Podpis elektroniczny

konto usunięte

Chciałabym rozpocząć dyskusję na temat technologii podpisu elektronicznego i poznać Państwa poglądy na ten temat.
Czy podpis elektroniczny ma rację bytu obecnie w Polsce?
Zapraszam do dyskusji i proszę o uwagi.

Z poważaniem
Natalia Kodym

Link do wypowiedzi

Łukasz Skłodowski SharePoint
Architect, PM,
Właściciel -
Mavsystem

Przed podpisem elektronicznym i całą związaną z tym informatyzacją stoi ogromna szansa - można stworyć naprawdę ciekawe rozwiązania sprawiające, że życie stanie się prostsze (przykład: Estonia). Podstawowym czynnikiem który wpływa na rozwój podpisu w naszym kraju miała być ustawa z 18 września 2001 o podpisie elektronicznym. Kilka lat mineło jednak w kwestii podpisu niewiele się zmieniło. Powodem takiego stanu rzeczy jest niespójne prawo (podwóje rozporządzenia opisujące w różny sposob tę samą rzecz, brak określonych standardów, niejasne sformułowania i ogólne "głupie prawo" - np. rozporządzenie zakladające konieczność zakupu HSM).

Z mojej analizy istniejących rozwiązań dla administracji publicznej wynika, że prawie żaden system nie działa, bądź też jego obsługa jest bardzo skomplikowana. Brak standardów powoduje, że każdy producent takich systemów stworzył wlasny niekompatybilny z innymi standard. Z tego powodu aby wymienić podpisany elektronicznie dokument z rożnymi urzędami zmuszeni będziemy instalować oprogramowanie różnych producentów. Otrzymując podpisany elektronicznie dokument również będziemy zmuszeni posiadać aplikację tego samego producenta którego aplikacją dokument został podpisany. To wszystko niestety nie stwarza dobrego klimatu do rozwoju e-podpisu w Polsce. Jestem jednak dobrej myśli i mam nadzieję, że coś dobego z tego wszystkiego wyniknie.

Link do wypowiedzi

konto usunięte

Zgadzam się z tym, że podpis elektroniczny daje ogromne możliwości, ale niezbędne jest odpowiednie podejście do tematu. Format paczki jest obecnie ogromnym problemem. Nie rozumiem dlaczego nie zdecydowano się na wybór jakiegoś znanego i popularnego formatu np. PDF http://www.epodpis.mav.pl Jak widać na podanym przykładzie, możliwe jest wdrążenie podpisu elektronicznego bez dodatkowej komplikacji życia użytkownikom. Miejmy nadzieję, że podpis elektroniczny będzie rozwijał się w dobrym kierunku, wyznaczając "ludzkie" standardy ułatwiające wszystkim posługiwanie się nim.

Pozdrawiam,

Link do wypowiedzi

konto usunięte

podpis elektroniczny = bezpieczna, ułatwiająca życie technologia - B_Z_D_U_R_A

nie ma prawa, nie ma bezpiecznych aplikacji chroniących podpisywany dokument.

po co mi bezpieczny podpis jak dokument, który podpisuje można bardzo łatwo podmienić. Ja dziękuje za takie ułatwianie mi życia hehe

Panie Arturze wie Pan ile mamy licencjonowanych producentów takiego oprogramowania w naszym kraju? No i co ważne, jak zostali wybrani?
Znając odp. na te pytania proszę pomyśleć - czy może im zależeć nad udoskonalaniem technologi hehe przecież w chwili obecnej mogą wsiąść przykład cocacoli za komuny kiedy dzielono się rynkiem - wy tu my tu i nie ma problemu z konkurencją. Tłuczemy kasę wszyscy są zadowolenie, nie ma problemów.

Link do wypowiedzi

Marek Kubiś programista c#

Tomasz Z.:
podpis elektroniczny = bezpieczna, ułatwiająca życie technologia - B_Z_D_U_R_A

Panie Tomku, w jakim podręczniku znalazł Pan tę definicję? Chyba niepotrzebnie pozwolił Pan aby emocje wzięły górę nad zdrowym rozsądkiem. Chyba jest Pan młodym człowiekiem. Ze słowem B_Z_D_U_R_A zgadzam się w 100%.

nie ma prawa, nie ma bezpiecznych aplikacji chroniących podpisywany dokument.

Tak jak i nie ma ochrony przed podrabianiem naszych bazgrołów przy imieniu i nazwisku. Ale jest ktoś taki jak grafolog.

po co mi bezpieczny podpis jak dokument, który podpisuje można
bardzo łatwo podmienić. Ja dziękuje za takie ułatwianie mi życia hehe

A ja chciałbym mieć powody do uśmiechania się bez złośliwości w podtekście.

Panie Arturze wie Pan ile mamy licencjonowanych producentów takiego oprogramowania w naszym kraju? No i co ważne, jak
zostali wybrani?
Znając odp. na te pytania proszę pomyśleć - czy może im zależeć nad udoskonalaniem technologi hehe

I co to wnosi do meritum? Szkoda nawet 1 sekundy na zastanawianie. Tu akurat to nie śmiać a płakać się powinno :(. Wstyd i smród, który będzie się bardzo długo unosił po okolicy :(. Żenada :(.

Zamiast oglądać się na innych proponuję

Artur S.:
.. odpowiednie podejście do tematu ..

bo

Łukasz S.:
.. można stworzyć naprawdę ciekawe rozwiązania sprawiające,
że życie stanie się prostsze ..

Ze swojej strony we własnej aplikacji uwzględniłem elektroniczne podpisywanie dokumentów wewnętrznych. Podpis nie jest bezpieczny, nie jest certyfikowany, wszyscy o tym wiedzą i stosują. Pracownicy fizyczni mają wydzielony komputer na hali produkcyjnej i w każdej chwili, mogą podejść, przejrzeć i zatwierdzić wewnętrzne dokumenty obrotu materiałowego, które wystawili na nich magazynierzy. Efekt? Codziennie conajmniej 150 dokumentów RW, PW, ZW i ich korekt nie jest drukowanych w formie papierowej. Drukowane są tylko te wymagane odrębnymi przepisami. Czuwa nad tym księgowość. Sporna sytuacja? Nie jest to dowód w sądzie? Oczywiście, ale to już było - wszyscy wiedzą, że podpis bez autoryzacji. Nie o to chodzi, bo

Łukasz S.:
.. można stworzyć naprawdę ciekawe rozwiązania sprawiające,
że życie stanie się prostsze ..

Potrzeba jednak odrobiny dobrej woli i wyobraźni. Nawet wtedy czy płakać czy śmiać się. Ot, chociaż odrobinę takiej zwykłej wyobraźni.

Link do wypowiedzi

Maciej Filipiak właściciel, VizMedia

obecnie na rynku dostępne są 4 (słownie: CZTERY)
programy do wystawiania faktur, spełniające wymogi kwalifikowanego podpisu cyfrowego.

ograniczenia z polskiego prawa dot. cyfrowego podpisywania faktur
(tylko niektóre jest tego cała masa)

- odbiorca musi się zgodzić na podpis cyfrowy
- dokumenty podpisane muszą być przechowywane w banku danych
czyli w bazie danych zabezpieczonej na tysiąc sposobów opatrzonej certyfikatem
- podpis musi być kwalifikowany (karta z Chip'em itp...)
- podpis jest na osobę prywatną - firmy nie moga podpisywać cyfrowo dokumentów
- wymagane jest uwierzytelnienie instutu certyfikacji (jest ich w Polsce chyba 4, biorą za to niezłą kase)

Za to:
- faktura wysłana elektronicznie lub pocztą bez podpisu - jest zgodna z prawem

no i po co ta cała szopka ?

Link do wypowiedzi

Maciej Filipiak właściciel, VizMedia

podpis elektroniczny ma sens w przypadku gdy firma ma bardzo dużo klientów s t a ł y c h - czyli wiele faktur i dokumentów będzie wysyłanych do jednego klienta.

Jeżeli jest to handel elektroniczny, albo usługi jednorazowe
- nie uda się wprowadzić podpisu elektronicznego

W grę wchodzą praktycznie takie instytucje jak banki, zakłady ubezpieczeń.

Niedługo wejdzie możliwość składania dokumentów na dzienniku podawczym drogą elektroniczną w urzędach.
Urzedy będą musiały obsługiwać przyjmowanie dokumentów podpisanych elektronicznie.

Dzięki temu duże firmy rozliczające się z urzędami, ZUS, US będą miały ułatwioną pracę.

Wszystko dotyczy podpisu kwalifikowanego.
Jedynie podpis kwalifikowany stanowi podpis cyfrowy w świetle prawa.

dygresja:
Taki "płatnik" używa podpisu nie-kwalifikowanego, ponieważ nośnikiem klucza jest dyskietka - czyli nośnik wielokrotnego zapisu, a to dyskwalifikuje podpis jako kwalifikowany.

Link do wypowiedzi

Jarosław Żeliński Analityk i
Projektant Systemów

Z moich obserwacji wynika, że w obecnej postaci ustawy podpis jest nierentowny z uwagi na Polskie wymagania certyfiaktu kwalifikowanego, który to nie jest wymagany nawet UE. Np. w Urzędach Patentowych UE nie jest wymagany podpis kwalifikowany!

Nie zmienia to faktu, że wersji "sensownej" (bez biurokratycznych ograniczeń) jest od lat stosowany w biznesie w EDI, poczcie X.500, usługach bankowych przez internet (logując sie do systemu potwierdzacie swoja tożsamość i tym samym autoryzujecie zlecane transakcje) czy choćby ZUSowskim płatniku. Powszechnie używany jest w sieciach VPN i serwisach WWW zabezpieczanych przez SSL.

Więc podpis jest w powszechnym użyciu z wyjątkiem miejsc, w których reguły ustalają urzędnicy państwowi ... niestety.

Link do wypowiedzi

Piotr Tadeusz B. właścicel, MGX
Infoservice

po co mi bezpieczny podpis jak dokument, który podpisuje można bardzo łatwo podmienić.

Tak na marginesie. Jak można łatwo podmienić dokument, który jest podpisany podpisem elektronicznym, tak aby osoba sprawdzająca zgodność dokumentu z podpisem tego nie zauważyła?

Link do wypowiedzi

konto usunięte

[author]Jarosław

Link do wypowiedzi

Łukasz Skłodowski SharePoint
Architect, PM,
Właściciel -
Mavsystem

Piotr Tadeusz B.:

po co mi bezpieczny podpis jak dokument, który podpisuje można bardzo łatwo podmienić.
Tak na marginesie. Jak można łatwo podmienić dokument, który jest podpisany podpisem elektronicznym, tak aby osoba sprawdzająca zgodność dokumentu z podpisem tego nie zauważyła?

Nie można - ponieważ podpis elektroniczny pod dokumentem weryfikuje sie poprawnie tylko w momencie gdy dokument nie został zmieniony.

No chyba, że mieszkasz na pomorzu i chcesz coś zalatwić w Urzędzie podpisując się jako Kaczor Donald ... ale to już inna bajka :)

Link do wypowiedzi

Maciej Filipiak właściciel, VizMedia

Robert J.:

Swego czasu chyba bylismy blisko ustawy, gdzie m.in. firma ECERT miala posiadac monopol na produkcje tych kluczy. Efekt taki, ze ani klucza ani monopolu (firma juz robi co innego) a my dalej korzystamy z kluczy prywatnych jedynie......Robert J. edytował(a) ten post dnia 11.09.07 o godzinie 21:00

Nie bardzo rozumiem
są firmy w Polsce chyba 3 albo 4, w których można kupić kartę z kluczem.
O jaki monopol chodzi ? że w dowodzie osobistym ?

Link do wypowiedzi

konto usunięte

Maciej F.:

Robert J.:
Swego czasu chyba bylismy blisko ustawy, gdzie m.in. firma ECERT miala posiadac monopol na produkcje tych kluczy. Efekt taki, ze ani klucza ani monopolu (firma juz robi co innego) a my dalej korzystamy z kluczy prywatnych jedynie......Robert J. edytował(a) ten post dnia 11.09.07 o godzinie 21:00

Nie bardzo rozumiem
są firmy w Polsce chyba 3 albo 4, w których można kupić kartę z kluczem.
O jaki monopol chodzi ? że w dowodzie osobistym ?

Wiesz o podpisie elektronicznym nie mwi sie od 1 roku lecz od ladnych klilku lat, min. byla kwestia kto bedzie mog wydawac klucze identyfikacyjne ale przede wszystkim indywidualne dla potrzeb przyslowiowego Kowalskiego, bodajze, 6-7 lat temu powstala grupka 2-3 firm ktore wspolnie opracowaly taka technologie i posiadala min. certyfikowany system do nadawania, identyfikacji i sprawdzania poprawnosci takiego Klucza. Niestety mialo to byc koncesjonowane, wiec nie mowie o firmach ktorych jest niemalo i ktore obecnie wystawiaja klucze dla wszelakiej masci serwisow dzialaja na rzecz Klient <-> instytucja - i tutaj sie zgodze, ze `klucze mozna kupic`. Owszem, ale nie sa to klucze do publicznego uzywania np. przy podpisie elektronicznym pomiedzy instytucjami publicznymi a Kowalskim. Na razie sa zremby na zasadzie tesowania. Co innego banki uzywaja aczkolwiek ideologicznie jest prawie to samo.

Wiec jesli spojrzysz o kilka lat wstecz i obecne czasy to napewno zobaczysz, ze przede wszystkim idea podpisu elektronicznego sie zmienila -> aczkolwiek legislacyjnie jestesmy w tym samym miejscu.

Link do wypowiedzi

Maciej Filipiak właściciel, VizMedia

Robert J.:
ale nie sa to klucze do publicznego uzywania np. przy podpisie elektronicznym pomiedzy instytucjami publicznymi a Kowalskim.

Tutaj muszę wtrącić jeszcze raz,
te 3 firmy o których mówiłem są to firmy certyfikacyjne, które posiadają wszelkie uprawnienia do certyfikowania legalnego podpisu cyfrowego.
Tym podpisem można podpisywać faktury, dokumenty i wysyłać je do wszelkich urzędów i firm - jeżeli tylko firmy te wyrażą zgodę na otrzymanie dok. podpisanych cyfrowo.

jedna z nich to
http://www.certum.pl/certum/main.xml

Prawdą jest, że każda z tych instytucji ma swój własny standard procedur certyfikacyjnych - i każda walczy o przejęcie monopolu

apropos instytucji - to nie ma możliwości, żeby dokumenty podpisywane były przez osoby prawne.
Podpis elektroniczny może złożyć jedynie osoba cywilna.
- ale to taka dygresja.

Link do wypowiedzi

konto usunięte

Maciej F.:

Wszystko dotyczy podpisu kwalifikowanego.
Jedynie podpis kwalifikowany stanowi podpis cyfrowy w świetle prawa.

Czyli podpis przy pomocy karty chipowej, PINu i czytnika takiej karty.
Nie znajduję jednak nigdzie konkretnych informacji, że to jedyny dopuszczony system podpisu elektronicznego w Polsce.
Rownież dyrektywa Unii Europejskiej (do której zaleceń Państwa członkowskie muszą sie stosować) wyróżnia nie tylko podpis kwalifikowany ale i tzw. „zaawansowany podpis elektroniczny”. (Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999) spełniający następujące wymogi:

Artykuł 2
Definicje
2. „zaawansowany podpis elektroniczny” oznacza podpis elektroniczny
spełniający następujące wymogi:
a) przyporządkowany jest wyłącznie podpisującemu;
b) umożliwia ustalenie tożsamości podpisującego;
c) stworzony jest za pomocą środków, które podpisujący
może mieć pod swoją wyłączną kontrolą; i
d) jest tak powiązany z danymi, do których się odnosi, że
każda późniejsza zmiana danych jest wykrywalna;

Rownież art. 5 – Skutki prawne podpisów elektronicznych reguluje dostępność podpisu elektronicznego.

2. Państwa Członkowskie zapewnią, żeby nie odmawiano podpisowi
elektronicznemu skuteczności prawnej i dopuszczalności
jako dowód w postępowaniu sądowym jedynie dlatego, że:
— jest w formie elektronicznej, lub
— nie jest oparty na kwalifikowanym certyfikacie, lub
— nie jest oparty na kwalifikowanym certyfikacie pochodzącym
od akredytowanego podmiotu świadczącego usługi certyfikacyjne,
lub
— nie jest złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu.

Np. w Niemczech system oparty na kwalifikowanym podpisie elektronicznym wymagającym karty nie znajduje zastosowania w sektorach gospodarczych głównie ubezpieczeniowym i bankowym. Firmy wychodzą z założenia, że nie każdy klient będzie chciał wyrobić sobie taką kartę czy zapłacić za czytnik.
System taki nie budzi też zaufania np. u osób starszych.

Wiekszość niemieckich firm ubezpieczeniowych używa systemów związanych z odręcznie złożonym podpisem elektronicznym.
Aby taki system zachował wszelkie standardy bezpieczeństwa muszą zostać spełnione następujące warunki:
- bezpieczna aplikacja wspomagająca algorytm hash jak np. SHA 512
- aplikacja taka musi pracować z asymetryczną parą kluczy np. 1024 bitowy Klucz RSA
- urządzenie do rejestrowania odręcznego podpisu elektronicznego (tzw. Pad podpisu) musi szyfrować dane przed przesłaniem do aplikacji
- do potwierdzenia jakości danych biometrycznych (nacisk, szybkość itd. ) zarejestrowanych przez takie urządzenie służy ekspertyza rzeczoznawcy dopuszczonego przez sąd (grafologa)

System spełniający te wymogi (używający np. systemu Sec Asym) dopuszczony jest do użytku w krajach członkowskich Unii Europejskiej.

Link do wypowiedzi

konto usunięte

Maciej F.:

Prawdą jest, że każda z tych instytucji ma swój własny standard procedur certyfikacyjnych - i każda walczy o przejęcie monopolu

Nie wiem co miałeś na myśli pisząc "własny standard procedur certyfikacyjnych" ale jeśli chodzi o przebieg procedury wydawania, weryfikacji, unieważniania certyfikatów jest to jednoznacznie określone w przepisach prawnych. Nawet dane jakie muszą być zawarte w certyfikacie są opisane w odpowiednich artykułach, tylko niestety zostały podzielone na grupy o różnych priorytetach.
Inaczej sprawa wygląda z formatami paczek i tu występuje sytuacja opisana przez Ciebie - czyli brak jakichkolwiek porozumień i logiki.

Link do wypowiedzi

Maciej Filipiak właściciel, VizMedia

miałem na myśli procedury informatyczne, szyfrowanie etc..

Link do wypowiedzi

konto usunięte

Maciej F.:

Robert J.:
ale nie sa to klucze do publicznego uzywania np. przy podpisie elektronicznym pomiedzy instytucjami publicznymi a Kowalskim.

Tutaj muszę wtrącić jeszcze raz,
te 3 firmy o których mówiłem są to firmy certyfikacyjne, które posiadają wszelkie uprawnienia do certyfikowania legalnego podpisu cyfrowego.
Tym podpisem można podpisywać faktury, dokumenty i wysyłać je do wszelkich urzędów i firm - jeżeli tylko firmy te wyrażą zgodę na otrzymanie dok. podpisanych cyfrowo.

jedna z nich to
http://www.certum.pl/certum/main.xml

Prawdą jest, że każda z tych instytucji ma swój własny standard procedur certyfikacyjnych - i każda walczy o przejęcie monopolu

apropos instytucji - to nie ma możliwości, żeby dokumenty podpisywane były przez osoby prawne.
Podpis elektroniczny może złożyć jedynie osoba cywilna.
- ale to taka dygresja.

Macieju i wlasnie o to chodzilo aby powstaly bodaj 2-3 centra, ktore robilyby pelna certyfiacje klucza publicznego.

A jesli chodzi o te klucze co podajesz to dla przykaldu jest to zwykla obpulna zgoda na uzywanie. Czyli na codzien to z czego korzystamy. Jednakze jak sadze chodzilo wszystkim o to, by miec odpowiedni certyfikat klucza publicznego i zlozyc np. dokumenty w urzedzie i aby sie w nim nie pojawiac. Teraz bodajrzez na Pradze w Urzedzie Gminy jest prawie taka sytuacja bo mimo wszystko, ze mozna zalatwic wszystko zdalnie to na koncu nalezy sie pojawic i zlozyc odpowiedni podpis i tyle.

Moze doszlo do niescislosci w pisaniu czy tez rozumieniu. A jesli chodzi o standard co caly czas nie chodzi o `swoj standard` tylko standard w pelni akceptowalny od banku poprzez urzedy itd... ale w ramach jednego klucza. Jak sadze i zgodzisz sie ze mna, ze to bedzie dluga jeszcze droga do tego.

Link do wypowiedzi

Maciej Filipiak właściciel, VizMedia

dostałem właśnie ofertę szkolenia

http://www.transfer.edu.pl/?action=showArticle&article...

nie żebym, promował szkolenie (choć polecam bo to moja uczelnia, byłem już na paru różnych szkoleniach u nich i są OK)

ale dotyczy ono podpisu do ZUS

"
W lipcu 2007 zostal wprowadzony obowiazek przyjmowania deklaracji rozliczeniowych ZUS z elektronicznym podpisem kwalifikowanym, od wszystkich gotowych na to podmiotow, natomiast od przysz�ego roku bedzie to juz obowiazek dla wszystkich. Obowiazek elektronicznego rozliczania sie w ramach systemu ubezpieczen spolecznych obejmie podmioty zatrudniajace powyzej 5 pracownikow, co oznacza, ze wszystkie one musza zapewnic sobie kwalifikowany certyfikat.
"

--
a tak przy okazji - trudno nie ukrywać oburzenia.

Ja rozumiem, że podpis cyfrowy ma być ułatwieniem
- ale żeby OBOWIĄZKIEM ?!

to jest chore - i na dodatek nie uczciwe - znowu promowany będzie jedyny słuszny system operacyjny "małymiękki"

Link do wypowiedzi

Jarosław Żeliński Analityk i
Projektant Systemów

Maciej F.:
a tak przy okazji - trudno nie ukrywać oburzenia.

Ja rozumiem, że podpis cyfrowy ma być ułatwieniem
- ale żeby OBOWIĄZKIEM ?!

to jest chore - i na dodatek nie uczciwe - znowu promowany będzie jedyny słuszny system operacyjny "małymiękki"

Nie bronię nigdy "małego" ale ma w desktopach ponad 80% i nie był to dekret rządowy, system jaki jest ale jest popularny i jednak wygodny w użyciu. Per saldo wcale nie taki drogi.

Po drugie ze strony ustawodawcy, jeżeli pzrejscie na bezpieczną forme elektroniczna to ogramne zmniejszenie kosztów obsługi (nasze podatki) to moim zdaniem ma prawo narzucić formę obniżającą koszty.

Link do wypowiedzi

Business IT

Czy na pewno chcesz zrezygnować z tej grupy?

Zgłoś nieprawidłowości w wypowiedzi

Podpis elektroniczny

Blokowanie użytkownika

Podobne tematy

Business IT » Podpis elektroniczny (w 15 min. na terenie siedziby klienta) -

Business IT » Summit EOIF GigaCon - Elektroniczny Obieg Informacji w... -

Business IT » Summit EOIF GigaCon - Elektroniczny Obieg Informacji w... -

Business IT » Summit EOIF GigaCon - Elektroniczny Obieg Informacji w... -

Business IT » Zaproszenie na konferencje Elektroniczny Obieg Informacji -

Business IT » Elektroniczny obieg dokumentów - 27 października! -

Business IT » Elektroniczny obieg dokumentów - 1 marca 2017 -

Podpis elektroniczny (w 15 ...

Oferty pracy