Podpis elektroniczny - czyli co?
Definicję podpisu elektronicznego w prawie polskim wprowadziła uchylona już
ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U. 2001 Nr 130
poz. 1450). Jeśli chodzi o Unię Europejską, to pojęcie podpisu elektronicznego
wprowadziła Unijna Dyrektywa 1999/93/EC.
Według polskiej ustawy, podpis elektroniczny to dane w postaci elektronicznej,
które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie
powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.
Po co używamy podpisu elektronicznego?
Postępująca elektronizacja i przenoszenie życia publicznego do sieci – w tym
administracji - stawia wiele wyzwań przed branżą zamówień publicznych.
Podpis elektroniczny nie jest wymagany bez powodu. Jest to przede wszystkim
kwestia zapewnienia bezpieczeństwa danych, przesyłanych w trakcie
przeprowadzania zamówienia publicznego czy jego finalizacji.
Przesyłane dokumenty w formie skanu są łatwe do podrobienia - zeskanowany
podpis odręczny można łatwo wyciąć i wkleić do innego dokumentu. Specjaliści
przyznają, że nie ma jeszcze ogólnodostępnej technologii, która pozwoliłaby na
odróżnienie podpisu na zeskanowanym dokumencie od przeklejonego.
Dokument w formie skanu można też łatwo podrobić, np. podmieniając
znajdującą się na nim kwotę (np. wadium).
Oczywiście, dokument elektroniczny nie jest wolny od różnych zagrożeń, takich
jak włamania na skrzynki pocztowe czy podszywanie się pod inne osoby w celu
nielegalnego zdobycia informacji. Również w tych przypadkach podpis
elektroniczny ma chronić jego posiadacza przed różnego rodzaju nadużyciami.
Na czym polega szyfrowanie podpisów elektronicznych?
Podpis elektroniczny jest wartością unikatową, tzn. każdy podpis jest unikalny i
niepowtarzalny. Podpis jest szyfrowany, z pomocą funkcji haszującej, przez
specjalne oprogramowanie. Po obliczeniu wartości funkcji, program szyfruje ją,
wykorzystując prywatny klucz szyfrujący osoby składającej podpis. Dlatego mówi
się, że podpis elektroniczny jest unikalny jak „odcisk palca”.
Program „składający podpis” zapisuje podpisaną wersję pliku, która zawiera
informacje o programie osoby składającej podpis oraz znaczniki końca i początku
podpisanego pliku.
W celu weryfikacji tak powstałego podpisu elektronicznego, adresat – czyli np.
zamawiający, weryfikujący podpis wykonawcy – musi uruchomić specjalne
oprogramowanie deszyfrujące. Oprogramowanie to odszyfrowuje podpis
wykonawcy przez użycie publicznego klucza nadawcy.
Obie wartości są porównywane przez program osoby składającej podpis. Jeżeli
wartości są identyczne, podpis uznawany jest za autentyczny.
Koniec podpisów z SHA-1 – wyrok KIO
Jednym z głośniejszych wydarzeń w zamówieniach publicznych 2018 r. był wyrok
KIO o użyciu skrótu SHA-1 (Secure Hash Algorithm 1) do szyfrowania podpisu
elektronicznego.
Zgodnie z komunikatem Ministra Cyfryzacji z dnia 01 marca 2018 r., w ubiegłym
roku wycofano algorytm funkcji skrótu SHA-1 i zastąpiono go algorytmem funkcji
skrótu SHA-2.
W wyroku z 10 grudnia 2018 r. KIO uznała, że oferta podpisana za pomocą skrótu
do szyfrowania SHA-1 jest ofertą nieważną. W wyniku tego opisywana oferta o
sygnaturze 2428/18 została odrzucona, mimo że wykonawca podpisał JEDZ
kwalifikowanym certyfikatem z zaufanej listy (czyli właśnie wspomnianym SHA-1).
Po tym orzeczeniu rozpoczęła się dyskusja, dlaczego wykonawca ma odpowiadać
za algorytmy używane w podpisach kwalifikowanych.
Dlaczego już nie powinno używać się algorytmu SHA-1?
Dokument podpisany kwalifikowanym podpisem elektronicznym musi
bezwzględnie spełniać dwie funkcje – być niezaprzeczalny i niezmienny.
Oznacza to, że dokument podpisany kwalifikowanym podpisem elektronicznym
nie może być zmieniony (nie można też wygenerować innego dokumentu z tym
samym podpisem, złożonym na poprzedniej wersji dokumentu), a
odpowiedzialność osoby podpisującej dokument jest
niezbywalna/niezaprzeczalna (osoba podpisująca się nie może wyprzeć się
złożenia podpisu).
Niestety, algorytm SHA-1 nie spełnia tych wymogów. Dlaczego?
Używając SHA-1, można zmienić dokumenty podpisane kwalifikowanym
podpisem elektronicznym. Można więc stworzyć dokument, który będzie miał
zmienioną treść, ale skrót dla niego będzie identyczny – co zaprzecza
wspomnianej zasadzie niezaprzeczalności i niezmienności dokumentu
podpisanego podpisem elektronicznym.
Odkryli to informatycy z holenderskiego instytutu badawczego Centrum
Wiskunde & Informatica, we współpracy z firmą Google. Złamali oni algorytm
kryptograficzny SHA-1, demonstrując „atak kolizyjny” z wykorzystaniem dwóch
dokumentów w rozszerzeniu pdf, opatrzonych tym samym podpisem SHA-1, ale
za to z różną zawartością.
Unia Europejska już jakiś czas temu zaczęła wycofywać SHA-1 i promować
używanie SHA-256, popularnie znanego jako SHA-2. W 2010 r. większość państw
Unii nie korzystała już z SHA-1.
W Polsce wycofano algorytm funkcji skrótu SHA-1 dopiero w 2018 r., zastępując
go algorytmem funkcji skrótu SHA-2.
Problemy dla zamawiających
Wyrok KIO zdziwił zamawiających, stawiając zarówno ich, jak i wykonawców
przed szeregiem pytań o konstrukcję i przebieg zamówień publicznych.
Jak uniknąć nieprawidłowości po stronie wykonawcy?
Najprostszym rozwiązaniem będzie konstruowanie SIWZ, w którym zamawiający
będzie zalecać wykonawcom podpisywanie ofert algorytmem SHA-256.
Informację taką można dopełnić wyjaśnieniem, iż od 1 lipca SHA-1 nie powinien
być wykorzystywany zgodnie z komunikatem Ministra Cyfryzacji z dnia 01 marca
2018 r.
Innym wyjściem jest edukacja – uświadamianie zarówno zamawiających, jak i
wykonawców o zmianach w zamówieniach publicznych, które obejmują również
podpis elektroniczny.
W tym celu specjaliści ds. zamówień publicznych powinni stale monitorować
pojawiające się orzecznictwo oraz uczyć się interpretacji wyroków KIO. Często
okazuje się, że niezbędne będzie szkolenie pracowników z zakresu elektronizacji i
kwalifikowanego podpisu elektronicznego.
Powinny o tym myśleć zwłaszcza te przedsiębiorstwa, które chcą poszerzyć swoją
działalność o sektor publiczny. Zwłaszcza, że planowane zmiany w Prawie
Zamówień Publicznych i innowacjach mają na celu m.in. zaktywizowanie polskich
firm na tym polu.
Aby ustrzec się przed najczęściej popełnianymi błędami związanymi z podpisem
elektronicznym i elektronizacją zamówień publicznych, zapraszamy do wzięcia
udziału w szkoleniach ApexNet z zakresu zamówień publicznych. Najbliższe
znajdziesz TUTAJ.
Potrzebujesz jeszcze więcej informacji dot. algorytmu szyfrowania SHA-1 oraz elektronizacji
zamówień publicznych?
Sprawdź najnowsze webinary i inne materiały merytoryczne w EduStrefie, platformy wiedzy
o zamówieniach publicznych.
Sprawdź TUTAJ
Autor - ApexNet
Szkolenia z elektronizacji zamówień publicznych to podstawa, prawie nikt nie jest w stanie na bieżąco zapoznawać się ze zmianami w prawie zamówień publicznych, bo ono co chwila się zmienia. W tym roku znowu czeka nas bardzo duża nowelizacja, która już jest w trakcie przygotowywania.
OdpowiedzUsuńZ pewnością sam podpis elektroniczny był bardzo dobrym pomysłem, ułatwiającym wiele spraw, które już dawno zostały przeniesione do elektroniki. Niezbędne są tu jednak szkolenia pracowników zamówień publicznych, aby jak najbardziej byli na bieżąco w swoich obowiązkach.
OdpowiedzUsuńPodpis elektroniczny usprawnił wszystkie sprawy urzędowe w szczególności. Bardzo dobry ruch :)
UsuńZobaczymy jak to zostanie rozwiązane w projektowanych właśnie przepisach i na ile wymogi znowu pójdą do góry.
OdpowiedzUsuńCiekawy materiał. Podpis elektroniczny to doskonałe rozwiązanie dla przedsiębiorstw, które wiele spraw załatwiają drogą elektroniczną. Aby odpowiednio wykorzystać taki podpis z pewnością niezbędne są szkolenia, które skutecznie przygotują pracowników do nowych zadań w tym zakresie. Pozdrawiam.
OdpowiedzUsuńBardzo fajne informacje zawiera ten artykuł. Czekam na kolejne Twoje wpisy, które zainteresują mnie tak samo jak ten.
OdpowiedzUsuńBardzo ciekawy wpis. Masz ogromny talent do prowadzenia bloga, więc liczę na to, że niebawem dodasz kolejne wpisy.
OdpowiedzUsuńSuper wpis! Podpisy elektroniczne to bardzo wygodne i nowoczesne rozwiązanie.
OdpowiedzUsuńŚwietny rozbudowany wpis :)
OdpowiedzUsuń________________
https://panasiuk.com.pl/
Świetnie napisany wpis. W dzisiejszych czasach podpisy elektroniczne to bardzo wygodna opcja :)
OdpowiedzUsuńPiekny wystrój ogrodu połączony z zabezpieczeniem przeróżnych elementów - do tego idealnie nadaje się mata wiklinowa dostępna u Polskiego producenta co gwarantuje najwyższą jakosć - https://ogrodzeniawiklinowe.pl/produkt/mata-wiklinowa-200x500/
OdpowiedzUsuńCiekawy i bardzo pomysłowy algorytm. Uważam, że warto go rozwijać i poprawiać.
OdpowiedzUsuńMoim zdaniem edukacja zawsze jest solucją dla problemów tej natury, ale pewne organy nie życzą sobie by edukować potencjalnych klientów.
OdpowiedzUsuń21 yr old Senior Developer Hamilton Rewcastle, hailing from Sheet Harbour enjoys watching movies like Melancholia and Pottery. Took a trip to Kasbah of Algiers and drives a A3. dowiedziec sie tutaj
OdpowiedzUsuńCzy taki algorytm jest w pełni bezpieczny? Jak wygląda szansa włamania się jeśli posiadamy takie coś? Czy ktoś coś wie?
OdpowiedzUsuńCiekawy artykuł, będę tu zaglądał częściej.
OdpowiedzUsuńTen komentarz został usunięty przez autora.
OdpowiedzUsuńDobrze zrobiłem ,że tutaj wszedłem. Dowiedziałam się bardzo dużo.
OdpowiedzUsuńJeżeli wartości są identyczne, podpis uznawany jest za autentyczny.
OdpowiedzUsuń2001 Nr 130 poz.
OdpowiedzUsuń:)
OdpowiedzUsuńPodpis elektroniczny to świetna sprawa, bardzo ułatwia mi życie :)
OdpowiedzUsuńhttps://students.pl/oferty/prawo/
Podpis elektroniczny to bardzo ciekawe udogodnienie. Ja jednak czuję się pewniej gdy używam pieczątki i własnoręcznego podpisu.
OdpowiedzUsuńDosyć skomplikowana sprawa. Uważam, że warto sobie pewne rzeczy wyjaśnić pod kątem technicznym.
OdpowiedzUsuńJedno z lepszych zabezpieczeń na rynku któremu bardzo ufam. Zdecydowanie polecam.
OdpowiedzUsuńDobrze wyjaśnione
OdpowiedzUsuń