Wraz z wprowadzeniem w życie Nowej Ustawy Pzp, dopuszczone zostają nowe rodzaje podpisów elektronicznych. W przetargu krajowym dozwolone będą 3 rodzaje podpisów elektronicznych: podpis kwalifikowany elektroniczny, podpis osobisty i podpis zaufany. W przetargu unijnym tylko podpis kwalifikowany elektroniczny. Więcej na temat podpisu kwalifikowanego w Pigułce wiedzy dot. podpisów kwalifikowanych.
Podstawowe informacje i odpowiedzi na pytania:
Czy mogę podpisać różnymi rodzajami podpisu elektronicznego jeden plik?
TAK, ALE zalecamy podpisywać jednym rodzajem podpisu. Jeśli decydujemy się na podpis zaufany, to wszystkie osoby, które powinny podpisać plik, powinny skorzystać z własnego podpisu zaufanego. (Dlaczego? Ponieważ nie każdy program do weryfikacji podpisów jest w stanie prawidłowo zweryfikować plik podpisany różnymi rodzajami podpisu. Więcej informacji w Tabelce nr 1)
Co gdy podpiszę jeden plik różnymi rodzajami podpisu? Czy kolejność ma znaczenie?
Podczas podpisywania, nie ma znaczenia. Podczas weryfikacji znaczenie mają użyte rodzaje podpisów. Jeśli plik podpiszemy podpisem osobistym i kwalifikowanym (+ewentualnie podpisem zaufanym), niektóre z weryfikatorów podpisów nie zweryfikują danego pliku. Inne z kolei (SecureDoc i weryfikacjapodpisu.pl) pokazują NIEPRAWIDŁOWY wynik weryfikacji lub NIE WIDZĄ podpisu osobistego, jeśli występuje z innymi podpisami (weryfikacjapodpisu.pl w przypadku podpisu w formacie XAdES). W raporcie po weryfikacji przeczytamy, że podpis kwalifikowany jest według narzędzia podpisem osobistym (niekwalifikowanym). Jest to błąd. Więcej informacji w Tabelce nr 1)
Czy każdy powinien umieć weryfikować podpisy?
TAK. Czynnością Zamawiającego jest prawidłowa weryfikacja podpisów, jako czynność przy badaniu ofert. Natomiast, jako podmiot profesjonalny, ubiegający się o udzielenie zamówienia publicznego, Wykonawca musi dochować staranności przy prawidłowym podpisaniu plików.
Pamiętać należy o tym, że nieprawidłowo złożony podpis na ofercie jest podstawą do odrzucenia oferty w postępowaniu.
Czy jest kwalifikowany znacznik czasu w podpisach osobistych lub zaufanych?
NIE.
Jakie są formaty podpisów osobistych i zaufanych? Czy jest PAdES i XAdES?
TAK, pliki można podpisać podpisem osobistym i zaufanym w formacie PAdES i XAdES.
Podpis osobisty – definicja
- jest to zaawansowany podpis elektroniczny
- podpis z dowodu osobistego (więcej informacji tu: https://www.gov.pl/web/e-dowod/podpis-osobisty )
- w czym/jak podpisujemy: przy pomocy czytnika i aplikacji e-Dowód Podpis elektroniczny lub przy pomocy aplikacji na telefon eDO App (więcej tu: Jak podpisać pismo przy użyciu e-dowodu? https://www.gov.pl/web/e-dowod )
- UWAGA, w aplikacji eDO App podpis osobisty podpisuje pliki WYŁĄCZNIE w formacie PDF
- maksymalna wielkość pliku w aplikacji eDO App: 5 MB
- w czym weryfikujemy: aplikacją e-Dowód oraz NIEKTÓRYMI aplikacjami do weryfikacji podpisów kwalifikowanych (więcej szczegółów w Tabelce nr 1)
- aby nanieść kolejny podpis osobisty w aplikacji e-Dowód Podpis elektroniczny, należy wybrać opcję „Dodaj kolejny podpis” dla plików wcześniej podpisanych
- UWAGA, jeśli plik został wcześniej podpisany innym podpisem elektronicznym to podpiszemy go podpisem osobistym tylko za pomocą opcji “Dodaj kolejny podpis” w aplikacji e-Dowód lub w aplikacji eDO App „Podpisz dokument” (gdy w aplikacji e-Dowód wybiorę opcję „Podpisz plik”, nie będę w stanie podpisać w ten sposób wcześniej podpisanego pliku)
- dobra rada: jeśli nie działa czytnik podpisu osobistego – trzeba zainstalować lub zaktualizować odpowiednie dla aplikacji sterowniki
- czy aplikacją eDO App da się weryfikować? – NIE, to aplikacja do podpisywania
- UWAGA, aplikacja e-Dowód zajmuje dużo miejsca, potrzebujemy ok. 500 MB wolnego miejsca na instalację
- algorytm podpisu przy podpisach osobistych to SHA384 (w podpisach kwalifikowanych to SHA-2 i nie rekomendowane SHA-1)
- ECDSA jako algorytm szyfrowania jest bezpieczniejszy niż RSA występujący w podpisie kwalifikowanym i zaufanym
- UWAGA, podpis osobisty nie zawsze jest widoczny przez wszystkie weryfikatory (weryfikacjapodpisu.pl w przypadku podpisu w formacie XAdES) lub w wyniku weryfikacji podpis osobisty pokazywany jest NIEPRAWIDŁOWO jako podpis kwalifikowany (SecureDoc)
Podpis zaufany – definicja
- Inaczej Profil Zaufany
- w czym/jak/gdzie podpisujemy: plik można podpisać na stronie: https://moj.gov.pl/nforms/signer/upload?xFormsAppName=SIGNER
- w czym weryfikujemy: na stronie gov.pl (https://moj.gov.pl/nforms/signer/upload?xFormsAppName=SIGNER), aplikacją e-Dowód oraz NIEKTÓRYMI aplikacjami do weryfikacji podpisów kwalifikowanych (więcej szczegółów w Tabelce nr 1)
- podpis zaufany dzieli się na 2 formaty: PAdES i XAdES
- PAdES z reguły dedykowany do plików w formacie PDF (jednak można podpisać PDF formatem XAdES)
- XAdES dedykowany do plików edytowalnych
- jeśli plik podpiszemy formatem podpisu XAdES, przekształci się on na plik XML
- XAdES zaufany odczytujemy na gov.pl (https://moj.gov.pl/nforms/signer/upload?xFormsAppName=SIGNER)
- podczas podpisywania XAdESem zaufanym nie mamy dostępu do podglądu dokumentu ani możliwości naniesienia znacznika graficznego
- po wyodrębnieniu pliku podpisanego z XML plik będzie w formacie pierwotnym bez znacznika graficznego
- znacznik graficzny jest dostępny tylko w formacie PAdES (w formacie XAdES nie jest on nanoszony)
- znacznik graficzny podpisu zaufanego w formacie PAdES z domysłu nanosi się w prawym górnym rogu dokumentu; UWAGA, może zasłonić część pliku! UWAGA, może zasłonić inne znaczniki graficzne, jeśli plik podpisały 2 osoby
- umiejscowienie znacznika graficznego w formacie podpisu PAdES można zmienić, klikając na podgląd dokumentu podczas podpisywania
- w weryfikatorze gov.pl (https://moj.gov.pl/nforms/signer/upload?xFormsAppName=SIGNER) wynik weryfikacji pokazuje wszystkie podpisy zaufane, natomiast w weryfikatorze e-Dowód pokazuje ilość podpisów i prawidłowość, ale nie ma danych kto podpisał
- ta sama osoba jeden plik może podpisać kilka razy podpisem zaufanym
- UWAGA, maksymalny rozmiar pliku to 10 MB
- można podpisywać lub weryfikować TYLKO 1 plik
- profil zaufany potwierdza się na okres 3 lat, a jego ważność może być przedłużona
- założenie profilu zaufanego jest bezpłatne
Podsumowanie
Tabelka nr 1 (podpisy formatu PAdES)
Szukasz więcej wiedzy na temat podpisów kwalifikowanych?
Sprawdź nasze najbliższe warsztaty tutaj 👇👇
[…] naszym wideo znajdziesz odpowiedzi na najbardziej nurtujące pytania z zakresu podpisów elektronicznych. Szczególnie tych, które już wygasły. Koniecznie obejrzyj ten materiał i dowiedz się […]