Weryfikacja podpisu elektronicznego – jak przeprowadzić ją prawidłowo?

Kwalifikowany podpis elektroniczny, który jest równoważny podpisowi własnoręcznemu, stanowi istotny element procesów biznesowych i administracyjnych, opierających się na elektronicznym obiegu dokumentów. Jego użytkownicy powinni wiedzieć, że proces jego używania musi zakładać odpowiednią weryfikację.

 

Jak zweryfikować podpis elektroniczny?

Kwalifikowany e-podpis, jako usługa zaufania spełnia szereg jasno wskazanych wymagań. Potwierdzenie autentyczności podpisu elektronicznego powinno opierać się na wyniku jego weryfikacji lub walidacji, które wskazują czy owe wymagania są spełniane, przy czym:

  • Walidacja – dostarcza raport stanowiący podstawę do oceny ważności podpisu elektronicznego.
  • Weryfikacja – informuje o prawidłowości podpisu.

 

Weryfikacja podpisu – jaką wybrać aplikację?

Pierwszą rzeczą przy wyborze aplikacji , na którą użytkownicy powinni zwrócić uwagę, jest potwierdzenie przez jej dostawcę zgodności z rozporządzeniem eIDAS i europejską normą ETSI EN 319 102-1. W przypadku braku otrzymania takiego potwierdzenia, aplikacja nie daje podstaw do weryfikacji podpisu elektronicznego – należy znaleźć inną. Dodatkowo działanie aplikacji opiera się o zaufane listy, to na ich podstawie sprawdzana jest autentyczności e-podpisów. Istotnym jest, aby były one automatycznie aktualizowane. Kolejną rzeczą, na którą warto zwrócić uwagę jest format podpisu kwalifikowanego (najczęściej spotykane to: PAdES, XAdES, CAdES, ASiC). Jeżeli aplikacja nie obsługuje formatu podpisu, konieczne będzie sprawdzenie innych rozwiązań.

 

Potwierdzenie autentyczności podpisu – jak interpretować wyniki?

Żeby sprawdzić ważność e-podpisu, niezbędna będzie prawidłowa interpretacja wyników wskazanych przez aplikację. Powinna ona również przekazywać dodatkowe, cenne dla procesu weryfikacji informacje.

WAŻNE

Weryfikacja podpisu elektronicznego może zakończyć się jednym z trzech wyników: TOTAL PASS (ważny e-podpis); INDETERMINATE (brak możliwości potwierdzenia ważności e-podpisu); TOTAL FAIL (nieważny e-podpis).

 

TOTAL PASS

Wynik TOTAL PASS oznacza potwierdzenie zaufania do certyfikatu podpisu kwalifikowanego. Został on prawidłowo zweryfikowany pod względem kryptograficznym. Istnieją jednak dwie możliwości:

  • QES – potwierdzenie, że jest to kwalifikowany podpis elektroniczny zgodny z rozporządzeniem eIDAS , który został złożony za pomocą kwalifikowanego urządzenia. Certyfikat powinien ujawniać dane osoby, która podpisała dokument. W tym momencie należy zabezpieczyć ten podpis kwalifikowanym znacznikiem czasu, aby umożliwić pomyślną weryfikację w przyszłości.
  • Inne podpisy – aplikacja wskazuje, że nie jest to podpis kwalifikowany, jest jednak oparty o kwalifikowany certyfikat.

 

INDETERMINATE

Wynik INDETERMINATE oznacza, że podpis nie został zweryfikowany pozytywnie ani negatywnie. Należy sprawdzić powód, jaki podaje aplikacja i podjąć odpowiednie działania oparte na wynikach.

Powodem, dla którego autentyczność podpisu nie może zostać zdeterminowana jest m.in. brak możliwości potwierdzenia, że użytkownik posłużył się podpisem elektronicznym w danym czasie. Taka sytuacja wymaga zebrania dodatkowych dowodów, które potwierdzą czas podpisania dokumentów, np. oświadczenie podpisującego; maile, które zawierają daty; dane z systemu obiegu dokumentów. Weryfikacja podpisu może zostać oparta o potwierdzenie daty jego istnienia, jak również o analizę ryzyka biznesowego.

W zależności od sytuacji, mogą być potrzebne różne dodatkowe dowody:

  • NO POE – podpis uznajemy za prawidłowy, jeżeli dysponujemy niezależnym dowodem, że został on złożony w deklarowanej dacie. Konieczne jest potwierdzenie, że dokument podpisano przed konkretnym czasem, który może wpływać na jego ważność.
  • CRYPTO CONSTRAINTS NO POE – aby weryfikacja podpisu elektronicznego była pozytywna, konieczne są dowody, które wskazują, że został on złożony przed unieważnieniem certyfikatu.
  • OUT OF BOUNDS NO POE – wynik pojawia się, gdy algorytm wykorzystany do złożenia podpisu jest poniżej aktualnych rekomendacji. Weryfikacja podpisu elektronicznego wymaga dowodów na to, że został on użyty, gdy wykorzystany algorytm był uznawany za bezpieczny.
  • REVOKED NO POE – oznacza to, że w momencie weryfikacji certyfikat podpisu jest unieważniony, a aplikacja nie może znaleźć dowodów na to, że był on ważny w czasie podpisywania dokumentu. Żeby zweryfikować podpis, należy znaleźć inne dowody, które świadczą o tym, że opatrzono nim dokument przed wygaśnięciem certyfikatu.

 

Weryfikacja podpisu elektronicznego jest problematyczna również, gdy brakuje danych, które są wymagane aby uznać ważność podpisu. Aplikacja może wskazywać na następujące powody:

  • NO SIGNING CERTIFICATE – komunikat ten pojawi się w przypadku, gdy brakuje certyfikatu podpisującego. Dokument powinien zostać dostarczony weryfikującemu (stronie ufającej), dopiero wtedy można uznać ważność podpisu elektronicznego.
  • SIGNED DATA NOT FOUND – aplikacja nie ma dostępu do podpisanych danych. Do weryfikacji podpisu elektronicznego niezbędne będzie sprawdzenie czy zostały przekazane wszystkie potrzebne elementy, jak również czy znajdują się one w odpowiednim katalogu i mają odpowiednią nazwę.
  • TRY LATER – pełna weryfikacja wymaga spróbowania później.

 

Aplikacja może określić status podpisu jako nieokreślony, gdy podczas weryfikacji nie zostało spełnione jedno z następujących ograniczeń:

  • SIG CONSTRAINTS FAILURE – wymagania procesu weryfikacji nie zostały spełnione. Przykładowo aplikacja wymagać może kwalifikowanego podpisu lub certyfikatu o określonych parametrach.
  • CRYPTO CONSTRAINTS FAILURE – komunikat ten oznacza, że wykorzystana do podpisu funkcja kryptograficzna nie spełnia wymagań walidacji. Wskazanie ważności podpisu wymaga dodatkowej analizy – należy poprosić o pomoc eksperta.
  • CHAIN CONSTRAINTS FAILURE – zbudowanie łańcucha walidacji wiąże się z pojawieniem się błędu. Może mieć to miejsce, gdy np. certyfikat nie weryfikuje się w oparciu o zaufane listy.

 

Nieokreślony status może wynikać również z innych powodów:

  • GENERIC – wynik ten pojawia się, gdy istnieje inny powód, przez który nie można potwierdzić ważności podpisu – aplikacja dostarcza dodatkowe informacje.

 

TOTAL FAIL

W tym przypadku weryfikacja podpisu elektronicznego przebiegła negatywnie. Aplikacja powinna wskazywać na dodatkowe powody:

  • FORMAT FAILURE – format podpisu nie jest obsługiwany przez aplikację. Można sprawdzić inne rozwiązania dostępne na rynku.
  • HASH FAILURE – pojawia się w przypadku, gdy podpisane dane zostały naruszone po złożeniu podpisu.
  • EXPIRED – oznacza to, że certyfikat stracił ważność przed datą podpisania dokumentu.
  • NOT YET VALID – weryfikacja podpisu wskazuje, że złożenie go miało miejsce przed uzyskaniem ważności certyfikatu.
  • SIG CRYPTO FAILURE – podpis elektroniczny nie jest zgodny z danymi do weryfikacji.
  • REVOKED – certyfikat podpisu został unieważniony przed datą jego złożenia.

 

Data publikacji: 2.03.2021

Powiązane