpowiedzią na współcze sne wyzwania gospodarki elektro-nicznej. Rosnące znaczenie handlu elektronicznegodoprowadziłodo ko-nieczności stworzenia mechanizmów
i regulacji skutecznie chroniących wszystkie strony transakcji. Dotyczy to nietylkobezpośrednio kupujących isprzedających, lecztakże pośredni ków w handlu elektronicznym. Odpo-wiedzią na powyższe potrzeby stał się podpis elektroniczny, powszech-nieużywane narzędziedo autoryzacji i potwierdzania autentyczności pod-miotów w ramach sieci teleinforma-tycznych1.
Korzyści osiągane dzięki zastoso-waniu podpisu elektronicznego nie ograniczają się wyłącznie do sfery e-biznesu, są także bardzo ważne dla organów administracji państwo wejorazich wzajemnych relacjiz ca-łym społeczeństwem. Co więcej, sprawne funkcjonowanie całej infra-struktury podpisu elektronicznego jestkoniecznościąwynikającązzało żeń Dyrektywy Unii Europejskiej dla podpisu elektronicznego.
Poniżej przedstawimy założenia dotycząceszerokorozumianej defini-cjipodpisuelektronicznegoite wyni-kające z podstawowych aktów praw-nychznimzwiązanych .
Celem ustawy o podpisie elektro-nicznym (...) jest stworzenie mecha-nizmu i odpowiedniej infrastruktury organizacyjnej, które umożliwią bez-pieczne i niezawodne posługiwanie się w Polsce nowoczesnymi elektro-nicznymi środkami łączności oraz przetwarzanie informacji na potrzeby czynności prawnych i w działalności gospodarczej. Tym mechanizmem jest uregulowana prawnie instytucja podpisuelektroniczneqoś,
Ustawa ta została, co do zasady, oparta na założ e niach wyrażonych w Dyrektywie UE o podpisie elektro-nicznym. Jest to,podobnie jak Dyrek-tywa, uregulowanie o charakterze mieszanym, a zarazem jeden z kro-ków mających na celu harmonizację polskiego prawa z zasadami prawa unijneg03.
Wedługustawy o podpisie elektro-nicznym wyrażenie "podpis elektro-niczny" oznacza dane w postaci elek-tronicznej,jakie wraz z innymi dany-mi,do którychzostały dołączone lub z którymi są logicznie powiązane, służądo identyfikacji osobyskładają cej podpis etektroruczny''.
W definicjipojęcia"podpis elektro-niczny" ustawodawca stara się za-chować technologiczną neutralność. Nieprzesądzając,czy iktórez obec-nie stosowanychtechnologiipodpisu elektronicznego zostaną powszech-nie zaakceptowane, przyjmuje bar-dzo szeroką definicję takiej formy podpisuS.
Podobny zapis widnieje w Dyrek-tywie UEdefiniującej podpis elektro-niczny jako dane w formie elektro-nicznej, które są dodane do innych danych elektronicznychlubsąz nimi logicznie powiązane isłużą do auto-ryzacji(dala in etectronictorm which are attached lo or logically
associa-tea
wilh olhereiectronic
dala and which serve as a metbod ot aulhenli-calion). W tym sensie podpisem elek-tronicznym jest na przykład obraz podpisu własnoręcznego otrzymany za pomocą skanera, podpis sporzą dzony elektronicznym piórem, kod PIN karty elektronicznej użyty do podjęcia pieniędzy z bankomatuczy też imię lub nazwisko umieszczone w zakończeniu wiadomości wysynej pocztą elektroniczną albo przy
użyciu faksymile (ogólniej- wkażdej
postaci, w której dokument powstał lubzostał przetworzony nastrumień
logiczniepowiązanychbitów i
nforma-cji przechowywanych i przesłanych jako impulsy elektryczne, pola ma
-gnetyczne,strumieńfotonówitp.).
Takipodpisjestłatwydo podro
bie-nia inie mażadnych (pozasamą tre-ścią) szczególnych cech pozwalają
cych w sposóbniebudzący wątpliwo ściprzypisać go dookreślonejosoby lub dokumentu. Z tego powodu jest w wielu sytuacjach niezadowalający. Znacznie bardziejużytecznajest inna
forma podpisu elektronicznego,czę
sto określana pojęciem "zaawa
nso-wany podpiselektroniczny"lub " pod-pis cyfrowy"(advanced electronic s i-gnature, digital signature)6.
Zgodnie z zapisami w Polskiej Normie (PN-I-02000)podpisem elek
-tronicznymjest prze kształceniek ryp-tografi czne danych umożliwiające
odbiorcydanych sprawdzenieich au-tentyczności i integral ności oraz za -pewniające nadawcy ochro n ę przed
sfałszowan iem danychprzez o dbior-cę?
Podpiselektroniczny to rodzaj s y-gnaturycyfrowej,która podobnie jak zwykły podpis powinna zapewnić
odbiorcęoautentycznościwia
domo-ści. Adresat powinien być ta kże
pewny, że podpis jest autentyczny
i niepodrabialny oraz że nie można
go wykorzystywać wielokrotnie, zaś osoba podpisująca nie może się go wyprzeć8.
"I stotą podpisu elektroniczneg o jest powiązanie zamienionego na ciąg bitów dokumentu ztwórcą tego dokumentu tak, że jednoznacznie można związek taki stwierdzić i wy-kluczyćzwiązekzinną osobą. Podpis elektr oniczny umożli wia więc p
o-twierdzenie tożsamości osoby, która stworzyładokument.Podpisye lektro-niczne powinny ponadto umożliwić wykrycie zmian w treści dokumentu
dokonanych wnimpojego ut worze-niu.Wartozauważyć , że pojęciepod
-pisuelektronicznego to kategoria
po-jęciowo szeroka, obejmująca różne elektroniczne metody, będące funk
-cjonalnymi odpowiednikami podpisu
6
własnoręcznego. Najpopu
larniej-szym rodzajem podpisu
elektronicz-nego jest podpis cyfrowy (digital si -gnature), oparty na tzw. kodowaniu
asymetrycznym. Należy podkreślić ,
że pojęcioweutożsamianiepodpisów
elektronicznych i cyfrowych jest błędem. Kategoriapodpisu cyfrowe-go jest pojęciem węższym i mieści
się w szerokiej kategorii podpisów
elektronicznych"S.
Zpoglądem głoszącym,żepodpis
elektroniczny to pojęcie szersze od podpisu cyfrowego, niezgadzają się
RobertPodpłońskiiPiotrPopis, a
uto-rzy książki Podpis elektroniczny.Ko -mentarz.Wedługnich oba tepojęcia
odnoszą siędo czego innego. Podpiselektronicznyjestpojęciem
prawnym i obejmuje wszelkie el
e-ktroniczne dane służące do potwi
er-dzenia tożsamości osoby fizycznej.
Pojęcie"podpiscyfrowy"wywodzisię natomiast z technologiiu wierzytelnie-nia.Opisują wi ęczupełnieróżn ąrze -czywistość. Podpis cyfrowy będzie
zawi erał się w pojęci u podpisu ele
k-tronicznego tylko w przypadku, gdy
będzie identyfikował osobę fizyczn ą itakdługo,jakdługotechnologiacy
-frowa będzie dopuszczalna w celu
składania podpisu elektronicznego.
Ilekroć podpis cyfrowybędzi e s
toso-wany doidentyfikacji innegop
odmio-tuniż osobafizyczna,nie będzie się mieściłwpojęciu"podpis elekt ronicz-ny"lO.
Ustawa dopuszcza istnienie zwy-kłego i bezpiecznego podpisu el
ek-tronicznego. Ten zaś nie jest, jak możnabysądzić,elektronicznym
od-zwierciedleniem imienia i nazwiska, lecz zdefi niowaną specjalnymi al
go-rytmami metodą szyfrowania do
ku-mentów stworzonych przezich au to-ra w sposób uniemożliwiający p od-ważeni e wiarygodności podpisanej
tre ś ci!",
Tak zwany zwykłypodpis e
lektro-niczny jest wniewielkim zakresie r e-gulowany ustawą, w szczegól ności
zaś nie jest zrównany w skutkach
prawnych z podpisem własnoręcz nymani niestosujesiędo niegodo -wodu niezaprzeczalności autorstwa, o którym mowawart.6 ust. 1 ustawy.
Także technologia jego złożen ia jest
dowolna,może być zbliżonalub taka sama jak technologia
wykorzystywa-na doskładaniabezpiecznego podpi-su elektronicznego12.
Wedługustawy o podpisiee
lektro-nicznym bezpieczny podpis e
lektro-niczny13jest traktowanyjako podpis
elektroniczny,który:
a) jest przyporządkowany wyłącz
nie do osoby składającej ten podpis,
b) jest sporządzony za pomocą
podlegających wyłącznie kon
-troli osoby składającej podpis
elektroniczny bezpiecznych urządzeń służących do składa
nia podpisu elektronicznego
i danych służących do składa
nia podpisu elektronicznego,
c) jest powiązany z danymi, do którychzostał dołączony,w taki
sposób,żejakakolwiekpóżn iej sza zmiana tych danych jest rozpoznawaina.
W innychkrajach, wzależ nościod
przyjętego nazewnictwa, oprócz
wy-stępująceg o bezpiecznego podpisu elektronicznego funkcjon ują pojęcia
zaawansowanego podpisu e
lektro-nicznego, kwalifikowanego podpisu elektronicznego, gwarantowane go podpisu elektronicznego, za
bezpie-czonego podpisu elektronicznego
czy wreszcie uniwersalnego podpisu
elektronicznego.
Bezpieczny podpis elektroniczny
możezostaćprzyporząd kowanytylko do osobyfizycznej.
Przyporząd kowanie do osoby f
i-zycznej może być zrealizowane
przez:
1) kwalifikowanycertyfikat, 2) niekwalifikowany certyfikat
wy-dany przez podmiotświadczący usług icertyfikacyjnelub 3)inny rodzaj elektronicznego
za-świadczen ia, zapomocą któ re-go danesłużącedo weryfikacji podpisu elektron icznego są
przyp orząd kowane do osoby składającej podpis e
lektronicz-ny i które umożliwiają id entyfi-kację tejosoby (np.stosowane
wbankowości).
Związek między bezpiecznym
podpisem elektronicznyma
jącym opiera się na odpowiednim certyfikacie.Certyfikat ten może, ale
nie musi być dołączany do
podpisy-wanego dokumentu,przy czym musi
być dołączoneprzynajmniej wskaza-nie kwalifikowanego certyfikatu jako
atrybut podpisusłużącego do
weryfi-kacji danego bezpiecznego podpisu
elektronicznego14.
Dyrektywaimodelowa ustawa o podpisach elektron icznych wUniiEuropejskiej
Akt normatywny w randze ustawy,
regulujący zasady funkcjonowania
podpisu elektronicznego w Polsce,
został uchwalony przez Sejm Rze
-czypospolitej Polskiej 18 września
2001 roku1S.
Rozwiązania umożliwiające
doko-nywanie czynności prawnych w
for-mie elektronicznej były zawarte
w polskich aktach prawnych już
wcześniej . Najlepszym tego przykła
dem jest ustawa z 1997 r.- Prawo
bankowe, która wart. 7 dopuszcza
możliwość składania oświadczeń
wo-li w zakresie czynności bankowych
na elektronicznych nośnikach infor
-macji,zrównująctak dokonane
czyn-nościzczynnościami,dla których wy-magana jest forma pisemna dla
ce-lów dowodowych i pod rygorem
nie-ważności.
Inną regulacją prawną, w której
przewidujesię formę elektronicznych
czynności prawnych, jest np.ustawa
- Prawoo publicznym obrocie
papie-ramiwartościowymi,ustawa o obliga-cjach16.
Problematyka podpisu
elektronicz-nego jest obecnieprzedmiotem
zain-teresowania wielu organizacji mię
dzynarodowych oraz ich agend. Pro-blemem podpisu elektronicznego za-jęła się Unia Europejska, która opra-cowała stosowną dyrektywę, oraz
UNCITRAL (pracując nad Ustawą
modelową o podpisach eiektronicz -nych)l7.
Podejmowane przez wiele lat
w Unii Europejskiejwysiłki legislacyj-ne zakończyły się przyjęciem 13 grudnia 1999 roku Dyrektywy
Parla-mentu i Rady Unii Europejskiej
w sprawie wspólnotowych warunków
PROBLEMYKRYMINA LISTYKI 256/07
ramowych dla podpisu
elektronicz-nego nr 1999/93/EC. Dyrektywa ta
tworzy ogólneramy prawne do
przy-jęcia odpowiednich regulacji w
po-szczególnych państwach członkow
skich.
Ceiem Dyrektywy 1999/93/EC jest stworzenie jednolitych ram prawnych
dla infrastruktury podpisów
elektro-nicznychi określonych usług
certyfi-kacyjnych (autoryzacyjnych),prawne
usankcjonowanie podpisów e
lektro-nicznych w krajach Unii, ułatwienie
ich stosowania w obrocie, a także
ochrona użytkowników sieci przed
zagrożeniami,jakie niesie zasobą
In-ternet, iprzedsiębiorcówprzedutratą
zaufania ze strony kontrahentów. Nie
bez znaczenia miało być także
wzmocnienie zaufania i wzrost ogól
-nej akceptacji dla stosowania nowych
technologii informatycznych.
Konse-kwencjąDyrektywy niemiała być na-tomiast harmonizacja krajowych ure-gulowań dotyczącychprawa kontrak-tów, w szczególności zasad ich
za-wierania i wykonywania, czy też
za-gadnieńformy i charakteru prawnego podpisu. Zagadnienia te pozostawio-no w wyłącznej gestii regulacji we-wnętrznej państw członkowskich18.
Uzupełnieniem art.7 Ustawy
mo-delowej o handluelektronicznym ma
być Ustawa modelowa w sprawie
podpisów elektronicznych. Prace
nad jej przygotowaniem rozpoczęto
jeszcze w 1996 r.Pierwotnie
rozwa-żano uregulowanie kwestii podpisów
cyfrowych i myślano raczej o
szcze-gółowej, zawierającej bardzo wiele definicji, nieneutralnej
technologicz-nie regulacji. Kilka lat doświadczeń
krajów, którewprowadziłyspecy
ficz-ne, technologicznie regulacje, spo-wodowało ewolucjępoglądów i
stop-niowe odchodzenie od szczegóło
wych i restrykcyjnych propozycji i ich zmiany na elastyczne i nowoczesne podejście, dające się zastosowaćdo różnychtechnik podpisu
elektronicz-nego. Grupa Robocza UNCITRAL
ds. handlu elektronicznego zakoń
czyła przygotowanie tekstu Ustawy
modelowej na 27 sesji we wrześniu
2000r. Na 38 sesji w marcu 2001r.
przyjęto zaśostateczny tekst Ustawy
oraz memorandum wyjaśniające do
tego aktu,będące komentarzem
po-mocnym ustawodawcom pragnącym
inkorporować zasady przewidziane ustawądowewnętrznych porządków prawnych (Guide lo Enaclmenl). In-tencją UNCITRAL było przestrzega
-nie zasady neutralności medialnej
oraz technologicznej.
Neutralność medialna polega na tym, że wszystkie nośniki informacji muszą mieć równystatus prawny, je-żeli sąfunkcjonalnymi odpowiednika-mi.Podkreślaonakonieczność zrów-nania "papierowego" obrotu
prawne-gozobrotemdokonującym sięza
po-mocą elektronicznych nośników i
n-formacji. Zasada neutralności tech
-nologicznej odnosi się natomiast do
metod podpisywania dokumentów,
każe zrównywać podpisy własne z elektronicznym i zabrania fawory-zować jakąkolwiek z technik
elektro-nicznych podpisów.Zasada ta
odno-sisię takżedoprzyszłychtechnologii,
które mogą również gwarantować
bezpieczeństwoobrotu19. Cechyfunkcjonalne bezpiecznego
podpisuelektronicznego
Istniejącztery główne warunki do
funkcjonowania bezpiecznego podp
i-su elektronicznego:
• weryfikowalność- umożliwienie
weryfikacji podpisu (można
sprawdzić autentyczność złożo
nego podpisu przez osobę
nie-zależną),
• wiarygodność - uniemożliwie
nie podszywaniasię innych pod
daną osobę (w praktyce nie jest możliwe podrobienie czyjegoś podpisu),
• niezaprzeczalność - zapewnie-nie niemożliwości wyparcia się podpisu przez autora (podpisu-jący nie może wyprzeć się zło
żonegoprzez siebie podpisu),
• integralność - zapewnienie wy-krywalności wszelkiej zmiany
w zawartejipodpisanej
transak-cji (zastosowana technologia
musi zapewnić rozpoznawal-ność niepożądanych zmian
w dokumencie)20.
Zadaniem sygnatury elektronicz-nej jest zapewnienie
nia, niezaprzeczalności , integralno-ści, identyfikacji,a niekiedytakże po-ufności przesyłanychprzez nas infor-macji.
UWIERZYTELNIANIE(authentication) Polega na poprawnym określeniu pochodzenia komunikatui zapewnie-niu autentyczności źródła . Zakłada jąc , że do podpisywaniawiadomości stosujemy algorytm klucza asyme-trycznego, uwierzytelnianie polega na ustaleniu,czy podpis elektronicz-nyzostałutworzonyzużyciemklucza prywatnego odpowiadającego klu-czowi publicznemu.Nadawca wiado-mości używaswojego klucza prywat-nego do złożenia podpisu na doku-mencie.Powysłaniu dokumentu ad-resat wiedząc, kto jest domniema
-nymnadawcą , używaklucza publicz-negotegożnadawcy, abystwierdzić, żesumykontrolnesięzgadzają. Jeśli tak jest, oznacza to, że wiadomość została podpisana z użyciem klucza prywatnego tegoż nadawcy (przy czym sam nadawca może nadal nie być jawny, gdyż może się ukrywać pod pseudonimem).
N,EZAPRZECZALNO$ C (non-repudia
-tion)
Uniemożliwianadawcy lub odbior -cykomunikatu zaprzeczenie faktu je-goprzesłania.Ma to szczególne zna-czenie w przypadku np. zamówień kierowanych do sklepów interneto-wych. Jeżeli osoba podpisana pod zamówieniem oświadczy, że nie wy-słała takiego zamówienia, wówczas sklepmoże wykazać, żedana wiado-mość została podpisana kluczem prywatnymdanego nadawcy(niejest ważne, ktosiętym kluczemposłużył aniteż personaliasamego nadawcy). Wdomyśle, danym kluczem prywat-nymposługuje siębowiem osoba do tegoupoważn iona.
INTEGRAL NO$ C(integritji)
Zapewnia możliwość sprawdze -nia, czyprzesyłane dane niezostały zmodyfikowane podczas transmisji. Dzieje się tak dzięki dołączeniu do wiado m ości znacznika integralności wi ado mości , czyli ciągu bitów zwanego skrótem wiadomości obli
-8
czonegona jej podstawie.Związane jesttozfaktem,że nieodłącznymele
-mentem tworzenia podpisu elektro-nicznego jest wyznaczenie na pod-stawie samej wiadomości jej skrótu zużyciem odpowiedniegoalgorytmu. Każda wiado mość posiada w ten sposób pewien właściwy tylko dla niej skrót, akażdamodyfikacja orygi-nalnejwiadom ości powodujezmianę wa rtościtego skrótu,zatemjestmoż liwadowykrycia.
IDENTYFIKACJA (identification) Polega na potwierdzeniu tożsa mości nadawcywiadom ości. Pozwa-lastwierdzić,ktojest faktycznie zare
-jestrowany jako właści ci e l danego klucza prywatnego. Umożliwiają to tzw. centra certyfikacji,które generu-ją odpowiadageneru-jące sobie pary kluczy, następnie klucz prywatny przyznają osobie zainteresowanej, a klucz pu-bliczny podają do powszechnej wia-domości. Aby ustalić nad awcę , należy zwrócić siędoodpowiedniego organu certyfikacji z odpowiednim pytaniem lub przejrzeć ogólnodo-stępny rejestr certyfikacji. Pojawiają się tu jednak dwa problemy - po pierwsze nadawca mógł pozyskać swój certyfikat pod pseudonimem, a po drugie, w zamkniętym kręgu podmiotów nie istnieje potrzeba ist-nienia centrów certyfikacji, gdyż wszyscyznają swoje klucze publicz-ne iswoją tożsamość.
POUFNo$c (confidentiaht0
Gwarancja, że przesyłane lub przechowywanedanebędą dostępne (m oż liwe do odczytania) jedynie dla uprawnionych osób, np. odbiorcy wiadomości pocztowej. W szczegól-ności chodzi o drukowanie, wyświe tlanie i inne formy ujawniania,w tym ujawnianie istnieniajakiegoś obiektu. Realizacja tej funkcji jest dlaistnienia elektronicznego podpisu obojętna, jednak często, wraz z podpisaniem danej wiadomości, dokonuje się jej zaszyfrowania - w przypadku algo-rytmu z kluczem asymetrycznym za pomocąklucza publicznegoodbiorcy wiadomości, a rozszyfrowania doko-nuje adresat zapomocąswojego klu-cza prywatneg021.
W wymiarze prawnym można
wyróżn ić cztery podstawowe funkcje podpisuelektronicznego:
Glidentyfikacja(identification) Podpisy celemidentyfikacji(signa
-tures for identification)służątylko do udowodnienia posiadania klucza pry-watnego, tzw.
proot-ot-po
esession o
t
the private key. Podpisy i certyfikaty sł użąwtym przypadkutylkodo uwie-rzytelnieniawsystemie iidentyfikacji osobystarającejsię odostęp,np.do serwera,bazy danychitp.Identyfikacja opiera się na podpi-saniu losowych danych przez żąda jący identyfikacji serwer i weryfikacji tak złożonego podpisu cyfrowego.
W przypadku poprawności żądający uwierzytelnienia ma pewność, że zweryfi kował osobę, która ma dany klucz prywatny. Unikalność klucza oraz jego poufność pozwalają przy -jąć, żezweryfikowanymjest konkret-na uprawniokonkret-na osoba.Taka metoda uwierzytelnienia może zostać uzna-na za wystarczającą do celów iden-tyfikacji, ale nie do celówoświadcze nia woii. Z reguły podpisuje się bo
-wiem dane całkowicie niezrozumia -łe, mające charakter losowyi nieza-wie raj ące żadnego oświadczenia woli. Niestety istnieje ryzyko, że przesłanedo podpisu dane, zamiast być całkowicie losowe, rep rezent uj ą jakąś zrozumiałą treść, w tym w szczególności oświadczenie woli niekorzystne dla pod pis uj ą c e g o , choć mu nieznane. Celem ograni-czenia tego niebezpieczeństwa nie-które systemy przewidują podpisy-wanie danych generowanych wspól-nie zpodpisującym.
CI>uwierzytelnianie(authentication)
Podpisy celem uwierzytelnienia
(signatures for authentication) są składaneautomatyczniebezświado mości i ingerencji osoby składającej i niesłużą doskładania oświadczeń woli. Są to podpisy składane przez urządzenia, wi ęc nie będą występo wały w krajach takich jak Polska,
gdzie prawo łączy zawsze podpis
zosobą fizyczną.
@ oświadczen ie wiedzy (dec /ara-/ion otknow/edge)
Podpisycelem oświadczenia wi e-dzy (signa tures tor dec/aration ot know/edge) nie służą do składania oświadczeń woli. Podpis ten służy
np.dopotwierdzenia zapoznaniasię
z dokumentem czy odebrania doku
-mentu, nie stanowi jednak dowodu,
że został on zatwierdzony, czyli że
zawiera treść podpisującego. Tak
więc błąd, podstęp czy grożba przy jego składaniu nie mają większego
znaczenia, gdyż podpisanie się na
danym dokumencie stanowi jedynie dowód,że podpisujący go posiadał. Służy więc m.in. do potwierdzenia
prawdziwościdokumentu.Tenrodzaj podpisu mógłby znależć z
astosowa-nie w przypadku elektronicznegono
-tariatu. Notariusznieskłada bowiem
podpisu na akcie notarialnym celem złożenia oświadczen ia woli, lecz t yl-ko celem uwiarygodnienia podp
isa-nego dokumentu i potwierdzenia,że zostały dopełnione wszelkie wy ma-gania przewidziane prawem.
@ oświadcze ni e woli (dec/aration ol wilt;
Podpisy celem złożenia oświad
czenia woli (Signalures as de c/ara-lion otwi/~ stanowiądowódzłożenia oświadczeniawoli.Jest oczywiste,że
winny być składane po zaz
najomie-niusię podpisującegoztreściąd oku-mentu orazbyćzgodne zintencjąj
e-go podpisania, a także pod pełną kontrolą podpisująceg o. Podpisy te
sąskładanem.in.w oparciu o kw
alifi-kowany certyfikat, który w polu key Usage zawieratylkobilnonR
epudia-lion.
Jak wynika z powyższego , każdy rodzaj podpisu elektronicznego m
o-żestanowić dowód,ale tylko n
ielicz-ne mogą potwierdzać oświadcze nie
woli. Podpis celem identyfikacji m o-że np. stanowi ć dowód uzyskania
dostępudodanejbazydanychprzez
konkretną osobę dysponującą klu -czem prywatnym wokreślonym c za-sie. Podpis celem uwierzytelnienia
stanowi zaś dowód zapoznania się
z treścią dokumentu. Każdy z tych podpisów powinien zostać dopusz-czony do postępowania sądowego
PROBLEMY KRYMINALISTYKI256/07
zgod nie z art.5 ust. 2 Dyrektywy UE
i art.8ustawyo podpisieelekt
ronicz-nym22.
Każdy dokument urzędowy czy
też handlowy, dla swojej ważności
prawnej, musi być nie tylko odpo
-wiedniosporządzony,lecztakże pod-pisany i umiejscowiony w czasie. W coraz większej liczbie umów han-dlowych zawieranych za pomocą
elektronicznych środków przekazu istotne znaczenie ma czas sporzą
dzenia kontraktu. W niektórych
opcjach,np.bankowych czy też gieł
dowych,czas madecyd ującycharak -ter dla ustalenia kolejności tych umów. Oznaczenie czasu, czyli mo -mentu decyzji,stajesi ę podstawową usług ą wspomagającą weryfikacj ę
podpisu elektronicznego, gdyż waż
ne jestnie tylkoto,ktodokon ał p
od-pisu,lecztakże kiedytonastąpił023.
Wedługart.3 pkt 16 ustawy opod
-pisie elekt roniczn ym znakowanie
czasem jest usługą polegającą na
dołączaniudodanych wpostaciele
k-tronicznej - logicznie powiązanych
z danymi opatrzonymi podpisem lub poświadcz en i em elekt ronicznym -oznaczenia czasu w chwili wy kona-nia tej usługi oraz poświadcze n ia elektronicznego tak powstałych d
a-nych przez podmiot świadczący tę usłuqę.
Wmyślpowołanegoprzepisuzn a-kowanieczasemoznacza usł ug ęp
o-legającą na dołączan iu do danych w postaci elektronicznej - logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem ele k-tronic znym, oznaczenia czasu
w chwili wykonywania tej usługi oraz poświadczen ia elektronicznego tak
powstałych danych przez podmiot
świadczącytę usług ę.
Znakowanie czasem ma u nie-możliwić manipulowanie czas em
wobrocieprawnymi gospodarczym. Ma pełni ć fu nkcję strażnika pe
wno-ści obrotu zewzg l ęd u na czas wła ściwy, w jakim doszło do złoże nia podpisu elektroni cznego . Zna
kowa-nie czasem wyklucza ponowne i wielokrotne wprowadzeniedo ob
ie-gu tego samego podpisanego k
ie-dyśdokumentu24.
War unki iskutkipraw ne podpisuelektronicz nego
Ustawa opodpisie elektronicznym
z 18 września 2001 r. ma na celu stworzenie warunków prawnych do stosowania podpisuelektronicznego, jako równorzędnego pod względem
skutków prawnych z podpisem wła snoręcznym w każdej gałęzi prawa,
w tym w zakresie prawa cywilnego,
administracyjnego czy karnego.
Przewiduje ona również uno rmowa-nie z zakresu organizacji, funkcjono-wania, uprawnień iobowiązków pod-miotów świadczących usług i związa ne z podpisem elektronicznym oraz
systemu sprawowania nadzoru nad tymi podmiotami.
Jednocześ nie wzwiązkuz r ozwo-jem techniki, powszechnym dostę pem doInternetu,pocztye
lektronicz-neji handluelektronicznego, stanowi onaodpowiedźnako ni ecznośćst
wo-rzeniawarunków prawnych poz
wala-jących na skuteczne i bezpieczne wskazanie tożsam oś ci podmiotów
uczestniczących w elektroniczn ym
obrocie prawnym,tj. składania i w
e-ryfikacji podpisów elektronicznych25. W literaturze powszechn ie p
rzyj-mujesię , żewpolskim systemie p ra-waobowiązuje zasadaswobody for -my, co zostało wyrażone wart. 60 k.c.Zgodnieztym przepisem .z za -strzeżen ie m wyjątków w ustawie
przewidzianych,wola osobydokonu -jącej czyn ności prawnej może być wyrażona przez każd e zachowanie tej osoby, które ujawnia jej wolę
w sposób dostateczny, w tym r
Ów-nież poprzez ujawnienie tej woli wpostacielektronicznej (oświadcze
niewoli)".
Aby zachowanie się osoby doko-nującej czynn ości prawnej, o której
mowawart.60 k.c.,było zrozum iałe przez inne osoby, powinno ono po
-siadać postać znaku,awięc p
rzeka-zywaćpewneumownetreści. Wmyśl art. 78 § 1k.c.do zach
o-wa nia pisemnej formy czy nnośc i prawnej wystarczazłożeniewłasno ręcznego podpisu na dokumencie obejmującym treść oś wiadczenia woli.
W każdym przypadku, kiedy wy-magane jest pisemne złożenie oświadczenia woli możiiwe jest
po-służenie się formą el e ktron iczn ą,
o której mowa wart.78§2 k.c.,o ile
nie jest wymagane zachowanie j
ed-nej z postaci pisemnej formy szcz e-gólnej26.
Najistotni ejszą cechą podpisu
elektronicznego z punktu widzenia
regulacji prawnych jest stwierdzenie, że podpisanie dokumentu elektro -nicznego bezpiecznym podpisem
wy-wołuje te same skutki prawne, co
podpisanie dokumentu papierowego podpisemwłasnoręcznym.
Zgodniez ustawą nie można
od-mówić ważności i skuteczności z
wy-kłemu podpisowi elektronicznemu,
jednakże w sądzi e wartość dowo
do-wa dokumentu opatrzonego takim podpisembędz ie mniejsza niż d oku-mentu opatrzonego bezpiecznym
podpisemelektronicznym.Wynikato zfaktu,że zwykły podpisniezapew -nia jednoznacznej identyfikacji uży wającejgo osoby27.
Treść podpisana bezpiecznym
podpisem elektronicznym (w
eryfiko-wanymważnym certyfikatem)wyw o-łuje skutki prawne równoważne
podpisowiodręcznemu,chybaże od-rębneprzepisystanowiąinaczej28.
Zgodnie z brzmieniem art. 7 ust. 2 ustawyo podpisie elektronicznym znakowanieczasem przez kwa
lifiko-wany podmiot świ ad cz ący usług i
certyfikacyjne wywo ł uje wsz
czegól-ności skutki prawne daty pewnej w rozumieniu przepisów kodeksu
cywilnego. Jednocześnie przyjmuje się, że podpis elektroniczny,zna ko-wany czasem przez kwalifikowany
podmiot świadczący usług i c
ertyfi-kacyjne, został złożony nie póżn iej niż w chwili dokonania tej usługi. Domniemanie to istnieje do dnia utraty ważności zaświadcze nia c
er-tyfikacyjnego wykorzystywanego do weryfikacji znakowania. Przedłuże nie istnienia tego domniemania wy
-maga kolejnego znakowania c
za-sem podpisu elektronicznego wraz z danymi służącym i do poprzedniej weryfikacji przez kwalifikowany pod-miotświadczący tę usługę art. 7 ust 3 u.p.e.)29
10
Przepisy karnezwiązanez podpi sem elektr oni cznym
Ustawa o podpisieelektronicznym zakazujeposł u g iwani a się bezpiecz
-nympodpisem elektronicznym za
po-mocądanychsłuż ącychdoskładania
tego podpisu i przyporząd kowanym
do innej osoby. Za taki czyn przewi
-dzianajest karagrzywny lubkara po
-zbawieniawolnościdolat 3 albo obie
te karyłącznie (art. 47).
Przepisy karnezawartew ustawie
o podpisie elektronicznymsą skiero-wane głównie do podmiotówświad czących usług i certyfikacyjne.
Ustawa podgrożbą kary zakazuje
posługiwania siębezpiecznym podpi-sem elektronicznym za pomocą
da-nych służących do składania tego podpisu iprzyporządkowanym do in
-nej osoby.Bez znaczenia dla realiza-cjiznamiontegoprzestępstwa będzie
to, w jaki sposób osobatrzecia w
ej-dziewposiadanie klucza prywatnego innejosoby. Za taki czynp
rzewidzia-najest karagrzywnylubkarap ozba-wieniawolności do lat 3 albo obiete
karyłącznie (art.47). Należy pamię tać, żewmyślart. 53 ustawy
ww
.
ka-rom będzie pod legać także ten, kto
dopuści się opisanych powyżej czy-nów,działający w imieniu lub w inte-resie innej osoby fizycznej, osoby
prawnej lub jednostki organizacyjnej nieposiadającej osobowościprawnej. Jeżelipodmiotświadczącykwali
fi-kowaneusł ugicertyfikacyjneniep o-informuje osoby ubiegają cej się
o certyfikat o warunkach uzyskania iużywaniacertyfikatu, podlega karze grzywnydo30 000złotych (zob. art.
46). Zdecydowanie surowsza s
ank-cja grozi w przypadku kopiowania
lub przechowywania danych sł użą
cych do skład a nia bezpiecz nego
podpisu (tzw. klucze prywatne osób fizycznych), poświadczen ia
elektro-nicznego (tzw.klucze prywatne pod-miotów świadczących usługi certyfi
-kacyjne) lub innych danych, które mogłyby służyćdoich odtworzenia -grzywna lub kara pozbawienia wol -ności do lat3 albo obiete karyłącz nie (art. 48). Taka sama kara jest przewidziana za zaniechanie unie-ważnien i a certyfikatu na żądanie
osoby składającej podpis elektro
-niczny lub osoby trzeciej wskazanej w certyfikaciebądź nażądaniemini
-strawłaściwegodo spraw gospodar
-ki (art.50). Identyczna sankcjagrozi podmiotowi świadczącemu usł u gi
certyfikacyjne,jeżel i wyda kwali
fiko-wany certyfikatzawierający ni
epraw-dziwe dane. Za czyn ten odpowie ta kż e osoba, która w jego imieniu umożliwiła wydanie certyfikatu
(prawdopodobnie pracownik punktu rejestracji, w którym najczęściej za
-wiera się umowę o świadczen ie usł ug certyfikacyjnychoraz w którym wydawane są certyfikaty). Taka sa
-ma kara może zostać nałożona na
osobę, któraposługuje siętym certy-fikatem. Dlatego też powinna ona
sprawdzić, czy wszystkie dane wp
i-sane przez podmiot do kwalifikowa-nego certyfikatu są zgodne ze s ta-nem faktycznym i prawnym(art.49).
Jeże li podmiot świadczy usługi
certyfikac yjne jako kwalifikowany podmiotświad czący usł u gi c
ertyfika-cyjnebezuprzedniegozawarcia wy-maganej umowy ubezpieczenia
od-powiedzialn ości cywilnej za szkody
wyrządzone odbiorcom tych usług,
podlega grzywnie do 1 000 000 zł
(art.45).Kwalifikowanym podmiotom
świadczącym usługę znakowania
czasem zakazujesięnatomiast ozna
-czenia danych czasem innym niż
z chwiliwykonywaniatej usługi oraz
poświadczan iaelektronicznie takpo -wstałych danych. Za manipulowanie
czasemokreś lo nym w znaczniku
do-łączanym do podpisu e
lektroniczne-go może zostać wymierzona kara grzywnylub karapozbawienia w olno-ści dolat 3alboobietekaryłączni e.
Z odpowiedzia l nością karn ą (w
postacigrzywnydo 1 000 000 zł lub
kary pozbawieniawolności do lat 3,
a nawet obu tych karłącznie)musi
li-czyć się każdy, na kim spoczywa obowiązek zachowania tajemnicy
związanej ze świadczeniem usług
certyfikacyjnych,jeż eliujawni lub wy-korzysta teinformacjewbrewwa run-komokreślonym w ustawie.Sankcja wzrasta(grzywna do5 000 000złlub
kara pozbawienia wo l n ości do lat 5 albo obie te kary łącznie) w przy
-padku gdy tegoprzestępstwadokona
podmiot świadczący usługi certy fika-cyjnelubkontroler albojeżeli s praw-cadziałałw celuosiąg nięcia korzyści majątkowej lubosobistej30.
Usługicertyfikacyjne
Wmyśl ustawyo podpisieel ektro-nicznym (OzUnr130,poz.1450), art. 3pkt 13,usługicertyfikacyjne to wy -dawanie certyfikatów, znakowanie czasem lub inne usługi związan e zpodpisemelektronicznym.
Wystawca certyfikatów to instytu-cja ciesząca się powszechnym za-ufaniem, tak zwana zaufana strona trzecia. Certyfikacja polega na po-twierdzeniu, że określony klucz p u-bliczny faktycznie należy do danej osoby. Proces certyfikacjipowstał po to,aby wyel i minować możliwość ge-nerowania nielegalnych par kluczy publicznych i prywatnych. Istnieje możliwość wygenerowania przez ja-kiś podmiot,będący osobą lubfirmą,
pary kluczynależących do innej oso-by i rozpowszechnianie takiego klu-cza publicznego w Internecie. Zada-niem urzędów certyfikacyjnych jest sprawdzanietożsamości podmiotów, dla których generowane są klucze publiczne i sprawowanie nadzoru nad bezpiecznym korzystaniem z procedur podpisu elektronicznego w tym zakresie. Urząd certyfikacyjny wystawia poświadczenie zwane ce r-tyfikatem gwa rantujące, że dany klucz publiczny jest przypisany do podmiotu,dla któregobył wygenero-wany,atożsamośćwłaścici ela zosta-ła sprawdzona. Podczas używania certyfikatów niema zatem n iebezpie-cze ństwa, że nadawca publ ikujący
swój klucz publiczny nie jest osobą, zaktórą siępodaje31.
Świadczenie usług certyfikacji podpisu nie wymaga zezwo leń lub koncesji.Zewzględu na specyficzny charakter tej usługi i w celu podnie-sieniaspołecznegozaufania ustawo-dawca przewidział mechanizm do-browolnej formy weryfikacji jakości świadczonych usług. Podmioty świadczące usługi certyfikacji mogą występować o wpisanie do rejestru podmiotów kwalifikowanych. Usługo dawcy wpisani do tego rejestrumogą
PROBLEMY KRYMINALISTYKI256107
określać sięmianem kwalifikowanych podmiotówświadczących usług i ce r-tyfikacji,a wystawione przeznichcer -tyfikaty uzys kują miano kwa lifikowa-nych certyfikatów32.
Zgodnie z art. 3 pkt 15 ustawy o podpisie elektronicznym kwali fiko-wanym podmiotem świadczącym
usługi certyfikacyjn e jest podmiot świadcz ący usł u gi certyfikacyjne, wpisanydo rejestru kwalifikowanych podmiotówświadczących usług i c er-tyfikacyjne.
Obowiązki nałożonewprzepisach na kwalifikowane podmioty świad czące usługi certyfikacyjnewydaw a-nia kwalifikowanych certyfikatów są następujące:
1)zapewnićtechnicznei organ iza-cyjne moż l iwości szybkiego i n ieza-wodnego wydawania, zawieszania i unieważn ian i a certyfikatów oraz określenia czasu dokonania tych czynności,
2) stwierdzić tożsamość osoby ubiegającej sięo certyfikat,
3)zapewnić środki przeciwdziała
jące fałszerstwom certyfikatów i in -nych danych poświadczanych ele k-tronicznie przez te podmioty, wszczególności przezochronęurzą dzeń i danych wykorzystywanych przy świadczeniu usług certy fikacyj-nych,
4)zawrzeć umowę ubezpieczenia odpowi edzial ności cywilnej za sz ko-dywyrządzone odbiorcomusług ce r-tyfikacyjnych,
5)przedzawarciem z nią umowy poinform ować osobę Ubiegającą się o certyfikat o warunkach uzyskania iużywaniacertyfikatu,wtymow szel-kichograniczeniachjegoużycia,
6)używaćsystemów do tworzenia przechowywania certyfikatów w sposób zapewniający możliwość wprowadzaniai zmiany danychj edy-nieosobom uprawnionym,
7) jeżeli podmiot zapewnia pu-blicznydostępdo certyfikatów,to ich publikacja wymaga uprzedniej zgody osoby, której wydano ten certyfikat,
8)udostępniaćodbiorcyusług cer-tyfikacyjnychpełny wykaz bezpiecz-nych urządzeń doskładania i weryfi-kacji podpisów elektronicznych oraz
warunki techniczne, jakim te urzą dzeniapowinnyodpowiadać,
9) zapewnić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, poufność procesu ich tworzenia, a także nie przechowywać i nie ko -piować tych danych ani innych d a-nych, któremogłybysłużyćdo ich od-tworzenia oraz nie udostępniać ich nikomu innemu poza osobą, która będzi e składała za ich pomocąp od-pis elektroniczny,
10) zapewn ić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, aby dane tezprawdopodobieństwem
graniczącym z pewnością wystąpiły
tylko raz,
11)publikować dane umożliwi ają
ceweryfikację , wtymrówn ież w spo-sób elektroniczny, autentyczności i waż ności certyfikatów oraz innych danych poświadczanych elektronłez nie przez ten podmiot, orazzapewn ić nieodpłatny dostęp do tych danych odbiorcomusługcertyfikacyjnych.
W przypadku kiedy kwalifikowany podmiotświadczy usługic ertyfikacyj-ne polegające na znakowaniu cza-sem,obowiązanyjest:
1)zapewnić środki przeciwdziała jące fałszerstwom certyfikatów i i n-nych dan-nych poświadczanych e lek-troniczn ie przez te podmioty, wszczególnościprzezochronę urzą dzeń i danych wykorzystywany ch przy świadczeniu usług certyf ikacyj-nych,
2)zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szk o-dywyrządzon eodbiorcomusług cer-tytikacyjnych,
3)udostępniaćodbiorcyusługcer -tyfikacyjnych pełny wykaz bezp iecz-nych urządzeń doskładania i weryfi-kacji podpisów elektronicznychiwa -runki techniczne,jakim teurządzenia powinnyodpowiadać ,
4)używać systemów do znakowa-nia czasem, tworzenia i pr zechowy-waniazaświadczeń certyfikacyjnych, w sposób zapewniający możliwość wprowadzania i zmiany danych jedy-nie osobom uprawnionym, a także zapewnić, że czas w nichokreślony
jest czasem z chwili składania po
-świadczenia elektronicznego i że
uniemożliwiają one oznaczenie
cza-sem innym niż w chwili wykonania
usługi znakowania czasem.
Kwalifikowany podmiot świadczą
cy usługi certyfikacyjne jest ponadto
obowiązany do opracowania polityki
certyfikacji.Polityka certyfikacjio
bej-mujewszczególności33:
1)zakresjej zastosowania,
2)opis sposobu tworzenia i
prze-syłan ia danych elektronicznych,
któ-rezostanąopatrzonepoświadczenia
mi elektronicznymi przez podmiot
świadczącyusługi certyfikacyjne,
3) maksymalne okresy ważności
certyfikatów,
4) sposób identyfikacji i
uwierzy-telnienia osób, którym wydawanesą
certyfikaty, i podmiotu świadczącego
usługicertyfikacyjne,
5) metody i tryb tworzenia oraz
udostępniania certyfikatów, list u nie-ważnionych i zawieszonych certyfika
-tów oraz innych poświadczonych
elektronicznie danych,
6) opis eiektronicznego zapisu
struktur danych zawartych w
certyfi-katach i innych danych poświadcza
nych elektronicznie,
7) sposób zarządzania
dokumen-tami związanymi ze świadczeniem usługcertyfikacyjnych.
Podmiotświadczącyusługicertyfi -kacyjne wydaje certyfikat na
podsta-wie umowy, która powinna być
spo-rządzona w formie pisemnejpod ry
-gorem nieważności. Przed
zawar-ciem umowy podmiot świadczący
usługi certyfikacyjnejestobowiązany poinformowaćnapiśmielub w formie
dokumentu, w sposób jasny i po
-wszechniezrozumiały, odokładnych
warunkach użycia tego certyfikatu.
Jest także obowiązany uzyskać p
i-semne potwierdzenie zapoznaniasię
z tą info rmacją przed zawarciem umowy z odbiorcą usług.
Kwalifiko-wany podmiotświadczący usługice
r-tyfikacyjnejestzobowiązanydopr
ze-chowywania i archiwizowaniadok
u-mentów i danych w postaci el
ektro-nicznej bezpośrednio związanych
z wykonywanymi usługami c
ertyfika-cyjnymiw sposóbzapewn iającybez
-pi ecz e ń stwo przechowywanych d
o-12
kumentów i danych przez okres 20 lat.
Nadzór nad podmiotami
świadczącymi usługicertyfikacyjne
Organem, który sprawuje nadzór
nadpodmiotamiświadczącymiusługi
certyfikacyjne,jestministerwłaściwy
do spraw gospodarki, czyli Minister
GospodarkiiPracy.
Sprawuje on nadzór nad
prze-strzeganiemprzepisów ustawy i
jed-nocześnie zapewnia ochronę i
ntere-sów odbiorców usług cert
yfikacyj-nych. Zadanie realizuje w szczegól
-nościpoprzez:
1) prowadzenie rejestru kwa
lifiko-wanych podmiotów świadczą
cychusługi certyfikacyjne,
2) wydawanie i unieważnianie za
-świadczeńcertyfikacyjnych,
3)kontrolę działalności podmio-tów świadczących usługi
certy-fikacyjne pod względem zgod
-nościzustawą,
4)nakładanie kar przewidzianych w ustawie.
Działającnapodstawie art. 23 ust.
5 i art. 30 ust. 3 ustawy z dnia 18
września 2001 r. o podpisie
elektro-nicznym (DzU nr 130,poz. 1450), na
wniosek Prezesa Narodowego
Ban-ku Polskiego, 27 lipca2005 r. M
ini-ster Gospodarki i Pracy upoważnił
Narodowy Bank Polski do pełnien ia
funkcji nadrzędnego urzędu c ertyfi-kacji i wykonania następujących
czynności :
1) wytwarzanie i wydawanie
za-świadczeń certyfikacyjnych, o któ
-rych mowawart.23 ustawy z dnia18
wrześn ia 2001 r. o podpisie
elektro-nicznym,
2) publikacjalistywydawanych
za-świadczeń certyfikacyjnych, o
któ-rych mowa w pkt1,
3) publikacja danychsłużącychdo
weryfikacji wydanych zaświadczeń
certyfikacyjnych, o których mowa
w pkt 1,
4) publikacja listyunieważnionych
zaświadczeńcertyfikacyjnych orazpowie rzył Narodowemu
Ban-kowi Polskiemu prowadzenierejestru
kwalifikowanych podmiotów świad
czących usługi certyfikacyjne,o
któ-rym mowa wart. 30 ust. 2 pkt 1 usta
-wyzdnia18września2001 r.o
pod-pisie elektroni cznym. Narodowy
Bank Polski prowadziten rejestr od
1październ ika2005r.
Kontrola działalności podmiotów
świad czących usługi certyfikacyjne
ma naceluustalenie,czyichdziałal
ność jest zgodna z wymaganiami
ustawy.
Kontrole działalności p
rzeprowa-dzają upoważnien i przez ministra
urzędnicyna podstawiedowodutoż samości i imiennego upoważnien ia
określa jącego kontrolowany podmiot
świadczący usługi certyfikacyjne
oraz zakres ipodstawępodjęcia
kon-troli.
W celu prawidłowego podjęcia
kontroli:
1. Kierownicy kontrolowanych
podmiotówświadczących usługi
cer-tyfikacyjne mają obowiązek przedło
żyć, na żądanie kontrolera, wszelkie
dokumentyi materiały niezbędne do
przygotowania i przeprowadzenia
kontroli, z zachowaniem przepisów o ochronie informacji prawnie chro-nionych.
2.Kontrolerzymająprawo do:
a)wstępu do obiektów i
po-mieszczeń kontrolowanych
podmiotów świadczących
usługicertyfikacyjne,
b)wglądu do dokumentów i i
n-nych noś ni ków informacji,
z wyjątkiem danych służą
cych do składania podpisów
i poświadczeń elektro
nicz-nych,orazinnych informacji,
któremogą służyćdo odtw
o-rzenia tych danych,
bezpo-średniozwiązanychz
kontro-lowaną działalnością oraz
zabezpieczaniadokumentów
iinnych materiałówdowodo
-wych z zachowaniemprzepi
-sów o ochronie informacji
prawniechronionych,
c) przeprowadzania oględzin
obiektów, innych składników
majątkowych i przebiegu
czynności związanych ze
świadczeniem usług c
ertyfi-kacyjnych,
d)żądan ia od pracowników
kontrolowanych podmiotów
świadczących usługi certyfi-kacyjne udzielenia ustnych lub pisemnychwyjaśnień, e) korzystania z pomocy bie
-głychi specjalistów.
Minister właściwy do spraw
go-spodarki,po zapoznaniu się z proto-kołem i zastrzeż e niami oraz
wyja-śnien iami zgłoszonymi przez k
ontro-lowany podmiot świadczący usługi certyfikacyjne, powiadamiaten pod -miot o wynikach kontroli i w razie stwierdzenia nieprawidłowości wy-znacza termin ichusunięcia,nie kró
t-szyniż 14 dni.
Korzyściz funkcjonowania
podpisu elektronicznego
Ministerstwo Gospodarki, w opu-blikowanej broszurze .Podpis elek-troniczny sposóbdziałania, zastoso-wanie ikorzyści" , wśród korzyścipły nących ze stosowania podpisu elek-tronicznegowymieniamiędzyinnymi: bezpieczeństwo, usprawnienie dz ia-łalności, przyspieszenie realizacji za-dań i obiegu informacji oraz aspekt ekonomiczny jakoobniżeniekosztów funkcjonowania.
Bezpieczeństwo
Bezpieczeństwo dokumentu e lek-tronicznego może być rozpatrywane
w dwóch wymiarach. Po pierwsze w sensie czysto technologicznym, ja-ko ochrona spójności podpisanego pliku, po drugie w ujęciu funkc
jonal-nym, tj. na przykład n iezaprzeczal-ność podjęciazobowiązań dowodzo-na dowodzo-na podstawie podpisanego elek
-tronicznie dokumentu. Rozważyć
można także inne aspek1y bezpie-czeństwa związanego z podpisem
elek1ronicznym. Stosowanie mecha-nizmów PKI pozwala naspójnąi sku-teczną ochronę zasobów in forma-tycznych. Autoryzacja dostępu do zdalnych baz danych oraz do stacji roboczych stanowi element zabez-pieczenia na poziomie fizycznym, Nie należy również zapominać, że ze względu na znikomą objętość archi -wizowanychdokumentów i wyko rzy-stywane ich noś n iki ryzyko utraty
ważnych zbiorów dokumentów jest
zminimalizowane.
PROBLEMY KRYMINALI STYKI 256!07
Usprawnieniedziałalności
Wiele czynności realizowanych
w organizacjach, bazujących zarów
-no na tradycyjnym dokumencie pa
-pierowym,jak iwykorzystujących ele-menty wymiany elek1ronicznej, wy-maga dalszego wprowadzania inf
or-macji pochodzących z otrz
ymywa-nych dokumentów. W sytuacji gdy
przesyłane informacje docierają do
odbiorcy w postaci zrozumiałej dla systemów komputerowych, i dodat-kowo są to informacje wiarygodne, wiele czynności może zostać zauto-matyzowanych. Wysiłek kierowany na wprowadzanie danych do syste-mu zostaje przeniesiony na zarzą dzanie pracą programów odpowie-dzialnych za weryfi kacj ę poprawno -ści podpisu elektronicznego i prawi -dłowe zasilanie danymi wewnętrz nych systemów teleinformatycznych. Zastosowanie rozwiązań automa-tyzujących transfer danych pozwala ogran iczyć liczbę pomyłek. Po s tro-nie odbiorcy tro-nie występują przekła mania informacyjnewynikającezbłę dów popełnianych przez człowieka, jednak błędy mogą mieć miejsce w przypadku zakłóceń transmisji da-nych.Tego typu przekłamania są ła twiejszedo wykrycia i kontroli,a tak-że podejmowania niezależnych od człowieka działań korekcyjnych (np. wymuszenie ponownego wczytania dokumentu w przypadku stwierdze-niabraku jegointegralnościi informo-wanie operatoradopierow
przypad-ku kolejnego wystąpieniatego same-gobłędu).
Istotnym czynnikiemwpływającym na optymalizację procesów zacho-dzących w organizacji jest także możliwość konsekwentnego stoso-waniaregułyjednokrotnego wprowa-dzania danych. Obok standardowych metod związanych z prawidłowym projektowaniem oprogramowania
i systemów teleinformatycznych,
podpis elek1roniczny (jako element chroniący integ ral n ość danych) s ta-nowi dodatkowe potwierdzenie pra-widłowości pakietu danych służące go do wielokrotnego wykorzystania w systemie. Możl iwe jest zarazem
wielokrotne podpisywanie tego sa
-mego dokumentu.
Świadome użytkowanie mechani-zmów autoryzacji informacji lub do-stępu do określonych zasobów po
-zwala na śledzenie i analizę zacho-dzących procesów wew n ęt rzn ych. Otrzymane wyniki mogą dostarczyć
wniosków dotyczących zarówno
przyjętej metodyki działania i a
rchi-tek1ury organizacji,jakiwspomóc po
-szukiwanie"wąskich gardeł" w prze -pływie informacjioraz procesachde
-cyzyjnych.
Przyspieszenie realizacjizadań iobiegu informacji
Kolejna grupa pozytywnych efek-tów wynikających z wykorzystania
wirtualnegodokumentu opatrzonego podpisem elektronicznym dotyczy przyspieszenia obieguinformacji. Po-zwala tozwiększyć szybkość funkcjo-nowania całej organizacji,co z kolei
pozwala na bardziej dynamiczne re-agowanie na potrzeby klientów oraz działania konkurencji. Od początku wykorzystywania komputerów w elektronicznym obiegu informacji pojawila się pokusa, by korzystać z wirtualnego pierwowzoru dokumen
-tu papierowego. Jednak dokument ten, nie mając mocy prawnej, mógł stanowićnajwyżejswoisteawizowła ściwejinformacjidostarczanej w innej
formie z charak1erystycznym dla niej opóźnien iem.
Zastosowanie podpisu ele
ktro-nicznego nadal pozwalauzyskać wy-druki, jako postaci wygodniejszej
w niek1órych sytuacjach, do analizy
i"obróbki". Jest to jednakjedyne uza
-sadnienie dla dokumentów
papiero-wych. W wymiarze funkcjonalnym wystarczające okazuje się korzysta-niez dokumentu elektronicznegoła twego w zwielokrotnieniu, taniego w archiwizacji, obiegającego świat w czasie niedostępnym dla innych postacidokumentu.
Każde przedsiębiorstwo lub insty-tucja tworzy wiele dokumentów bę dących zapisem konkretnych wyda-rzeń lubpodjętychdecyzji. Znane od
wiekówsposobygromadzeniai prze
-chowywaniainformacjiniesą p
rzyja-zne z punktu widzenia możliwości dotarcia do pożą da nych danych. Czas poświ ęca ny na odnajdywanie
dokumentów stanowi nie
jednokrot-nie kilkadziesiątprocentcałego cza-su pracy.
Wefekcie uzyskaneoszczędności czasuskracają,częstokroćw ielokrot-nie, proces wyszukiwaniai prz
etwa-rzania dokumentów. Stosowanie elektronicznegoobiegudokumentów wspieranych mechanizmami PKI oznacza przejście do nowej jakości komunikacji iprzyczynisiędo le
psze-go funkcjonowania systemów infor-macyjnych firmy lubinstytucji.
Aspektekonom iczny- obniżenie kosztówfunkcjonowania
Podpis elektroniczny, wspie rając obrót dokumentów elektronicznych,
przynosi wymierne efekty e
kono-miczne. Do konuj ący się postęp w sferze sposobu posł ug iwan ia się dokumentem generuje znaczne
oszczęd ności. Szacujesię, że doku -ment elektroniczny jest co najmniej o połowę tańszy od dokumentu pa-pierowego. Różnica w kosztach po -wstajenakażdym etapieżycia i
wy-korzystaniadokumentu: w trakcie je-go tworzenia, nadawania, przesyła
nia,odbioruiprzechowywania. Nie tworząc zbędnych wydruków,
możemy og ra niczyć znacznie koszt
materiałóweksploatacyjnych dladr u-karek i urządzeń wielofunkcyjnych. Koszt wysyłki dokumentów z wy
ko-rzystaniem usług tradycyjnej poczty,
firmykurierskiejalbofaksówtok
olej-neżródłopoważnych oszczęd ności. Równ ieżpo stronieodbiorcyc
zyn-nościzwiązan ezrejestracją,arc
hiwi-zacją, póż n iejszym wyszukiwaniem
korespondencji lub powieleniem t re-ści sątańszewprzypadkudo kumen-tów elektronicznych, co stanowi n
a-st ępstwo zwłaszcza zmniejszonej pracochłonn ości.
Obniżenie kosztów f unkcjonowa-nia, zwi ększenie szybkości dostępu do informacjii innewymienionewyżej wymierne efekty korzystania z usług
dostarczanych przez PKI sk utkuj ą poprawą pozycji konkurencyjnej dla
uczestnikówdowolnegorynku. Z jednej strony organizacja staje się zdolna do szybkiego dostosowy-waniasiędo dynamiczniezmieniają cej się sytuacji biznesowej oraz
14
w pełni gotowa do elektronicznego
obiegu dokumentów, z drugiej zaś uzyskuje bardziej elastyczne moż li wości komunikacji z większą liczbą klientów oraz organów administracji
publicznej.Dziękilepszemu wykorzy-staniu posiadanego potencjału orga
-nizacyjno-technicznegoprzedsiębior stwo, oprócz penetracji rynku, może pozwolić sobie na tworzenie nowej jakości obsługi oraz nowych, lepiej postrzeganych produktów.W tej sytu-acji, przy założeniu prezentowania porównywalnej oferty produktowej, istotne stają się inne elementy o
d-działywania, takiejak:
• szybki dostęp do wiarygodnej i rzetelnejinformacji handlowej, w niewielkimstopniuwymag ają cy bezpoś red n iego angażowa niapracowników,
• moż l i wościłatweg o złoż enia za-mówienia - bez naraża ni a sprzedawcy na podwyższo n e ryzyko (np. zawarcie kontraktu
zfałszywym pełnomocnikiem) , • moż l i wościuzyskania przezk
lu-czowych klientów, pośred n ików idostawców indywidualnej
infor-macjio cenachlub stanie ro
zli-czeń, realizowana za pomocą dedykowanegoserwisu lub eks
-tranetu przy użyciu klucza
pry-watnego,
• biuroobsł ugiklientaczynne non stop idostęp ne z każdejlokali
-zacji, które rejestruje zgłosze nia.
Dbając o nowoczesność i p opra-wępozycjikonkurencyjnej,wartop a-miętaćtakżeo ograniczeniachp odpi-su elektronicznego.
BarierywfunkCjonowa niu podpisuelektronicznego
Wym ieniając korzyści płynące z zastosowaniapodpisu e
lektronicz-nego,należy pami ętać oist niejących
barierach, które utrudniają jego sto -sowanie.
Jedną z barierdla rozwoju p odpi-suelektronicznego wPolscejest brak instrumentów do jego składan ia ,
a ściś lej brak instrumentów dostęp nych dla odbiorcy masowego, osób prywatnych,małychiśrednich przed-siębiorstw. Wbrew pozorom, to one
właśnie, dzięki podpisowi elektro -nicznemu, mogą zaoszczędzić n aj-więcej34.
Stopień upowszechnieniapodpisu elektronicznegojest niższy niż prze-widywały najbardziej pesymistyczne prognozy.
"J eśli nie zinformatyzujemy adm i-nistracji, to wszystkie inne działania będą nieefektywne"- stwierdziła w i-ceministerIrena Herbst podczas kon-ferencji "Gospodarka elektroniczna w Polsce" zorganizowanej przez ZwiązekBankówPolskich35.
Internet Society Polska ( ISOG-PL), organizacja, która propaguje rozwój Internetu i społeczeństwa in
-formacyjnego, Uchwał ą Zarządu ISOG nr 1312006 z 18 maja 2006r.
przyjęładokument: StanowiskoISaG Polska w sprawie barier podpisu elektronicznego w Polsce,w którym
m.in.napisała:
"Obserw ując aktualny stanp
odpi-su elektronicznego w Polsce spo -łeczność użytkown ików Internetu
zrzeszona w ISOG-PLwyraża swoje zaniepokojenie trud nośc iam i w jego praktycznym stosowaniu. Zdaniem
ISOG-PLwynika to z błęd ów w p ol-skim prawie o podpisie elektro
nicz-nym i,co za tymidzie,błęd nychroz
-wiązań technicznych oferowanych na rynku przezpolskie centra c ertyfi-kacji.
Podpis elektronicznywPolscejest obecnie wykorzystywany wyłącznie naograniczonąskalę,wzamkniętych grupachużytkowni ków (ZUS,b anko-wość, e-przetargi). Stosowanie
pod-pisu w skalicałegokrajumiędzy róż norodnymi podmiotami jest obecnie
nieopłacaln e i niepraktyczne.Z tego powodu wykorzystanie podpisu w biznesiejestszczątkowe (...)."
Pon iżejopisujemy problemyt owa-rzyszące wprowadzeniu polskiego
podpisu elektronicznegooraz pewne
sugestieich rozwiązan ia . • Niekompaty bIln efor maty Gzterejpolscy wystawcy certyfi ka-tu kwalifikowanego dostarczają ap li-kacje zapisujące podpis w czterech formatach - GMS, PKGS7, XAdES oraz DOG, które to są ze sobą nie
-kompatybilne.
Utrudnia to komunikację podmio-tów,które kupiły certyfikat uróżnych wystawców, oraz znacząco podnosi koszty przyjmowania dokumentów elektronicznych przez jednostki ad-ministracji publicznej. W praktyce każdy podmiot musiałby mieć zain-stalowane cztery programy do komu-nikacji z innymi podmiotami,z czego dwa programy kolidujące ze sobą.
Wszystkie cztery są dostępne tylko dla systemu Windows.
Jest to sprzeczne z zasadami er-gonomii, zasadą wzajemnej kompa-tybilności systemów informatycznych postulowaną w punkcie 5 wprowa-dzenia do unijnej Dyrektywy1999/93
oraz zzasadą neutralności technolo-gicznej.
Jeden ze stosowanych formatów
(PWPW/Sigilium SDOC) nie jest
w ogóle dopuszczony do stosowania przez rozporządzenie o warunkach technicznych, z kolei firma Signet stosuje format XAdES z niestandar-dowym mechanizmem znacznika czasu.
Rozporządzenie do ustawy o in-formatyzacji wprowadza jeszcze je-den format (XML-DSig), niekompaty-bilny z czterema wymienionymiwyżej i nienadający się do stosowania z podpisem kwalifikowanym (w uproszczeniu, stanowi on uboższą wersjęXAdES).
Znaczna liczba wprowadzonych w rozporządzeniach formatów i nie-precyzyjne określenie wariantów oraz warunków ich stosowania po-głębiają problemy podpisu elektro-nicznego w Polsce. Sensownym po-stulatem byłobyzastosowanie jedne-goobowiązkowegoformatu dla admi-nistracji publicznej. Za formatem Ha-des (ETSI TS 101 903)przemawiają argumenty jego rozpowszechnienia w innych krajach Unii Europejskiej.
Równocześniewymóg stosowania tego formatu powinien obejmować tylko administrację publiczną. Po -zwoli to biznesowi stosowaćdowolne formaty (także wtasne) spełniające jego specyficzne wymagania, po-rządkując równocześnie sferę pu-blicznąiokreślającjednoznaczny for-mat do kontaktów z administracją. Jedynym wymogiem powinno dla
PROBLEMY KRYMINALISTYKI256/07
tych formatów być spełnianie tech-nicznych wymogów dla podpisu kwa-lifikowanego.
• "Bezp ieczneurządzen ie"
Podpis kwalifikowany, zgodnie z rozporządzeniem o warunkach technicznych, można obecnie skła dać tylko za pomocą aplikacji posia-dających deklarację zgodności,
a w praktyce czterech aplikacji pracu-jących wyłączniepod systemem Win-dows, dostarczanych przez wystaw-ców certyfikatów i nazywanej bezza-sadnie "bezpiecznym urządzeniem".
Niewygoda stosowania tych apli-kacji, brak możliwości integracji z oprogramowaniem generującym dokumenty (np. systemy finansowo--księgowe) oraz niekompatybilne formaty powodują ,żewymóg stoso -wania tych aplikacji jest główną ba-rierą czyniącą stosowanie podpisu elektronicznego w firmie nieprak-tycznym.
Właściwym wydaje się więc, że dopuszczenie składania podpisu elektronicznego zapomocądowolnej aplikacji pod dowolnym systemem operacyjnym, pozostawiając jednak wymóg przechowywania klucza na karcie elektronicznej będącej bez-piecznym urządzeniem w sensie przyjętymprzez wytyczne Unii Euro-pejskiej, spełnia wymogi Dyrektywy i ustawy owyłącznymdysponowaniu kluczem prywatnym, atakże wymóg składania podpisu kwalifikowanego za pomocą bezpiecznego urządze nia.
• Osoba fizycznaa podpis elek -troniczny
Polski podpis elektroniczny jest, zgodnie z brzmieniem ustawy, wy-łącznie metodą identyfikacji oraz oświadczenia woli osoby fizycznej. Wzwiązkuz tym podpis musi zostać złożonyprzezczłowieka.
Jest to sprzeczne zdefinicją unij-nej Dyrektywy 1999/93, która mówi o podpisie jako metodzie uwierzytel-nienia podmiotu, nie ograniczając przy tym podmiotu do osób fizycz-nych. Uwierzytelnienie to nie to sa-mo, cooświadczeniewoli. Wtym ter-miniemieści się również potwierdze-nie autentyczności (pochodzenia),
które nie musi być związane zoświadczeniem woli.
W rezultacie przyjęte w polskiej ustawie brzmienieuniemożliwia m.in. zastosowanie podpisu do potwier-dzania autentyczności dokumentów, takich jak faktury elektroniczne,które niesą oświadczeniami woii osoby fi-zycznej.
Następująceprzypadkisą przykła dami dokumentów wymagających je-dynie potwierdzenia autentyczności (pochodzenia) i integralności doku-mentu;
.,/ e-faktury,
.,/ elektroniczna publikacja ustaw, oświadczeń, interpretacji, ko-munikatów,
.,/elektroniczne poświadczenie
odbioru.
Nie są one oświadczeniami woli osób fizycznych, jednak prawo mówi o osobie fizycznej, więc w obecnej sytuacji podpis osoby fizycznej w sposób sztuczny próbuje się wpleść w biznesowe wymogi auto-matycznego potwierdzania auten-tyczności dokumentów, które takiej funkcjonalnościniepotrzebująlub nie mogą posiadać.
Proponowane dotychczas próby obejścia tego problemu (podpis wie-lokrotny) niesąani wygodne w stoso-waniu,ani wpełnizgodne z prawem. Podpis wielokrotny (multiSign) stoi
w sprzeczności ze sformułowaniami ustawy o podpisie, która mówiąc o procedurzeskładania podpisu, po-sługuje się liczbą pojedynczą, a nie mnogą (rozporządzenie mówi "ostrzeżenie poprzedza złożenie podpisu",a nie "podpisów").
Sensownymbyłoby więc wprowa-dzenie jednoznacznego umocowania prawnego podpisuskładanego w ce-lu potwierdzeniaautentycznościi bez udziału człowieka. Obecnie funkcja ta została ograniczona do podpisu niekwalifikowanego, a następnie wy-łączona ze stosowania dla faktury elektronicznej, która wymaga podpi-su kwalifikowanego. Dotyczy to rów -nież projektowanych obecnie rozpo -rządzeńo publikacji aktów normatyw-nych i ustaw w formie elektronicznej. Regulacja ta musi również zawie-rać zastrzeżenia, by certyfikat
wany do automatycznego podp
isy-wania faktur elektronicznych nie był wykorzystywanydoinnych celów,je -ślijest touzasadnione innymiwzglę dami, oraz ograniczenie możliwości
automatycznegopodpisywania doku -mentów, np.dookreślonej kwoty.
• Amerykańs ki epoświ adczenia odbior u
Zgodnie z rozporządzeniem do
ustawy o informatyzacji, urzędowe poświadczenie odbioru dokumentu
elektronicznegomabyć generowane przez urządzenie HSM, spełniające wymagania normy FIPS 140-2 na po -ziomie 3, którazostaławydana przez amerykańskiNarodowy Instytut
Stan-dardówiTechnologii (NIST).
Naświatowym rynkudostępne są trzy takie urządzenia kosztujące od kilkunastu do kilkudziesięciu tysięcy dolarów za sztukę. Wprowadzenie
amerykańskiej narodowej normy FIPS, jako jedynego dopuszczalnego kryterium dla polskiej administracji,
jest nieuzasadnione.W sytuacji kiedy inne polskie przepisy posługują się równoważnymi, międzynarodowymi normami ITSEC i Common Criteria, naturalnym byłoby wskazanie tych
właś n i e standardów. Normy te są certyfikowaneprzez jednostki w Pol-sce (DBTI ABW) oraz w innych kra -jach NATO, zaś FI PS wyłącznie w Stanach Zjednoczonych.
Jest to również niekonsekwencja w stosunku do ustawy o podpisie, gdyż w rozporządzeniu o warunkach technicznych podpisu elek1roniczne -go wskazuje się na normy ITSEC i Common Criteria (par. 49,1.4 i 2.2).
Obowiązują onetakże przy wprowa-dzaniu do obrotuurządzeńdo ochro
-ny informacji niejawnej.
Część przedsiębiorców wskazuje też na możliwość .cutsourcinqu",
czyli wystawiania poświadczeń od-bioru przez zewnętrzny podmiot, co rnoqłoby zmniejszyć koszty ich wy
-stawiania w przeliczeniu na jednost
-kę administracji. Z rozporządzenia jednak nie wynika, czy byłoby to prawnie możliwe. Wprost przeciwnie
- rozporządzenie posługuje się języ kiem wskazującym raczej na to, że
16
poświad czen ia ma wystawiać sama
jednostka.
Należy zatem rozważyć, czy na pewno istniejekoniecznośćstosowa -nia HSM we wszystkich jednostkach administracji.Ich stosowaniejestn
ie-wątp l iwi e uzasadnione w urzędach, wktórych czasotrzymania dokume
n-tu może mieć istotne znaczenie dla konkurujących o jaki eś zasoby firm, jest jednak nieuzasadnionym obcią żeniemdlamałychjednostek adm
ini-stracji,k1órebędą otrzymywać doku-mentydrogą elektron icznątylkosp
o-radycznie.
Dla nich mogłaby być dostępna tańszaopcja,np.outsourcing,k tóre-go legal n ość musi jednak wynikać
wprost z rozporządzenia, lub podpis elek1roniczny w trybie potwierdzenia aut e ntycz n ości , generowany przez system informatyczny (bez udziału człowi e ka).
Wkażdymprzypadku wprowadze -nienorm ITSECoraz Common Crite -riajestniezbędne.
Kryptog raficzne podstawy
podpis u cyf rowego
Aspekty i nformatyczno-kryminali-styczne podpisu elektronicznego w istocie rzeczy sięgają do źródła kryptologicznego, jakim jest pojęcie schematu podpisu cyfrowego i jego bezpieczeństwa . Poniżej przypomni-my w skrócie podstawowe wymaga-nia bezpiecznej komunikacji elek1ro-nicznej, anastępnie zdefiniujemy
po-jęciesystemu kryptograficznego, któ-ry jest podstawowym narzędziem do realizacji takich wymagań. Dalej po
-każemy przykłady protokołów, k1óre pozwaiają spełnić każde spośród omówionych wy m ag a ń. W dalszej kolejnościzdefiniujemypojęcie sche-matu podpisu cyfrowego i sprecyzu-jemypojęciejego bezpieczeństwa. Wymaganiabezpieczeństwa
POU FNOŚĆ
Poufność oznacza możliwość
stworzenia bezpiecznego kanału transmisjipomiędzy dowolnymi dwo-ma użytkownikami A i B. Graficznie
będziemy oznaczać.to
A --- --- - --_ B
UWIERZYTELNIANIE
Powiemy, że podmiot A u
wierzy-telnia się wobec podmiotu B, gdy B
mapewność, żekomunikujesię zA. Grafic znie będzie my ozn acz ać to wnastę p ującysposób:
[;-} ---
---
GJ
Zatem np. A "dowodzi", że jest nadawcąpewnejwiadomości m;NIEZAPRZECZALN OŚĆ
Mówimy, że A nie może
zaprze-czyć,żejestnad awcą wiadomościm,
gdyB posiada dowód,żewi adom ość
m pochodzi odA. Graficzniewyraża
my tonastępująco:
m
GJ
-
---
-
-
-
?GJ
Niezaprzeczalność (odwrotnie do powyższego) oznacza , że B"dowodzi",iż nadawcąm jest A; INTEGRALNOŚĆ
Integ ral n ość odnosisię do w iado-mości m.Jeśl i wiadomość wysyłana
przez A jest tą samą, co odbierana przezB,to powiemy,że zachowana jest integralność przekazu (transmi-sji).Graficznie oznaczamy to,jak na
-stępuje:
m
0
? -- - ---- ---- - m0
System kryptograficzn y
Powyższewymaganiamożna zre-alizowaćzapomocą narzędzia,jakim jest system kryptograficzny. Formal-nie jest topiątka: SK~(P,C,K,E, OJ, gdzie
p - to zbiórwiadomościjawnych, C - to zbiórwiadomości zaszyfro-wanych (kryptogramów),
K - toprzestrzeńkluczy,