Weryfikacja podpisu elektronicznego

Artykuł zawiera praktyczny opis jak wygląda weryfikacja podpisu elektronicznego i uwierzytelnienie dokumentu elektronicznego wraz z linkami do stron świadczących online tego typu usług zaufania.

Obecnie niewiele osób posiada kompetencje cyfrowe w zakresie weryfikowania podpisów elektronicznego. Nie mówiąc o świadomości, że podpis elektroniczny może być wewnętrzny albo zewnętrzny (odrębny plik), kwalifikowany albo niekwalifikowany, a certyfikat podpisu elektronicznego może ważny albo nieważny. Niestety nadawcy cyfrowo podpisanych pism elektronicznych rzadko albo wcale nie informują odbiorców, że istnieje kilka sposobów walidacji podpisów i uwierzytelniania dokumentów. Zwykle ograniczają się do gołosłownego stwierdzenia, pamiętaj o bezpieczeństwie – sprawdź dokument! Ale nie mówią jak to zrobić!! A edukując klienta w tym zakresie, a najlepiej udostępniając online możliwość weryfikacji podpisu elektronicznego i pliku, buduje się wiarygodność w sieci i niweluje ryzyko kwestionowania dokumentów.

Moim zdaniem, bramki weryfikacji e-dokumentów i e-podpisów, powinny być co najmniej tak samo powszechne, jak bramki do płatności online.

Dostawca usług zaufania weryfikuje podpis online

Dostawcy usług zaufania, wydający imienne lub firmowe certyfikaty e-podpisu elektronicznego, oferują także narzędzia do weryfikacji podpisu elektronicznego. Zwykle są to programy, które należy zainstalować na swoim urządzeniu (tylko kto lubi to robić?). Na szczęście w Polsce są dostawcy usług zaufania, wpisani na listę Narodowego Banku Polskiego, którzy uwierzytelniają dokumenty elektroniczne w trybie online.

„Uwierzytelnianie” oznacza proces elektroniczny, który umożliwia identyfikację elektroniczną osoby fizycznej lub prawnej, lub potwierdzenie pochodzenia oraz integralności weryfikowanych danych w postaci elektronicznej

art. 3 pkt 5 eIDAS

Przykładowo gdyński Madkom, dostawca usług zaufania (nr 15 w NBP) i operator serwisu SAWPE.pl (System Automatycznej Weryfikacji Podpisu Elektronicznego), umożliwia każdemu sprawdzenie w trybie online, czy posiadany przez niego plik jest opatrzony certyfikatem podpisu elektronicznego. Wynik weryfikacji zwraca m.in. poniższe informacje:

  1. kto podpisał dokument elektroniczny
    (imię, nazwisko lub nazwa firmy)
  2. jaki jest rodzaj podpisu elektronicznego
    (kwalifikowany lub niekwalifikowany)
  3. kiedy dokument został podpisany certyfikatem
  4. czy treść dokumentu nie została zmieniona
    po jego podpisaniu

Poza wyżej wymienionymi informacjami, SAWPE.pl zwraca także szereg informacji szczegółowych, dotyczących wystawcy certyfikatu podpisu, jego ważności, znacznika czasu itp. Poza prezentacją wyniku elektronicznego uwierzytelnienia dokumentu online, możliwe jest także pobranie Elektronicznego Poświadczenia Weryfikacji (EPW) w postaci pliku PDF. Co ciekawe, plik EPW jest opatrzony pieczęcią elektroniczną dostawcy usług zaufania – Madkomu.

 

Weryfikacja podpisu elektronicznego PDF-a na Sawpe.pl

Jeśli chcesz się przekonać, jak to działa polecam wykonanie praktycznego ćwiczenia:

  1. wejdź na stronę Dziennika Urzędowego Ministra Cyfryzacji (MC)
  2. pobierz dowolny plik PDF, z listy dokumentów opublikowanych przez MC
    (w tym ministerstwie wiedzą, jak używać podpisów elektronicznych)
  3. wyjdź na stronę Dostawy usług zaufania – SAWPE.pl, wybierz plik PDF i naciśnij przycisk Weryfikuj


 

Weryfikacja podpisu elektronicznego na ePUAP

Alternatywą dla wspomianego wyżej serwisu jest elektroniczna platforma usług administracji publicznej ePUAP, gdzie udostępniony online jest walidator podpisu elektronicznego. Jednak jest to narzędzie nieprzyjazne użytkownikowi, w szczególności jeśli wcześniej badałeś prawdziwość dokumentu i podpisu elektronicznego na SAWPE.pl. Jako obywatel życzyłbym sobie, aby Minister Cyfryzacji gruntownie odświeżył walidator na ePUAP albo po prostu udostępnił tam proste w użyciu rozwiązanie od dostawcy usług zaufania. Tym bardziej, że SAWPE.pl weryfikuje także dokumenty elektroniczne podpisane profilem zaufanym ePUAP.

Poza darmowymi SAWPE i ePUAP jest także Webnotarius, oferowany przez Asseco Data Systems. Jednak aby skorzystać z tego rozwiązania należy najpierw uiścić roczną opłatę. Kto chce się przekonać, jak działa ten system walidacji podpisów elektronicznych, ten musi zapłacić grubo ponad tysiąc złotych. Niemniej jednak mam nadzieję, że wkrótce będę mógł przetestować i opisać, jak działa ten weryfikator.

Certyfikat podpisu elektronicznego to ważna sprawa

„Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne,
jeżeli zostały złożone w okresie ważności tego certyfikatu.”

art. 18. ust. 1 Ustawy o usługach zaufania oraz identyfikacji elektronicznej

W gruncie rzeczy, większość podpisów elektronicznych zawiera specjalne certyfikaty. Wystawcy takich certyfikatów, którymi zwykle są dostawcy usług zaufania, zamieszczają w nich informacje dotyczące ich posiadacza, uprzednio weryfikując ich prawdziwość. Dzięki temu możliwe jest ustalania osoby składającej oświadczenie woli lub wiedzy w postaci elektronicznej, za pomocą dokumentu elektronicznego (pliku lub wiadomości e-mail).

Zanim Swiss Sign wystawił dla mnie imienny certyfikat podpisu zaawansowanego musiałem potwierdzić swoją tożsamość, przekazując zdjęcie paszportu za pomocą specjalnych szyfrowanych połączeń (bezpieczeństwo jest mega ważne). Natomiast zanim otrzymałem swój certyfikatu kwalifikowanego podpisu musiałem osobiście okazać dowód tożsamości przedstawicielowi centrum certyfikacyjnego.


Poza podpisem elektronicznym w obrocie funkcjonuje również pieczęć elektroniczna, co wynika z uregulowań prawnych. Od strony technicznej, z punktu weryfikującego podpis i pieczęć niczym nie różnią się one od siebie. Różnica dotyczy dany zawartych w certyfikacie.

Podpis elektroniczny może złożyć tylko osoba, więc certyfikat podpisu wskazuje oznaczenie tej osoby fizycznej – zwykle jest to imię i nazwisko. W przypadku certyfikatu kwalifikowanego zawsze pojawia się także nr PESEL danej osoby. W niekwalifikowanych certyfikatów jest zwykle adres elektroniczny, lecz ilość danych może być większa. W szczególności mogą znaleźć się w nim informacje dotyczące firmy, jaką dane osoba reprezentuje.

Natomiast pieczęć elektroniczna jest przyporządkowana nie osobie fizycznej, lecz podmiotowi prawnemu. Zatem certyfikat pieczęci oznacza np. firmę – nazwa, adres siedziby, podobnie jak ma to miejsce w przypadku firmowej pieczątki lub stempla.

Reasumując, weryfikacja podpisu elektronicznego online jest prosta jak konstrukcja cepa. Jednak weryfikacja e-dokumentów to przede wszystkim ochrona przed cyberoszustami, który poprzez Phishing kradną tożsamości i pieniądze nieostrożnych lub niewyedukowanych internautów.

Marek WYSZKOWSKI

Ekspert ds. elektronicznych usług zaufania i zawierania umów online, który popularyzuje wiedzę i nowe rozwiązania zwiększające wiarygodność e-komunikacji oraz e-transakcji w czasach cyfryzacji.