Podpis elektroniczny to jedno ze współczesnych narzędzi umożliwiających identyfikację tożsamości zamawiających i wykonawców. Jest on bezpieczny, szybki i integralny oraz  umożliwia elektroniczną wymianę i podpisywanie dokumentów. Sprawdź, jak i kiedy używać podpisu elektronicznego!

Jak działa podpis elektroniczny?

Podpisanie umowy i uzyskanie certyfikatu to pierwszy sukces do prawidłowego złożenia oferty. Kolejnym krokiem staje się otrzymanie dodatkowych narzędzi do składania podpisów: karty kryptograficznej z zapisanym na niej prywatnym kluczem oraz oprogramowania umożliwiającego nawiązanie współpracy karty z komputerem poprzez czytnik lub token.

Użycie podpisu następuje poprzez wydanie komputerowi polecenia złożenia podpisu elektronicznego, co prowadzi do tzw. skrótu podpisywanego dokumentu. Jest on określany indywidualnie dla danego dokumentu. Następnie, przy użyciu otrzymanego oprogramowania, następuje szyfrowanie kluczem prywatnym i dokument  bezpiecznym podpisem elektronicznym jest przesyłany do adresata.

Zobacz webinar z naszym ekspertem odnośnie podpisu elektronicznego i certyfikatu SHA-1!

Integralność w podpisie elektronicznym

Aby zapewnić maksymalną integralność w podpisie wykorzystuje się matematyczne funkcje skrótów. Ich działanie polega na obliczeniu sumy kontrolnej zwanej hashem, z określonych danych źródłowych pliku. Dokonanie dowolnej zmiany w pliku, nawet pojedynczych bitów: np. 0 na 1, spowoduje powstanie nowego kompletu danych, który da inną sumę kontrolną.

Funkcja ta jest jednokierunkowa, co oznacza, że na podstawie samej sumy kontrolnej nie da się odtworzyć danych z których została wyliczona.

Sposoby podpisywania e-dokumentów


Wyróżniamy ich dwa rodzaje:

1. Podpis elektroniczny zewnętrzny - występuje wtedy, gdy dane wchodzące w skład podpisu mogą być zapisane jako oddzielny plik, obok pliku podpisywanego. Format xml o określonej strukturze ma rozmiar do kilkunastu kilobajtów i musi być przechowywany i przekazywany dalej z plikiem źródłowym zawierającym dane.

Występuje tu jednak spore ryzyko utraty integralności podpisu z danymi z powodu przypadkowej lub celowej edycji podpisanych danych. Podczas weryfikacji nie będzie można potwierdzić zgodności z danymi w pliku podpisanym. Konieczne jest więc wysłanie pary plików: źródłowego i podpisanego.

Może się też zdarzyć przekazanie pliku z danymi bez pliku z podpisem, co jest równoznaczne ze złożeniem niepodpisanych dokumentów.

2. Format PADES lub XADES otaczający - występuje wtedy, gdy podpis zawarty jest w jednym pliku. Podpis otaczający pozbawiony jest ryzyk dla podpisu zewnętrznego. Nie ma ryzyka zgubienia danych, przypadkowej modyfikacji po podpisie czy nieprzesłania jednego pliku z pary. Najłatwiejszy do weryfikacji jest format PAdES, służący do podpisywania dokumentów wyłącznie pdf.

Nazwy i rozszerzenia plików


Rozszerzenie pliku wskazuje na to, iż jest to właśnie podpis elektroniczny. Przykładowo, jeśli widzimy plik o nazwie pismo.docx.xades, to wiemy, że plik pismo.docx został podpisany podpisem elektronicznym – albo zewnętrznym, albo otaczającym.

Na to, którym z nich został podpisany, wskazuje wielkość podpisanego pliku –kliknięcie prawym przyciskiem myszy na nazwie pliku we „właściwościach” pokazuje jego wielkość (rozmiar) w kilo- czy megabajtach. Jeśli jest to kilka kilobajtów, to mamy do czynienia z samym podpisem zewnętrznym – i musi mu towarzyszyć plik, który został podpisany.

Podpis otaczający daje plik, którego wielkość (rozmiar) jest zawsze siłą rzeczy większa od pliku podpisywanego, ponieważ plik podpisany zawiera w sobie podpisywany plik oraz dane podpisu otaczającego. Ponadto, na zwiększenie wielkości podpisanego pliku ma także wpływ kodowanie pliku podpisywanego algorytmem base64, dokonujące się w czasie podpisywania.

Jesteś Zamawiającym i chcesz dowiedzieć się więcej o podpisie i dokumentach elektronicznych? Sprawdź nasze szkolenie w Warszawie, klikając w ten link!
podpis elektroniczny WYBIERZ SZKOLENIE Z ZAMÓWIEŃ PUBLICZNYCH