Weryfikacja podpisu elektronicznego – jak przeprowadzić ją prawidłowo?

Kwalifikowany podpis elektroniczny, który jest równoważny podpisowi własnoręcznemu, stanowi istotny element procesów biznesowych i administracyjnych, opierających się na elektronicznym obiegu dokumentów. Dlatego warto wiedzieć jak zweryfikować podpis elektroniczny i jak sprawdzić poprawność zastosowanego certyfikatu kwalifikowanego.

 

W artykule:

Jak zweryfikować podpis elektroniczny?

Podpis kwalifikowany, jako usługa zaufania spełnia szereg jasno wskazanych wymagań. Potwierdzenie autentyczności podpisu elektronicznego powinno opierać się na wyniku jego weryfikacji lub walidacji, które wskazują czy owe wymagania są spełniane, przy czym:

  • Walidacja podpisu kwalifikowanego – dostarcza raport stanowiący podstawę do oceny ważności podpisu elektronicznego.

  • Weryfikacja podpisu kwalifikowanego – informuje o prawidłowości podpisu.

 

Weryfikacja podpisu – jaką wybrać aplikację?

Pierwszą rzeczą przy wyborze aplikacji , na którą użytkownicy powinni zwrócić uwagę, jest potwierdzenie przez jej dostawcę zgodności z rozporządzeniem eIDAS i europejską normą ETSI EN 319 102-1. W przypadku braku otrzymania takiego potwierdzenia, aplikacja nie daje podstaw do weryfikacji podpisu elektronicznego – należy znaleźć inną. Dodatkowo działanie aplikacji opiera się o zaufane listy, to na ich podstawie sprawdzana jest autentyczności e-podpisów. Istotnym jest, aby były one automatycznie aktualizowane. Kolejną rzeczą, na którą warto zwrócić uwagę jest format podpisu kwalifikowanego (najczęściej spotykane to: PAdES, XAdES, CAdES, ASiC).

 

Potwierdzenie autentyczności podpisu – jak interpretować wyniki?

Żeby sprawdzić ważność e-podpisu, niezbędna będzie prawidłowa interpretacja wyników wskazanych przez aplikację. Powinna ona również przekazywać dodatkowe, cenne dla procesu weryfikacji informacje.

WAŻNE

Weryfikacja podpisu elektronicznego może zakończyć się jednym z trzech wyników: TOTAL PASS (ważny e-podpis); INDETERMINATE (brak możliwości jednoznacznego potwierdzenia ważności e-podpisu); TOTAL FAIL (nieważny e-podpis).

 

TOTAL PASS

Wynik TOTAL PASS oznacza potwierdzenie zaufania do certyfikatu podpisu kwalifikowanego. Został on prawidłowo zweryfikowany pod względem kryptograficznym. Istnieją jednak dwie możliwości:

  • QES – potwierdzenie, że jest to kwalifikowany podpis elektroniczny zgodny z rozporządzeniem eIDAS, który został złożony za pomocą kwalifikowanego urządzenia. Certyfikat powinien ujawniać tożsamość autora podpisu. W tym momencie należy zabezpieczyć ten podpis kwalifikowanym znacznikiem czasu, aby umożliwić pomyślną weryfikację w przyszłości.

  • Inne podpisy – aplikacja wskazuje, że nie jest to podpis kwalifikowany, jest jednak oparty o kwalifikowany certyfikat.

 

INDETERMINATE

Wynik INDETERMINATE oznacza, że podpis nie został zweryfikowany pozytywnie ani negatywnie. Należy sprawdzić powód, jaki podaje aplikacja i podjąć odpowiednie działania oparte na wynikach.

Powodem, dla którego autentyczność podpisu nie może zostać zdeterminowana jest m.in. brak możliwości potwierdzenia, że użytkownik posłużył się podpisem elektronicznym w danym czasie.

W zależności od sytuacji, mogą być potrzebne różne dodatkowe dowody:

  • NO POE – podpis uznajemy za prawidłowy, jeżeli dysponujemy niezależnym dowodem, że został on złożony w deklarowanej dacie. Konieczne jest potwierdzenie, że dokument podpisano przed konkretnym czasem, który może wpływać na jego ważność.

  • OUT OF BOUNDS NO POE – aby weryfikacja podpisu elektronicznego była pozytywna, konieczne są dowody, które wskazują, że został on złożony przed unieważnieniem certyfikatu.

  • CRYPTO CONSTRAINTS NO POE– wynik pojawia się, gdy algorytm wykorzystany do złożenia podpisu jest poniżej aktualnych rekomendacji. Weryfikacja podpisu elektronicznego wymaga dowodów na to, że został on użyty, gdy wykorzystany algorytm był uznawany za bezpieczny.

  • REVOKED NO POE – oznacza to, że w momencie weryfikacji certyfikat podpisu jest unieważniony, a aplikacja nie może znaleźć dowodów na to, że był on ważny w czasie podpisywania dokumentu. Żeby zweryfikować podpis, należy znaleźć inne dowody, które świadczą o tym, że opatrzono nim dokument przed wygaśnięciem certyfikatu.

Proces weryfikacji podpisu elektronicznego

Weryfikacja podpisu elektronicznego jest problematyczna również, gdy brakuje danych, które są wymagane aby uznać ważność podpisu. Aplikacja może wskazywać na następujące powody:

  • NO SIGNING CERTIFICATE – komunikat ten pojawi się w przypadku, gdy brakuje certyfikatu podpisującego. Dokument powinien zostać dostarczony weryfikującemu (stronie ufającej), dopiero wtedy można uznać ważność podpisu elektronicznego.

  • SIGNED DATA NOT FOUND – aplikacja nie ma dostępu do podpisanych danych. Do weryfikacji podpisu elektronicznego niezbędne będzie sprawdzenie czy zostały przekazane wszystkie potrzebne elementy, jak również czy znajdują się one w odpowiednim katalogu i mają odpowiednią nazwę.

  • TRY LATER – pełna weryfikacja wymaga spróbowania później.

 

Aplikacja może określić status podpisu jako nieokreślony, gdy podczas weryfikacji podpisów elektronicznych nie zostało spełnione jedno z następujących ograniczeń:

  • SIG CONSTRAINTS FAILURE – wymagania procesu weryfikacji nie zostały spełnione. Przykładowo aplikacja wymagać może kwalifikowanego podpisu lub certyfikatu o określonych parametrach.

  • CRYPTO CONSTRAINTS FAILURE – komunikat ten oznacza, że wykorzystana do podpisu funkcja kryptograficzna nie spełnia wymagań walidacji. Wskazanie ważności podpisu wymaga dodatkowej analizy – należy poprosić o pomoc eksperta.

  • CHAIN CONSTRAINTS FAILURE – zbudowanie łańcucha walidacji wiąże się z pojawieniem się błędu. Może mieć to miejsce, gdy np. certyfikat nie weryfikuje się w oparciu o zaufane listy.

 

Nieokreślony status może wynikać również z innych powodów:

  • GENERIC – wynik ten pojawia się, gdy istnieje inny powód, przez który nie można potwierdzić ważności podpisu – aplikacja dostarcza dodatkowe informacje.

 

TOTAL FAIL

W tym przypadku weryfikacja podpisu elektronicznego przebiegła negatywnie. Aplikacja powinna wskazywać na dodatkowe powody:

  • FORMAT FAILURE – format podpisu nie jest obsługiwany przez aplikację. Można sprawdzić inne rozwiązania dostępne na rynku.

  • HASH FAILURE – pojawia się w przypadku, gdy podpisane dane zostały naruszone po złożeniu podpisu.

  • EXPIRED – informuje o wygaśnięciu certyfikatu przed datą podpisania dokumentu.

  • NOT YET VALID – weryfikacja podpisu wskazuje, że złożenie go miało miejsce przed uzyskaniem ważności certyfikatu.

  • SIG CRYPTO FAILURE – podpis elektroniczny nie jest zgodny z danymi do weryfikacji.

  • REVOKED – certyfikat podpisu został unieważniony przed datą jego złożenia.

 

Data aktualizacji publikacji: 16.09.2022

Powiązane