Podpis elektroniczny w postaci certyfikatu jest odpowiednikiem naszego dowodu tożsamości, zawiera nasze dane identyfikacyjne oraz klucz publiczny. Certyfikaty umownie możemy podzielić na: kwalifikowane i niekwalifikowane.
Certyfikat kwalifikowany jest to podpis, który w myśl polskiej ustawy o podpisie elektronicznym posiada status równoważny z własnoręcznym podpisem. Podpis ten musi spełnić kilka warunków aby nosić miano bezpiecznego podpisu elektronicznego i tak:
- Musi być przyporządkowany wyłącznie do osoby składającej ten podpis,
- Musi być sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny oraz bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
- Musi być powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna. Bezpieczny podpis elektroniczny musi zostać złożony tylko przy użyciu certyfikatu kwalifikowanego i bezpiecznego urządzenia.
- I najważniejszy fakt, iż musi być wydany przez jeden z podmiotów znajdujących się w Rejestrze Podmiotów Kwalifikowanych świadczących Usługi Certyfikacyjne prowadzonym przez Narodowe Centrum Certyfikacji.
Lista podmiotów w kolejności rejestracji ich w rejestrze:
Aktualny rejestr podmiotów kwalifikowanych świadczących usługi certyfikacyjne można znaleźć tutaj.
Oczywiście podmioty tutaj wymienione świadczą usługi wydawania podpisów elektronicznych odpłatnie (koszt to około kilkaset złotych rocznie w zależności od rodzaju podpisu, dostarczonego urządzenia i nośnika certyfikatu).
My zajmiemy się bezpłatnym niekwalifikowanym certyfikatem poczty elektronicznej wydawanym bezpłatnie przez podmiot nie będący w rejestrze polskich podmiotów kwalifikowanych, ale będący na liście zaufanych wystawców certyfikatów.
Do czego służy podpis elektroniczny niekwalifikowany?
- Podpisywanie wiadomości poczty elektronicznej, które zapewniają nam:
- integralność - która daje nam pewność, że wiadomość nie została zmienione w drodze do odbiorcy
- niezaprzeczalność - gwarantuje nam iż został on podpisany przez właściwą osobę posiadającą klucz prywatny
- autentyczność – zapewnia, iż nadawca jest tą osobą, za kogo się podaje
- Szyfrowanie wiadomości oraz jej załączników
- poufność – gwarantuje nam, że wiadomość zostanie odczytana tylko przez właściwą osobę
W tym miejscu muszę podkreślić, że do podpisywania wiadomości używamy tylko naszego podpisu (certyfikatu) , a do zaszyfrowania wiadomości musimy już użyć podpisu cyfrowego osoby, do której chcemy wysłać zaszyfrowaną wiadomość email (nie można wysłać wiadomości zaszyfrowanej do osoby, której nie posiadamy certyfikatu).
Jak działa podpis elektroniczny?
Technologia podpisu elektronicznego stosuje technikę szyfrowania z kluczem publicznym. Podstawą działania szyfrowania z kluczem publicznym są dwa klucze: klucz prywatny oraz klucz publiczny. Klucz publiczny jest udostępniany wszystkim osobom ( publicznie ), z którymi komunikuje się dana osoba, zaś klucz prywatny, w celu zachowania bezpieczeństwa systemu, musi pozostać pod wyłączną kontrolą jego właściciela. Ważną cechą wymienionych kluczy jest to, iż praktycznie niemożliwe jest odgadnięcie klucza prywatnego na podstawie znajomości klucza publicznego. Własność ta gwarantuje nam , iż podpisany email lub dokument, który został poprawnie zweryfikowany kluczem publicznym mógł być stworzony tylko przez posiadacza klucza prywatnego.
Myślę, że większość z czytelników posiada wiedzę z zakresu działania klucza publicznego i prywatnego stosowanego w podpisie elektronicznym . Nie mniej jeśli ktoś chce poszerzyć swoją wiedzę lub poznać zasadę i technologię działania zapraszam do przeczytania krótkiego przewodnika po PKI oraz opracowania Podpis elektroniczny - sposób działania, zastosowanie i korzyści , który można pobrać ze strony Ministerstwa Gospodarki lub wiele innych dostępnych w Internecie, przydatną tutaj może okazać się wyszukiwarka Google, a po dodatkową wiedzę na temat PKI (public-key infrastructure) w środowisku Windows 2003 server zapraszam na stronę Microsoft TechNet.
Jak uzyskać swój własny podpis elektroniczny?
Zanim przystąpimy do uzyskania certyfikatu, chciałbym wskazać dwu etapowe możliwości otrzymania osobistego certyfikatu do poczty elektronicznej (Personal Email Certyficate):
Pierwszy i podstawowy sposób to certyfikat z naszym adresem email i wystawiony dla ‘Thawte Freemail Memeber’. Sposób ten daje nam możliwość otrzymania certyfikatu w ciągu kilkunastu minut, praktycznie od zaraz możemy posługiwać się podpisem elektronicznym w naszych emailach.
Drugi rozszerzony w stosunku do poprzedniego o nasze imię i nazwisko wpisane w polu ‘Wystawiony dla’, ten sposób daje nam możliwość otrzymania certyfikatu imiennego po uprzedniej weryfikacji przez notariuszy WOT, (szczegółowy opis znajduje się na końcu artykułu)
Dlaczego THAWTE?
- Certyfikat całkowicie darmowy i na zawsze
- Ważny na 1 rok (a nie na 30 lub 60 dni, jak to mam miejsce w przypadku testowych certyfikatów) , oczywiście po roku mamy możliwość go odnowienia identycznie jak w przypadku certyfikatów płatnych
- Dostępny w ciągu kilkunastu minut
- Wystawiony przez zaufany główny urząd certyfikacji (certyfikat Thawte CA Root znajduje się w każdym systemie operacyjnym na liście zaufanych wystawców vertyfiaktów)
Rejestracja konta w systemie THAWTE
Wiec zaczynamy, aby otrzymać nasz własny certyfikat wystarczy się zarejestrować na stronie Thawte.
następnie klikamy na przycisku JOIN i otworzy się kolejne okienko i musimy wypełnić formularz w kilku krokach (kroki są na tyle proste, że pozwoliłem sobie pominąć zrzuty ekranu):
- Krok 1: Akceptujemy warunki osobistej certyfikacji ( niestety warunki są dostępne w języku angielskim, być może to się zmieni z czasem i będzie tam informacja po polsku, reszta rejestracji będzie po polsku i czasami z wstawkami angielskimi )
- Krok 2: Wprowadzamy nasze dane: Imię, Nazwisko, datę urodzenia i obywatelstwo ( proszę nie stosować polskich liter )
- Krok 3: Dalej podajemy nasz adres email ( proszę uważnie podać email, email ten będzie później naszą nazwą użytkownika THAWTE – tzw Thawte user ID
- Krok 4: W tym kroku ustalamy nasze preferencje językowe
- Krok 5: Ustawiamy hasło do systemu ( system poinformuje nas o zasadach tworzenia haseł )
- Krok 6: Pytania pomocnicze ( potrzebne w przypadku utraty hasła ) - bardzo istotny punkt, proszę uważnie wypełnić ten punkt, system wymaga od nas podania co najmniej 5 odpowiedzi na pytania zawarte w formularzu lub stworzonych przez nas. PROSZĘ WYDRUKOWAĆ lub dokładnie przepisać sobie tą listę.
- Krok 7: W tym kroku przeglądamy i weryfikujemy wprowadzone przez nas dane i akceptujemy je.
I na tym został zakończony wstępny proces rejestracji i jednocześnie system powinien wysłać do nas wiadomość email. W skrzynce znajdziemy email z danymi (jest to procedura sprawdzania czy adres email jest prawidłowy tzw., ping’owanie emaila ).
- Krok 8: W celu weryfikacji klikamy na linku zamieszczonym w emailu i podajemy dane z otrzymanego emaila ( Probe i Ping )
W tym właśnie momencie otrzymamy nazwę użytkownika Thawte, nazwa ta powinna być identyczna z podanym przez nas podczas rejestracji adresem email.
Koniec procedury rejestracji
Żądanie wystawienia certyfikatu
Po wykonaniu powyższych kroków nasze konto jest już utworzone i możemy się zalogować za pomocą danych utworzonych podczas rejestracji w systemie po przez kliknięcie NEXT lub otwarcie nowej strony z adresem https://www.thawte.com/cgi/personal/contents.exe.
Po zalogowaniu się na swoje konto mamy do dyspozycji kilka opcji między innymi :
- request a certificate – żądanie nowego certyfikatu
- view certificate status – przeglądanie statusu certyfikatów
- revoke a certificate – odwołanie istniejącego lub skompromitowanego certyfikatu
Ja w tym miejscu zatrzymam się na procedurze żądania i instalacji certyfikatu , którą przedstawię krok po kroku wraz z krótkim komentarzem.
Zaczynamy od wystawienia żądania certyfikatu od urzędu certyfikacyjnego, Klikamy na request a certificate.
W kolejnym oknie wybieramy request:
Następnie wybieramy typ przeglądarki internetowej i rodzaj oprogramowania:
W kolejnym oknie wskazujemy na adres email do którego chcemy przypisać certyfikat, mamy możliwość wystawienia kilka certyfikatów, każdy do innego emaila (proszę pamiętać tylko wcześniej o zarejestrowaniu emaila na swoim koncie – poprzez procedurę pingowania adresu email):
W kolejnym kroku możemy wybrać przynależność do systemu ‘extranet certification’ (system własny firmy Thawte). Domyślnie klikamy next:
W tym miejscu możemy określić do jakich celów chcemy używać nasz certyfikat, dla większości użytkowników wskazane jest zaakceptowanie domyślnych parametrów. Na kolejnym rysunku zobaczymy możliwe opcje.
Po naciśnięciu configure z poprzedniego okienka możemy zobaczyć dostępne opcje:
W tym momencie wybieramy dostawcę usług kryptograficznych (CSP – Cryptographic Service Provider). Domyślnym dostawcą jest Microsoft Enchanced Cryptographic Provider 1.0 . Jeśli chcemy wybrać inny przykładowych dostawców możemy obejrzeć na kolejnym rysunku.
W kolejnym oknie możemy obejrzyeć listę dostępnych CSP.
W tym miejscu chciałbym się na chwilę zatrzymać i wspomnieć o możliwości umieszczenie certyfikatu na karcie inteligentnej (SMARTCARD) . Jeśli posiadamy ową kartę i chcemy umieścić certyfikat na swojej karcie, to jest to idealny moment. W zależności od producenta karty wybieramy swojego CSP (każdy dostawca kart inteligentnych dostarcza oprogramowanie, które musi być zainstalowane przed żądaniem certyfikatu). Dostępni na liście CSP dostawcy kart inteligentnych (Cryptotech - polska firma, Gemplus, Ifineon oraz Schlumberger):
W kolejnym oknie otrzymamy komunikat, na który odpowiadamy TAK:
I przystępujemy do generowania klucza wymiany RSA:
W kolejnym oknie ujrzymy komunikat podsumowanie dotyczące żądanego certyfikatu. kończymy je naciskając finish:
Dalej otrzymujemy informację potwierdzającą złożenie zamówienia na certyfikat:
I na tym zakończyliśmy procedurę żądania certyfikatu. I w tym momencie oczekujemy tylko na wydanie certyfikatu.
Po wypełnieniu wszystkich opcji formularza nasz certyfikat uzyska status oczekujący ‘pending’. Z reguły certyfikaty są wydawane w ciągu kilkunastu minut. Każdy nasz krok będzie potwierdzony emailem ze strony THAWTE. Email ten będzie nas informował każdorazowo o statusie certyfikatu.
Instalacja wydanego certyfikatu
Kiedy nasz certyfikat uzyska status ‘issued’ wydany, możemy przystąpić do procedury instalacji naszego certyfikatu w naszym komputerze (lub na karcie inteligentnej).
Po zalogowaniu się do systemu THAWTE pod adresem https://www.thawte.com/cgi/personal/contents.exe przechodzimy do zakładki view certification status lub klikamy na linku https://www.thawte.com/cgi/personal/cert/status.exe i po wybraniu właściwego certyfikatu klikamy na MSIE, otworzy nam się strona z informacją na temat naszego certyfikatu.
W kolejnym oknie możemy obejrzeć informację na temat naszego certyfikatu a także możemy przystąpić do instalacji naciskając przycisk fetch:
W następnym kroku klikamy na opcji Install Your Cert:
Dalej odpowiadamy TAK na komunikat systemowy:
I w końcu otrzymujemy informację iż nasz certyfikat został zainstalowany wraz ze wskazaniem miejsca gdzie możemy obejrzeć nasz certyfikat.
Backup (export certyfikatu do pliku)
Bardzo ważnym krokiem będzie zrobienie kopii certyfikatu poprzez jego export do pliku wraz z kluczem prywatnym. Dokładny opis jak to zrobić można znaleźć tutaj: http://www.certum.pl/upload_module/downloads/certum/instrukcje/Microsoft_Internet_Explorer_6_PL.pdf lub http://www.signet.pl/instrukcje/bk_ie.html.
Instalacja i konfiguracja certyfikatu w programie pocztowym
Jeśli wykonaliśmy backup certyfikatu poprzez export do pliku, to w tym momencie możemy przystąpić do instalacji naszego certyfikatu w naszym ulubionym kliencie pocztowym. Posłużyłem się tutaj gotowymi instrukcjami, stworzonymi przez ludzi z CERTUM zajmujących się na co dzień certyfikacjami.
Dokładne instrukcje krok po kroku można znaleźć tutaj:
Znajdują się tam instrukcje wraz z dokładnym opisem do programów pocztowych Microsoft Office Outlook, Microsoft Outlook Express , Mozilla Thunderbird, The Bat! i inne. W tych dokumentach znajduje się również dokładny opis jak wysyłać, podpisywać oraz szyfrować emaile etc. Zapraszam do lektury tych podręczników.
Uzyskanie certyfikatu z imieniem i nazwiskiem, przystąpienie do społeczności THAWTE WOT
Co to jest THAWTE WOT (Web Of Trust)?
Oficjalny link do strony programu - http://www.thawte.com/secure-email/web-of-trust-wot/index.html.
Jest to unikalny system certyfikacji tworzony przez społeczność. Pozwala on na potwierdzenie tożsamości przez samych siebie oraz innych użytkowników w przeciwieństwie do innych ośrodków certyfikacyjnych, które weryfikują tożsamości wszystkich osób. WOT został zaczerpnięty i oparty na modelu znanego z PGP ( Pretty Good Privacy) Web Of Trust, który polegał na certyfikowaniu innych osób, których nigdy nie widzieliśmy. THAWTE WOT w tym wypadku różni się do swego poprzednika o system oceny za pomocą punktów podczas osobistej konfrontacji. Zebranie określonej liczby punktów przyznanych przez zaufanych notariuszy THAWTE, daje nam możliwość otrzymania osobistego certyfikatu z naszym Imieniem i Nazwiskiem w polu ‘Wystawiony dla’. W tym dokumencie kiedy piszę notariusz używam tego słowa w znaczeniu ‘Notariusz Thawte’ a nie notariusz w prawniczym słowa tego znaczeniu. (ang. Thawte WOT Notary)
Pierwszymi notariuszami w tym systemie byli pracownicy THAWTE, którzy ruszyli w świat i przyznawali 100 punktów TRUST po poprawnej osobistej weryfikacji, do weryfikacji były niezbędne oryginały dokumentów osobistych ze zdjęciem, po sprawdzeniu kopie dokumentów pozostawiali w swoich archiwach. Każda osoba po otrzymaniu 100 punktów stawała się notariuszem THAWTE i mogła autoryzować kolejne osoby.
Jak mogę przystąpić do społeczności THAWTE WOT?
Wymaganiem wstępnym jest posiadanie konta - user ID w systemie THAWTE i hasła (procedura został opisana wcześniej) , aktualizację swojego konta o numer PESEL oraz uzyskanie minimum 50 pkt. Aktualizację swojego konta o swój PESEL, można uzupełnić pod adresem https://www.thawte.com/cgi/personal/general/editinfo.exe.
W polu National Identity Type: wpisujemy rodzaj dokumentu w jakim został podany PESEL, np. dowód osobisty.
Jak mogę otrzymać punkty TRUST w systemie THAWTE WOT?
Punkty przyznają tylko notariusze WOT podczas potwierdzania tożsamości (assertion), punkty są przyznawane w zakresie 10-35 w zależności od ‘doświadczenia’ danego notariusza, a doświadczenie w tym miejscu liczy się wg ilości potwierdzonych osób.
Notariusze którzy nie ukończyli jeszcze 21 lat będą mogli przyznać tylko max 10 punktów.
Po uzyskaniu 50 punktów TRUST nasz status zmieni się z untrusted na trusted , i wtedy będziemy mogli ponownie wystawić żadanie o wystawienie nowego certyfikatu, ale tym razem wystawionego z naszym imieniem i nazwiskiem.
Po uzyskaniu 100 punktów TRUST automatycznie zostaniesz notariuszem i będziesz mógł potwierdzać tożsamości innych osób i Twoje dane znajdą się na liście notariuszy.
Zasady i obowiązki notariuszy w THAWTE WOT
Oto główne zasady obowiązujące w THAWTE WOT:
- Osobiste stawiennictwo - notariusz może przyznać punkty WOT tylko podczas osobistego spotkania i potwierdzenia oryginalnych dokumentów tożsamości. Osoba autoryzowana musi dostarczyć notariuszowi kopie przedstawionych dokumentów.
- Dokumenty tożsamości i ich kopie – notariusz musi potwierdzić dane identyfikacyjne poprzez porównanie danych z dokumentów tożsamości z danymi zawartymi w osobistym certyfikacie. Notariusz musi również upewnić się, czy przedstawione kopie dokumentów są zgodne z oryginałami. W przedstawionych dokumentach przynajmniej jeden z nich musi zawierać aktualną fotografię. (z reguły notariusze wymagają 2 dokumentów ze zdjęciem). Dokument ze zdjęciem musi być wydany przez instytucje rządowe. W Polsce są to dowód osobisty lub paszport.
- Przechowywanie kopii dokumentów oraz kopie dokumentów potwierdzeń tożsamości ( Statement of Notarization ) – notariusze zobowiązani są do przechowywania kopii dokumentów z autoryzacji przez okres 5 lat. Kopie te muszą być przechowywane w bezpiecznych miejscach z należytą starannością zachowania poufności.
- Opłaty – notariusze mogą pobierać opłaty za przeprowadzenie potwierdzenia tożsamości ale nie muszą (duża większość z nich robi to za darmo)
- Odpowiedzialność notariusza – każdy notariusz może zostać pociągnięty do odpowiedzialności w przypadku kiedy na żądanie Thawte nie będzie mógł okazać kopii dokumentów autoryzowanej osoby
Jak potwierdzić tożsamość u notariusza Thawte i zdobyć punkty WOT?
- Krok 1: Musimy posiadać konto – user ID w systemie THAWTE. Logujemy się na na stronie , używając swojego konta http://www.thawte.com/secure-email/personal-email-certificates/index.html. Wchodzimy na zakładkę ‘WOT Console’
- Krok 2: Uzupełniamy swoje konto o numer PESEL https://www.thawte.com/cgi/personal/general/editinfo.exe
- Krok 3: Wybieramy notariusza z listy dostępnych notariuszy (opcja dostępna tylko po zalogowaniu się do systemu) . Notariuszy możemy wyszukiwać pod względem kraju województwa i miasta. Bardzo często notariusze dołączają na tej liście informacje o sposobach i godzinach autoryzacji. Znajdują się tam również ich adresy email i telefony. https://www.thawte.com/cgi/personal/wot/directory.exe
Umawiamy się z Notariuszem lub kilkoma na raz na spotkanie poprzez email lub telefon. Po ustaleniu spotkania, musimy wrócić do listy notariuszy i pozwolić na oglądanie naszych danych przez wybranego notariusza (tylko my decydujemy, który notariusz będzie miał wgląd do naszych danych ) Wykonujemy to poprzez kliknięcie na lin : Allow Imie Nazwisko Notariusza to view your details, który znajduje się na dole informacji na temat notariusza, jeśli tego nie uczynimy to notariusz nie będzie miał dostępu do naszych danych i nie będzie mógł nas autoryzować.
- Krok 4: Spotkanie – potwierdzenie tożsamości ( assertion ). Na umówione spotkanie zabierz 2 oryginały dokumentów ze zdjęciem, dowód osobisty lub paszport oraz drugi dokument np. prawo jazdy etc (oraz ich kserokopie, które pozostaną u notariusza) Niezbędny będzie takżę Twój thawte User ID, który jest wypełniany we wnioskach. Podczas spotkania notariusz obejrzy oryginały dokumentów i zatrzyma sobie kserokopie. Notariusz sprawdzi Twoje imię i nazwisko oraz Twój numer PESEL. Możemy spotkać się z dwoma rodzajami autoryzacji :
ONLINE – notariusz online na stronie Thawte wypełni wniosek i go wydrukuje, następnie po sprawdzeniu danych obaj/oboje musicie podpisać wnioski. Po podpisaniu wniosku, notariusz może autoryzować nas od razu i przyznać nam punkty.
OFFLINE – zabierz ze sobą 2 wydrukowane wnioski, po jednym dla każdego z Was
Wnioski można pobrać tutaj :
W języku polskim – poproś notariusza emailem. (tnpolish.pdf)
W języku angielskim - https://www.thawte.com/en/wot/tn.pdf
- Krok 5: Potwierdzenie otrzymania autoryzacji. Po zakończeniu całej procedury otrzymasz emaila informującego o dokonanej autoryzacji wraz z ilością otrzymanych punktów.
- Krok 6: Po uzyskaniu 50 punktów przeprowadź ponownie żądanie wystawienia certyfikatu, tym razem Twój certyfikat już będzie już zawierał Twoje dane osobowe. Dokładna procedura potwierdzania tożsamości w języku angielskim dostępna jest tutaj : http://www.thawte.com/secure-email/web-of-trust-wot/wot_validation.html
Podsumowanie
Intencją napisania tego artykułu była chęć spopularyzowania darmowego podpisu elektronicznego oraz upowszechnienia jego zastosowania a z drugiej strony chęć podzielenia się wiedzą i doświadczeniem na temat działań społeczności THAWTE Web Of Trust. Sam jestem notariuszem Thawte i bardzo chętnie autoryzuję nowe osoby, oczywiście bezpłatnie. Pisząc ten artykuł mam nadzieję, iż w Polsce stosowanie podpisu elektronicznego na dobre wejdzie jako standard ogólnie przyjęty w dziedzinie bezpieczeństwa. A jak będzie ? Czas pokaże …
Źródła
http://www.centrast.pl/ncc/home.aspx
http://www.mgip.gov.pl/GOSPODARKA/Innowacyjnosc/Podpis+elektroniczny/
http://www.thawte.com
http://www.thawte.com/secure-email/web-of-trust-wot/index.html
http://www.thawte.com/secure-email/personal-email-certificates/index.html#
http://www.certum.pl/
http://www.sigillum.pl/
http://www.signet.pl/
http://www.kir.pl/
http://technet2.microsoft.com/WindowsServer/en/Library/6d5d9ef3-75ca-46c1-acf6-57dc7e9a6adf1033.mspx