Raport na temat aktualnego stanu podpisu elektronicznego w Polsce

Wielkość: px
Rozpocząć pokaz od strony:

Download "Raport na temat aktualnego stanu podpisu elektronicznego w Polsce"

Transkrypt

1 Raport na temat aktualnego stanu podpisu elektronicznego w Polsce Paweł Krawczyk Internet Society Poland Wersja 5

2 Wstęp... 2 Stan obecny... 3 Podstawy prawne podpisu elektronicznego... 3 Advanced Electronic Signature... 4 Qualified Certificate... 4 Secure Signature Creation Device (SSCD)... 5 Polska ustawa o podpisie elektronicznym... 5 Bezpieczne urządzenie według ustawy... 6 Czy rozporządzenie jest w ogóle potrzebne?... 6 Polskie rozporządzenie o warunkach technicznych... 8 Bezpieczne urządzenie według rozporządzenia... 9 Co mamy obecnie na rynku? Konsekwencje SSCD opartego o zwykły Windows Niech klient sam zadba o swoje urządzenie Bezpieczny inaczej Konflikt między ustawą a rozporządzeniem Inne nieścisłości Problemy z formatami...16 Trzy standardy - cztery formaty Sigillum SDOC Konsekwencje wyboru cztery firmy, cztery formaty Jaki format wybierze administracja i dlaczego wszystkie cztery? Faktury elektroniczne kwalifikowany vs niekwalifikowany Administracja publiczna dojna krowa Rozwiązania Bezpieczne urządzenie do podpisu Formaty podpisu elektronicznego PKCS7, CMS, XML Format XML (XAdEs) Który format najlepszy? Server Based Signature Services Język rozporządzenia Zakończenie Wstęp Internet Society Poland jest stowarzyszeniem, dla którego zawsze priorytetem była popularyzacja społeczeństwa informacyjnego przez promowanie technik informatycznych w życiu publicznym i biznesie. Podpis elektroniczny jest narzędziem, które ma olbrzymi potencjał i może przynieść wymierne korzyści zarówno osobom prywatnym, administracji publicznej oraz biznesowi. Obserwując aktualny stan podpisu elektronicznego dostrzegamy jednak

3 poważne bariery na drodze do jego poprawnego rozwoju. Ten raport szczegółowo analizuje te problemy i przedstawia propozycje rozwiązań, które zdaniem ISOC-PL mogą przyczynić się do faktycznego wprowadzenia podpisu do powszechnego użycia w Polsce i w Europie. Autor chciałby podziękować następującym osobom za wkład i uwagi do tego dokumentu: Mirosław Kutyłowski, Zbigniew Jakubowski, Piotr Waglowski, Władysław Majewski, Józef Halbersztadt, Sergiusz Pawłowicz, Marcin Cieślak, Łukasz Jachowicz. Kontakt z autorem: Paweł Krawczyk, tel , Stan obecny Podstawy prawne podpisu elektronicznego Źródłem prawa o podpisie elektronicznym jest Dyrektywa Unijna 1999/93 z dnia 13 grudnia 1999 r. (DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL). Dyrektywa definiuje aspekt organizacyjny (instytucja centrów certyfikacji) i prawny podpisu elektronicznego. O dyrektywie trzeba wiedzieć dwie rzeczy: jest rekomendacją; państwa członkowskie UE (w tym Polska) powinny tworzyć prawo na podstawie, ale niekoniecznie przez skopiowanie dyrektywy jeden do jeden w praktyce tak się zwykle robi, bo jest najłatwiej ale nie zawsze, dyrektywa jest dość ogólna w zakresie technikaliów np. mówi ogólnie, że należy stosować algorytmy bezpieczne kryptograficznie, ale określenie że ma być to na przykład RSA 1536 bitów nie leży w gestii dyrektywy. Warto również wiedzieć, że dyrektywa definiuje specyficzny żargon. Do tego żargonu należy określenie electronic signature, advanced electronic signature oraz qualified certificate (na razie celowo pozostawiam bez tłumaczenia). Jaka jest różnica między electronic a advanced electronic? W rozumieniu dyrektywy napis Józef Tkaczuk napisane w ASCII pod mailem jest podpisem elektronicznym ( electronic signature ). Bo jest podpisem ( signature ), i jest elektroniczny ( electronic ). Chodzi oczywiście o to żeby w prawie istniało miejsce na różne techniki podpisu stworzone na przestrzeni lat. Np. zeskanowane podpisy odręczne w produktach Adobe.

4 Advanced Electronic Signature W tej analizie będziemy skupiać się tylko na podpisie advanced electronic. Dokładna definicja tego podpisu w brzmieniu Dyrektywy: advanced electronic signature means an electronic signature which meets the following requirements (art 2 pkt 2 dyrektywy) Dalej jest mowa o wymaganiach funkcjonalnych, takich jak jednoznaczne powiązanie z właścicielem itd. W praktyce wymagania te są zapewniane przez odpowiednie funkcje kryptograficzne. Jest jeszcze jeden podpis dla nas kluczowy - stanowiący silniejszą wersję advanced. Jest to podpis advanced złożony po pierwsze przy pomocy specjalnego certyfikatu, po drugie na specjalnym urządzeniu: advanced electronic signatures which are based on a qualified certificate and which are created by a secure-signature-creation device: (a) satisfy the legal requirements of a signature in relation to data in electronic form in the same manner as a handwritten signature (art 5 pkt 1 dyrektywy) Czyli, odwracając szyk zdania status prawny identyczny z podpisem odręcznym ma tylko zaawansowany podpis elektroniczny oparty o certyfikat kwalifikowany i bezpieczne urządzenie do składania podpisu. I tylko ten. Tutaj pojawiają się pojęcia qualified certificate oraz secure signature creation device (SSCD). Qualified Certificate Pierwszy termin certyfikat kwalifikowany oznacza certyfikat (klucz publiczny plus opis właściciela), który został wydany zgodnie z określoną procedurą i musi zawierać określone dane o posiadaczu. Sens tego jest taki, że tożsamość przyszłego właściciela certyfikatu musi zostać zweryfikowany (dowód osobisty, paszport, dokumenty firmy) przez uprawnioną trzecią stronę (firmę, instytucję) wydającą certyfikat kwalifikowany. Po to, byśmy mieli pewność że osoba, która go otrzyma jest tą za którą się podaje. Z tego względu zgodnie z prawem polskim certyfikatem kwalifikowanym nie jest np. klucz przechowywany w Mozilli (bo nie jest na karcie) ani wystawiony przez miejscowego informatyka, nawet na karcie (bo wujek nie jest uprawnioną instytucją).

5 Czy jest to konieczne? Tak, ponieważ procedury weryfikacji stosowane przez miejscowego informatyka mogą nie być wystarczające dla zapewnienia bezpieczeństwa obrotu gospodarczego. Secure Signature Creation Device (SSCD) Drugi termin bezpieczne urządzenie do składania podpisu elektronicznego (SSCD) oznacza urządzenie, które spełnia określone standardy bezpieczeństwa. Wymagania wobec SSCD są wyłożone w Annex III dyrektywy. Dodatek ten mówi m.in. o tym żeby: nie dało się odtworzyć klucza prywatnego z urządzenia klucz prywatny ma być chroniony przed niepowołanymi podpis ma być chroniony przed fałszerstwem urządzeniu nie wolno zmieniać podpisywanych danych Zwróćmy uwagę na ten ostatni punkt, który będzie kluczowy w dalszej części tej analizy. Proszę również pamiętać, że dyrektywa jest dokumentem prawnym a nie technicznym! Oznacza to, że urządzenie wcale nie musi być fizycznym urządzeniem podobnym do bankomatu, które większości speców od IT od razu staje przed oczami. Z prawnego punktu widzenia nawet słoik będzie bezpiecznym urządzeniem jeśli będzie spełniał listę wymagań określonych w dyrektywie. Zachowajmy te informacje w pamięci i podsumujmy - sama dyrektywa jest dokumentem napisanym dobrze, spójnym i nie ma co do niej zastrzeżeń. Polska ustawa o podpisie elektronicznym Polska zaimplementowała dyrektywę 1999/93/EC jako Ustawę z dnia 18. września 2001 r. o podpisie elektronicznym. Ustawa jest prawie dokładnym tłumaczeniem dyrektywy. W polskiej ustawie termin advanced electronic signature został przetłumaczony jako bezpieczny podpis elektroniczny a nie zaawansowany, co się narzuca z tłumaczenia. Zwracało na to uwagę wiele osób, m.in. prof. Kutyłowski sugerując, że jest to nieuzasadnione rozszerzenie znaczenia (gdyby autorzy dyrektywy mieli podstawy by napisać bezpieczny, to napisaliby secure, a tymczasem napisali advanced ). Wypowiedź prof. Kutyłowskiego: Nie zmienia to jednak finalnego sensu ustawy, ponieważ dalej stwierdza ona konsekwentnie:

6 Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi (Art 5 pkt 2) Czyli polska ustawa konsekwentnie zachowuje rozróżnienie bezpieczny podpis versus bezpieczny podpis weryfikowany kwalifikowanym certyfikatem. W praktyce to drugie nazywa się potocznie podpisem kwalifikowanym. Bezpieczny podpis bez certyfikatu kwalifikowanego nazywa się podpisem niekwalifikowanym lub podpisem zwykłym. Bezpieczne urządzenie według ustawy O wiele istotniejsze są jednak przepisy dotyczące omówionego wyżej bezpiecznego urządzenia do składania podpisu. Fragment analogiczny do Appendix III dyrektywy jest w Ustawie zawarty w art. 18. Oto jak brzmi interesujący nas fragment (art. 18 pkt 1): Bezpieczne urządzenie służące do składania podpisu elektronicznego powinno co najmniej: ( ) nie zmieniać danych, które mają zostać podpisane lub poświadczone elektronicznie oraz umożliwiać przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą jego złożenia, (art. 18 pkt 1) Kluczowe jest to, że ustawę rozszerza szereg rozporządzeń. Rozporządzenia te regulują szczegóły techniczne oraz organizacyjne podpisu elektronicznego w Polsce. W założeniach ustawa określa schemat ogólny i wymagania (jak powyżej), a rozporządzenie wypełnia je treścią (konkretne zabezpieczenia). Niestety w przypadku polskiego rozporządzenia stało się inaczej. Dwa wyróżnione wyżej fragmenty są krytyczne z punktu widzenia poniższych rozważań o sprzeczności rozporządzenia z ustawą. Czy rozporządzenie jest w ogóle potrzebne? Zanim przejdziemy do dalszej analizy, zatrzymajmy się nad jeszcze jedną kwestią. Czy rozporządzenie do ustawy jest w ogóle potrzebne? Na tle innych krajów członkowskich widać, że Polska zdecydowała się na wprowadzenie restrykcyjnej wersji ustawy o podpisie elektronicznym, w którym państwo nie tylko mówi jakie własności powinien mieć bezpieczny podpis (wymogi funkcjonalne określone w Dyrektywie), ale dodatkowo narzuca jakimi środkami technicznymi ma to być osiągnięte.

7 Sama dyrektywa nie mówi nic o szczegółach bezpiecznego urządzenia do składania podpisu, a jedynie określa wymogi funkcjonalne wobec tego urządzenia - np. że nie powinno zmieniać danych przeznaczonych do podpisania. Rozporządzenie określające szczegóły techniczne urządzenia jest naszą rodzimą produkcją. Niektórzy europejscy ustawodawcy ograniczyli się do wdrożenia ustawy w formie niemal dosłownie przetłumaczonej z Dyrektywy unijnej. Np. w Czechach nie ma w ogóle obowiązku korzystania z bezpiecznego urządzenia w sensie odrębnej, fizycznej maszyny. Nie ma także zatem dodatkowego rozporządzenia o warunkach technicznych, określającego szczegóły takiego urządzenia. W powszechnym użyciu jest certyfikat kwalifikowany w sensie certyfikatu wystawionego z zachowaniem odpowiednich procedur określonych w Dyrektywie. Ale do składania podpisu może służyć dowolna aplikacja implementująca podpis elektroniczny Outlook Express, Mozilla, Microsoft Office, OpenOffice 2.0 itd. Przez to, że ustawodawca nie określił szczegółowo ani formatów ani technicznych parametrów bezpiecznego urządzenia, rynek wybrał je sam korzystając z powszechnie przyjętych standardów technicznych, znanych od lat (np. S/MIME). Nie oznacza to, że bezpieczeństwo podpisu elektronicznego w Czechach jest radykalnie niższe. Zgodnie z prawem urządzenie do składania podpisu (czyli np. Windows z Outlookiem) musi nadal spełniać wymogi ustawy, czyli np. nie zmieniać danych przeznaczonych do składania podpisu. Jednak sposób w jaki ten wymóg jest w praktyce realizowany zależy od samego podpisującego. To podpisujący odpowiada za bezpieczeństwo swojego klucza prywatnego i wynika to wprost z czeskiej ustawy. Podpis elektroniczny w Polsce został zdefiniowany o wiele bardziej drobiazgowo (rozporządzenie o warunkach technicznych), co miało w założeniu zapewnić jego większe bezpieczeństwo. Niestety w praktyce okazało się, że przez niefortunne wyłączenie jakiejkolwiek ochrony tzw. oprogramowania niepublicznego faktyczny stan podpisu elektronicznego w Polsce został sprowadzony do Windowsa z podłączonym czytnikiem i zainstalowaną aplikacją do podpisywania. Niestety, w odróżnieniu od rozwiązań stosowanych powszechnie na rynku, aplikacje te korzystają z uznaniowo wybranych formatów i są niewygodne w stosowaniu, a bezpieczeństwo takiego rozwiązania sprowadza się do bezpieczeństwa zwykłego biurowego czy domowego systemu Windows. Czyli, okrężną drogą, doprowadzono do tego że o bezpieczeństwie niby-bezpiecznego urządzenia i tak decyduje tylko użytkownik. Niestety, w przeciwieństwie do Czech, użytkownicy dowiedzieli się o tym nie z ustawy, tylko od centrów certyfikacji podczas kłótni wywołanym przez publikację firmy G DATA (szczegóły dalej).

8 Oznacza to, że Czesi, którzy pozornie wybrali rozwiązanie mniej bezpieczne, w obecnej chwili dysponują identycznym poziomem bezpieczeństwa jak my, ale bez związanych z tym problemów z kompatybilnością (które omawiamy poniżej), za to przy radykalnie większej wygodzie i praktyczności korzystania z tego podpisu. Czy czeskie rozwiązanie jest lepsze? Na pewno z punktu widzenia przejrzystości prawa tak, jest lepsze! Jeśli chodzi o bezpieczeństwo to byłoby mniej bezpieczne, gdyby nasze rozporządzenie nie wprowadziło dodatkowych zabezpieczeń, które samo potem zniosło. Jedyną istotną różnicą, która odróżnia wymogi polskie od czeski jest wynikający z polskieg rozporządzenia obowiązek przechowywania klucza prywatnego na karcie. Jest to obowiązek słuszny w przypadku podpisu kwalifikowanego, ponieważ zapewnia on realnie duże bezpieczeństwo klucza prywatnego przed kradzieżą. Kradzież klucza prywatnego miałaby bardzo poważne konsekwencje dla użytkownika (możliwość nieograniczonego składania fałszywych podpisów) i obowiązek ten jest wart utrzymania. Polskie rozporządzenie o warunkach technicznych Głównym dokumentem określającym szczegóły techniczne podpisu elektronicznego jest rozporządzenie o warunkach technicznych (pełna nazwa: Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. ). Rozporządzenie, w odróżnieniu od ustawy, nie jest oparte o dyrektywę i zostało napisane w Polsce. Częściowo zawiera ono rozwiązania techniczne opisane w profilu bezpieczeństwa CWA 14169, zaproponowanym przez Europejski Komitet Standaryzacji (CEN). Jednak jako całość, jest ono sprzeczne zarówno z dyrektywą unijną jak i polską ustawą i to jest kluczowy problem obecnego polskiego prawodawstwa. Na czym polega ta sprzeczność? Otóż rozporządzenie wprowadza, a zaraz potem w nieuzasadniony sposób znosi wymogi bezpieczeństwa wobec bezpiecznego urządzenia narzucone przez ustawę. Daje to centrom certyfikacji prawo do sprzedawania klientom kilku klocków do budowy bezpiecznego urządzenia ze słowami sami sobie to złóżcie i zabezpieczcie. Finalny rezultat, jaki możemy oglądać w praktyce jest sprzeczny z wymogami narzuconymi przez dyrektywę, nie mówiąc już o zdrowym rozsądku i zasadach dobrej praktyki inżynierskiej w ochronie danych. Drugi problem to formaty podpisu, który opiszę później. Przejdźmy do szczegółów bezpiecznego urządzenia.

9 Bezpieczne urządzenie według rozporządzenia Mając cały czas w głowie odpowiedni akapit ustawy ( bezpieczne urządzenie powinno nie zmieniać danych do podpisania ) przyjrzyjmy się pewnej definicji użytej w polskim rozporządzeniu. Oprogramowanie publiczne - oprogramowanie podpisujące, do którego w normalnych warunkach eksploatacji może mieć dostęp każda osoba fizyczna; Oprogramowaniem publicznym nie jest w szczególności oprogramowanie używane w mieszkaniu prywatnym, lokalu biurowym lub telefonie komórkowym (par 1 pkt 9) Na jakiej podstawie założono, że komputer w mieszkaniu czy w biurze jest bezpieczny? W normalnych dziś warunkach eksploatacji jakim jest stałe łącze do Internetu, do komputera dostęp ma praktycznie cały świat. Codziennie tysiące komputerów domowych i biurowych na całym świecie pada ofiarą koni trojańskich. Fragment ten jest kuriozalny dlatego, że dzięki niemu ustawodawca kawałek dalej zezwolił producentom na niestosowanie zabezpieczeń w bezpiecznym urządzeniu! Jak to się stało? Otóż autor ustawy na początku wprowadził zabezpieczenia, które musi implementować bezpieczne urządzenie (omawiamy je dalej). Ale zabezpieczenia te dotyczą tylko oprogramowania publicznego. To co nie jest oprogramowaniem publicznym nie musi tych zabezpieczeń stosować. Ponieważ bezpieczne urządzenie w biurze i w domu nie jest publiczne, więc nie musi mieć zabezpieczeń. Innymi słowy, autor rozporządzenia założył, że oprogramowanie stosowane w domu lub w biurze jest bezpieczne samo przez się. Mowa tutaj o przeciętnym domowym lub biurowym Windowsie, bo tylko pod ten system są dostępne aplikacje do składania podpisu. Każdy kto ma cokolwiek wspólnego z bezpieczeństwem wie, że to właśnie komputery biurowe i domowe najczęściej padają ofiarami wirusów, rootkitów i koni trojańskich. Jak pisałem powyżej w dobie Internetu, każdy podłączony do sieci system jest publiczny! Każdy ma do niego dostęp i wynikałoby to z dosłownego brzmienia tego punktu ( ma dostęp nie powiedziano że dostęp fizyczny), gdyby zdanie dalej nie wprowadzono kuriozalnej definicji bezpieczeństwa przez mieszkanie lub biuro. Z moich doświadczeń wynika że niezałatany system Windows 2000 Server jest znajdowany przez automatyczne skanery i skutecznie infekowany w ciągu 5 minut po podłączeniu do sieci. Niezależnie od tego czy stoi w domu na pawlaczu, czy w biurze w sejfie.

10 W rezultacie tej nieuzasadnionej klasyfikacji rozporządzenie wyłącza spod ochrony 100% oprogramowania, które tej ochrony właśnie najbardziej potrzebuje. Od strony prawnej jest to zrealizowane następująco: rozporządzenie wprowadza pojęcie bezpiecznego kanału (par 1 pkt 13), czyli zabezpieczenia przed naruszeniem integralności podpisywanych danych po drodze między plikiem a aplikacją, następnie wprowadza obowiązek stosowania tego kanału przez oprogramowanie publiczne (par 4 pkt 4), gdzie indziej o nim nie wspominając; a zatem oprogramowanie niepubliczne nie ma obowiązku stosowania bezpiecznego kanału jako że dzięki odpowiedniej definicji niemal 100% oprogramowania stosowanego do podpisu staje się niepubliczne, pojęcie bezpiecznego kanału jest martwe! Jak pokazało życie polskie centra certyfikacji chętnie zastosowały się dwóch ostatnich punktów. W rezultacie w rozporządzeniu pominięto kwestię ochrony integralności danych wyraźnie podkreśloną zarówno w dyrektywie jak i ustawie przez kwestię bezpieczne urządzenie powinno nie zmieniać danych do podpisania rozwadniając ją do momentu gdzie straciła sens. Co w intencji autora rozporządzenia miało być oprogramowaniem publicznym?. Komputery w kafejkach internetowych lub na uczelniach? Chyba jedynie one w praktyce podpadają pod zacytowaną definicję. Ale skąd tam czytniki kart? Można sobie również wyobrazić jakieś kioski internetowe oferujące podpis elektroniczny, które też by pod to podpadały, ale zwykle są to systemy dedykowane i dobrze zabezpieczone. O wiele bardziej należy się martwić o zwykłe pecety uznane za autorów rozporządzenia za bezpieczne in statu nascendi. Co mamy obecnie na rynku? Wszystkie cztery centra certyfikacji oferują bezpieczne urządzenie do składania podpisu (SSCD) w postaci zestawu do samodzielnego montażu. Oferują, bo im wolno, dzięki takiej a nie innej konstrukcji rozporządzenia. Kupując takie urządzenie klient otrzymuje: czytnik kart elektronicznych, kartę elektroniczną z certyfikatem, oprogramowanie do składania i weryfikacji podpisu.

11 Oprogramowanie jest przeznaczone do instalacji na standardowym systemie Windows, wraz ze wszystkimi tego konsekwencjami. Konsekwencje SSCD opartego o zwykły Windows Aby nie być gołosłownym, w październiku 2005 roku firma G DATA ze Szczecinka zaprezentowała demonstrację, w której oprogramowanie firmy Certum zostało wykorzystane do sfałszowania podpisu elektronicznego w systemie Windows. Sfałszowanie polegało na zainstalowaniu w tym systemie rootkita, który przechwytywał wywołania systemowe Windows. W rezultacie program Certum inny plik wyświetlał użytkownikowi przed podpisaniem, a inny faktycznie podpisywał. Proszę zauważyć, że wymóg wyświetlenia dokumentu przed podpisaniem jest również narzucony przez ustawę (art. 18 pkt 1) i jest on jak najbardziej słuszny. Ale tutaj nic nie pomógł, bo rootkit inteligentnie podawał odpowiednią treść pliku w zależności od tego kto o nią prosił. Do wyświetlenia zwracał prawdziwą, do podpisania podmienioną. Demonstracja wywołała gwałtowną reakcję polskich centrów certyfikacji, które zarzuciły G DATA merkantylność, nieuctwo, szerzenie paniki itd. Odpowiedź Certum można znaleźć tutaj: Podobne oświadczenie wydał m.in. KIR i Signet. Ale G DATA zademonstrowała zdarzenie, które jest jak najbardziej możliwe w rzeczywistości. Jest to zdanie osoby która z racji wykonywanego zawodu często spotyka się z rootkitami, końmi trojańskimi itp. i dobrze zna ich wysoką skuteczność w przenikaniu do systemów ofiar, niezależnie od lokalizacji. Dlatego też podjąłem decyzję o opisaniu tego przypadku na łamach Computerworld Security Online i podjąłem późniejszą polemikę z centrami certyfikacji. Zaowocowała ona ze strony centrów stworzeniem długiego dokumentu pt. Mity i fakty o podpisie elektronicznym, który jest publikowany na stronach Certum (drugi link zacytowany powyżej), KIR oraz Signet (http://www.signet.pl/info/aktualnosci.html). Wiele twierdzeń tam zawartych jest prawdziwych i nie będę z nimi polemizował. Jednak części problemów centra nie poruszyły w ogóle (formaty podpisu opisane poniżej), a część przedstawiły tak jak im wygodnie. Tak jest też z bezpiecznym urządzeniem do podpisu elektronicznego. Centra certyfikacji posługują się w swoich wypowiedziach dwoma argumentami, które powtórzę dla zwięzłości swoimi słowami:

12 przecież zalecamy instalację antywirusa przecież jesteśmy zgodni z rozporządzeniem Niech klient sam zadba o swoje urządzenie W poniższym akapicie będę pisał głównie o Certum, ale chciałbym na wstępie podkreślić że problem ten dotyczy wszystkich polskich centrów certyfikacji. Certum aktywnie brało w tej dyskusji udział m.in. przez swoje publikacje. Fakt ten jest godny zauważenia. Podobne oświadczenia wydawał KIR i Signet. Argument zalecamy instalacje antywirusa, jest tutaj oparty o jedno zdanie, znalezione przeze mnie w październiku w instrukcji do jednego z programów Certum (obecnie nie jest ona dostępny na stronie Certum). Równocześnie w opisanym wyżej artykule Certum przyznaje że: atak wirusa G DATA jest możliwy, ale tylko w przypadku stosowania oprogramowania niezgodnie z zaleceniami zawartymi w Podręczniku użytkownika dołączanego do produktów Unizeto Technologies SA. Niezgodnie, to znaczy jeśli w systemie nie ma antywirusa co zdaniem Certum jest gwarancją bezpieczeństwa systemu. Jest to fikcja. Większość obecnie stosowanych antywirusów nie jest w stanie wykryć rootkitów kontrolujących system, co więcej jest przez nie skutecznie unieszkodliwiana. Wykrywanie sygnaturowe na jakim polega większość antywirusów jest całkowicie nieskuteczne przeciwko nowym rootkitom, zwłaszcza spersonalizowanym pod konkretną grupę ofiar. Szczegółowe informacje o współczesnych rootkitach można znaleźć tutaj: W wspomnianym artykule Certum/Unizeto jest również kilka innych pomysłów jak korzystać z aplikacji bezpiecznie. Na przykład dodawać do podpisywanego dokumentu dodatkowy opis co jest w środku, odłączyć komputer od sieci czy zainstalować wspomniany antywirus i firewall. Pomysły w rodzaju dodawania dodatkowego opisu do dokumentu czy odpięcia komputera od sieci mają sens techniczny jako łatanie obecnego stanu rzeczy, ale w szerszej perspektywie brzmią śmiesznie i sprowadzają do absurdu sens stosowania podpisu elektronicznego jako łatwego i taniego. Po to mamy skrót kryptograficzny podpisany kluczem prywatnym żeby nie musieć dodawać opisu co jest w środku! Odłączając komputer od sieci nie będziemy mogli za to korzystać ze znakowania czasem, weryfikować ważności certyfikatów i tak dalej.

13 Jako początkowe założenie do budowy bezpiecznego urządzenia należy przyjąć że 90% klientów zainteresowanych podpisem elektronicznym nie ma zielonego pojęcia o tym jak poprawnie zabezpieczyć Windows. Sugerowanie im żeby sami zbudowali sobie takie urządzenie i jeszcze go zabezpieczyli jest nieuzasadnionym mąceniem im w głowach! Podsumowując, argument że to klient powinien dbać o swoje bezpieczne urządzenie jest chybiony z następujących powodów: powód techniczny - firewalle ani antywirusy dostępne na rynku nie są skutecznym zabezpieczeniem przed rootkitami i końmi trojańskimi stosowanymi obecnie; powód formalny - klient kupujący bezpieczne urządzenie w żadnym wypadku nie powinien otrzymywać zestawu typu zrób to sam którego bezpieczeństwo zależy od tego jakiego zainstalował antywirusa czy jak często uaktualnia regułki; Rozwijając drugi punkt: klient nie jest osobą kompetentną do budowania SSCD! Proponowanie zestawu do samodzielnego montażu i bronienie go przed racjonalnymi zarzutami przez wymyślanie coraz to kolejnych półśrodków jeszcze bardziej pogrąża podpis elektroniczny w oczach opinii publicznej. W interesie zarówno użytkowników podpisu jak i centrów certyfikacji jest by środowisko do składania podpisu było faktycznie bezpieczne, a nie bezpieczne w rozumieniu rozporządzenia. Rozwiązanie tego problemu nie jest łatwe zarówno od formalnej jak i technicznej strony. Ale jest możliwe. Swoje propozycje przedstawię pod koniec tego dokumentu. Bezpieczny inaczej Argumentacja jesteśmy bezpieczni z rozporządzeniem wychodzi od definicji w rozporządzeniu i tworzy wrażenie, że coś co nazwano bezpiecznym urządzeniem wcale wbrew nazwie nie musi być bezpieczne. Pojęcie bezpieczne w rozumieniu rozporządzenia nie ma tutaj nic wspólnego z potocznym rozumienia słowo bezpieczeństwo. We wspomnianym wyżej artykule Certum używa więc pojęcia bezpieczeństwo prawne i argumentuje, że G DATA nie zrozumiała ustawy bo przecież ich bezpieczne urządzenie jest bezpieczne w rozumieniu rozporządzenia. Można by powiedzieć bezpieczne inaczej Certum wydaje się być rozgrzeszone z tego, że nie jest bezpieczne bo przecież rozporządzenie poniekąd zwolniło ich z tego obowiązku (patrz oprogramowanie

14 publiczne powyżej). Poniekąd, ponieważ zgodność z rozporządzeniem nie oznacza, że można zignorować wymogi ustawy, będącej aktem nadrzędnym. Konia z rzędem temu, kto na podstawie takiego uzasadnienia wykrzesa w sobie choć trochę zaufania do podpisu elektronicznego w polskim wydaniu. Jak zobaczymy poniżej, ta nieuzasadniona interpretacja pojęcia bezpieczeństwo została wprowadzona tylko przez rozporządzenie. Ale już ustawa z której się ono wywodzi posługuje się normalnie rozumianym pojęciem bezpieczeństwa! Konflikt między ustawą a rozporządzeniem Powyższe dyskusje właściwie nie powinny w ogóle mieć miejsca w świetle wymagań, jakie nakłada ustawa czyli dokument nadrzędny w stosunku do rozporządzenia. Przypomnijmy ten fragment (art. 18 pkt 1): Bezpieczne urządzenie służące do składania podpisu elektronicznego powinno co najmniej: ( ) nie zmieniać danych, które mają zostać podpisane lub poświadczone elektronicznie oraz umożliwiać przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą jego złożenia, Urządzenie do samodzielnego montażu (pecet z Windows, czytnikiem i kartą) nigdy nie będzie w stanie praktycznie spełnić tego warunku ponieważ ryzyko zainfekowania przeciętnego Windowsa rootkitami jest duże i realne, nawet pomimo firewalli i antywirusów. Trudno również uznać za zgodne z zamysłem ustawodawcy i zdrowym rozsądkiem urządzenie, które dziś jest zgodne (bo nie jest zainfekowane i nie zmienia) a jutro nie jest zgodne (bo akurat antywirus nie zdążył z aktualizacją). Ogólnie - którego bezpieczeństwo zależy od uznaniowego zainstalowania przez użytkownika dodatkowego oprogramowania. Faktem wynikającym z prostej lektury tekstu ustawy i rozporządzenia jest że to co ustawa definiuje jednoznacznie i funkcjonalnie ( nie powinno zmieniać danych ) jest potem rozwadniane przez rozporządzenie w mętnych wywodach o oprogramowaniu publicznym. Z tego wynika, że rozporządzenie jest bezdyskusyjnie sprzeczne z ustawą i dyrektywą, z której się ona wywodzi, a obecnie oferowane bezpieczne urządzenia nie spełniają wymogów ustawy i Dyrektywy. Inne nieścisłości

15 Rozporządzenie w przeciwieństwie do ustawy i dyrektywy dzieli bezpieczne urządzenie na dwie części: komponent techniczny - sprzęt stosowany w celu wygenerowania lub użycia danych służących do składania bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego (par 1 pkt 6) oprogramowanie podpisujące - oprogramowanie, które przygotowuje dane, które mają zostać podpisane lub poświadczone elektronicznie, i przesyła je do komponentu technicznego (par 1 pkt 7) Dla uproszczenia będziemy mówić o komponencie sprzętowym i programowym. Rozporządzenie wprowadza również wspomniane wyżej zabezpieczenia ścieżkę i kanał: bezpieczna ścieżka - łącze zapewniające wymianę między oprogramowaniem podpisującym a komponentem technicznym informacji związanych z uwierzytelnieniem użytkownika komponentu technicznego, zabezpieczone w sposób uniemożliwiający naruszenie integralności przesyłanych danych przez jakiekolwiek oprogramowanie (par 1 pkt 12) bezpieczny kanał - łącze zapewniające wymianę między oprogramowaniem podpisującym a komponentem technicznym informacji związanych z przekazywaniem danych, które mają być podpisane lub poświadczone elektronicznie, zabezpieczone w sposób uniemożliwiający naruszenie integralności przesyłanych danych przez jakiekolwiek oprogramowanie (par 1 pkt 13) Jak widać istnieją mechanizmy zabezpieczające transmisję danych między kartą a aplikacją oraz między plikiem a aplikację. Tyle tylko że przez opisane wyżej gierki z oprogramowaniem niepublicznym zostały one w praktyce wyłączone. Również wymagania bezpieczeństwa odnośnie tych komponentów są różne. Komponent sprzętowy musi posiadać niezależny certyfikat bezpieczeństwa, zdefiniowany tak: Komponenty techniczne powinny posiadać certyfikaty zgodności, zaświadczające spełnienie wymagań określonych w Polskich Normach, a w przypadku braku takich norm, spełnienie wymagań określonych w dokumentach ( ) (par 5 pkt 2) Następnie są wymienione standardy bezpieczeństwa ITSEC-E3, Common Criteria EAL4 lub FIPS-140. Są to standardy określone przez różne międzynarodowe organizacje, zgodność z nimi jest w Polsce potwierdzana przez Departament Bezpieczeństwa Teleinformatycznego ABW. W Polsce obowiązują także certyfikaty wydane przez analogiczne instytucje NATO. Ze względu na fakt, że większość kart elektronicznych i

16 czytników jest wyprodukowana w krajach NATO i ma już taki certyfikat, są one uznawane u nas. Natomiast komponent programowy musi posiadać tylko i wyłącznie dobrowolną deklarację zgodności: Oprogramowanie podpisujące stosowane przy składaniu bezpiecznych podpisów elektronicznych powinno posiadać deklarację zgodności (par 7 pkt 11) Deklaracja jest wystawionym przez producenta oświadczeniem, że jego produkt jest zgodny z rozporządzeniem. Deklaracja jest jednostronicowym dokumentem, które zawiera dokładnie takie lakoniczne stwierdzenie jak powyżej deklaracje te można znaleźć na stronach poszczególnych centrów. Co jest najbardziej istotne, deklaracji tych nikt w praktyce nie weryfikuje! Problemy z formatami Jeśli przyglądamy się podpisowi elektronicznemu w Polsce z daleka to, poza problemami z bezpiecznym urządzeniem, wygląda to bardzo elegancko. Wszyscy sobie mogą podpisywać, wymieniać się dokumentami, fakturami itd. Niedługo będziemy mogli wysyłać podania do urzędów podpisane elektronicznie. Przygotowując w ubiegłym roku dla Computerworld tekst o podpisie pobrałem ze stron centrów certyfikacji aplikacje testowe, część z nich z certyfikatami testowymi. Niestety, praktyczne testy doprowadziły mnie do wniosku, że podpis elektroniczny, poza problemami z bezpiecznym urządzeniem, nie nadaje się w Polsce do praktycznego użytku. Wszyscy czterej wystawcy certyfikatów kwalifikowanych w Polsce deklarują pełną zgodność z rozporządzeniem. I faktycznie, każda z firm jest zgodna z jednym ze standardów zaleconych przez rozporządzenie. Problem polega na tym, że każda z innym! Format plików generowanych przez programy do składania bezpiecznego podpisu elektronicznego określa rozporządzenie o warunkach technicznych (par 30 pkt 1, podpunkt 1). Konkretnie, rozporządzenie dopuszcza by aplikacje do składania podpisu generowały podpis w jednym z trzech formatów:

17 1. CMS (Cryptographic Message Syntax), format definiowany przez normy ETSI TS oraz RFC 3125 i RFC Format oparty o XML, definiowany przez normę ETSI TS (XAdEs) 3. PKCS7 binarny format będący podzbiorem CMS. Te trzy formaty są wzajemnie niekompatybilne. Każdy z nich ma inną strukturę i jest inaczej kodowany (CMS i PKCS7 są plikami binarnymi, a XML jest plikiem tekstowym). Formaty XML i CMS są mniej więcej równoważne funkcjonalnie, PKCS7 jest uboższy (na przykład nie przechowuje informacji o znacznikach czasowych). Trzy standardy - cztery formaty Polskie centa certyfikacji oferują oprogramowanie, które posługuje się następującymi formatami (stan na październik 2005): 1. Program procertum CombiLite zapisuje podpisy cyfrowe w formacie CMS. Żaden inny testowany program nie był w stanie zweryfikować tak złożonego podpisu. Program zapisuje pliki z rozszerzeniem SIG. 2. KIR oraz jego aplikacj SafeDevice stworzona przez firmę BSB zapisuje podpis cyfrowy w formacie PKCS7. Ten podpis jako jedyny został poprawnie zweryfikowany przez procertum CombiLite. W drugą stronę to jednak nie działa - SafeDevice nie weryfikuje podpisu w formacie CMS złożonego przez CombiLite. Można tego było oczekiwać bo CMS jest nadzbiorem PKCS7. SafeDevice również korzysta z rozszerzenia SIG przez co korzystanie z tych dwóch programów w jednym systemie jest cokolwiek niewygodne. 3. Signet Proofer nie weryfikuje żadnego z podpisów złożonych przez inne programy i trudno się dziwić bo jako jedyny korzysta z formatu XML, całkowicie odmiennego od CMS i PKCS7. Z tego samego powodu żadna z pozostałych aplikacji nie będzie w stanie zweryfikować podpisu złożonego Signet Confidantem. Program posługuje się plikami z rozszerzeniem SIGNET. Trzy wymienione wyżej aplikacje operują na dowolnych plikach, to znaczy z menu wybieramy fizyczny plik, obojętne w jakim formacie, i składamy na nim podpis. Wynik jest zapisywany albo do oddzielnego, małego pliku albo w formacie zwartym, w którym zarówno treść dokumentu jak i podpis znajdują się fizycznie w jednym pliku. Umożliwiają to wszystkie trzy standardowe formaty - CMS, PKCS7 i XML. 4. Sigillum Sign jest oryginałem wyróżniającym się spośród pozostałych programów zarówno filozofią jak i formatem zapisywanych dokumentów. Program nie operuje bowiem na plikach tylko integruje się ściśle z pakietem MS Office, pozwalając na podpisywanie dokumentów z poziomu Worda, Excella i PowerPointa. Brak jest funkcji w rodzaju "wybierz plik do podpisania". Zamiast tego w menu Worda pojawia się nowa pozycja "podpisz dokument", której

18 wybranie powoduje wygenerowanie graficznego obrazu każdej ze stron dokumentu czy arkusza. Są one następnie importowane do Sigillum Sign, podpisywane i zapisywane w prywatnym formacie SDOC opracowanym przez Sigillum. Sigillum SDOC Po bliższym przyjrzeniu się SDOC okazuje się że jest to archiwum w natywnym windowsowym formacie CAB, zawierające pliki graficzne reprezentujące poszczególne strony dokumentu oraz - prawdopodobnie - plik z podpisami cyfrowymi każdej z nich. Z infolinii Sigillum dowiedziałem się że jest to format prywatny opracowany przez tę firmę. Przy kolejnym telefonie powiedziano mi że jednak sam podpis cyfrowy jest zgodny z PKCS7. Ale nawet jeśli jest, to zakopany gdzieś w środku archiwum CAB. Oczywiście format SDOC nie jest akceptowany przez żaden z wymienionych wyżej programów. Słusznie zastanawiają się ci, którzy poszukują formatu SDOC na liście formatów dopuszczonych przez rozporządzenie. Nie ma go tam. Rozporządzenie dopuszcza możliwość stosowania innych formatów, ale muszą być one zarejestrowane w ISO. Dnia 11. lutego wysłałem do Sigillum zapytanie czy ten format został zarejestrowany i czekam na odpowiedź. System podpisu elektronicznego wprowadzony przez Sigillum jest rozwiązany elegancko i byłby wygodny w stosowaniu, ale tylko wówczas gdyby był jedynym formatem na świecie. Jako element rynkowej całości wprowadza tylko dodatkowe zamieszanie. Jako format narzucony prawem do stosowania z podpisem kwalifikowanym stanowi poważną barierę dla kompatybilności, dostępności i przenośności. Konsekwencje wyboru cztery firmy, cztery formaty Polskie centra certyfikacji ze wszystkich możliwych kombinacji wybrały najgorszą każde z nich korzysta z innego formatu. W rezultacie opowieści o powszechnym i łatwym stosowaniu podpisu elektronicznego w biznesie i administracji na dzień dzsiejszy należy traktować jako mrzonki. Pojedyncze wdrożenia podpisu elektronicznego, którymi chwalą się centra certyfikacji (GIIF, serwis aukcyjny zamówień publicznych, pewien bank) nie świadczą o niczym. Dotyczą one stosunkowo wąskich grup użytkowników wymieniających się tymi samymi

19 podpisami między sobą i nie pozwoliły im jeszcze doświadczyć w pełni problemów z formatami. Ale jeśli ktoś zechciałby skorzystać równocześnie i z GIIF, i aukcji publicznych i z w/w banku to zauważy ze zdumieniem, że są to trzy różne podpisy elektroniczne i trzy różne aplikacje. Zgodnie z tym co mamy dzisiaj, jeśli firma A kupi certyfikat w Certum, a firma B w Sigillum, to będą mogły wysyłać sobie podpisane faktury lub umowy tylko pod warunkiem że każda będzie mieć zainstalowany program do weryfikacji podpisu przeciwnika. W skrajnym przypadku będą to cztery różne programy, z czego dwa kolidujące (rozszerzenie SIG). W praktyce nie mamy więc w Polsce jednego podpisu elektronicznego. Mamy ich cztery: podpis wg Certum, podpis wg Sigillum, podpis wg Signetu, podpis wg KIR. Pociąga to za sobą szereg problemów natury praktycznej: konieczność instalacji oprogramowania firmy, której certyfikatem będziemy podpisywać nasze dokumenty (co jest zrozumiałe), konieczność instalacji oprogramowania każdej z firm, której certyfikatem będą podpisywać swoje dokumenty nasi kontrahenci (co jest już sporą niedogodnością), problemy z używaniem równocześnie oprogramowania Certum i KIR, ponieważ obie aplikacje zawłaszczają sobie rozszerzenie SIG. Problemy te brzmią niepoważnie w XXI wieku, kiedy cały świat zmierza w kierunku otwartych standardów i wzajemnej kompatybilności. Internet wielokrotnie przechodził boje o kompatybilność ( wojny przeglądarek HTML, SSL vs PCT, IPSec vs PPTP i inne) i na dzień dzisiejszy nawet Microsoft w dużym stopniu stosuje się do powszechnie uznanych standardów (standardowy HTML w MSIE, migracja do XML w MS Office). Kolejnym problemem jest również narzucenie systemu Windows jako obowiązkowego elementu bezpiecznego urządzenia ponieważ centra certyfikacji dostarczają oprogramowanie podpisujące tylko pod ten system. Jest to sprzeczne z ideą neutralności technologicznej państwa i powtarza np. znany konflikt wokół Płatnika ZUS. Z drugiej strony warto pamiętać, że Windows stanowi nadal większość desktopów w biznesie i robienie tutaj czegoś na siłę również jest błędem (więcej na ten temat w rozdziale Rozwiązania).

20 Poza tym całe prawodawstwo podpisu elektronicznego jest oparte o powszechnie dostępne standardy. Zamieszanie wprowadzono dopiero na najniższym poziomie, formatów plików zastosowano kilka niekompatybilnych standardów. Zamieszanie wprowadzono w naszym rozporządzeniu dopuszczając trzy niekompatybilne formaty i dając centrom certyfikacji swobodę ich wyboru. A te wybrały sobie po jednym formacie, każde inny. Jaki format wybierze administracja i dlaczego wszystkie cztery? W kontekście planowanego wprowadzenia podpisu elektronicznego do administracji publicznej nasuwa się kilka pytań: którego z czterech dostawców, a co za tym idzie, który format wybierze administracja publiczna? czy każda jednostka administracji publicznej wybierze tego samego dostawcę, czyli ten sam format? co będzie się działo jeśli różne organy administracji wybiorą różnych dostawców? i, co gorsza, co będzie się działo jeśli te same organy w różnych miejscach wybiorą różnych dostawców? Najgorszy możliwy scenariusz jest taki, że do 16. sierpnia nie stanie się nic (czas w pewnym sensie działa na rękę centrom certyfikacji) i po tym dniu będziemy mieli na przykład następujące możliwości: kupić certyfikat i zestaw do podpisu w Certum, żeby wysyłać PIT do urzędu skarbowego w Rzeszowie (ale już np. Katowice będzie obsługiwać KIR), kupić drugi certyfikat i zestaw do podpisu w Sigillum, żeby złożyć wniosek o ścięcie drzewa na posesji w naszej gminie (ale już sąsiednią obsługuje np. Signet), kupić trzeci certyfikat i zestaw do podpisu w KIR, żeby wysłać przelew bankowy (KIR raczej nie ma konkurencji w bankach), kupić czwarty certyfikat i zestaw do podpisu w Signecie, żeby wysłać wniosek o wymianę prawa jazdy w urzędzie wojewódzkim; i tutaj się okaże, że na jednym komputerze to nie zadziała, bo program Signetu koliduje z programem Certum (oba wykorzystują rozszerzenie SIG). Taka segmentacja rynku leży w pewnym sensie w interesie centrów certyfikacji, bo zamiast jednego zestawu część instytucji będzie musiała kupić wszystkie cztery (patrz poniżej rozdział Dojna krowa ). Ale to zadziała tylko pod jednym warunkiem że uda się właśnie zmusić rynek do wykorzystywania podpisu elektronicznego w wyżej wymienionych zastosowaniach.

Nowe funkcje w programie Symfonia Mała Księgowość w wersji 2012

Nowe funkcje w programie Symfonia Mała Księgowość w wersji 2012 Nowe funkcje w programie Symfonia Mała Księgowość w wersji 2012 Spis treści: Korzyści z zakupu nowej wersji... 2 Wystawianie efaktur stan prawny... 2 Program Symfonia e-dokumenty... 3 e-faktura w Symfonii...

Bardziej szczegółowo

PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA

PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA Charakterystyka działań z obszaru e gospodarki i e administracji podejmowanych na regionalnym poziomie PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA Maciej Domagalski Krajowa Izba Rozliczeniowa SA

Bardziej szczegółowo

Przewodnik użytkownika

Przewodnik użytkownika STOWARZYSZENIE PEMI Przewodnik użytkownika wstęp do podpisu elektronicznego kryptografia asymetryczna Stowarzyszenie PEMI Podpis elektroniczny Mobile Internet 2005 1. Dlaczego podpis elektroniczny? Podpis

Bardziej szczegółowo

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej. wersja 1.4 UNIZETO TECHNOLOGIES SA

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej. wersja 1.4 UNIZETO TECHNOLOGIES SA Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej wersja 1.4 Spis treści 1 NIEZBĘDNE ELEMENTY DO WGRANIA CERTYFIKATU NIEKWALIFIKOWANEGO NA KARTĘ

Bardziej szczegółowo

Bariery podpisu elektronicznego w Polsce i UE

Bariery podpisu elektronicznego w Polsce i UE Bariery podpisu elektronicznego w Polsce i UE Paweł Krawczyk Compendium Centrum Edukacyjne, Internet Society Polska pawel.krawczyk@compendium.pl 1 Motto Należy wspierać współdziałanie produktów podpisu

Bardziej szczegółowo

Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie. Instrukcja dla użytkowników. wersja 1.4

Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie. Instrukcja dla użytkowników. wersja 1.4 Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie Instrukcja dla użytkowników wersja 1.4 Spis treści 1 NIEZBĘDNE ELEMENTY DO WGRANIA CERTYFIKATU NIEKWALIFIKOWANEGO

Bardziej szczegółowo

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Laboratorium nr 5 Podpis elektroniczny i certyfikaty Laboratorium nr 5 Podpis elektroniczny i certyfikaty Wprowadzenie W roku 2001 Prezydent RP podpisał ustawę o podpisie elektronicznym, w która stanowi że podpis elektroniczny jest równoprawny podpisowi

Bardziej szczegółowo

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4 Instrukcja pobrania i instalacji certyfikatu Microsoft Code Signing wersja 1.4 Spis treści 1. WSTĘP... 4 2. TWORZENIE CERTYFIKATU... 4 3. WERYFIKACJA... 9 3.1. WERYFIKACJA DOKUMENTÓW... 9 3.1.1. W przypadku

Bardziej szczegółowo

Elektroniczna Legitymacja Studencka w ofercie KIR S.A.

Elektroniczna Legitymacja Studencka w ofercie KIR S.A. NIEZAWODNOŚĆ BEZPIECZEŃSTWO INNOWACYJNOŚĆ Elektroniczna Legitymacja Studencka w ofercie KIR S.A. Warszawa, 13 czerwca 2008 r. Dlaczego Krajowa Izba Rozliczeniowa S.A. mówi o podpisie elektronicznym i ELS?

Bardziej szczegółowo

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna 1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez

Bardziej szczegółowo

PODPIS ELEKTRONICZNY. Uzyskanie certyfikatu. Klucze Publiczny i Prywatny zawarte są w Certyfikacie, który zazwyczaj obejmuje:

PODPIS ELEKTRONICZNY. Uzyskanie certyfikatu. Klucze Publiczny i Prywatny zawarte są w Certyfikacie, który zazwyczaj obejmuje: PODPIS ELEKTRONICZNY Bezpieczny Podpis Elektroniczny to podpis elektroniczny, któremu Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym nadaje walor zrównanego z podpisem własnoręcznym. Podpis

Bardziej szczegółowo

Uwagi do projektów rozporządzeń związanych z platformą epuap

Uwagi do projektów rozporządzeń związanych z platformą epuap Paweł Krawczyk Kraków, 28 maja 2010 ul. Miechowity 15/19 31-475 Kraków tel +48 602 776959 email pawel.krawczyk@hush.com Ministerstwo Spraw Wewnętrznych i Administracji ul. Stefana Batorego 5 02-591 Warszawa

Bardziej szczegółowo

Ministerstwo Finansów

Ministerstwo Finansów Ministerstwo Finansów System e-deklaracje Instrukcja użytkownika Wersja 1.00 1/21 SPIS TREŚCI I. INFORMACJE OGÓLNE...3 WYMAGANIA NIEZBĘDNE DO SKŁADANIA DEKLARACJI ZA POMOCĄ INTERAKTYWNYCH FORMULARZY...3

Bardziej szczegółowo

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP PGP - Pretty Good Privacy Użycie certyfikatów niekwalifikowanych w programie PGP Spis treści: Wstęp...3 Tworzenie klucza prywatnego i certyfikatu...3 Import kluczy z przeglądarki...9 2 Wstęp PGP - to program

Bardziej szczegółowo

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x Spis treści Wstęp... 1 Instalacja certyfikatów w programie pocztowym... 1 Instalacja certyfikatów własnych... 1 Instalacja certyfikatów innych osób... 3 Import certyfikatów innych osób przez odebranie

Bardziej szczegółowo

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID wersja 1.3 Spis treści 1. INSTALACJA CERTYFIKATU... 3 1.1. KLUCZ ZAPISANY BEZPOŚREDNIO DO PRZEGLĄDARKI (NA TYM KOMPUTERZE),... 3 1.2.

Bardziej szczegółowo

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA Certyfikat Certum Basic ID Instrukcja dla użytkowników Windows Vista wersja 1.3 Spis treści 1. INSTALACJA CERTYFIKATU... 3 1.1. KLUCZ ZAPISANY BEZPOŚREDNIO DO PRZEGLĄDARKI (NA TYM KOMPUTERZE),... 3 1.2.

Bardziej szczegółowo

INSTRUKCJA AKTYWACJI I INSTALACJI CERTYFIKATU ID

INSTRUKCJA AKTYWACJI I INSTALACJI CERTYFIKATU ID Instrukcja jak aktywować certyfikat BASIC ID oraz PROFESSIONAL ID znajduje się na stronie www.efpe.pl dla zalogowanych użytkowników. Login i hasło do strony efpe.pl znajduje się wewnątrz twojego identyfikatora

Bardziej szczegółowo

Krok 2 Aktywacja karty Certum

Krok 2 Aktywacja karty Certum Krok 2 Aktywacja karty Certum wersja 1.6 Spis treści KROK 2 - AKTYWACJA KARTY CERTUM... 3 2.1. OPIS PROCESU... 3 2.2. SPOSÓB WYPEŁNIENIA FORMULARZA... 5 2.3. WERYFIKACJA TOŻSAMOŚCI... 7 KROK 2 - AKTYWACJA

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 30 grudnia 2010 r.

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 30 grudnia 2010 r. Dziennik Ustaw Nr 259 18170 Poz. 1769 1769 ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 30 grudnia 2010 r. w sprawie sposobu przesyłania deklaracji i podań oraz rodzajów podpisu elektronicznego, którymi

Bardziej szczegółowo

Portal SRG BFG. Instrukcja korzystania z Portalu SRG BFG

Portal SRG BFG. Instrukcja korzystania z Portalu SRG BFG Portal SRG BFG Instrukcja korzystania z Portalu SRG BFG Opracowano w Departamencie Informatyki i Administracji Bankowego Funduszu Gwarancyjnego Październik 2013 Spis treści: 1. Dostęp do strony portalu...

Bardziej szczegółowo

e-deklaracje www.e-deklaracje.gov.pl

e-deklaracje www.e-deklaracje.gov.pl e-deklaracje www.e-deklaracje.gov.pl e-deklaracje Składanie deklaracji i zeznań podatkowych w formie elektronicznej szybkie tanie łatwe Idea ograniczenie formalności, oszczędność czasu podatnika związanego

Bardziej szczegółowo

Nowe funkcje w programie Symfonia Faktura w wersji 2012

Nowe funkcje w programie Symfonia Faktura w wersji 2012 1 / 8 Nowe funkcje w programie Symfonia Faktura w wersji 2012 Spis treści: 1. Korzyści z zakupu nowej wersji... 2 2. Wystawianie e-faktur stan prawny... 2 3. Program Symfonia e-dokumenty... 2 4. e-faktura

Bardziej szczegółowo

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH Krajowa Izba Rozliczeniowa S.A. POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH Wersja 1.5 Historia dokumentu Numer wersji Status Data wydania 1.0 Dokument zatwierdzony przez Zarząd

Bardziej szczegółowo

E-fakturowanie w praktyce ze szczególnym uwzględnieniem systemów EDI. Warszawa, 25 września 2006 roku

E-fakturowanie w praktyce ze szczególnym uwzględnieniem systemów EDI. Warszawa, 25 września 2006 roku E-fakturowanie w praktyce ze szczególnym uwzględnieniem systemów EDI Warszawa, Uregulowanie w przepisach ROZPORZĄDZENIE MINISTRA FINANSÓW z dnia 14 lipca 2005 r. w sprawie wystawiania oraz przesyłania

Bardziej szczegółowo

Podpis podmiotu a e-faktura w świetle projektu nowelizacji ustawy o podpisie.

Podpis podmiotu a e-faktura w świetle projektu nowelizacji ustawy o podpisie. Jarosław Mojsiejuk, Wiesław Paluszyński Podpis podmiotu a e-faktura w świetle projektu nowelizacji ustawy o podpisie. Warszawa, 2008 Podpis elektroniczny a e - faktura 1) Dyrektywa podatkowa dopuszcza

Bardziej szczegółowo

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? 27.06.11 FAQ Systemu EKOS 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? Procedura rejestracji ocen wymaga podpisywania protokołów (w postaci wypełnionych formularzy InfoPath Forms

Bardziej szczegółowo

Biuletyn techniczny. Eksport i import przelewów za pomocą usługi sieciowej

Biuletyn techniczny. Eksport i import przelewów za pomocą usługi sieciowej Biuletyn techniczny Data ostatniej aktualizacji: 05.02.2014 Spis treści 1 INFORMACJE OGÓLNE... 3 2 EKSPORT ZA POMOCĄ USŁUGI SIECIOWEJ... 4 3 IMPORT ZA POMOCĄ USŁUGI SIECIOWEJ... 7 4 EKSPORT I IMPORT PRZELEWÓW

Bardziej szczegółowo

PODPIS ELEKTRONICZNY CERTYFIKAT KWALIFIKOWANY ZUS, U.S., KRS - INSTALACJE KONIECZNOŚĆ JUŻ W LIPCU!! CZAS AKTYWACJI 30 DNI NIE ZWLEKAJ!!

PODPIS ELEKTRONICZNY CERTYFIKAT KWALIFIKOWANY ZUS, U.S., KRS - INSTALACJE KONIECZNOŚĆ JUŻ W LIPCU!! CZAS AKTYWACJI 30 DNI NIE ZWLEKAJ!! Szanowni Państwo, przedstawiamy ofertę na instalację zestawu do podpisu elektronicznego (certyfikowanego). W razie zainteresowania proszę o odesłanie zamówienia (ostatnia strona) na fax 032 414 90 81.

Bardziej szczegółowo

Popularyzacja podpisu elektronicznego w Polsce

Popularyzacja podpisu elektronicznego w Polsce Popularyzacja podpisu elektronicznego w Polsce Rola administracji w budowaniu gospodarki elektronicznej Warszawa, 25 września 2006 r. Poruszane tematy Wprowadzenie i kontekst prezentacji Rola administracji

Bardziej szczegółowo

RAPORT. Polskie firmy nie chcą iść na rękę klientom. Plany polskich przedsiębiorstw dotyczących przejścia na faktury elektroniczne

RAPORT. Polskie firmy nie chcą iść na rękę klientom. Plany polskich przedsiębiorstw dotyczących przejścia na faktury elektroniczne Polskie firmy nie chcą iść na rękę klientom RAPORT Plany polskich przedsiębiorstw dotyczących przejścia na faktury elektroniczne Zespół mailpro.pl MailPro Sp. z o.o. S t r o n a 1 Wstęp Od początku 2011

Bardziej szczegółowo

Podręcznik użytkownika. procertum SmartSign 3.0 Wersja dokumentacji 1.16. Unizeto Technologies SA - www.unizeto.pl

Podręcznik użytkownika. procertum SmartSign 3.0 Wersja dokumentacji 1.16. Unizeto Technologies SA - www.unizeto.pl Podręcznik użytkownika procertum SmartSign 3.0 Wersja dokumentacji 1.16 Unizeto Technologies SA - www.unizeto.pl Autorskie prawa majątkowe do tej dokumentacji oraz opisywanego przez nią oprogramowania

Bardziej szczegółowo

ZESTAW ENTERPRISE ID. instrukcja pobrania i instalacji certyfikatu niekwalifikowanego. wersja 1.3

ZESTAW ENTERPRISE ID. instrukcja pobrania i instalacji certyfikatu niekwalifikowanego. wersja 1.3 ZESTAW ENTERPRISE ID instrukcja pobrania i instalacji certyfikatu niekwalifikowanego wersja 1.3 Spis treści 1 ZAMÓWIENIE I ZAKUP ZESTAWU PLATINUM.... 3 2 ZESTAW PLATINUM - INSTALACJA I AKTYWACJA PROFILU

Bardziej szczegółowo

Opis przesyłania e-deklaracji VAT i PIT z systemów Sz@rk do serwera e-deklaracje w MF za pośrednictwem programu PPUS

Opis przesyłania e-deklaracji VAT i PIT z systemów Sz@rk do serwera e-deklaracje w MF za pośrednictwem programu PPUS Opis przesyłania e-deklaracji VAT i PIT z systemów Sz@rk do serwera e-deklaracje w MF za pośrednictwem programu PPUS 1. Wstęp Od paru lat oprogramowanie Sz@rk pozwalało na utworzenie e-deklaracji PIT-11,

Bardziej szczegółowo

Instrukcja certyfikat kwalifikowany W 3 krokach Krok 1 - Zakup certyfikatu kwalifikowanego

Instrukcja certyfikat kwalifikowany W 3 krokach Krok 1 - Zakup certyfikatu kwalifikowanego Instrukcja certyfikat kwalifikowany W 3 krokach Krok 1 - Zakup certyfikatu kwalifikowanego wersja 1.5 Spis treści WSTĘP... 3 KROK 1 ZAKUP CERTYFIKATU KWALIFIKOWANEGO... 5 OBSŁUGA ZAMÓWIENIA... 5 OBSŁUGA

Bardziej szczegółowo

BusinessNet - Instrukcja instalacji czytników, kart procesorowych, certyfikatów kwalifikowanych oraz generowania podpisu elektronicznego.

BusinessNet - Instrukcja instalacji czytników, kart procesorowych, certyfikatów kwalifikowanych oraz generowania podpisu elektronicznego. BusinessNet - Instrukcja instalacji czytników, kart procesorowych, certyfikatów kwalifikowanych oraz generowania podpisu elektronicznego. SPIS TREŚCI: 1. Instalacja czytnika kart procesorowych...3 2. Instalacja

Bardziej szczegółowo

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA Certyfikat niekwalifikowany zaufany Certum Silver Instalacja i użytkowanie pod Windows Vista wersja 1.0 Spis treści 1. POBRANIE CERTYFIKATU SILVER... 3 2. IMPORT CERTYFIKATU DO PROGRAMU POCZTA SYSTEMU

Bardziej szczegółowo

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Spis treści. Analiza Ryzyka Instrukcja Użytkowania Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.

Bardziej szczegółowo

Zastosowania PKI dla wirtualnych sieci prywatnych

Zastosowania PKI dla wirtualnych sieci prywatnych Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy

Bardziej szczegółowo

Regulamin. świadczenia usług certyfikacyjnych przez Powiatowe Centrum Certyfikacji. Wprowadzenie

Regulamin. świadczenia usług certyfikacyjnych przez Powiatowe Centrum Certyfikacji. Wprowadzenie Załącznik do uchwały nr 175/2011 Zarządu Powiatu w Chełmie z dnia 29 grudnia 2011 r. Regulamin świadczenia usług certyfikacyjnych przez Powiatowe Centrum Certyfikacji Wprowadzenie Powiatowe Centrum Certyfikacji

Bardziej szczegółowo

Instrukcja składania wniosku o wykreślenie z Rejestru Podmiotów Wykonujących Działalność Leczniczą

Instrukcja składania wniosku o wykreślenie z Rejestru Podmiotów Wykonujących Działalność Leczniczą Instrukcja składania wniosku o wykreślenie z Rejestru Podmiotów Wykonujących Działalność Leczniczą UWAGA: Poniższa procedura nie dotyczy osób, które dokonywały już wcześniej zmian poprzez system teleinformatyczny

Bardziej szczegółowo

Instrukcja instalacji i konfiguracji czytników kart kryptograficznych, aplikacji procertum CardManager, obsługa aplikacji procertum CardManager w

Instrukcja instalacji i konfiguracji czytników kart kryptograficznych, aplikacji procertum CardManager, obsługa aplikacji procertum CardManager w Instrukcja instalacji i konfiguracji czytników kart kryptograficznych, aplikacji procertum CardManager, obsługa aplikacji procertum CardManager w systemach Linux wersja 1.0 Spis treści 1 WSTĘP...3 2 INSTALACJA

Bardziej szczegółowo

Certyfikat niekwalifikowany zaufany Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.2 UNIZETO TECHNOLOGIES SA

Certyfikat niekwalifikowany zaufany Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.2 UNIZETO TECHNOLOGIES SA Certyfikat niekwalifikowany zaufany Certum Basic ID Instrukcja dla użytkowników Windows Vista wersja 1.2 Spis treści 1 ZAKUP I AKTYWACJA CERTYFIKATU BASIC ID... 3 1.1. GENEROWANIE PARY KLUCZY... 13 1.1.1.

Bardziej szczegółowo

Instrukcja certyfikat kwalifikowany W 3 krokach Krok 1 - Zakup certyfikatu kwalifikowanego

Instrukcja certyfikat kwalifikowany W 3 krokach Krok 1 - Zakup certyfikatu kwalifikowanego Instrukcja certyfikat kwalifikowany W 3 krokach Krok 1 - Zakup certyfikatu kwalifikowanego wersja 1.6 Spis treści WSTĘP... 3 KROK 1 ZAKUP CERTYFIKATU KWALIFIKOWANEGO... 5 OBSŁUGA ZAMÓWIENIA... 5 OBSŁUGA

Bardziej szczegółowo

E-faktura Sage. nasz pomysł na e-fakturę. WERCOM Sp. z o.o. Złoty Autoryzowany Partner Sage, tel. 61 868 22 08, biuro@wercom.pl, www.wercom.

E-faktura Sage. nasz pomysł na e-fakturę. WERCOM Sp. z o.o. Złoty Autoryzowany Partner Sage, tel. 61 868 22 08, biuro@wercom.pl, www.wercom. E-faktura Sage nasz pomysł na e-fakturę Czym jest e-faktura w Sage? Korzyści zastosowania standardu e-faktury Sage PDF + metadane czytelność dla ludzi i systemów IT Metadane w postaci XML łatwa weryfikacja

Bardziej szczegółowo

Podręcznik użytkownika. procertum SmartSign 4.0 Wersja dokumentacji 1.24. Unizeto Technologies SA - www.unizeto.pl

Podręcznik użytkownika. procertum SmartSign 4.0 Wersja dokumentacji 1.24. Unizeto Technologies SA - www.unizeto.pl Podręcznik użytkownika procertum SmartSign 4.0 Wersja dokumentacji 1.24 Unizeto Technologies SA - www.unizeto.pl Autorskie prawa majątkowe do tej dokumentacji oraz opisywanego przez nią oprogramowania

Bardziej szczegółowo

Płatniku rozlicz PIT-11 przez internet! www.e-deklaracje.gov.pl

Płatniku rozlicz PIT-11 przez internet! www.e-deklaracje.gov.pl Płatniku rozlicz PIT-11 przez internet! www.e-deklaracje.gov.pl Dynamiczny rozwój technologii internetowych oraz postępująca komputeryzacja społeczeństwa mają swoje bezpośrednie konsekwencje także w sferze

Bardziej szczegółowo

Usługi weryfikacji. podpisów elektronicznych. www.unizeto.eu. Tomasz Litarowicz XV Forum Teleinformatyki 24-25 września 2009 r.

Usługi weryfikacji. podpisów elektronicznych. www.unizeto.eu. Tomasz Litarowicz XV Forum Teleinformatyki 24-25 września 2009 r. Usługi weryfikacji róŝnych podpisów elektronicznych Tomasz Litarowicz XV Forum Teleinformatyki 24-25 września 2009 r. www.unizeto.eu Problematyka weryfikacji podpisu elektronicznego Narzędzia do weryfikacji

Bardziej szczegółowo

ZESTAW PLATINUM. - instrukcja pobrania i instalacji certyfikatu niekwalifikowanego wersja 1.2

ZESTAW PLATINUM. - instrukcja pobrania i instalacji certyfikatu niekwalifikowanego wersja 1.2 ZESTAW PLATINUM - instrukcja pobrania i instalacji certyfikatu niekwalifikowanego wersja 1.2 Spis treści 1. ZAMÓWIENIE I ZAKUP ZESTAWU PLATINUM...3 2. ZESTAW PLATINUM INSTALACJA I AKTYWACJA PROFILU NA

Bardziej szczegółowo

Samokontrola postępów w nauce z wykorzystaniem Internetu. Wprowadzenie

Samokontrola postępów w nauce z wykorzystaniem Internetu. Wprowadzenie mgr Piotr Gaś, dr hab. inż. Jerzy Mischke Ośrodek Edukacji Niestacjonarnej Akademii Górniczo-Hutniczej w Krakowie Samokontrola postępów w nauce z wykorzystaniem Internetu Wprowadzenie W każdym systemie

Bardziej szczegółowo

Instrukcja pobrania i instalacji. certyfikatu Premium EV SSL. wersja 1.4 UNIZETO TECHNOLOGIES SA

Instrukcja pobrania i instalacji. certyfikatu Premium EV SSL. wersja 1.4 UNIZETO TECHNOLOGIES SA Instrukcja pobrania i instalacji certyfikatu Premium EV SSL wersja 1.4 Spis treści 1. WSTĘP... 3 2. TWORZENIE CERTYFIKATU... 3 2.1. TWORZENIE CERTYFIKATU POPRZEZ WNIOSEK CSR... 4 3. WERYFIKACJA... 7 3.1.

Bardziej szczegółowo

PODRĘCZNIK OBSŁUGI BUSINESSNET

PODRĘCZNIK OBSŁUGI BUSINESSNET PODRĘCZNIK OBSŁUGI BUSINESSNET. LOGOWANIE. AUTORYZACJA ZLECENIA. NOWY KLUCZ. PRZELEWY 5. ZLECENIA STAŁE 6. MODUŁ PRAWNY 7. DOSTĘP DO DEALINGNET 8. CERTYFIKAT KWALIFIKOWANY JAK ZALOGOWAĆ SIĘ DO BUSINESSNET

Bardziej szczegółowo

Dokument opisuje sposób postępowania prowadzący do wysłania deklaracji VAT, PIT lub CIT drogą elektroniczną za pomocą funkcji systemu ADA modułu FK.

Dokument opisuje sposób postępowania prowadzący do wysłania deklaracji VAT, PIT lub CIT drogą elektroniczną za pomocą funkcji systemu ADA modułu FK. FK - EDeklaracje Dokument opisuje sposób postępowania prowadzący do wysłania deklaracji VAT, PIT lub CIT drogą elektroniczną za pomocą funkcji systemu ADA modułu FK. W założeniu przyjęto, iż użytkownik

Bardziej szczegółowo

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98 Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98 1. Wprowadzenie... 2 2. Podpisywanie i szyfrowanie wiadomości pocztowych... 2 2.1. Wysyłanie wiadomości z podpisem cyfrowym... 3 2.2. Odbieranie

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI [1]) z dnia... 2006 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI [1]) z dnia... 2006 r. Źródło: http://bip.mswia.gov.pl/bip/projekty-aktow-prawnyc/2006/584,projekt-rozporzadzenia-ministra-swia-z-dnia-2006-r-w-s prawie-wymagan-technicznyc.html Wygenerowano: Poniedziałek, 4 stycznia 2016, 08:37

Bardziej szczegółowo

Elektroniczna forma przekazywania deklaracji

Elektroniczna forma przekazywania deklaracji Elektroniczna forma przekazywania deklaracji Podstawy prawne: Rozporządzenie Ministra Finansów z dnia 19 grudnia 2011 r. w sprawie wzoru pełnomocnictwa do podpisywania deklaracji składanej za pomocą środków

Bardziej szczegółowo

Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej 26.09.2013

Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej 26.09.2013 Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej 26.09.2013 Agenda 1. Wprowadzenie do wirtualnej tożsamości 2. Wirtualna tożsamość z perspektywy PKI

Bardziej szczegółowo

PODRĘCZNIK OBSŁUGI BUSINESSNET

PODRĘCZNIK OBSŁUGI BUSINESSNET PODRĘCZNIK OBSŁUGI BUSINESSNET. LOGOWANIE. AUTORYZACJA ZLECENIA. NOWY KLUCZ. PRZELEWY 5. ZLECENIA STAŁE 6. MODUŁ PRAWNY 7. DOSTĘP DO DEALINGNET 8. ANKIETA MIFID 9. CERTYFIKAT KWALIFIKOWANY JAK ZALOGOWAĆ

Bardziej szczegółowo

ZETO Koszalin Sp. z o.o.

ZETO Koszalin Sp. z o.o. Izabela Wrzeszcz Dział Nowych Usług ZETO Koszalin Sp. z o.o. Zakład Elektronicznej Techniki Obliczeniowej Sp. z o.o. Firma powstała w 1967 roku Największa firma informatyczna w regionie PomorzaŚrodkowego

Bardziej szczegółowo

Bezpiecze ństwo systemów komputerowych.

Bezpiecze ństwo systemów komputerowych. Ustawa o podpisie cyfrowym. Infrastruktura klucza publicznego PKI. Bezpiecze ństwo systemów komputerowych. Ustawa o podpisie cyfrowym. Infrastruktura klucza publicznego PKI. Autor: Wojciech Szymanowski

Bardziej szczegółowo

INSTRUKCJA INSTALACJI OPROGRAMOWANIA MICROSOFT LYNC 2010 ATTENDEE ORAZ KORZYTANIA Z WYKŁADÓW SYNCHRONICZNYCH

INSTRUKCJA INSTALACJI OPROGRAMOWANIA MICROSOFT LYNC 2010 ATTENDEE ORAZ KORZYTANIA Z WYKŁADÓW SYNCHRONICZNYCH INSTRUKCJA INSTALACJI OPROGRAMOWANIA MICROSOFT LYNC 2010 ATTENDEE ORAZ KORZYTANIA Z WYKŁADÓW SYNCHRONICZNYCH Wstęp Warunkiem uczestnictwa w wykładzie zdalnym jest zainstalowanie na komputerze ucznia uczestnika

Bardziej szczegółowo

INSTRUKCJA. DO Aplikacji weryfikującej Firmy IT Business Consulting Group. Strona1. Warszawa, dnia 05 czerwca 2008r.

INSTRUKCJA. DO Aplikacji weryfikującej Firmy IT Business Consulting Group. Strona1. Warszawa, dnia 05 czerwca 2008r. Strona1 INSTRUKCJA DO Aplikacji weryfikującej Firmy IT Business Consulting Group Warszawa, dnia 05 czerwca 2008r. Strona2 Spis treści Spis treści... 2 Wstęp... 3 Instalacja programu... 4 Korzystanie z

Bardziej szczegółowo

Instalacja Czytnika Kart GemPc Twin 1.4 dla przeglądarek 32 bitowych dla systemów Windows XP/Vista/2000/7/8 32 bity i 64 bity Wersja 1.

Instalacja Czytnika Kart GemPc Twin 1.4 dla przeglądarek 32 bitowych dla systemów Windows XP/Vista/2000/7/8 32 bity i 64 bity Wersja 1. Instalacja Czytnika Kart GemPc Twin 1.4 dla przeglądarek 32 bitowych dla systemów Windows XP/Vista/2000/7/8 32 bity i 64 bity Wersja 1.4 Spis treści: 1. Wymagania sprzętowe...2 2. Sprawdzenie oraz instalacja

Bardziej szczegółowo

Instrukcja wczytywania i przekazywania zbiorów centralnych w Centralnej Aplikacji Statystycznej (CAS) przez użytkowników podobszaru PS

Instrukcja wczytywania i przekazywania zbiorów centralnych w Centralnej Aplikacji Statystycznej (CAS) przez użytkowników podobszaru PS Instrukcja wczytywania i przekazywania zbiorów centralnych w Centralnej Aplikacji Statystycznej (CAS) przez użytkowników podobszaru PS Uwaga! Opisane w niniejszej instrukcji funkcje Centralnej Aplikacji

Bardziej szczegółowo

Instrukcja instalacji certyfikatu kwalifikowanego w programie Płatnik wersja 9.01.001b

Instrukcja instalacji certyfikatu kwalifikowanego w programie Płatnik wersja 9.01.001b Instrukcja instalacji certyfikatu kwalifikowanego w programie Płatnik wersja 9.01.001b wersja 1.7 Spis treści 1. WSTĘP... 3 2. INSTALACJA CERTYFIKATU W MAGAZYNIE SYSTEMOWYM... 3 2.1. WCZYTANIE DANYCH Z

Bardziej szczegółowo

1. Instalacja platformy.net Framework.

1. Instalacja platformy.net Framework. Konfiguracja sprzętowo-programowa komputera umożliwiająca korzystanie z komponentu do składania podpisu elektronicznego w oknie przeglądarki dla systemów e-giodo oraz Elektroniczna Skrzynka Podawcza (ESP)

Bardziej szczegółowo

E-fakturowanie. Jarosław Pilarczyk, TA Group Sp. z o.o. Wszelkie prawa zastrzeżone.

E-fakturowanie. Jarosław Pilarczyk, TA Group Sp. z o.o. Wszelkie prawa zastrzeżone. E-fakturowanie Jarosław Pilarczyk, TA Group Sp. z o.o. Wszelkie prawa zastrzeżone. Co to jest e-faktura? E-faktura (faktura elektroniczna): E-faktura (faktura elektroniczna) -to 1. faktura jest zapisana

Bardziej szczegółowo

Paweł Krawczyk pawel.krawczyk@hush.com

Paweł Krawczyk pawel.krawczyk@hush.com Paweł Krawczyk pawel.krawczyk@hush.com Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z dnia 15 listopada 2001 r.) Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie

Bardziej szczegółowo

Microsoft Authenticode. Użycie certyfikatów niekwalifikowanych do podpisywania kodu w technologii MS Authenticode. wersja 1.2 UNIZETO TECHNOLOGIES SA

Microsoft Authenticode. Użycie certyfikatów niekwalifikowanych do podpisywania kodu w technologii MS Authenticode. wersja 1.2 UNIZETO TECHNOLOGIES SA Microsoft Authenticode Użycie certyfikatów niekwalifikowanych do podpisywania kodu w technologii MS Authenticode wersja 1.2 Spis treści WSTĘP... 3 1. ZAKUP I UTWORZENIE KLUCZA PRYWATNEGO DLA CERTYFIKATU

Bardziej szczegółowo

Bezpieczeństwo korespondencji elektronicznej

Bezpieczeństwo korespondencji elektronicznej Marzec 2012 Bezpieczeństwo korespondencji elektronicznej Ochrona przed modyfikacją (integralność), Uniemożliwienie odczytania (poufność), Upewnienie adresata, iż podpisany nadawca jest faktycznie autorem

Bardziej szczegółowo

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej wersja 1.2

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej wersja 1.2 Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej wersja 1.2 Spis treści 1. NIEZBĘDNE ELEMENTY DO WGRANIA CERTYFIKATU NIEKWALIFIKOWANEGO NA KARTĘ

Bardziej szczegółowo

Instrukcja składania wniosku o wykreślenie z Rejestru Podmiotów Wykonujących Działalność Leczniczą

Instrukcja składania wniosku o wykreślenie z Rejestru Podmiotów Wykonujących Działalność Leczniczą Instrukcja składania wniosku o wykreślenie z Rejestru Podmiotów Wykonujących Działalność Leczniczą UWAGA: Poniższa procedura nie dotyczy osób, które dokonywały już wcześniej zmian poprzez system teleinformatyczny

Bardziej szczegółowo

CEPiK 2.0 - co się zmieni w stacjach kontroli pojazdów

CEPiK 2.0 - co się zmieni w stacjach kontroli pojazdów Departament Ewidencji Państwowych CEPiK 2.0 - co się zmieni w stacjach kontroli pojazdów Data publikacji 20.11.2015 wersja 1.0 msw.gov.pl 1/10 Spis treści Zmiany od nowego roku... 3 Założenia nowelizacji...

Bardziej szczegółowo

Milton Friedman ma rację przekazanie pieniędzy cyfrowych bez pytania o ID jest możliwe przedstawiamy Państwu cyfrową gotówkę

Milton Friedman ma rację przekazanie pieniędzy cyfrowych bez pytania o ID jest możliwe przedstawiamy Państwu cyfrową gotówkę Milton Friedman ma rację przekazanie pieniędzy cyfrowych bez pytania o ID jest możliwe przedstawiamy Państwu cyfrową gotówkę Coś czego jeszcze nie ma, ale wkrótce zostanie stworzone to wiarygodna cyfrowa

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika Departament Bezpieczeństwa, Wydział Kryptografii Warszawa, 2015 Spis treści Wstęp 2 1. Generowanie kluczy kryptograficznych i certyfikatów za

Bardziej szczegółowo

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds.

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds. Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds. CC SEKAP. W dniu dzisiejszym przedstawię Państwu w jaki

Bardziej szczegółowo

Symfonia Start Wersja 2012

Symfonia Start Wersja 2012 Symfonia Start Wersja 2012 2 Symfonia Start 2012 Współpraca z serwisem www.miedzyfirmami.pl... 1 Serwis www.miedzyfirmami.pl... 1 Dodano program Symfonia Start e-dokumenty... 1 Stan prawny... 1 e-faktura

Bardziej szczegółowo

Bezpieczna bankowość efirma24

Bezpieczna bankowość efirma24 Bezpieczna bankowość efirma24 Bezpieczne logowanie Zapoznaj się z podstawowymi zasadami bezpiecznego korzystania z bankowości elektronicznej w SK banku. Przed zalogowaniem się do systemu internetowego

Bardziej szczegółowo

Instrukcja odnawiania certyfikatów. przez stronê internetow¹ www.kir.pl. Podrêcznik u ytkownika

Instrukcja odnawiania certyfikatów. przez stronê internetow¹ www.kir.pl. Podrêcznik u ytkownika Instrukcja odnawiania certyfikatów przez stronê internetow¹ www.kir.pl Podrêcznik u ytkownika 2 Instrukcja odnawiania certyfikatów przez www Spis treści 1. Wprowadzenie... 3 2. Wypełnienie formularza www...

Bardziej szczegółowo

Instrukcja procesu aktywacji oraz obsługi systemu Banku Internetowego dla BS Mikołajki

Instrukcja procesu aktywacji oraz obsługi systemu Banku Internetowego dla BS Mikołajki Instrukcja procesu aktywacji oraz obsługi systemu Banku Internetowego dla BS Mikołajki w oparciu o przeglądarkę Microsoft Internet Explorer System stworzony został w oparciu o aktualne narzędzia i programy

Bardziej szczegółowo

elektroniczna Platforma Usług Administracji Publicznej

elektroniczna Platforma Usług Administracji Publicznej elektroniczna Platforma Usług Administracji Publicznej Instrukcja użytkownika Profil Zaufany wersja 7.3. Ministerstwo Spraw Wewnętrznych i Administracji ul. Batorego 5, 02-591 Warszawa www.epuap.gov.pl

Bardziej szczegółowo

UNIZETO TECHNOLOGIES SA. Wykorzystanie certyfikatów niekwalifikowanych zaufanych w oprogramowaniu Lotus Notes 7.03 PL. wersja 1.0

UNIZETO TECHNOLOGIES SA. Wykorzystanie certyfikatów niekwalifikowanych zaufanych w oprogramowaniu Lotus Notes 7.03 PL. wersja 1.0 Wykorzystanie certyfikatów niekwalifikowanych zaufanych w oprogramowaniu Lotus Notes 7.03 PL wersja 1.0 Spis treści 1. WSTĘP... 3 2. KONFIGURACJA SKRZYNKI POCZTOWEJ W CELU UŻYCIA WŁASNEGO CERTYFIKATU...

Bardziej szczegółowo

Nowe funkcje w programie Symfonia Handel w wersji 2012

Nowe funkcje w programie Symfonia Handel w wersji 2012 Symfonia Handel 1 / 10 Nowe funkcje w programie Symfonia Handel w wersji 2012 Spis treści: 1. Korzyści z zakupu nowej wersji... 2 2. Wystawianie e-faktur stan prawny... 2 3. Program Symfonia e-dokumenty...

Bardziej szczegółowo

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów Bezpieczeństwo bez kompromisów Wersja 1.0 True BusinessID Multi-Domain Copyright 2014 SSL24. Właścicielem marki SSL24 jest Centrum Technologii Internetowych CTI Sp. z o.o. Wszelkie prawa zastrzeżone. True

Bardziej szczegółowo

Wykorzystanie przez Bank Pocztowy bezpiecznego podpisu elektronicznego do zawierania umów z Klientami

Wykorzystanie przez Bank Pocztowy bezpiecznego podpisu elektronicznego do zawierania umów z Klientami Wykorzystanie przez Bank Pocztowy bezpiecznego podpisu elektronicznego do zawierania umów z Klientami 19 lutego 2009 roku Misja Banku Pocztowego Uczynienie usług finansowych dostępnych i przystępnych dla

Bardziej szczegółowo

Instrukcja dotycząca generowania klucza dostępowego do Sidoma v8

Instrukcja dotycząca generowania klucza dostępowego do Sidoma v8 Szanowni Państwo! Instrukcja dotycząca generowania klucza dostępowego do Sidoma v8 Przekazujemy nową wersję systemu SidomaOnLine v8. W celu zalogowania się do systemu niezbędny jest nowy klucz dostępu

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

ZAMAWIAJĄCY. CONCEPTO Sp. z o.o.

ZAMAWIAJĄCY. CONCEPTO Sp. z o.o. Grodzisk Wielkopolski, dnia 11.02.2013r. ZAMAWIAJĄCY z siedzibą w Grodzisku Wielkopolskim (62-065) przy ul. Szerokiej 10 realizując zamówienie w ramach projektu dofinansowanego z Programu Operacyjnego

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie szczegółowych warunków organizacyjnych i technicznych dla systemu teleinformatycznego służącego identyfikacji

Bardziej szczegółowo

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów Bezpieczeństwo bez kompromisów Wersja 1.0 SSL Web Server Certificate Copyright 2014 SSL24. Właścicielem marki SSL24 jest Centrum Technologii Internetowych CTI Sp. z o.o. Wszelkie prawa zastrzeżone. SSL

Bardziej szczegółowo

znajdowały się różne instrukcje) to tak naprawdę definicja funkcji main.

znajdowały się różne instrukcje) to tak naprawdę definicja funkcji main. Część XVI C++ Funkcje Jeśli nasz program rozrósł się już do kilkudziesięciu linijek, warto pomyśleć o jego podziale na mniejsze części. Poznajmy więc funkcje. Szybko się przekonamy, że funkcja to bardzo

Bardziej szczegółowo

Czerwiec 2014. Raport. Wykorzystanie EDI w przedsiębiorstwach dystrybucyjnych i produkcyjnych

Czerwiec 2014. Raport. Wykorzystanie EDI w przedsiębiorstwach dystrybucyjnych i produkcyjnych Czerwiec 2014 Raport Wykorzystanie EDI w przedsiębiorstwach dystrybucyjnych i produkcyjnych 2 Wprowadzenie EDI. Jeden ze skrótów funkcjonujących w branży informatycznej, podobnie jak wiele innych,np. ERP,

Bardziej szczegółowo

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów Bezpieczeństwo bez kompromisów Wersja 1.0 Wildcard SSL Certificate Copyright 2014 SSL24. Właścicielem marki SSL24 jest Centrum Technologii Internetowych CTI Sp. z o.o. Wszelkie prawa zastrzeżone. Wildcard

Bardziej szczegółowo

"Procedura obsługi certyfikatów dla KDPW_TR (A2A)"

Procedura obsługi certyfikatów dla KDPW_TR (A2A) "Procedura obsługi certyfikatów dla KDPW_TR (A2A)" Wersja 1.0 Spis treści Dostęp do Repozytorium transakcji KDPW_TR w trybie A2A... 3 Wymagania systemowe... 4 Wniosek certyfikacyjny... 5 Status zgłoszenia

Bardziej szczegółowo

INSTRUKCJA UŻYTKOWNIKA Podpis cyfrowy ISO 9001:2008 Dokument: 2016.0.0.0 Wydanie: 2016-01. Podpis cyfrowy. Spis treści... 1

INSTRUKCJA UŻYTKOWNIKA Podpis cyfrowy ISO 9001:2008 Dokument: 2016.0.0.0 Wydanie: 2016-01. Podpis cyfrowy. Spis treści... 1 Spis treści Spis treści... 1 Wstęp... 2 Przygotowanie certyfikatów wewnętrznych... 2 2.1. Przygotowanie karty pracownika... 2 2.2. Dodawanie certyfikatu nadrzędnego... 3 2.3. Dodawanie certyfikatu pracownika...

Bardziej szczegółowo

2015-06-21. 1. Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

2015-06-21. 1. Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ] Czy dyrektor placówki oświatowej powinien powołać administratora bezpieczeństwa informacji (ABI)? - specjalista ds. ochrony danych osobowych 2015-06-21 1. Wprowadzenie [ ] Powstało mylne, powszechne przekonanie

Bardziej szczegółowo

KORZYSTANIE Z CERTYFIKATU KWALIFIKOWANEGO W PROGRAMIE PŁATNIK

KORZYSTANIE Z CERTYFIKATU KWALIFIKOWANEGO W PROGRAMIE PŁATNIK KORZYSTANIE Z CERTYFIKATU KWALIFIKOWANEGO W PROGRAMIE PŁATNIK a) WYMAGANIA WSTĘPNE Do korzystania z certyfikatu kwalifikowanego w programie Płatnik niezbędne jest : 1. Posiadanie certyfikatu kwalifikowanego

Bardziej szczegółowo

MLD w kontekście elektronicznej dokumentacji medycznej EDM

MLD w kontekście elektronicznej dokumentacji medycznej EDM MLD w kontekście elektronicznej dokumentacji medycznej EDM Art. 56 Ustawy z dnia 28 kwietnia 2011r. o systemie informacji w ochronie zdrowia (tekst jednolity: Dz. U. z 2013 r. poz. 596) Obowiązuje od 1

Bardziej szczegółowo