Kwalifikowane certyfikaty, podpisy i pieczęcie elektroniczne. po 1 lipca 2018 roku. po 1 lipca 2018 roku. Wersja 1.0

Transkrypt

1 Kwalifikowane certyfikaty, podpisy i pieczęcie elektroniczne po 1 lipca 2018 roku. Kwalifikowane certyfikaty, podpisy i pieczęcie elektroniczne po 1 lipca 2018 roku Wersja 1.0

2 S t r o n a 2 Spis treści. 1. Kwalifikowane certyfikaty, podpisy i pieczęcie elektroniczne po 1 lipca 2018 roku INTERPRETACJA WCHODZĄCYCH W ŻYCIE PRZEPISÓW OKREŚLONE W USTAWIE O IDENTYFIKACJI ELEKTRONICZNEJ ORAZ USŁUGACH ZAUFANIA W ZAKRESIE STOSOWANIA FUNKCJI SKRÓTU SHA-1 I SHA OPIS PRZYPADKÓW, Z KTÓRYMI BĘDZIEMY MIELI DO CZYNIENIA PO 1 LIPCA 2018 R WYJAŚNIENIE PODSTAWOWYCH POJĘĆ... 6 infolinia@

3 S t r o n a 3 1. Kwalifikowane certyfikaty, podpisy i pieczęcie elektroniczne po 1 lipca 2018 roku Wszystkie kwalifikowane certyfikaty wydane do 1 lipca 2018 roku przy zastosowaniu funkcji skrótu SHA1 nie utracą z tego powodu swojej ważności po tej dacie, a zachowają swoją ważność zgodnie z datą wskazaną w certyfikacie, chyba że wcześniej zostaną unieważnione. Wszystkie kwalifikowane podpisy oraz pieczęcie elektroniczne złożone do 1 lipca 2018 roku przy zastosowaniu funkcji skrótu SHA1 nie utracą swojej ważności po tej dacie. Uwaga. Używając określenia kwalifikowany podpis elektroniczny rozumie się, że podpis był złożony w okresie ważności certyfikatu, bo w przeciwnym przypadku nie byłby to kwalifikowany podpis. Nie można złożyć nieważnego podpisu kwalifikowanego. Można złożyć podpis, który mimo składania z intencją, że ma być kwalifikowany takim podpisem nigdy nie był, bo np. nie spełnia wymogów technicznych lub został złożony w okresie nieważności certyfikatu (po terminie ważności lub po jego unieważnieniu), a aplikacja podpisująca nie sprawdziła tego faktu Interpretacja wchodzących w życie przepisów określone w ustawie o identyfikacji elektronicznej oraz usługach zaufania w zakresie stosowania funkcji skrótu SHA-1 i SHA-2. Interpretacja wchodzących w życie przepisów określone w ustawie o identyfikacji elektronicznej oraz usługach zaufania w zakresie stosowania funkcji skrótu jest następująca: 1. Wszystkie kwalifikowane certyfikatu podpisu i pieczęci wydane do 1 lipca 2018 można po tej dacie stosować przy składaniu podpisów, aż do daty terminu ważności wskazanej w certyfikacie. Na przykład w przypadku certyfikatu dwuletniego wydanego w czerwcu 2018 nie będzie jego użytkownik potrzebował nowego certyfikatu do czerwca 2020 roku! 2. Po 1 lipca 2018 wszystkie nowo wydawane certyfikaty będą bazować na funkcji skrótu innej niż SHA-1 (głównie SHA-2) i będą miały zmienioną składnię (notację) zapisanych w nich niektórych atrybutów (danych). Dlatego oprogramowanie podpisujące i weryfikujące musi sobie z tym poradzić oraz nadal obsługiwać certyfikaty wydane wcześniej, czyli przed 2 lipca 2018 bazujące na funkcji skrótu SHA-1. infolinia@

4 S t r o n a 4 3. Wszystkie stosowane w różnych systemach i usługach oprogramowania tworzące podpisy (i pieczęcie) po 1 lipca 2018 r nie mogą używać funkcji SHA1, czyli muszą tworzyć podpisy wyliczając skrót treści podpisywanych dokumentów za pomocą nowych funkcji, np. SAH-2, niezależnie czy zastosowany przez podpisującego certyfikat był opatrzony pieczęcią wystawcy bazującej na skrócie SHA-1, czy SHA-2. W przypadku certyfikatów kwalifikowanych należy jednoznacznie stwierdzić, że po 1 lipca 2018r. nie będzie żadnej potrzeby aktualizacji wydanych wcześniej i ważnych certyfikatów. Żaden wystawca nie będzie z tego powodu proponował nowego certyfikatu. Choć mogła być inna potrzeba uzyskania nowego certyfikatu, nawet przed lipcem 2018r., gdyż niektóre systemy, szczególnie zagraniczne ze względów technicznych mogą nie akceptować wydanych po staremu certyfikatów Opis przypadków, z którymi będziemy mieli do czynienia po 1 lipca 2018 r. Poniżej na rysunkach przedstawiono dwa reprezentatywne przypadki, z którymi będziemy mieli do czynienia po 1 lipca 2018 r. Pierwszy przypadek. Dokument podpisany przed lipcem 2018r. roku przez dwie osoby. Oba kwalifikowane certyfikaty, za pomocą których są identyfikowane te osoby, zostały wydane przed datą składania podpisu (czyli przed lipcem 2018r.) i w momencie podpisywania były ważne. Przy czym jedna osoba posiadała certyfikat wystawiony przez kwalifikowanego dostawcę usługi przy wykorzystaniu przez niego do tworzenia swojej pieczęci funkcji SHA-2 oraz nowej notacji (składni) zapisu danych (atrybutów), bo takie certyfikaty można było wystawiać już od wejścia w życie przepisów eidas (rozporządzenie UE 910/2014). Więcej, wydawanie po nowemu było zalecane i dość powszechnie stosowane dużo wcześniej w pastwach UE niż to zaczęliśmy czynić w Polsce. Natomiast druga osoba posiadała certyfikat wydany w oparciu o SHA-1. Aplikacje podpisujące, z której korzystały osoby podpisujące przykładowy dokument, obliczając skrót treści dokumentu korzystały w jednym przypadku z funkcji SHA-2, a w drugim z SHA-1. Nie miało tu znaczenia jakiej funkcji skrótu użył wystawca kwalifikowanego certyfikatu. Podpisy w dokumencie zostały dodatkowo opatrzone kwalifikowanym znacznikiem czasu przez stronę akceptującą w momencie weryfikacji podpisów. Znacznik stanowi dowód, że podpisy zostały złożone w okresie ważności certyfikatów osób podpisujących. infolinia@

5 S t r o n a 5 Drugi przypadek. Dokument podpisany po 1 lipca 2018 roku przez dwie osoby (te same, co w przypadku pierwszym). Oba certyfikaty zostały wydane przed datą składania podpisu i w momencie podpisywania były ważne. Przy czym jedna osoba posiadała nowy certyfikat wydany po 1 lipca 2018 r. przy wykorzystaniu SHA-2, a druga osoba posiadała certyfikat (ciągle ten sam co w przypadku pierwszym) wystawiony przed lipcem 2018 r. przez kwalifikowanego dostawcę usługi przy wykorzystaniu funkcji SHA-1. Natomiast aplikacje podpisujące, z których korzystały osoby podpisujące, obliczając skrót treści dokumentu korzystały z funkcji SHA-2 dla obu podpisów, bo funkcji SHA-1 nie można już było stosować do nowo tworzonych kwalifikowanych podpisów i pieczęci elektronicznych. infolinia@

6 S t r o n a Wyjaśnienie podstawowych pojęć. Certyfikat jest to zaświadczenie elektroniczne (dokument elektroniczny stanowiący zaświadczenie elektroniczne o określonym terminie ważności, które zawiera dane identyfikujące podpisującego oraz klucz publiczny, czyli dane służące do sprawdzenia autentyczności podpisu elektronicznego złożonego za pomocą klucza prywatnego, czyli danych, nad którymi wyłącznie podpisujący ma kontrolę. Prawdziwość danych potwierdzone jest przez wystawcę jego elektroniczną pieczęcią. Ta pieczęć (czyli podpis osoby prawnej) zawiera skrót treści tego zaświadczenia i ten skrót przed lipcem 2018 r. może być wyliczany za pomocą różnych (dopuszczonych prawnie) funkcji skrótu, w tym za pomocą funkcji SHA-1, a po tej dacie, dla nowo wydawanych certyfikatów, nie będzie można już stosować funkcji SHA-1. Jednak wszystkie wydane przed 2 lipca 2018r. certyfikaty z SHA-1 zachowują swoją ważność i można będzie je stosować aż do końca wskazanej w nim ważności, jeżeli wcześniej nie zostaną unieważnione. Dokument elektroniczny, który powstaje jako udokumentowanie czynności prawnej, jest podpisywany podpisem elektronicznym (analogicznie do dokumentu papierowego podpisanego piórem). Podczas podpisywania dokumentu (tworzenia podpisu) wyliczany jest skrót na podstawie treści tego dokumentu. To robi aplikacja (system) podpisująca nie mająca najczęściej nic wspólnego z wystawcą certyfikatu i samym tworzeniem certyfikatu. Ten skrót z treści dokumentu po 1 lipca 2018 roku musi być wyliczany zgodnie z SHA-2, przedtem mógł być wyliczony wg. SHA-1. Gotowy podpis złożony po 1 lipca 2018 r. zawiera więc skrót dokumentu wyliczony zgodnie z SHA-2 oraz certyfikat użytkownika, który zawiera pieczęć wystawcy wyliczoną wg SHA-1 albo SHA-1, jeżeli certyfikat był wydany przed 2 lipca 2018r., albo wyliczoną wg SHA-2, jeżeli certyfikat będzie wydany po tej dacie. W podpisie, mówiąc w dużym uproszczeniu, są zawarte dwa skróty. Jeden dotyczący treści dokumentu, drugi - treści certyfikatu (zawarty w pieczęci tego certyfikatu). Za ten pierwszy odpowiada aplikacja podpisująca (dostawca tej aplikacji), a za ten drugi wystawca certyfikatu. infolinia@

7 S t r o n a 7 Certyfikat jako dokument wydany z SHA-1 przed lipcem 2018 roku jest dokumentem ważnym i nie utraci swojej ważności, ani nie zostanie ograniczone jego zastosowanie po tej dacie tylko z tego powodu, że użyto przy jego pieczętowaniu funkcji SHA-1. Kwalifikowany podpis elektroniczny złożony przed lipcem 2018 roku nie utraci ważności po 1 lipca 2018 r. Oddzielnym zagadnieniem jest kwestionowanie w przyszłości daty podpisu, jeżeli nie był on oznaczony czasem jeszcze za życia certyfikatu lub kwestionowanie faktu jednoznacznego powiązania podpisu z podpisaną treścią. Tak może stać się w przypadku, gdy w przyszłości technologia i moce obliczeniowe pozwolą dopasować inną treść do skrótu (liczonego np. wg. SHA-1), który był podstawą wyliczenia szyfrogramu stanowiącego podpis w rozumieniu kryptograficznym. Nie wnikając w zawiłości prawne i kryptograficzne można te kwestią rozwiązać poprzez skorzystanie z usługi rynkowej świadczonej profesjonalnie przez kwalifikowanego dostawcę usług zaufania. Niniejszy dokument, w celu zaprezentowania w praktyce powyższych wywodów, zostanie zamieniony na format PDF i podpisany elektronicznie bazując na certyfikacie utworzonym przy użyciu SHA-1. Podpis zostanie oznaczony znacznikiem czasu, co ułatwi w przyszłości, np. po utracie ważności certyfikatu. ustalenia faktu, że został on złożony przed tą datą. Bez znacznika czasu oczywiście podpis nie straci ważności ani po 1 lipca br., ani po upływie ważności certyfikatu, za pomocą którego jest on weryfikowany. Kwalifikowany znacznik czasu dostarcza prawnie uznawanego dowodu w sytuacji, gdyby kwestionowana była w przyszłości data złożenia podpisu. Można oczywiście dowodzić w inny sposób autentyczności wskazanej w dokumencie daty podpisania, jeżeli ta data byłaby z różnych powodów kwestionowana. Znakowanie czasem jest jednak skutecznym i bardzo prostym zabiegiem, dlatego jest ono rekomendowane. infolinia@