Weryfikacja podpisu elektronicznego – jak przeprowadzić ją prawidłowo?

Kwalifikowany podpis elektroniczny, który jest równoważny podpisowi własnoręcznemu, stanowi istotny element procesów biznesowych i administracyjnych, opierających się na elektronicznym obiegu dokumentów. Dlatego warto wiedzieć jak zweryfikować podpis elektroniczny i jak sprawdzić poprawność zastosowanego certyfikatu kwalifikowanego.

 

Dowiedz się więcej o podpisie elektronicznym

 

W artykule:

 

Dowiedz się więcej o podpisie elektronicznym

 

Jak zweryfikować podpis elektroniczny?

Podpis kwalifikowany, jako usługa zaufania spełnia szereg jasno wskazanych wymagań. Potwierdzenie autentyczności podpisu elektronicznego powinno opierać się na wyniku jego weryfikacji lub walidacji, które wskazują czy owe wymagania są spełniane, przy czym:

  • Walidacja podpisu kwalifikowanego – dostarcza raport stanowiący podstawę do oceny ważności podpisu elektronicznego.

  • Weryfikacja podpisu kwalifikowanego – informuje o prawidłowości podpisu.

 

Weryfikacja podpisu – jaką wybrać aplikację?

Pierwszą rzeczą przy wyborze aplikacji , na którą użytkownicy powinni zwrócić uwagę, jest potwierdzenie przez jej dostawcę zgodności z rozporządzeniem eIDAS i europejską normą ETSI EN 319 102-1. W przypadku braku otrzymania takiego potwierdzenia, aplikacja nie daje podstaw do weryfikacji podpisu elektronicznego – należy znaleźć inną. Dodatkowo działanie aplikacji opiera się o zaufane listy, to na ich podstawie sprawdzana jest autentyczności e-podpisów. Istotnym jest, aby były one automatycznie aktualizowane. Kolejną rzeczą, na którą warto zwrócić uwagę jest format podpisu kwalifikowanego (najczęściej spotykane to: PAdES, XAdES, CAdES, ASiC).

Jaki program do weryfikacji podpisu elektronicznego?

Aplikacją do weryfikacji podpisów w formacie pdf może być adobe acrobat reader, który nie tylko wyświetla dane pdf, ale taże weryfikuje zawarte w nim podpisy. Wielu dostawców usług zaufania wydających certyfikaty kwalifikowanego podpisu elektronicznego dostarcza także użytkownikom rozwiązania pozwalające na weryfikację podpisu elektronicznego w różnych formatach. Można także skorzystać z powszechnie dostępnych rozwiązań udostępnionych przez platformę obywatel.gov.pl.

Aplikacja do weryfikacji powinna również przekazywać dodatkowe, cenne dla procesu weryfikacji informacje.

 

Potwierdzenie autentyczności podpisu – jak interpretować wyniki?

Żeby sprawdzić ważność e-podpisu, niezbędna będzie prawidłowa interpretacja wyników wskazanych przez aplikację.

WAŻNE

Weryfikacja podpisu elektronicznego może zakończyć się jednym z trzech wyników: TOTAL PASS (ważny e-podpis); INDETERMINATE (brak możliwości jednoznacznego potwierdzenia ważności e-podpisu); TOTAL FAIL (nieważny e-podpis).

 

TOTAL PASS

Wynik TOTAL PASS oznacza potwierdzenie zaufania do certyfikatu podpisu kwalifikowanego. Został on prawidłowo zweryfikowany pod względem kryptograficznym. Istnieją jednak dwie możliwości:

  • QES – potwierdzenie, że jest to kwalifikowany podpis elektroniczny zgodny z rozporządzeniem eIDAS, który został złożony za pomocą kwalifikowanego urządzenia. Certyfikat powinien ujawniać tożsamość autora podpisu. W tym momencie należy zabezpieczyć ten podpis kwalifikowanym znacznikiem czasu, aby umożliwić pomyślną weryfikację w przyszłości.

  • Inne podpisy – aplikacja wskazuje, że nie jest to podpis kwalifikowany, jest jednak oparty o kwalifikowany certyfikat.

 

INDETERMINATE

Wynik INDETERMINATE oznacza, że podpis nie został zweryfikowany pozytywnie ani negatywnie. Należy sprawdzić powód, jaki podaje aplikacja i podjąć odpowiednie działania oparte na wynikach.

Powodem, dla którego autentyczność podpisu nie może zostać zdeterminowana jest m.in. brak możliwości potwierdzenia, że użytkownik posłużył się podpisem elektronicznym w danym czasie.

W zależności od sytuacji, mogą być potrzebne różne dodatkowe dowody:

  • NO POE – podpis uznajemy za prawidłowy, jeżeli dysponujemy niezależnym dowodem, że został on złożony w deklarowanej dacie. Konieczne jest potwierdzenie, że dokument podpisano przed konkretnym czasem, który może wpływać na jego ważność.

  • OUT OF BOUNDS NO POE – aby weryfikacja podpisu elektronicznego była pozytywna, konieczne są dowody, które wskazują, że został on złożony przed unieważnieniem certyfikatu.

  • CRYPTO CONSTRAINTS NO POE– wynik pojawia się, gdy algorytm wykorzystany do złożenia podpisu jest poniżej aktualnych rekomendacji. Weryfikacja podpisu elektronicznego wymaga dowodów na to, że został on użyty, gdy wykorzystany algorytm był uznawany za bezpieczny.

  • REVOKED NO POE – oznacza to, że w momencie weryfikacji certyfikat podpisu jest unieważniony, a aplikacja nie może znaleźć dowodów na to, że był on ważny w czasie podpisywania dokumentu. Żeby zweryfikować podpis, należy znaleźć inne dowody, które świadczą o tym, że opatrzono nim dokument przed wygaśnięciem certyfikatu.

Proces weryfikacji podpisu elektronicznego

Weryfikacja podpisu elektronicznego jest problematyczna również, gdy brakuje danych, które są wymagane aby uznać ważność podpisu. Aplikacja może wskazywać na następujące powody:

  • NO SIGNING CERTIFICATE – komunikat ten pojawi się w przypadku, gdy brakuje certyfikatu podpisującego. Dokument powinien zostać dostarczony weryfikującemu (stronie ufającej), dopiero wtedy można uznać ważność podpisu elektronicznego.

  • SIGNED DATA NOT FOUND – aplikacja nie ma dostępu do podpisanych danych. Do weryfikacji podpisu elektronicznego niezbędne będzie sprawdzenie czy zostały przekazane wszystkie potrzebne elementy, jak również czy znajdują się one w odpowiednim katalogu i mają odpowiednią nazwę.

  • TRY LATER – pełna weryfikacja wymaga spróbowania później.

Aplikacja może określić status podpisu jako nieokreślony, gdy podczas weryfikacji podpisów elektronicznych nie zostało spełnione jedno z następujących ograniczeń:

  • SIG CONSTRAINTS FAILURE – wymagania procesu weryfikacji nie zostały spełnione. Przykładowo aplikacja wymagać może kwalifikowanego podpisu lub certyfikatu o określonych parametrach.

  • CRYPTO CONSTRAINTS FAILURE – komunikat ten oznacza, że wykorzystana do podpisu funkcja kryptograficzna nie spełnia wymagań walidacji. Wskazanie ważności podpisu wymaga dodatkowej analizy – należy poprosić o pomoc eksperta.

  • CHAIN CONSTRAINTS FAILURE – zbudowanie łańcucha walidacji wiąże się z pojawieniem się błędu. Może mieć to miejsce, gdy np. certyfikat nie weryfikuje się w oparciu o zaufane listy.

Nieokreślony status może wynikać również z innych powodów:

  • GENERIC – wynik ten pojawia się, gdy istnieje inny powód, przez który nie można potwierdzić ważności podpisu – aplikacja dostarcza dodatkowe informacje.

 

TOTAL FAIL

W tym przypadku weryfikacja podpisu elektronicznego przebiegła negatywnie. Aplikacja powinna wskazywać na dodatkowe powody:

  • FORMAT FAILURE – format podpisu nie jest obsługiwany przez aplikację. Można sprawdzić inne rozwiązania dostępne na rynku.

  • HASH FAILURE – pojawia się w przypadku, gdy podpisane dane zostały naruszone po złożeniu podpisu.

  • EXPIRED – informuje o wygaśnięciu certyfikatu przed datą podpisania dokumentu.

  • NOT YET VALID – weryfikacja podpisu wskazuje, że złożenie go miało miejsce przed uzyskaniem ważności certyfikatu.

  • SIG CRYPTO FAILURE – podpis elektroniczny nie jest zgodny z danymi do weryfikacji.

  • REVOKED – certyfikat podpisu został unieważniony przed datą jego złożenia.

Jak zweryfikować podpis elektroniczny na wydruku?

Podpis elektroniczny stanowi dane w postaci elektronicznej dołączone do elektronicznej postaci treści podpisywanej. Aby stworzyć podpis elektroniczny potrzebne są dane w postaci elektronicznej i aby go zweryfikować także. Częsta praktyka w organizacjach, firmach i urzędach polega na wykonaniu wydruku podpisanego elektroniczne dokumentu PDF. Wydruk taki obejmuje zarówno teść jak i informację o tym, że dokument został podpisany kwalifikowanym podpisem elektronicznym.

Dokument w ten sposób stworzony nie jest oryginałem dokumentu podpisanego elektronicznie, a jedynie papierowym odwzorowaniem jego treści. Zawarta na wydruku informacja o tym, że dokument był podpisany podpisem elektronicznym nie nosi wartości dowodowej i nie pozwala na potwierdzenie integralności dokumentu ani autentyczności samego podpisu elektronicznego. Należy jednoznacznie stwierdzić, że weryfikacja podpisu elektronicznego odwzorowanego na wydruku nie może zostać przeprowadzona, ani nie może zostać potwierdzona ważność podpisu elektronicznego.

Jak zweryfikować podpis elektroniczny w ePUAP?

System ePUAP, a także portal Obywatel.gov.pl pozwalają na potwierdzenie ważności podpisów elektronicznych. W przypadku systemu ePUAP możliwość potwierdzania ważności podpisu elektronicznego dotyczy tylko dokumentów zapisanych w platformie i przekazywanych do z podmiotów publicznych w oparciu o format XAdES. Strona internetowa obywatel.gov.pl umożliwia zarówno podpisanie podpisem zaufanym jak i weryfikację następujących rodzajów podpisów elektronicznych: podpisu osobistego, podpisu zaufanego oraz kwalifikowanego podpisu elektronicznego. Po przekazaniu dokumentu do platformy wszystkie podpisy znajdujące się w weryfikowanym dokumencie elektronicznym są automatycznie weryfikowanej. Jeżeli podpis kwalifikowany jest umieszczony w strukturze dokumentu pdf lub wewnątrz struktury xml (np. stosowany w administracji publicznej podpis wewnętrzny XAdES) to podpis taki jest weryfikowany w momencie umieszczenia pliku. Natomiast jeżeli podpis stanowi osobny plik do podpisywanej treści należy najpierw umieścić plik podpisu a następnie dołączyć podpisywaną treść w celu całościowej weryfikacji.

 

 

Data aktualizacji publikacji: 12.01.2023

Powiązane