Podpis elektroniczny - aspekty kryminalistyczne, prawne i informatyczne.pdf - 2007 - siomak

Brunon Ho³yst

Jacek Pomyka³a

Podpis elektroniczny

– aspekty kryminalistyczne,

prawne i informatyczne

Celem niniejszego opracowania

jest wprowadzenie czytelnika w ob-

szern¹ problematykê podpisu elek-

tronicznego. Z mocy prawa funkcjo-

nuje on w Polsce od 2001 roku, jed-

nak pozostawia to jeszcze wiele do

¿yczenia, zw³aszcza w sferze admini-

stracji pañstwowej. Czy jesteœmy

w stanie do 2008 roku wprowadziæ

w ¿ycie odpowiedni¹ ustawê? Jakie

bêd¹ kolejne wyzwania dla dalszego

rozwoju bezpiecznych us³ug elektro-

nicznych w Polsce? Czy system

prawny nad¹¿y za nowymi problema-

mi w rozwoju bezpiecznej komunika-

cji elektronicznej? Wreszcie, czy i jak

mo¿emy przygotowywaæ siê do prze-

ciwdzia³ania zagro¿eniom wynikaj¹-

cym z nowych trendów w rozwoju

podpisu cyfrowego? S¹ to pytania,

które pojawiaj¹ siê w kontekœcie pod-

pisu elektronicznego. Punktem wyj-

œcia do naszych rozwa¿añ jest wiêc

zrozumienie zarówno samej istoty sy-

gnatury cyfrowej, jak i mechanizmów

jej dzia³ania i funkcjonowania w ra-

mach sieci teleinformatycznych.

W niniejszej pracy przeplataj¹ siê

ró¿ne w¹tki zwi¹zane z podpisem

elektronicznym – pocz¹wszy od

prawnych, kryminalistycznych,

a skoñczywszy na informatyczno-

-matematycznych. W pierwszej czê-

œci artyku³u odwo³ujemy siê g³ównie

do ustawy o podpisie elektronicznym,

natomiast w drugiej, bardziej formal-

nej – do aspektów jego bezpieczeñ-

stwa i zastosowañ w strukturach gru-

powych i hierarchicznych.

roku jest odpowiedzi¹ na wspó³cze-

sne wyzwania gospodarki elektro-

nicznej. Rosn¹ce znaczenie handlu

elektronicznego doprowadzi³o do ko-

niecznoœci stworzenia mechanizmów

i regulacji skutecznie chroni¹cych

wszystkie strony transakcji. Dotyczy

to nie tylko bezpoœrednio kupuj¹cych

i sprzedaj¹cych, lecz tak¿e poœredni-

ków w handlu elektronicznym. Odpo-

wiedzi¹ na powy¿sze potrzeby sta³

siê podpis elektroniczny, powszech-

nie u¿ywane narzêdzie do autoryzacji

i potwierdzania autentycznoœci pod-

miotów w ramach sieci teleinforma-

tycznych 1 .

Korzyœci osi¹gane dziêki zastoso-

waniu podpisu elektronicznego nie

ograniczaj¹ siê wy³¹cznie do sfery

e-biznesu, s¹ tak¿e bardzo wa¿ne

dla organów administracji pañstwo-

wej oraz ich wzajemnych relacji z ca-

³ym spo³eczeñstwem. Co wiêcej,

sprawne funkcjonowanie ca³ej infra-

struktury podpisu elektronicznego

jest koniecznoœci¹ wynikaj¹c¹ z za³o-

¿eñ Dyrektywy Unii Europejskiej dla

podpisu elektronicznego.

Poni¿ej przedstawimy za³o¿enia

dotycz¹ce szeroko rozumianej defini-

cji podpisu elektronicznego i te wyni-

kaj¹ce z podstawowych aktów praw-

nych z nim zwi¹zanych.

Celem ustawy o podpisie elektro-

nicznym (...) jest stworzenie mecha-

nizmu i odpowiedniej infrastruktury

organizacyjnej, które umo¿liwi¹ bez-

pieczne i niezawodne pos³ugiwanie

siê w Polsce nowoczesnymi elektro-

nicznymi œrodkami ³¹cznoœci oraz

przetwarzanie informacji na potrzeby

czynnoœci prawnych i w dzia³alnoœci

gospodarczej. Tym mechanizmem

jest uregulowana prawnie instytucja

podpisu elektronicznego 2 .

Ustawa ta zosta³a, co do zasady,

oparta na za³o¿eniach wyra¿onych

w Dyrektywie UE o podpisie elektro-

nicznym. Jest to, podobnie jak Dyrek-

tywa, uregulowanie o charakterze

mieszanym, a zarazem jeden z kro-

ków maj¹cych na celu harmonizacjê

polskiego prawa z zasadami prawa

unijnego 3 .

Wed³ug ustawy o podpisie elektro-

nicznym wyra¿enie „podpis elektro-

niczny” oznacza dane w postaci elek-

tronicznej, jakie wraz z innymi dany-

mi, do których zosta³y do³¹czone lub

z którymi s¹ logicznie powi¹zane,

s³u¿¹ do identyfikacji osoby sk³adaj¹-

cej podpis elektroniczny 4 .

W definicji pojêcia „podpis elektro-

niczny” ustawodawca stara siê za-

chowaæ technologiczn¹ neutralnoœæ.

Nie przes¹dzaj¹c, czy i które z obec-

nie stosowanych technologii podpisu

elektronicznego zostan¹ powszech-

nie zaakceptowane, przyjmuje bar-

dzo szerok¹ definicjê takiej formy

podpisu 5 .

Podobny zapis widnieje w Dyrek-

tywie UE definiuj¹cej podpis elektro-

niczny jako dane w formie elektro-

nicznej, które s¹ dodane do innych

danych elektronicznych lub s¹ z nimi

logicznie powi¹zane i s³u¿¹ do auto-

ryzacji (data in electronic form which

are attached to or logically associa-

ted with other electronic data and

which serve as a method of authenti-

cation). W tym sensie podpisem elek-

tronicznym jest na przyk³ad obraz

podpisu w³asnorêcznego otrzymany

za pomoc¹ skanera, podpis sporz¹-

dzony elektronicznym piórem, kod

PIN karty elektronicznej u¿yty do

podjêcia pieniêdzy z bankomatu czy

te¿ imiê lub nazwisko umieszczone

w zakoñczeniu wiadomoœci wysy³a-

Istota podpisu elektronicznego

w œwietle prawa

Ustawa o podpisie elektronicznym

obowi¹zuj¹ca od 18 wrzeœnia 2001

PROBLEMY KRYMINALISTYKI 256/07

nej poczt¹ elektroniczn¹ albo przy

u¿yciu faksymile (ogólniej – w ka¿dej

postaci, w której dokument powsta³

lub zosta³ przetworzony na strumieñ

logicznie powi¹zanych bitów informa-

cji przechowywanych i przes³anych

jako impulsy elektryczne, pola ma-

gnetyczne, strumieñ fotonów itp.).

Taki podpis jest ³atwy do podrobie-

nia i nie ma ¿adnych (poza sam¹ tre-

œci¹) szczególnych cech pozwalaj¹-

cych w sposób niebudz¹cy w¹tpliwo-

œci przypisaæ go do okreœlonej osoby

lub dokumentu. Z tego powodu jest

w wielu sytuacjach niezadowalaj¹cy.

Znacznie bardziej u¿yteczna jest inna

forma podpisu elektronicznego, czê-

sto okreœlana pojêciem „zaawanso-

wany podpis elektroniczny” lub „pod-

pis cyfrowy” (advanced electronic si-

gnature, digital signature) 6 .

Zgodnie z zapisami w Polskiej

Normie (PN-I-02000) podpisem elek-

tronicznym jest przekszta³cenie kryp-

tograficzne danych umo¿liwiaj¹ce

odbiorcy danych sprawdzenie ich au-

tentycznoœci i integralnoœci oraz za-

pewniaj¹ce nadawcy ochronê przed

sfa³szowaniem danych przez odbior-

cê 7 .

Podpis elektroniczny to rodzaj sy-

gnatury cyfrowej, która podobnie jak

zwyk³y podpis powinna zapewniæ

odbiorcê o autentycznoœci wiadomo-

œci. Adresat powinien byæ tak¿e

pewny, ¿e podpis jest autentyczny

i niepodrabialny oraz ¿e nie mo¿na

go wykorzystywaæ wielokrotnie, zaœ

osoba podpisuj¹ca nie mo¿e siê go

wyprzeæ 8 .

„Istot¹ podpisu elektronicznego

jest powi¹zanie zamienionego na

ci¹g bitów dokumentu z twórc¹ tego

dokumentu tak, ¿e jednoznacznie

mo¿na zwi¹zek taki stwierdziæ i wy-

kluczyæ zwi¹zek z inn¹ osob¹. Podpis

elektroniczny umo¿liwia wiêc po-

twierdzenie to¿samoœci osoby, która

stworzy³a dokument. Podpisy elektro-

niczne powinny ponadto umo¿liwiæ

wykrycie zmian w treœci dokumentu

dokonanych w nim po jego utworze-

niu. Warto zauwa¿yæ, ¿e pojêcie pod-

pisu elektronicznego to kategoria po-

jêciowo szeroka, obejmuj¹ca ró¿ne

elektroniczne metody, bêd¹ce funk-

cjonalnymi odpowiednikami podpisu

w³asnorêcznego. Najpopularniej-

szym rodzajem podpisu elektronicz-

nego jest podpis cyfrowy (digital si-

gnature), oparty na tzw. kodowaniu

asymetrycznym. Nale¿y podkreœliæ,

¿e pojêciowe uto¿samianie podpisów

elektronicznych i cyfrowych jest

b³êdem. Kategoria podpisu cyfrowe-

go jest pojêciem wê¿szym i mieœci

siê w szerokiej kategorii podpisów

elektronicznych” 9 .

Z pogl¹dem g³osz¹cym, ¿e podpis

elektroniczny to pojêcie szersze od

podpisu cyfrowego, nie zgadzaj¹ siê

Robert Podp³oñski i Piotr Popis, auto-

rzy ksi¹¿ki Podpis elektroniczny. Ko-

mentarz. Wed³ug nich oba te pojêcia

odnosz¹ siê do czego innego.

Podpis elektroniczny jest pojêciem

prawnym i obejmuje wszelkie ele-

ktroniczne dane s³u¿¹ce do potwier-

dzenia to¿samoœci osoby fizycznej.

Pojêcie „podpis cyfrowy” wywodzi siê

natomiast z technologii uwierzytelnie-

nia. Opisuj¹ wiêc zupe³nie ró¿n¹ rze-

czywistoœæ. Podpis cyfrowy bêdzie

zawiera³ siê w pojêciu podpisu elek-

tronicznego tylko w przypadku, gdy

bêdzie identyfikowa³ osobê fizyczn¹

i tak d³ugo, jak d³ugo technologia cy-

frowa bêdzie dopuszczalna w celu

sk³adania podpisu elektronicznego.

Ilekroæ podpis cyfrowy bêdzie stoso-

wany do identyfikacji innego podmio-

tu ni¿ osoba fizyczna, nie bêdzie siê

mieœci³ w pojêciu „podpis elektronicz-

ny” 10 .

Ustawa dopuszcza istnienie zwy-

k³ego i bezpiecznego podpisu elek-

tronicznego. Ten zaœ nie jest, jak

mo¿na by s¹dziæ, elektronicznym od-

zwierciedleniem imienia i nazwiska,

lecz zdefiniowan¹ specjalnymi algo-

rytmami metod¹ szyfrowania doku-

mentów stworzonych przez ich auto-

ra w sposób uniemo¿liwiaj¹cy pod-

wa¿enie wiarygodnoœci podpisanej

treœci 11 .

Tak zwany zwyk³y podpis elektro-

niczny jest w niewielkim zakresie re-

gulowany ustaw¹, w szczególnoœci

zaœ nie jest zrównany w skutkach

prawnych z podpisem w³asnorêcz-

nym ani nie stosuje siê do niego do-

wodu niezaprzeczalnoœci autorstwa,

o którym mowa w art. 6 ust. 1 ustawy.

Tak¿e technologia jego z³o¿enia jest

dowolna, mo¿e byæ zbli¿ona lub taka

sama jak technologia wykorzystywa-

na do sk³adania bezpiecznego podpi-

su elektronicznego 12 .

Wed³ug ustawy o podpisie elektro-

nicznym bezpieczny podpis elektro-

niczny 13 jest traktowany jako podpis

elektroniczny, który:

a) jest przyporz¹dkowany wy³¹cz-

nie do osoby sk³adaj¹cej ten

podpis,

b) jest sporz¹dzony za pomoc¹

podlegaj¹cych wy³¹cznie kon-

troli osoby sk³adaj¹cej podpis

elektroniczny bezpiecznych

urz¹dzeñ s³u¿¹cych do sk³ada-

nia podpisu elektronicznego

i danych s³u¿¹cych do sk³ada-

nia podpisu elektronicznego,

c) jest powi¹zany z danymi, do

których zosta³ do³¹czony, w taki

sposób, ¿e jakakolwiek póŸniej-

sza zmiana tych danych jest

rozpoznawalna.

W innych krajach, w zale¿noœci od

przyjêtego nazewnictwa, oprócz wy-

stêpuj¹cego bezpiecznego podpisu

elektronicznego funkcjonuj¹ pojêcia

zaawansowanego podpisu elektro-

nicznego, kwalifikowanego podpisu

elektronicznego, gwarantowanego

podpisu elektronicznego, zabezpie-

czonego podpisu elektronicznego

czy wreszcie uniwersalnego podpisu

elektronicznego.

Bezpieczny podpis elektroniczny

mo¿e zostaæ przyporz¹dkowany tylko

do osoby fizycznej.

Przyporz¹dkowanie do osoby fi-

zycznej mo¿e byæ zrealizowane

przez:

1) kwalifikowany certyfikat,

2) niekwalifikowany certyfikat wy-

dany przez podmiot œwiadcz¹cy

us³ugi certyfikacyjne lub

3) inny rodzaj elektronicznego za-

œwiadczenia, za pomoc¹ które-

go dane s³u¿¹ce do weryfikacji

podpisu elektronicznego s¹

przyporz¹dkowane do osoby

sk³adaj¹cej podpis elektronicz-

ny i które umo¿liwiaj¹ identyfi-

kacjê tej osoby (np. stosowane

w bankowoœci).

Zwi¹zek miêdzy bezpiecznym

podpisem elektronicznym a podpisu-

PROBLEMY KRYMINALISTYKI 256/07

j¹cym opiera siê na odpowiednim

certyfikacie. Certyfikat ten mo¿e, ale

nie musi byæ do³¹czany do podpisy-

wanego dokumentu, przy czym musi

byæ do³¹czone przynajmniej wskaza-

nie kwalifikowanego certyfikatu jako

atrybut podpisu s³u¿¹cego do weryfi-

kacji danego bezpiecznego podpisu

elektronicznego 14 .

ramowych dla podpisu elektronicz-

nego nr 1999/93/EC. Dyrektywa ta

tworzy ogólne ramy prawne do przy-

jêcia odpowiednich regulacji w po-

szczególnych pañstwach cz³onkow-

skich.

Celem Dyrektywy 1999/93/EC jest

stworzenie jednolitych ram prawnych

dla infrastruktury podpisów elektro-

nicznych i okreœlonych us³ug certyfi-

kacyjnych (autoryzacyjnych), prawne

usankcjonowanie podpisów elektro-

nicznych w krajach Unii, u³atwienie

ich stosowania w obrocie, a tak¿e

ochrona u¿ytkowników sieci przed

zagro¿eniami, jakie niesie za sob¹ In-

ternet, i przedsiêbiorców przed utrat¹

zaufania ze strony kontrahentów. Nie

bez znaczenia mia³o byæ tak¿e

wzmocnienie zaufania i wzrost ogól-

nej akceptacji dla stosowania nowych

technologii informatycznych. Konse-

kwencj¹ Dyrektywy nie mia³a byæ na-

tomiast harmonizacja krajowych ure-

gulowañ dotycz¹cych prawa kontrak-

tów, w szczególnoœci zasad ich za-

wierania i wykonywania, czy te¿ za-

gadnieñ formy i charakteru prawnego

podpisu. Zagadnienia te pozostawio-

no w wy³¹cznej gestii regulacji we-

wnêtrznej pañstw cz³onkowskich 18 .

Uzupe³nieniem art. 7 Ustawy mo-

delowej o handlu elektronicznym ma

byæ Ustawa modelowa w sprawie

podpisów elektronicznych. Prace

nad jej przygotowaniem rozpoczêto

jeszcze w 1996 r. Pierwotnie rozwa-

¿ano uregulowanie kwestii podpisów

cyfrowych i myœlano raczej o szcze-

gó³owej, zawieraj¹cej bardzo wiele

definicji, nieneutralnej technologicz-

nie regulacji. Kilka lat doœwiadczeñ

krajów, które wprowadzi³y specyficz-

ne, technologicznie regulacje, spo-

wodowa³o ewolucjê pogl¹dów i stop-

niowe odchodzenie od szczegó³o-

wych i restrykcyjnych propozycji i ich

zmiany na elastyczne i nowoczesne

podejœcie, daj¹ce siê zastosowaæ do

ró¿nych technik podpisu elektronicz-

nego. Grupa Robocza UNCITRAL

ds. handlu elektronicznego zakoñ-

czy³a przygotowanie tekstu Ustawy

modelowej na 27 sesji we wrzeœniu

2000 r. Na 38 sesji w marcu 2001 r.

przyjêto zaœ ostateczny tekst Ustawy

oraz memorandum wyjaœniaj¹ce do

tego aktu, bêd¹ce komentarzem po-

mocnym ustawodawcom pragn¹cym

inkorporowaæ zasady przewidziane

ustaw¹ do wewnêtrznych porz¹dków

prawnych (Guide to Enactment). In-

tencj¹ UNCITRAL by³o przestrzega-

nie zasady neutralnoœci medialnej

oraz technologicznej.

Neutralnoœæ medialna polega na

tym, ¿e wszystkie noœniki informacji

musz¹ mieæ równy status prawny, je-

¿eli s¹ funkcjonalnymi odpowiednika-

mi. Podkreœla ona koniecznoœæ zrów-

nania „papierowego” obrotu prawne-

go z obrotem dokonuj¹cym siê za po-

moc¹ elektronicznych noœników in-

formacji. Zasada neutralnoœci tech-

nologicznej odnosi siê natomiast do

metod podpisywania dokumentów,

ka¿e zrównywaæ podpisy w³asne

z elektronicznym i zabrania fawory-

zowaæ jak¹kolwiek z technik elektro-

nicznych podpisów. Zasada ta odno-

si siê tak¿e do przysz³ych technologii,

które mog¹ równie¿ gwarantowaæ

bezpieczeñstwo obrotu 19 .

Dyrektywa i modelowa ustawa

o podpisach elektronicznych

w Unii Europejskiej

Akt normatywny w randze ustawy,

reguluj¹cy zasady funkcjonowania

podpisu elektronicznego w Polsce,

zosta³ uchwalony przez Sejm Rze-

czypospolitej Polskiej 18 wrzeœnia

2001 roku 15 .

Rozwi¹zania umo¿liwiaj¹ce doko-

nywanie czynnoœci prawnych w for-

mie elektronicznej by³y zawarte

w polskich aktach prawnych ju¿

wczeœniej. Najlepszym tego przyk³a-

dem jest ustawa z 1997 r. – Prawo

bankowe, która w art. 7 dopuszcza

mo¿liwoœæ sk³adania oœwiadczeñ wo-

li w zakresie czynnoœci bankowych

na elektronicznych noœnikach infor-

macji, zrównuj¹c tak dokonane czyn-

noœci z czynnoœciami, dla których wy-

magana jest forma pisemna dla ce-

lów dowodowych i pod rygorem nie-

wa¿noœci.

Inn¹ regulacj¹ prawn¹, w której

przewiduje siê formê elektronicznych

czynnoœci prawnych, jest np. ustawa

– Prawo o publicznym obrocie papie-

rami wartoœciowymi, ustawa o obliga-

cjach 16 .

Problematyka podpisu elektronicz-

nego jest obecnie przedmiotem zain-

teresowania wielu organizacji miê-

dzynarodowych oraz ich agend. Pro-

blemem podpisu elektronicznego za-

jê³a siê Unia Europejska, która opra-

cowa³a stosown¹ dyrektywê, oraz

UNCITRAL (pracuj¹c nad Ustaw¹

modelow¹ o podpisach elektronicz-

nych) 17 .

Podejmowane przez wiele lat

w Unii Europejskiej wysi³ki legislacyj-

ne zakoñczy³y siê przyjêciem 13

grudnia 1999 roku Dyrektywy Parla-

mentu i Rady Unii Europejskiej

w sprawie wspólnotowych warunków

Cechy funkcjonalne bezpiecznego

podpisu elektronicznego

weryfikowalnoœæ – umo¿liwienie

weryfikacji podpisu (mo¿na

sprawdziæ autentycznoœæ z³o¿o-

nego podpisu przez osobê nie-

zale¿n¹),

wiarygodnoœæ – uniemo¿liwie-

nie podszywania siê innych pod

dan¹ osobê (w praktyce nie jest

mo¿liwe podrobienie czyjegoœ

podpisu),

niezaprzeczalnoœæ – zapewnie-

nie niemo¿liwoœci wyparcia siê

podpisu przez autora (podpisu-

j¹cy nie mo¿e wyprzeæ siê z³o-

¿onego przez siebie podpisu),

integralnoœæ – zapewnienie wy-

krywalnoœci wszelkiej zmiany

w zawartej i podpisanej transak-

cji (zastosowana technologia

musi zapewniæ rozpoznawal-

noœæ niepo¿¹danych zmian

w dokumencie) 20 .

Zadaniem sygnatury elektronicz-

nej jest zapewnienie uwierzytelnia-

PROBLEMY KRYMINALISTYKI 256/07

Istniej¹ cztery g³ówne warunki do

funkcjonowania bezpiecznego podpi-

su elektronicznego:

nia, niezaprzeczalnoœci, integralno-

œci, identyfikacji, a niekiedy tak¿e po-

ufnoœci przesy³anych przez nas infor-

macji.

czonego na jej podstawie. Zwi¹zane

jest to z faktem, ¿e nieod³¹cznym ele-

mentem tworzenia podpisu elektro-

nicznego jest wyznaczenie na pod-

stawie samej wiadomoœci jej skrótu

z u¿yciem odpowiedniego algorytmu.

Ka¿da wiadomoœæ posiada w ten

sposób pewien w³aœciwy tylko dla

niej skrót, a ka¿da modyfikacja orygi-

nalnej wiadomoœci powoduje zmianê

wartoœci tego skrótu, zatem jest mo¿-

liwa do wykrycia.

W wymiarze prawnym mo¿na

wyró¿niæ cztery podstawowe funkcje

podpisu elektronicznego:

U WIERZYTELNIANIE (authentication)

Polega na poprawnym okreœleniu

pochodzenia komunikatu i zapewnie-

niu autentycznoœci Ÿród³a. Zak³ada-

j¹c, ¿e do podpisywania wiadomoœci

stosujemy algorytm klucza asyme-

trycznego, uwierzytelnianie polega

na ustaleniu, czy podpis elektronicz-

ny zosta³ utworzony z u¿yciem klucza

prywatnego odpowiadaj¹cego klu-

czowi publicznemu. Nadawca wiado-

moœci u¿ywa swojego klucza prywat-

nego do z³o¿enia podpisu na doku-

mencie. Po wys³aniu dokumentu ad-

resat wiedz¹c, kto jest domniema-

nym nadawc¹, u¿ywa klucza publicz-

nego tego¿ nadawcy, aby stwierdziæ,

¿e sumy kontrolne siê zgadzaj¹. Jeœli

tak jest, oznacza to, ¿e wiadomoœæ

zosta³a podpisana z u¿yciem klucza

prywatnego tego¿ nadawcy (przy

czym sam nadawca mo¿e nadal nie

byæ jawny, gdy¿ mo¿e siê ukrywaæ

pod pseudonimem).

identyfikacja (identification)

Podpisy celem identyfikacji (signa-

tures for identification) s³u¿¹ tylko do

udowodnienia posiadania klucza pry-

watnego, tzw. proof-of-possession of

the private key. Podpisy i certyfikaty

s³u¿¹ w tym przypadku tylko do uwie-

rzytelnienia w systemie i identyfikacji

osoby staraj¹cej siê o dostêp, np. do

serwera, bazy danych itp.

Identyfikacja opiera siê na podpi-

saniu losowych danych przez ¿¹da-

j¹cy identyfikacji serwer i weryfikacji

tak z³o¿onego podpisu cyfrowego.

W przypadku poprawnoœci ¿¹daj¹cy

uwierzytelnienia ma pewnoœæ, ¿e

zweryfikowa³ osobê, która ma dany

klucz prywatny. Unikalnoœæ klucza

oraz jego poufnoœæ pozwalaj¹ przy-

j¹æ, ¿e zweryfikowanym jest konkret-

na uprawniona osoba. Taka metoda

uwierzytelnienia mo¿e zostaæ uzna-

na za wystarczaj¹c¹ do celów iden-

tyfikacji, ale nie do celów oœwiadcze-

nia woli. Z regu³y podpisuje siê bo-

wiem dane ca³kowicie niezrozumia-

³e, maj¹ce charakter losowy i nieza-

wieraj¹ce ¿adnego oœwiadczenia

woli. Niestety istnieje ryzyko, ¿e

przes³ane do podpisu dane, zamiast

byæ ca³kowicie losowe, reprezentuj¹

jak¹œ zrozumia³¹ treœæ, w tym

w szczególnoœci oœwiadczenie woli

niekorzystne dla podpisuj¹cego,

choæ mu nieznane. Celem ograni-

czenia tego niebezpieczeñstwa nie-

które systemy przewiduj¹ podpisy-

wanie danych generowanych wspól-

nie z podpisuj¹cym.

I DENTYFIKACJA (identification)

Polega na potwierdzeniu to¿sa-

moœci nadawcy wiadomoœci. Pozwa-

la stwierdziæ, kto jest faktycznie zare-

jestrowany jako w³aœciciel danego

klucza prywatnego. Umo¿liwiaj¹ to

tzw. centra certyfikacji, które generu-

j¹ odpowiadaj¹ce sobie pary kluczy,

nastêpnie klucz prywatny przyznaj¹

osobie zainteresowanej, a klucz pu-

bliczny podaj¹ do powszechnej wia-

domoœci. Aby ustaliæ nadawcê,

nale¿y zwróciæ siê do odpowiedniego

organu certyfikacji z odpowiednim

pytaniem lub przejrzeæ ogólnodo-

stêpny rejestr certyfikacji. Pojawiaj¹

siê tu jednak dwa problemy – po

pierwsze nadawca móg³ pozyskaæ

swój certyfikat pod pseudonimem,

a po drugie, w zamkniêtym krêgu

podmiotów nie istnieje potrzeba ist-

nienia centrów certyfikacji, gdy¿

wszyscy znaj¹ swoje klucze publicz-

ne i swoj¹ to¿samoœæ.

N IEZAPRZECZALNOŒÆ (non-repudia-

tion)

Uniemo¿liwia nadawcy lub odbior-

cy komunikatu zaprzeczenie faktu je-

go przes³ania. Ma to szczególne zna-

czenie w przypadku np. zamówieñ

kierowanych do sklepów interneto-

wych. Je¿eli osoba podpisana pod

zamówieniem oœwiadczy, ¿e nie wy-

s³a³a takiego zamówienia, wówczas

sklep mo¿e wykazaæ, ¿e dana wiado-

moœæ zosta³a podpisana kluczem

prywatnym danego nadawcy (nie jest

wa¿ne, kto siê tym kluczem pos³u¿y³

ani te¿ personalia samego nadawcy).

W domyœle, danym kluczem prywat-

nym pos³uguje siê bowiem osoba do

tego upowa¿niona.

P OUFNOŒÆ (confidentiality)

Gwarancja, ¿e przesy³ane lub

przechowywane dane bêd¹ dostêpne

(mo¿liwe do odczytania) jedynie dla

uprawnionych osób, np. odbiorcy

wiadomoœci pocztowej. W szczegól-

noœci chodzi o drukowanie, wyœwie-

tlanie i inne formy ujawniania, w tym

ujawnianie istnienia jakiegoœ obiektu.

Realizacja tej funkcji jest dla istnienia

elektronicznego podpisu obojêtna,

jednak czêsto, wraz z podpisaniem

danej wiadomoœci, dokonuje siê jej

zaszyfrowania – w przypadku algo-

rytmu z kluczem asymetrycznym za

pomoc¹ klucza publicznego odbiorcy

wiadomoœci, a rozszyfrowania doko-

nuje adresat za pomoc¹ swojego klu-

cza prywatnego 21 .

uwierzytelnianie (authentication)

Podpisy celem uwierzytelnienia

(signatures for authentication) s¹

sk³adane automatycznie bez œwiado-

moœci i ingerencji osoby sk³adaj¹cej

i nie s³u¿¹ do sk³adania oœwiadczeñ

woli. S¹ to podpisy sk³adane przez

urz¹dzenia, wiêc nie bêd¹ wystêpo-

wa³y w krajach takich jak Polska,

gdzie prawo ³¹czy zawsze podpis

z osob¹ fizyczn¹.

I NTEGRALNOŒÆ (integrity)

Zapewnia mo¿liwoœæ sprawdze-

nia, czy przesy³ane dane nie zosta³y

zmodyfikowane podczas transmisji.

Dzieje siê tak dziêki do³¹czeniu do

wiadomoœci znacznika integralnoœci

wiadomoœci, czyli ci¹gu bitów

zwanego skrótem wiadomoœci obli-

PROBLEMY KRYMINALISTYKI 256/07

oœwiadczenie wiedzy (declara-

tion of knowledge)

Podpisy celem oœwiadczenia wie-

dzy (signatures for declaration of

knowledge) nie s³u¿¹ do sk³adania

oœwiadczeñ woli. Podpis ten s³u¿y

np. do potwierdzenia zapoznania siê

z dokumentem czy odebrania doku-

mentu, nie stanowi jednak dowodu,

¿e zosta³ on zatwierdzony, czyli ¿e

zawiera treœæ podpisuj¹cego. Tak

wiêc b³¹d, podstêp czy groŸba przy

jego sk³adaniu nie maj¹ wiêkszego

znaczenia, gdy¿ podpisanie siê na

danym dokumencie stanowi jedynie

dowód, ¿e podpisuj¹cy go posiada³.

S³u¿y wiêc m.in. do potwierdzenia

prawdziwoœci dokumentu. Ten rodzaj

podpisu móg³by znaleŸæ zastosowa-

nie w przypadku elektronicznego no-

tariatu. Notariusz nie sk³ada bowiem

podpisu na akcie notarialnym celem

z³o¿enia oœwiadczenia woli, lecz tyl-

ko celem uwiarygodnienia podpisa-

nego dokumentu i potwierdzenia, ¿e

zosta³y dope³nione wszelkie wyma-

gania przewidziane prawem.

zgodnie z art. 5 ust. 2 Dyrektywy UE

i art. 8 ustawy o podpisie elektronicz-

nym 22 .

Warunki i skutki prawne

podpisu elektronicznego

Ka¿dy dokument urzêdowy czy

te¿ handlowy, dla swojej wa¿noœci

prawnej, musi byæ nie tylko odpo-

wiednio sporz¹dzony, lecz tak¿e pod-

pisany i umiejscowiony w czasie.

W coraz wiêkszej liczbie umów han-

dlowych zawieranych za pomoc¹

elektronicznych œrodków przekazu

istotne znaczenie ma czas sporz¹-

dzenia kontraktu. W niektórych

opcjach, np. bankowych czy te¿ gie³-

dowych, czas ma decyduj¹cy charak-

ter dla ustalenia kolejnoœci tych

umów. Oznaczenie czasu, czyli mo-

mentu decyzji, staje siê podstawow¹

us³ug¹ wspomagaj¹c¹ weryfikacjê

podpisu elektronicznego, gdy¿ wa¿-

ne jest nie tylko to, kto dokona³ pod-

pisu, lecz tak¿e kiedy to nast¹pi³o 23 .

Wed³ug art. 3 pkt 16 ustawy o pod-

pisie elektronicznym znakowanie

czasem jest us³ug¹ polegaj¹c¹ na

do³¹czaniu do danych w postaci elek-

tronicznej – logicznie powi¹zanych

z danymi opatrzonymi podpisem lub

poœwiadczeniem elektronicznym –

oznaczenia czasu w chwili wykona-

nia tej us³ugi oraz poœwiadczenia

elektronicznego tak powsta³ych da-

nych przez podmiot œwiadcz¹cy tê

us³ugê.

W myœl powo³anego przepisu zna-

kowanie czasem oznacza us³ugê po-

legaj¹c¹ na do³¹czaniu do danych

w postaci elektronicznej – logicznie

powi¹zanych z danymi opatrzonymi

podpisem lub poœwiadczeniem elek-

tronicznym, oznaczenia czasu

w chwili wykonywania tej us³ugi oraz

poœwiadczenia elektronicznego tak

powsta³ych danych przez podmiot

œwiadcz¹cy tê us³ugê.

Znakowanie czasem ma unie-

mo¿liwiæ manipulowanie czasem

w obrocie prawnym i gospodarczym.

Ma pe³niæ funkcjê stra¿nika pewno-

œci obrotu ze wzglêdu na czas w³a-

œciwy, w jakim dosz³o do z³o¿enia

podpisu elektronicznego. Znakowa-

nie czasem wyklucza ponowne

i wielokrotne wprowadzenie do obie-

gu tego samego podpisanego kie-

dyœ dokumentu 24 .

Ustawa o podpisie elektronicznym

z 18 wrzeœnia 2001 r. ma na celu

stworzenie warunków prawnych do

stosowania podpisu elektronicznego,

jako równorzêdnego pod wzglêdem

skutków prawnych z podpisem w³a-

snorêcznym w ka¿dej ga³êzi prawa,

w tym w zakresie prawa cywilnego,

administracyjnego czy karnego.

Przewiduje ona równie¿ unormowa-

nie z zakresu organizacji, funkcjono-

wania, uprawnieñ i obowi¹zków pod-

miotów œwiadcz¹cych us³ugi zwi¹za-

ne z podpisem elektronicznym oraz

systemu sprawowania nadzoru nad

tymi podmiotami.

Jednoczeœnie w zwi¹zku z rozwo-

jem techniki, powszechnym dostê-

pem do Internetu, poczty elektronicz-

nej i handlu elektronicznego, stanowi

ona odpowiedŸ na koniecznoœæ stwo-

rzenia warunków prawnych pozwala-

j¹cych na skuteczne i bezpieczne

wskazanie to¿samoœci podmiotów

uczestnicz¹cych w elektronicznym

obrocie prawnym, tj. sk³adania i we-

ryfikacji podpisów elektronicznych 25 .

W literaturze powszechnie przyj-

muje siê, ¿e w polskim systemie pra-

wa obowi¹zuje zasada swobody for-

my, co zosta³o wyra¿one w art. 60

k.c. Zgodnie z tym przepisem „z za-

strze¿eniem wyj¹tków w ustawie

przewidzianych, wola osoby dokonu-

j¹cej czynnoœci prawnej mo¿e byæ

wyra¿ona przez ka¿de zachowanie

tej osoby, które ujawnia jej wolê

w sposób dostateczny, w tym rów-

nie¿ poprzez ujawnienie tej woli

w postaci elektronicznej (oœwiadcze-

nie woli)”.

Aby zachowanie siê osoby doko-

nuj¹cej czynnoœci prawnej, o której

mowa w art. 60 k.c., by³o zrozumia³e

przez inne osoby, powinno ono po-

siadaæ postaæ znaku, a wiêc przeka-

zywaæ pewne umowne treœci.

oœwiadczenie woli (declaration

of will)

Podpisy celem z³o¿enia oœwiad-

czenia woli (Signatures as declara-

tion of will) stanowi¹ dowód z³o¿enia

oœwiadczenia woli. Jest oczywiste, ¿e

winny byæ sk³adane po zaznajomie-

niu siê podpisuj¹cego z treœci¹ doku-

mentu oraz byæ zgodne z intencj¹ je-

go podpisania, a tak¿e pod pe³n¹

kontrol¹ podpisuj¹cego. Podpisy te

s¹ sk³adane m.in. w oparciu o kwalifi-

kowany certyfikat, który w polu key

Usage zawiera tylko bit non Repudia-

tion.

Jak wynika z powy¿szego, ka¿dy

rodzaj podpisu elektronicznego mo-

¿e stanowiæ dowód, ale tylko nielicz-

ne mog¹ potwierdzaæ oœwiadczenie

woli. Podpis celem identyfikacji mo-

¿e np. stanowiæ dowód uzyskania

dostêpu do danej bazy danych przez

konkretn¹ osobê dysponuj¹c¹ klu-

czem prywatnym w okreœlonym cza-

sie. Podpis celem uwierzytelnienia

stanowi zaœ dowód zapoznania siê

z treœci¹ dokumentu. Ka¿dy z tych

podpisów powinien zostaæ dopusz-

czony do postêpowania s¹dowego

W myœl art. 78 § 1 k.c. do zacho-

wania pisemnej formy czynnoœci

prawnej wystarcza z³o¿enie w³asno-

rêcznego podpisu na dokumencie

obejmuj¹cym treœæ oœwiadczenia

woli.

PROBLEMY KRYMINALISTYKI 256/07

Podpis elektroniczny - aspekty kryminalistyczne, prawne i informatyczne.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: