Pigułka informacyjna

Certyfikat
Certyfikat to rodzaj zaświadczenia elektronicznego. Za pomocą certyfikatu dokonywane jest związanie danych służących do weryfikacji podpisu elektronicznego z osobą, która podpis ten może składać. W ten sposób możliwa jest identyfikacja osoby.

Certyfikat kwalifikowany
Certyfikat kwalifikowany to certyfikat, które spełnia określone wymagania prawne, czyli spełnia warunki ustawy o podpisie elektronicznym. Certyfikat kwalifikowany wydawany jest przez uprawniony do tego podmiot – urząd certyfikacji. Urząd certyfikacji wydający certyfikaty kwalifikowane spełniać musi ściśle określone, surowe warunki bezpieczeństwa oraz przestrzegać odpowiednich procedur.

Klucz
Kluczem w kryptografii nazywamy zbiór danych (ciąg bitów), który jest wykorzystywany przez odpowiedni algorytm kryptograficzny do wykonania operacji kryptograficznej, czyli np. szyfrowania, deszyfrowania, podpisywania. W kryptografii symetrycznej do wykonania operacji szyfrowania i deszyfrowania używany jest jeden, ten sam klucz. W kryptografii asymetrycznej istnieją dwa klucze: publiczny oraz prywatny.

Klucz prywatny
W kryptografii asymetrycznej używane są dwa klucze. Jeden z nich nosi nazwę klucza prywatnego. W operacji szyfrowania klucz prywatny używany jest do deszyfrowania wiadomości. W operacji podpisywania elektronicznego klucz prywatny służy do generowania podpisu. Klucz prywatny ma charakter tajny, powinien być znany wyłącznie jego właścicielowi. Powinien być starannie zabezpieczony. Ujawnienie klucza nosi nazwę kompromitacji klucza prywatnego.

Klucz publiczny
W kryptografii asymetrycznej używane są dwa klucze. Jednym z nich jest klucz publiczny. W operacji szyfrowania klucz publiczny używany jest do szyfrowania wiadomości. W operacji podpisywania elektronicznego klucz publiczny używany jest do weryfikowania podpisu. Klucz publiczny ma charakter jawny.

Klucz skompromitowany
Klucz prywatny, który został ujawniony.

Kryptografia asymetryczna
Kryptografia asymetryczna zakłada istnienie dwóch kluczy: publicznego oraz prywatnego. Pierwszy z nich może być jawny, drugi powinien być znany wyłącznie właścicielowi. Podstawa matematyczna konstrukcji kluczy gwarantuje, że wygenerowanie klucza prywatnego na podstawie klucza publicznego jest niemożliwa lub bardzo trudna i czasochłonna (złożona obliczeniowo).
Najważniejsze zastosowanie kryptografii asymetrycznej to szyfrowanie informacji oraz podpis elektroniczny. W operacji szyfrowania/deszyfrowania klucz publiczny służy do szyfrowania wiadomości, klucz prywatny pozwala informację odszyfrować. W przypadku podpisywania elektronicznego, klucz prywatny używany jest podczas generowania podpisu, kluczem publicznym podpis weryfikujemy.

Kryptografia symetryczna
Kryptografia symetryczna zakłada istnienie jednego klucza. Służy on zarówno do szyfrowania, jak i deszyfrowania informacji. Ponieważ podczas wykonywania obu operacji używa się tego samego, jednego klucza, musi być on znany wyłącznie stronom wymieniającym zaszyfrowane informacje. Klucz asymetryczny ma zwykle charakter tymczasowy, generowany jest i przypisany najczęściej do konkretnego połączenia (sesji).

Lista certyfikatów unieważnionych
Lista certyfikatów unieważnionych (ang. Certificate Revocation List, CRL) to lista certyfikatów, które zostały zawieszone lub unieważnione. Publikowana jest przez wystawcę certyfikatów. Zawiera numery seryjne certyfikatów, które zostały unieważnione np. na skutek ujawnienia klucza prywatnego. Zamiast publikowania list CRL, stosuje się weryfikację certyfikatów on-line (OCSP). Czas, w jakim żądanie unieważnienia certyfikatu powinno zostać opublikowane przez CA, jest określony we właściwej polityce certyfikacji lub w przepisach prawnych. Format, w jakim zapisane są listy CRL, jest określony w ramach standardu X.509.

Podpis cyfrowy
Podpis cyfrowy to dodatkowa informacja dołączona do wiadomości służąca do weryfikacji jej źródła.
Pojęcia "podpis cyfrowy" i "podpis elektroniczny" w języku polskim są często mylone. W rzeczywistości ich znaczenie w kontekście prawnym i nazewnictwie unijnym jest odmienne. Pojęcie "podpisu cyfrowego" (ang. digital signature) zostało zdefiniowane przez normę ISO 7498-2:1989 jako "dane dołączone do danych lub ich przekształcenie kryptograficzne, które pozwala odbiorcy danych udowodnić pochodzenie danych i zabezpieczyć je przed fałszerstwem".
Pojęcie podpis elektroniczny (ang. electronic signature) jest natomiast wprowadzone przez unijną Dyrektywę 1999/93/EC i jednoznacznie określa, że jest to operacja podpisywania konkretnych danych (dokumentu) przez osobę fizyczną.
Podpisy cyfrowe korzystają z kryptografii asymetrycznej – tworzona jest para kluczy, klucz prywatny i klucz publiczny – klucz prywatny służy do podpisywania (szyfrowania) wiadomości, klucz publiczny natomiast do weryfikowania (deszyfrowania) podpisu.

Podpis elektroniczny
Podpis elektroniczny – pojęcie zdefiniowane w ustawie z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2001 r. Nr 130, poz. 1450 z późniejszymi zmianami). Zgodnie z art. 3 pkt 1 ustawy podpis elektroniczny stanowią dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.
Dokument opatrzony podpisem elektronicznym może być – przy spełnieniu dodatkowych przesłanek – równoważny pod względem skutków prawnych dokumentowi opatrzonemu podpisem własnoręcznym. Podpis elektroniczny będzie mógł być uznany za równoważny podpisowi własnoręcznemu jeśli spełnia warunki umożliwiające uznanie go za podpis elektroniczny bezpieczny. Zgodnie z ustawą bezpieczny podpis elektroniczny to podpis elektroniczny, który:

  1. jest przyporządkowany wyłącznie do osoby składającej ten podpis,
  2. jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
  3. jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Skutki prawne związane ze złożeniem oświadczenia woli opatrzonego bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu określa art. 78 § 2 kodeksu cywilnego. Zgodnie z tym przepisem oświadczenie woli podpisane takim podpisem ma takie same skutki prawne, jak oświadczenie woli podpisane podpisem własnoręcznym.
Certyfikat kwalifikowany to taki, który został wystawiony jego właścicielowi z zastosowaniem odpowiednich procedur weryfikacji tożsamości i jest przechowywany w sposób bezpieczny (np. na karcie elektronicznej).
Zgodnie z prawem polskim tylko podpis kwalifikowany ma automatycznie takie samo znaczenie jak podpis odręczny. Inne rodzaje podpisu mogą być wiążące prawnie jedynie na podstawie umów cywilnych pomiędzy kontrahentami je stosującymi. Podobne prawodawstwo obowiązuje w większości krajów Unii Europejskiej, chociaż występuje między nimi wiele drobnych różnic - na przykład jeśli chodzi o obowiązek korzystania z bezpiecznego urządzenia (SSCD).
Bezpieczny podpis elektroniczny nie zastępuje całkowicie podpisu własnoręcznego. W szczególności nie może go zastąpić, gdy ustawa wymaga podpisu własnoręcznego np. jak np. przy testamencie własnoręcznym (art. 949 § 1 k.c.) lub podpisie notarialnie uwierzytelnionym.
Bezpieczny podpis elektroniczny weryfikowany za pomocą kwalifikowanego certyfikatu spełnia w obrocie prawnym i gospodarczym m.in. następujące funkcje:
  1. identyfikacyjną,
  2. dowodową,
  3. kontraktową.
W prawie wspólnotowym skutki prawne podpisu elektronicznego są przedmiotem regulacji Dyrektywy o Wspólnotowej Infrastrukturze Podpisów Elektronicznych (Dyrektywa 1999/93/EC). Prawo unijne (dyrektywa 1999/93/EC) wyróżnia następujące rodzaje podpisu elektronicznego:
  1. podpis elektroniczny, czyli deklaracja tożsamości autora złożona w formie elektronicznej pod dokumentem. Może to być na przykład podpis pod emailem lub zeskanowany podpis odręczny wklejony w dokument PDF,
  2. zaawansowany (bezpieczny) podpis elektroniczny, czyli podpis, który za pomocą odpowiednich środków technicznych (kryptograficznych) jest jednoznacznie i w sposób trudny do sfałszowania związany z dokumentem oraz autorem. Kategoria ta odnosi się do większości systemów tradycyjnie nazywanych podpisem elektronicznym i wykorzystujących różne algorytmy kryptograficzne dla zapewnienia bezpieczeństwa,
  3. kwalifikowany podpis elektroniczny, czyli taki podpis zaawansowany, który został złożony przy pomocy certyfikatu kwalifikowanego oraz przy użyciu bezpiecznego urządzenia do składania podpisu (SSCD).
Od strony technicznej podpis elektroniczny jest realizowany za pomocą mechanizmów podpisu cyfrowego.

Urząd Certyfikacji
Urząd certyfikacji (Centrum certyfikacji, ang. Certification Authority, CA) to instytucja zajmująca się zarządzaniem certyfikatami. Podstawowymi usługami urzędu certyfikacji są: wydawanie, przechowywanie, unieważnianie i zawieszanie certyfikatów, znakowanie czasem oraz inne usługi związane z podpisem elektronicznym. Urząd certyfikacji daje gwarancję, że klucz publiczny zawarty w certyfikacie odpowiada osobie (instytucji) wymienionej w certyfikacie. Urząd certyfikacji posiada politykę certyfikacji, która zawiera szczegóły procedur, np. wydania certyfikatu.

 
© Wszelkie prawa zastrzeżone. Mobicert Początek strony | Kontakt