Podpis elektroniczny - aspekty kryminalistyczne, Czasopisma - artykuły, Problemy kryminalistyki, 2007

[ Pobierz całość w formacie PDF ]
Brunon Ho³yst
Jacek Pomyka³a
Podpis elektroniczny
– aspekty kryminalistyczne,
prawne i informatyczne
Celem niniejszego opracowania
jest wprowadzenie czytelnika w ob-
szern¹ problematykê podpisu elek-
tronicznego. Z mocy prawa funkcjo-
nuje on w Polsce od 2001 roku, jed-
nak pozostawia to jeszcze wiele do
¿yczenia, zw³aszcza w sferze admini-
stracji pañstwowej. Czy jesteœmy
w stanie do 2008 roku wprowadziæ
w ¿ycie odpowiedni¹ ustawê? Jakie
bêd¹ kolejne wyzwania dla dalszego
rozwoju bezpiecznych us³ug elektro-
nicznych w Polsce? Czy system
prawny nad¹¿y za nowymi problema-
mi w rozwoju bezpiecznej komunika-
cji elektronicznej? Wreszcie, czy i jak
mo¿emy przygotowywaæ siê do prze-
ciwdzia³ania zagro¿eniom wynikaj¹-
cym z nowych trendów w rozwoju
podpisu cyfrowego? S¹ to pytania,
które pojawiaj¹ siê w kontekœcie pod-
pisu elektronicznego. Punktem wyj-
œcia do naszych rozwa¿añ jest wiêc
zrozumienie zarówno samej istoty sy-
gnatury cyfrowej, jak i mechanizmów
jej dzia³ania i funkcjonowania w ra-
mach sieci teleinformatycznych.
W niniejszej pracy przeplataj¹ siê
ró¿ne w¹tki zwi¹zane z podpisem
elektronicznym – pocz¹wszy od
prawnych, kryminalistycznych,
a skoñczywszy na informatyczno-
-matematycznych. W pierwszej czê-
œci artyku³u odwo³ujemy siê g³ównie
do ustawy o podpisie elektronicznym,
natomiast w drugiej, bardziej formal-
nej – do aspektów jego bezpieczeñ-
stwa i zastosowañ w strukturach gru-
powych i hierarchicznych.
roku jest odpowiedzi¹ na wspó³cze-
sne wyzwania gospodarki elektro-
nicznej. Rosn¹ce znaczenie handlu
elektronicznego doprowadzi³o do ko-
niecznoœci stworzenia mechanizmów
i regulacji skutecznie chroni¹cych
wszystkie strony transakcji. Dotyczy
to nie tylko bezpoœrednio kupuj¹cych
i sprzedaj¹cych, lecz tak¿e poœredni-
ków w handlu elektronicznym. Odpo-
wiedzi¹ na powy¿sze potrzeby sta³
siê podpis elektroniczny, powszech-
nie u¿ywane narzêdzie do autoryzacji
i potwierdzania autentycznoœci pod-
miotów w ramach sieci teleinforma-
tycznych
1
.
Korzyœci osi¹gane dziêki zastoso-
waniu podpisu elektronicznego nie
ograniczaj¹ siê wy³¹cznie do sfery
e-biznesu, s¹ tak¿e bardzo wa¿ne
dla organów administracji pañstwo-
wej oraz ich wzajemnych relacji z ca-
³ym spo³eczeñstwem. Co wiêcej,
sprawne funkcjonowanie ca³ej infra-
struktury podpisu elektronicznego
jest koniecznoœci¹ wynikaj¹c¹ z za³o-
¿eñ Dyrektywy Unii Europejskiej dla
podpisu elektronicznego.
Poni¿ej przedstawimy za³o¿enia
dotycz¹ce szeroko rozumianej defini-
cji podpisu elektronicznego i te wyni-
kaj¹ce z podstawowych aktów praw-
nych z nim zwi¹zanych.
Celem ustawy o podpisie elektro-
nicznym (...) jest stworzenie mecha-
nizmu i odpowiedniej infrastruktury
organizacyjnej, które umo¿liwi¹ bez-
pieczne i niezawodne pos³ugiwanie
siê w Polsce nowoczesnymi elektro-
nicznymi œrodkami ³¹cznoœci oraz
przetwarzanie informacji na potrzeby
czynnoœci prawnych i w dzia³alnoœci
gospodarczej. Tym mechanizmem
jest uregulowana prawnie instytucja
podpisu elektronicznego
2
.
Ustawa ta zosta³a, co do zasady,
oparta na za³o¿eniach wyra¿onych
w Dyrektywie UE o podpisie elektro-
nicznym. Jest to, podobnie jak Dyrek-
tywa, uregulowanie o charakterze
mieszanym, a zarazem jeden z kro-
ków maj¹cych na celu harmonizacjê
polskiego prawa z zasadami prawa
unijnego
3
.
Wed³ug ustawy o podpisie elektro-
nicznym wyra¿enie „podpis elektro-
niczny” oznacza dane w postaci elek-
tronicznej, jakie wraz z innymi dany-
mi, do których zosta³y do³¹czone lub
z którymi s¹ logicznie powi¹zane,
s³u¿¹ do identyfikacji osoby sk³adaj¹-
cej podpis elektroniczny
4
.
W definicji pojêcia „podpis elektro-
niczny” ustawodawca stara siê za-
chowaæ technologiczn¹ neutralnoœæ.
Nie przes¹dzaj¹c, czy i które z obec-
nie stosowanych technologii podpisu
elektronicznego zostan¹ powszech-
nie zaakceptowane, przyjmuje bar-
dzo szerok¹ definicjê takiej formy
podpisu
5
.
Podobny zapis widnieje w Dyrek-
tywie UE definiuj¹cej podpis elektro-
niczny jako dane w formie elektro-
nicznej, które s¹ dodane do innych
danych elektronicznych lub s¹ z nimi
logicznie powi¹zane i s³u¿¹ do auto-
ryzacji (data in electronic form which
are attached to or logically associa-
ted with other electronic data and
which serve as a method of authenti-
cation). W tym sensie podpisem elek-
tronicznym jest na przyk³ad obraz
podpisu w³asnorêcznego otrzymany
za pomoc¹ skanera, podpis sporz¹-
dzony elektronicznym piórem, kod
PIN karty elektronicznej u¿yty do
podjêcia pieniêdzy z bankomatu czy
te¿ imiê lub nazwisko umieszczone
w zakoñczeniu wiadomoœci wysy³a-
Istota podpisu elektronicznego
w œwietle prawa
Ustawa o podpisie elektronicznym
obowi¹zuj¹ca od 18 wrzeœnia 2001
PROBLEMY KRYMINALISTYKI 256/07
5
nej poczt¹ elektroniczn¹ albo przy
u¿yciu faksymile (ogólniej – w ka¿dej
postaci, w której dokument powsta³
lub zosta³ przetworzony na strumieñ
logicznie powi¹zanych bitów informa-
cji przechowywanych i przes³anych
jako impulsy elektryczne, pola ma-
gnetyczne, strumieñ fotonów itp.).
Taki podpis jest ³atwy do podrobie-
nia i nie ma ¿adnych (poza sam¹ tre-
œci¹) szczególnych cech pozwalaj¹-
cych w sposób niebudz¹cy w¹tpliwo-
œci przypisaæ go do okreœlonej osoby
lub dokumentu. Z tego powodu jest
w wielu sytuacjach niezadowalaj¹cy.
Znacznie bardziej u¿yteczna jest inna
forma podpisu elektronicznego, czê-
sto okreœlana pojêciem „zaawanso-
wany podpis elektroniczny” lub „pod-
pis cyfrowy” (advanced electronic si-
gnature, digital signature)
6
.
Zgodnie z zapisami w Polskiej
Normie (PN-I-02000) podpisem elek-
tronicznym jest przekszta³cenie kryp-
tograficzne danych umo¿liwiaj¹ce
odbiorcy danych sprawdzenie ich au-
tentycznoœci i integralnoœci oraz za-
pewniaj¹ce nadawcy ochronê przed
sfa³szowaniem danych przez odbior-

7
.
Podpis elektroniczny to rodzaj sy-
gnatury cyfrowej, która podobnie jak
zwyk³y podpis powinna zapewniæ
odbiorcê o autentycznoœci wiadomo-
œci. Adresat powinien byæ tak¿e
pewny, ¿e podpis jest autentyczny
i niepodrabialny oraz ¿e nie mo¿na
go wykorzystywaæ wielokrotnie, zaœ
osoba podpisuj¹ca nie mo¿e siê go
wyprzeæ
8
.
„Istot¹ podpisu elektronicznego
jest powi¹zanie zamienionego na
ci¹g bitów dokumentu z twórc¹ tego
dokumentu tak, ¿e jednoznacznie
mo¿na zwi¹zek taki stwierdziæ i wy-
kluczyæ zwi¹zek z inn¹ osob¹. Podpis
elektroniczny umo¿liwia wiêc po-
twierdzenie to¿samoœci osoby, która
stworzy³a dokument. Podpisy elektro-
niczne powinny ponadto umo¿liwiæ
wykrycie zmian w treœci dokumentu
dokonanych w nim po jego utworze-
niu. Warto zauwa¿yæ, ¿e pojêcie pod-
pisu elektronicznego to kategoria po-
jêciowo szeroka, obejmuj¹ca ró¿ne
elektroniczne metody, bêd¹ce funk-
cjonalnymi odpowiednikami podpisu
w³asnorêcznego. Najpopularniej-
szym rodzajem podpisu elektronicz-
nego jest podpis cyfrowy (digital si-
gnature), oparty na tzw. kodowaniu
asymetrycznym. Nale¿y podkreœliæ,
¿e pojêciowe uto¿samianie podpisów
elektronicznych i cyfrowych jest
b³êdem. Kategoria podpisu cyfrowe-
go jest pojêciem wê¿szym i mieœci
siê w szerokiej kategorii podpisów
elektronicznych”
9
.
Z pogl¹dem g³osz¹cym, ¿e podpis
elektroniczny to pojêcie szersze od
podpisu cyfrowego, nie zgadzaj¹ siê
Robert Podp³oñski i Piotr Popis, auto-
rzy ksi¹¿ki Podpis elektroniczny. Ko-
mentarz. Wed³ug nich oba te pojêcia
odnosz¹ siê do czego innego.
Podpis elektroniczny jest pojêciem
prawnym i obejmuje wszelkie ele-
ktroniczne dane s³u¿¹ce do potwier-
dzenia to¿samoœci osoby fizycznej.
Pojêcie „podpis cyfrowy” wywodzi siê
natomiast z technologii uwierzytelnie-
nia. Opisuj¹ wiêc zupe³nie ró¿n¹ rze-
czywistoœæ. Podpis cyfrowy bêdzie
zawiera³ siê w pojêciu podpisu elek-
tronicznego tylko w przypadku, gdy
bêdzie identyfikowa³ osobê fizyczn¹
i tak d³ugo, jak d³ugo technologia cy-
frowa bêdzie dopuszczalna w celu
sk³adania podpisu elektronicznego.
Ilekroæ podpis cyfrowy bêdzie stoso-
wany do identyfikacji innego podmio-
tu ni¿ osoba fizyczna, nie bêdzie siê
mieœci³ w pojêciu „podpis elektronicz-
ny”
10
.
Ustawa dopuszcza istnienie zwy-
k³ego i bezpiecznego podpisu elek-
tronicznego. Ten zaœ nie jest, jak
mo¿na by s¹dziæ, elektronicznym od-
zwierciedleniem imienia i nazwiska,
lecz zdefiniowan¹ specjalnymi algo-
rytmami metod¹ szyfrowania doku-
mentów stworzonych przez ich auto-
ra w sposób uniemo¿liwiaj¹cy pod-
wa¿enie wiarygodnoœci podpisanej
treœci
11
.
Tak zwany zwyk³y podpis elektro-
niczny jest w niewielkim zakresie re-
gulowany ustaw¹, w szczególnoœci
zaœ nie jest zrównany w skutkach
prawnych z podpisem w³asnorêcz-
nym ani nie stosuje siê do niego do-
wodu niezaprzeczalnoœci autorstwa,
o którym mowa w art. 6 ust. 1 ustawy.
Tak¿e technologia jego z³o¿enia jest
dowolna, mo¿e byæ zbli¿ona lub taka
sama jak technologia wykorzystywa-
na do sk³adania bezpiecznego podpi-
su elektronicznego
12
.
Wed³ug ustawy o podpisie elektro-
nicznym bezpieczny podpis elektro-
niczny
13
jest traktowany jako podpis
elektroniczny, który:
a) jest przyporz¹dkowany wy³¹cz-
nie do osoby sk³adaj¹cej ten
podpis,
b) jest sporz¹dzony za pomoc¹
podlegaj¹cych wy³¹cznie kon-
troli osoby sk³adaj¹cej podpis
elektroniczny bezpiecznych
urz¹dzeñ s³u¿¹cych do sk³ada-
nia podpisu elektronicznego
i danych s³u¿¹cych do sk³ada-
nia podpisu elektronicznego,
c) jest powi¹zany z danymi, do
których zosta³ do³¹czony, w taki
sposób, ¿e jakakolwiek póŸniej-
sza zmiana tych danych jest
rozpoznawalna.
W innych krajach, w zale¿noœci od
przyjêtego nazewnictwa, oprócz wy-
stêpuj¹cego bezpiecznego podpisu
elektronicznego funkcjonuj¹ pojêcia
zaawansowanego podpisu elektro-
nicznego, kwalifikowanego podpisu
elektronicznego, gwarantowanego
podpisu elektronicznego, zabezpie-
czonego podpisu elektronicznego
czy wreszcie uniwersalnego podpisu
elektronicznego.
Bezpieczny podpis elektroniczny
mo¿e zostaæ przyporz¹dkowany tylko
do osoby fizycznej.
Przyporz¹dkowanie do osoby fi-
zycznej mo¿e byæ zrealizowane
przez:
1) kwalifikowany certyfikat,
2) niekwalifikowany certyfikat wy-
dany przez podmiot œwiadcz¹cy
us³ugi certyfikacyjne lub
3) inny rodzaj elektronicznego za-
œwiadczenia, za pomoc¹ które-
go dane s³u¿¹ce do weryfikacji
podpisu elektronicznego s¹
przyporz¹dkowane do osoby
sk³adaj¹cej podpis elektronicz-
ny i które umo¿liwiaj¹ identyfi-
kacjê tej osoby (np. stosowane
w bankowoœci).
Zwi¹zek miêdzy bezpiecznym
podpisem elektronicznym a podpisu-
6
PROBLEMY KRYMINALISTYKI 256/07
j¹cym opiera siê na odpowiednim
certyfikacie. Certyfikat ten mo¿e, ale
nie musi byæ do³¹czany do podpisy-
wanego dokumentu, przy czym musi
byæ do³¹czone przynajmniej wskaza-
nie kwalifikowanego certyfikatu jako
atrybut podpisu s³u¿¹cego do weryfi-
kacji danego bezpiecznego podpisu
elektronicznego
14
.
ramowych dla podpisu elektronicz-
nego nr 1999/93/EC. Dyrektywa ta
tworzy ogólne ramy prawne do przy-
jêcia odpowiednich regulacji w po-
szczególnych pañstwach cz³onkow-
skich.
Celem Dyrektywy 1999/93/EC jest
stworzenie jednolitych ram prawnych
dla infrastruktury podpisów elektro-
nicznych i okreœlonych us³ug certyfi-
kacyjnych (autoryzacyjnych), prawne
usankcjonowanie podpisów elektro-
nicznych w krajach Unii, u³atwienie
ich stosowania w obrocie, a tak¿e
ochrona u¿ytkowników sieci przed
zagro¿eniami, jakie niesie za sob¹ In-
ternet, i przedsiêbiorców przed utrat¹
zaufania ze strony kontrahentów. Nie
bez znaczenia mia³o byæ tak¿e
wzmocnienie zaufania i wzrost ogól-
nej akceptacji dla stosowania nowych
technologii informatycznych. Konse-
kwencj¹ Dyrektywy nie mia³a byæ na-
tomiast harmonizacja krajowych ure-
gulowañ dotycz¹cych prawa kontrak-
tów, w szczególnoœci zasad ich za-
wierania i wykonywania, czy te¿ za-
gadnieñ formy i charakteru prawnego
podpisu. Zagadnienia te pozostawio-
no w wy³¹cznej gestii regulacji we-
wnêtrznej pañstw cz³onkowskich
18
.
Uzupe³nieniem art. 7 Ustawy mo-
delowej o handlu elektronicznym ma
byæ Ustawa modelowa w sprawie
podpisów elektronicznych. Prace
nad jej przygotowaniem rozpoczêto
jeszcze w 1996 r. Pierwotnie rozwa-
¿ano uregulowanie kwestii podpisów
cyfrowych i myœlano raczej o szcze-
gó³owej, zawieraj¹cej bardzo wiele
definicji, nieneutralnej technologicz-
nie regulacji. Kilka lat doœwiadczeñ
krajów, które wprowadzi³y specyficz-
ne, technologicznie regulacje, spo-
wodowa³o ewolucjê pogl¹dów i stop-
niowe odchodzenie od szczegó³o-
wych i restrykcyjnych propozycji i ich
zmiany na elastyczne i nowoczesne
podejœcie, daj¹ce siê zastosowaæ do
ró¿nych technik podpisu elektronicz-
nego. Grupa Robocza UNCITRAL
ds. handlu elektronicznego zakoñ-
czy³a przygotowanie tekstu Ustawy
modelowej na 27 sesji we wrzeœniu
2000 r. Na 38 sesji w marcu 2001 r.
przyjêto zaœ ostateczny tekst Ustawy
oraz memorandum wyjaœniaj¹ce do
tego aktu, bêd¹ce komentarzem po-
mocnym ustawodawcom pragn¹cym
inkorporowaæ zasady przewidziane
ustaw¹ do wewnêtrznych porz¹dków
prawnych (Guide to Enactment). In-
tencj¹ UNCITRAL by³o przestrzega-
nie zasady neutralnoœci medialnej
oraz technologicznej.
NeutralnoϾ medialna polega na
tym, ¿e wszystkie noœniki informacji
musz¹ mieæ równy status prawny, je-
¿eli s¹ funkcjonalnymi odpowiednika-
mi. Podkreœla ona koniecznoœæ zrów-
nania „papierowego” obrotu prawne-
go z obrotem dokonuj¹cym siê za po-
moc¹ elektronicznych noœników in-
formacji. Zasada neutralnoœci tech-
nologicznej odnosi siê natomiast do
metod podpisywania dokumentów,
ka¿e zrównywaæ podpisy w³asne
z elektronicznym i zabrania fawory-
zowaæ jak¹kolwiek z technik elektro-
nicznych podpisów. Zasada ta odno-
si siê tak¿e do przysz³ych technologii,
które mog¹ równie¿ gwarantowaæ
bezpieczeñstwo obrotu
19
.
Dyrektywa i modelowa ustawa
o podpisach elektronicznych
w Unii Europejskiej
Akt normatywny w randze ustawy,
reguluj¹cy zasady funkcjonowania
podpisu elektronicznego w Polsce,
zosta³ uchwalony przez Sejm Rze-
czypospolitej Polskiej 18 wrzeœnia
2001 roku
15
.
Rozwi¹zania umo¿liwiaj¹ce doko-
nywanie czynnoœci prawnych w for-
mie elektronicznej by³y zawarte
w polskich aktach prawnych ju¿
wczeœniej. Najlepszym tego przyk³a-
dem jest ustawa z 1997 r. – Prawo
bankowe, która w art. 7 dopuszcza
mo¿liwoœæ sk³adania oœwiadczeñ wo-
li w zakresie czynnoœci bankowych
na elektronicznych noœnikach infor-
macji, zrównuj¹c tak dokonane czyn-
noœci z czynnoœciami, dla których wy-
magana jest forma pisemna dla ce-
lów dowodowych i pod rygorem nie-
wa¿noœci.
Inn¹ regulacj¹ prawn¹, w której
przewiduje siê formê elektronicznych
czynnoœci prawnych, jest np. ustawa
– Prawo o publicznym obrocie papie-
rami wartoœciowymi, ustawa o obliga-
cjach
16
.
Problematyka podpisu elektronicz-
nego jest obecnie przedmiotem zain-
teresowania wielu organizacji miê-
dzynarodowych oraz ich agend. Pro-
blemem podpisu elektronicznego za-
jê³a siê Unia Europejska, która opra-
cowa³a stosown¹ dyrektywê, oraz
UNCITRAL (pracuj¹c nad Ustaw¹
modelow¹ o podpisach elektronicz-
nych)
17
.
Podejmowane przez wiele lat
w Unii Europejskiej wysi³ki legislacyj-
ne zakoñczy³y siê przyjêciem 13
grudnia 1999 roku Dyrektywy Parla-
mentu i Rady Unii Europejskiej
w sprawie wspólnotowych warunków
Cechy funkcjonalne bezpiecznego
podpisu elektronicznego
weryfikowalnoœæ – umo¿liwienie
weryfikacji podpisu (mo¿na
sprawdziæ autentycznoœæ z³o¿o-
nego podpisu przez osobê nie-
zale¿n¹),
wiarygodnoœæ – uniemo¿liwie-
nie podszywania siê innych pod
dan¹ osobê (w praktyce nie jest
mo¿liwe podrobienie czyjegoœ
podpisu),
niezaprzeczalnoœæ – zapewnie-
nie niemo¿liwoœci wyparcia siê
podpisu przez autora (podpisu-
j¹cy nie mo¿e wyprzeæ siê z³o-
¿onego przez siebie podpisu),
integralnoœæ – zapewnienie wy-
krywalnoœci wszelkiej zmiany
w zawartej i podpisanej transak-
cji (zastosowana technologia
musi zapewniæ rozpoznawal-
noœæ niepo¿¹danych zmian
w dokumencie)
20
.
Zadaniem sygnatury elektronicz-
nej jest zapewnienie uwierzytelnia-
PROBLEMY KRYMINALISTYKI 256/07
7
Istniej¹ cztery g³ówne warunki do
funkcjonowania bezpiecznego podpi-
su elektronicznego:
nia, niezaprzeczalnoœci, integralno-
œci, identyfikacji, a niekiedy tak¿e po-
ufnoœci przesy³anych przez nas infor-
macji.
czonego na jej podstawie. Zwi¹zane
jest to z faktem, ¿e nieod³¹cznym ele-
mentem tworzenia podpisu elektro-
nicznego jest wyznaczenie na pod-
stawie samej wiadomoœci jej skrótu
z u¿yciem odpowiedniego algorytmu.
Ka¿da wiadomoœæ posiada w ten
sposób pewien w³aœciwy tylko dla
niej skrót, a ka¿da modyfikacja orygi-
nalnej wiadomoœci powoduje zmianê
wartoœci tego skrótu, zatem jest mo¿-
liwa do wykrycia.
W wymiarze prawnym mo¿na
wyró¿niæ cztery podstawowe funkcje
podpisu elektronicznego:
U
WIERZYTELNIANIE
(authentication)
Polega na poprawnym okreœleniu
pochodzenia komunikatu i zapewnie-
niu autentycznoœci Ÿród³a. Zak³ada-
j¹c, ¿e do podpisywania wiadomoœci
stosujemy algorytm klucza asyme-
trycznego, uwierzytelnianie polega
na ustaleniu, czy podpis elektronicz-
ny zosta³ utworzony z u¿yciem klucza
prywatnego odpowiadaj¹cego klu-
czowi publicznemu. Nadawca wiado-
moœci u¿ywa swojego klucza prywat-
nego do z³o¿enia podpisu na doku-
mencie. Po wys³aniu dokumentu ad-
resat wiedz¹c, kto jest domniema-
nym nadawc¹, u¿ywa klucza publicz-
nego tego¿ nadawcy, aby stwierdziæ,
¿e sumy kontrolne siê zgadzaj¹. Jeœli
tak jest, oznacza to, ¿e wiadomoœæ
zosta³a podpisana z u¿yciem klucza
prywatnego tego¿ nadawcy (przy
czym sam nadawca mo¿e nadal nie
byæ jawny, gdy¿ mo¿e siê ukrywaæ
pod pseudonimem).
identyfikacja (identification)
Podpisy celem identyfikacji (signa-
tures for identification) s³u¿¹ tylko do
udowodnienia posiadania klucza pry-
watnego, tzw. proof-of-possession of
the private key. Podpisy i certyfikaty
s³u¿¹ w tym przypadku tylko do uwie-
rzytelnienia w systemie i identyfikacji
osoby staraj¹cej siê o dostêp, np. do
serwera, bazy danych itp.
Identyfikacja opiera siê na podpi-
saniu losowych danych przez ¿¹da-
j¹cy identyfikacji serwer i weryfikacji
tak z³o¿onego podpisu cyfrowego.
W przypadku poprawnoœci ¿¹daj¹cy
uwierzytelnienia ma pewnoœæ, ¿e
zweryfikowa³ osobê, która ma dany
klucz prywatny. UnikalnoϾ klucza
oraz jego poufnoœæ pozwalaj¹ przy-
j¹æ, ¿e zweryfikowanym jest konkret-
na uprawniona osoba. Taka metoda
uwierzytelnienia mo¿e zostaæ uzna-
na za wystarczaj¹c¹ do celów iden-
tyfikacji, ale nie do celów oœwiadcze-
nia woli. Z regu³y podpisuje siê bo-
wiem dane ca³kowicie niezrozumia-
³e, maj¹ce charakter losowy i nieza-
wieraj¹ce ¿adnego oœwiadczenia
woli. Niestety istnieje ryzyko, ¿e
przes³ane do podpisu dane, zamiast
byæ ca³kowicie losowe, reprezentuj¹
jak¹œ zrozumia³¹ treœæ, w tym
w szczególnoœci oœwiadczenie woli
niekorzystne dla podpisuj¹cego,
choæ mu nieznane. Celem ograni-
czenia tego niebezpieczeñstwa nie-
które systemy przewiduj¹ podpisy-
wanie danych generowanych wspól-
nie z podpisuj¹cym.
I
DENTYFIKACJA
(identification)
Polega na potwierdzeniu to¿sa-
moœci nadawcy wiadomoœci. Pozwa-
la stwierdziæ, kto jest faktycznie zare-
jestrowany jako w³aœciciel danego
klucza prywatnego. Umo¿liwiaj¹ to
tzw. centra certyfikacji, które generu-
j¹ odpowiadaj¹ce sobie pary kluczy,
nastêpnie klucz prywatny przyznaj¹
osobie zainteresowanej, a klucz pu-
bliczny podaj¹ do powszechnej wia-
domoœci. Aby ustaliæ nadawcê,
nale¿y zwróciæ siê do odpowiedniego
organu certyfikacji z odpowiednim
pytaniem lub przejrzeæ ogólnodo-
stêpny rejestr certyfikacji. Pojawiaj¹
siê tu jednak dwa problemy – po
pierwsze nadawca móg³ pozyskaæ
swój certyfikat pod pseudonimem,
a po drugie, w zamkniêtym krêgu
podmiotów nie istnieje potrzeba ist-
nienia centrów certyfikacji, gdy¿
wszyscy znaj¹ swoje klucze publicz-
ne i swoj¹ to¿samoœæ.
N
IEZAPRZECZALNOή
(non-repudia-
tion)
Uniemo¿liwia nadawcy lub odbior-
cy komunikatu zaprzeczenie faktu je-
go przes³ania. Ma to szczególne zna-
czenie w przypadku np. zamówieñ
kierowanych do sklepów interneto-
wych. Je¿eli osoba podpisana pod
zamówieniem oœwiadczy, ¿e nie wy-
s³a³a takiego zamówienia, wówczas
sklep mo¿e wykazaæ, ¿e dana wiado-
moœæ zosta³a podpisana kluczem
prywatnym danego nadawcy (nie jest
wa¿ne, kto siê tym kluczem pos³u¿y³
ani te¿ personalia samego nadawcy).
W domyœle, danym kluczem prywat-
nym pos³uguje siê bowiem osoba do
tego upowa¿niona.
P
OUFNOή
(confidentiality)
Gwarancja, ¿e przesy³ane lub
przechowywane dane bêd¹ dostêpne
(mo¿liwe do odczytania) jedynie dla
uprawnionych osób, np. odbiorcy
wiadomoœci pocztowej. W szczegól-
noœci chodzi o drukowanie, wyœwie-
tlanie i inne formy ujawniania, w tym
ujawnianie istnienia jakiegoœ obiektu.
Realizacja tej funkcji jest dla istnienia
elektronicznego podpisu obojêtna,
jednak czêsto, wraz z podpisaniem
danej wiadomoœci, dokonuje siê jej
zaszyfrowania – w przypadku algo-
rytmu z kluczem asymetrycznym za
pomoc¹ klucza publicznego odbiorcy
wiadomoœci, a rozszyfrowania doko-
nuje adresat za pomoc¹ swojego klu-
cza prywatnego
21
.
uwierzytelnianie (authentication)
Podpisy celem uwierzytelnienia
(signatures for authentication) s¹
sk³adane automatycznie bez œwiado-
moœci i ingerencji osoby sk³adaj¹cej
i nie s³u¿¹ do sk³adania oœwiadczeñ
woli. S¹ to podpisy sk³adane przez
urz¹dzenia, wiêc nie bêd¹ wystêpo-
wa³y w krajach takich jak Polska,
gdzie prawo ³¹czy zawsze podpis
z osob¹ fizyczn¹.
I
NTEGRALNOή
(integrity)
Zapewnia mo¿liwoœæ sprawdze-
nia, czy przesy³ane dane nie zosta³y
zmodyfikowane podczas transmisji.
Dzieje siê tak dziêki do³¹czeniu do
wiadomoœci znacznika integralnoœci
wiadomoœci, czyli ci¹gu bitów
zwanego skrótem wiadomoœci obli-
8
PROBLEMY KRYMINALISTYKI 256/07
oœwiadczenie wiedzy (declara-
tion of knowledge)
Podpisy celem oœwiadczenia wie-
dzy (signatures for declaration of
knowledge) nie s³u¿¹ do sk³adania
oœwiadczeñ woli. Podpis ten s³u¿y
np. do potwierdzenia zapoznania siê
z dokumentem czy odebrania doku-
mentu, nie stanowi jednak dowodu,
¿e zosta³ on zatwierdzony, czyli ¿e
zawiera treœæ podpisuj¹cego. Tak
wiêc b³¹d, podstêp czy groŸba przy
jego sk³adaniu nie maj¹ wiêkszego
znaczenia, gdy¿ podpisanie siê na
danym dokumencie stanowi jedynie
dowód, ¿e podpisuj¹cy go posiada³.
S³u¿y wiêc m.in. do potwierdzenia
prawdziwoœci dokumentu. Ten rodzaj
podpisu móg³by znaleŸæ zastosowa-
nie w przypadku elektronicznego no-
tariatu. Notariusz nie sk³ada bowiem
podpisu na akcie notarialnym celem
z³o¿enia oœwiadczenia woli, lecz tyl-
ko celem uwiarygodnienia podpisa-
nego dokumentu i potwierdzenia, ¿e
zosta³y dope³nione wszelkie wyma-
gania przewidziane prawem.
zgodnie z art. 5 ust. 2 Dyrektywy UE
i art. 8 ustawy o podpisie elektronicz-
nym
22
.
Warunki i skutki prawne
podpisu elektronicznego
Ka¿dy dokument urzêdowy czy
te¿ handlowy, dla swojej wa¿noœci
prawnej, musi byæ nie tylko odpo-
wiednio sporz¹dzony, lecz tak¿e pod-
pisany i umiejscowiony w czasie.
W coraz wiêkszej liczbie umów han-
dlowych zawieranych za pomoc¹
elektronicznych œrodków przekazu
istotne znaczenie ma czas sporz¹-
dzenia kontraktu. W niektórych
opcjach, np. bankowych czy te¿ gie³-
dowych, czas ma decyduj¹cy charak-
ter dla ustalenia kolejnoœci tych
umów. Oznaczenie czasu, czyli mo-
mentu decyzji, staje siê podstawow¹
us³ug¹ wspomagaj¹c¹ weryfikacjê
podpisu elektronicznego, gdy¿ wa¿-
ne jest nie tylko to, kto dokona³ pod-
pisu, lecz tak¿e kiedy to nast¹pi³o
23
.
Wed³ug art. 3 pkt 16 ustawy o pod-
pisie elektronicznym znakowanie
czasem jest us³ug¹ polegaj¹c¹ na
do³¹czaniu do danych w postaci elek-
tronicznej – logicznie powi¹zanych
z danymi opatrzonymi podpisem lub
poœwiadczeniem elektronicznym –
oznaczenia czasu w chwili wykona-
nia tej us³ugi oraz poœwiadczenia
elektronicznego tak powsta³ych da-
nych przez podmiot œwiadcz¹cy tê
us³ugê.
W myœl powo³anego przepisu zna-
kowanie czasem oznacza us³ugê po-
legaj¹c¹ na do³¹czaniu do danych
w postaci elektronicznej – logicznie
powi¹zanych z danymi opatrzonymi
podpisem lub poœwiadczeniem elek-
tronicznym, oznaczenia czasu
w chwili wykonywania tej us³ugi oraz
poœwiadczenia elektronicznego tak
powsta³ych danych przez podmiot
œwiadcz¹cy tê us³ugê.
Znakowanie czasem ma unie-
mo¿liwiæ manipulowanie czasem
w obrocie prawnym i gospodarczym.
Ma pe³niæ funkcjê stra¿nika pewno-
œci obrotu ze wzglêdu na czas w³a-
œciwy, w jakim dosz³o do z³o¿enia
podpisu elektronicznego. Znakowa-
nie czasem wyklucza ponowne
i wielokrotne wprowadzenie do obie-
gu tego samego podpisanego kie-
dyœ dokumentu
24
.
Ustawa o podpisie elektronicznym
z 18 wrzeœnia 2001 r. ma na celu
stworzenie warunków prawnych do
stosowania podpisu elektronicznego,
jako równorzêdnego pod wzglêdem
skutków prawnych z podpisem w³a-
snorêcznym w ka¿dej ga³êzi prawa,
w tym w zakresie prawa cywilnego,
administracyjnego czy karnego.
Przewiduje ona równie¿ unormowa-
nie z zakresu organizacji, funkcjono-
wania, uprawnieñ i obowi¹zków pod-
miotów œwiadcz¹cych us³ugi zwi¹za-
ne z podpisem elektronicznym oraz
systemu sprawowania nadzoru nad
tymi podmiotami.
Jednoczeœnie w zwi¹zku z rozwo-
jem techniki, powszechnym dostê-
pem do Internetu, poczty elektronicz-
nej i handlu elektronicznego, stanowi
ona odpowiedŸ na koniecznoœæ stwo-
rzenia warunków prawnych pozwala-
j¹cych na skuteczne i bezpieczne
wskazanie to¿samoœci podmiotów
uczestnicz¹cych w elektronicznym
obrocie prawnym, tj. sk³adania i we-
ryfikacji podpisów elektronicznych
25
.
W literaturze powszechnie przyj-
muje siê, ¿e w polskim systemie pra-
wa obowi¹zuje zasada swobody for-
my, co zosta³o wyra¿one w art. 60
k.c. Zgodnie z tym przepisem „z za-
strze¿eniem wyj¹tków w ustawie
przewidzianych, wola osoby dokonu-
j¹cej czynnoœci prawnej mo¿e byæ
wyra¿ona przez ka¿de zachowanie
tej osoby, które ujawnia jej wolê
w sposób dostateczny, w tym rów-
nie¿ poprzez ujawnienie tej woli
w postaci elektronicznej (oœwiadcze-
nie woli)”.
Aby zachowanie siê osoby doko-
nuj¹cej czynnoœci prawnej, o której
mowa w art. 60 k.c., by³o zrozumia³e
przez inne osoby, powinno ono po-
siadaæ postaæ znaku, a wiêc przeka-
zywaæ pewne umowne treœci.
oœwiadczenie woli (declaration
of will)
Podpisy celem z³o¿enia oœwiad-
czenia woli (Signatures as declara-
tion of will) stanowi¹ dowód z³o¿enia
oœwiadczenia woli. Jest oczywiste, ¿e
winny byæ sk³adane po zaznajomie-
niu siê podpisuj¹cego z treœci¹ doku-
mentu oraz byæ zgodne z intencj¹ je-
go podpisania, a tak¿e pod pe³n¹
kontrol¹ podpisuj¹cego. Podpisy te
s¹ sk³adane m.in. w oparciu o kwalifi-
kowany certyfikat, który w polu key
Usage zawiera tylko bit non Repudia-
tion.
Jak wynika z powy¿szego, ka¿dy
rodzaj podpisu elektronicznego mo-
¿e stanowiæ dowód, ale tylko nielicz-
ne mog¹ potwierdzaæ oœwiadczenie
woli. Podpis celem identyfikacji mo-
¿e np. stanowiæ dowód uzyskania
dostêpu do danej bazy danych przez
konkretn¹ osobê dysponuj¹c¹ klu-
czem prywatnym w okreœlonym cza-
sie. Podpis celem uwierzytelnienia
stanowi zaœ dowód zapoznania siê
z treœci¹ dokumentu. Ka¿dy z tych
podpisów powinien zostaæ dopusz-
czony do postêpowania s¹dowego
W myœl art. 78 § 1 k.c. do zacho-
wania pisemnej formy czynnoœci
prawnej wystarcza z³o¿enie w³asno-
rêcznego podpisu na dokumencie
obejmuj¹cym treœæ oœwiadczenia
woli.
PROBLEMY KRYMINALISTYKI 256/07
9
[ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • jaczytam.htw.pl