Usługi walidacji podpisów a Autenti
Na rynku dostępnych jest kilka sposobów weryfikacji podpisów i pieczęci elektronicznych. Postanowiliśmy sprawdzić, jakie przynoszą rezultaty w kontekście weryfikacji podpisów elektronicznych, składanych za pomocą platformy Autenti.
W tym artykule wzięliśmy pod lupę publicznie dostępną usługę “WERYFIKACJA PODPISU” https://weryfikacjapodpisu.pl/verification/
Weryfikacja podpisu elektronicznego a Autenti – wprowadzenie
W teście użyliśmy dokumentu podpisanego na platformie Autenti, który zawierał zarówno zwykły podpis elektroniczny, jak i podpis kwalifikowany. Warto w tym miejscu zaznaczyć, że dokumenty Autenti poza podpisami elektronicznymi zawierają także pieczęci elektroniczne – otwierającą i końcową. Te z kolei zabezpieczają autentyczność i integralność dokumentu zarówno przed, jak i po jego podpisaniu. Dokumenty podpisane na platformie Autenti zawierają dodatkową stronę – “Kartę Podpisów”, na której zwizualizowane są wszystkie podpisy i pieczęci złożone w procesie sygnowania.
Weryfikacja podpisu elektronicznego – jak wygląda proces?
Aby skorzystać z usługi weryfikacji podpisu elektronicznego we wspomnianym wyżej serwisie, należy wskazać podpisany dokument lub przeciągnąć go na okno weryfikacji, a następnie użyć przycisku “Weryfikuj”.
Wynik weryfikacji podpisu elektronicznego zostanie przedstawiony po kilku chwilach i (w naszym przypadku) wygląda następująco:
Wskazuje on prawidłowość wszystkich podpisów i pieczęci zawartych w dokumencie. Omówimy je osobno w dalszej części artykułu.
Dodatkowo każde pole weryfikacji jest przedstawione jak na poniższej ilustracji:
Warto też wskazać, że dokumenty podpisane na platformie Autenti zawierają następujące pola nazywane “Rewizjami”:
- jedno pole dla pieczęci otwierającej,
- jedno pole dla każdego podpisu elektronicznego lub kwalifikowanego podpisu elektronicznego,
- jedno pole dla pieczęci końcowej,
- jedno pole dla znacznika czasu – przy czym znacznik czasu nie jest wizualizowany ani wyświetlany w procesie walidacji podpisów. Z tego powodu dokument zawierający 2 podpisy Autenti będzie miał 5, a nie 4 pola rewizji.
Pola weryfikacji podpisu elektronicznego – co oznaczają?
W tym miejscu warto wyjaśnić, co oznaczają poszczególne pola weryfikacji podpisu elektronicznego.
1. Pieczęć otwierająca Autenti
Pieczęć otwierająca to zaawansowana pieczęć elektroniczna oparta o kwalifikowany certyfikat. Zapewnia ona integralność oraz autentyczność dokumentu, który został wysłany do podpisu elektronicznego. Każda pieczęć i każdy podpis są zaprezentowane w warstwie wizualnej na Karcie Podpisów – pieczęć otwierająca jako pierwsza. Informuje ona o osobie (lub podmiocie), która wysłała dokument do podpisu oraz zabezpiecza integralność dokumentu przed rozpoczęciem procesu podpisywania. Pieczęć otwierająca zawiera dodatkowo informację o dacie i godzinie rozpoczęcia procesu podpisywania dokumentu.
2. Kwalifikowany Podpis Elektroniczny
Kwalifikowane podpisy elektroniczne na platformie Autenti są składane w formacie zgodnym ze standardem PAdES i w oparciu o kwalifikowany certyfikat podpisu elektronicznego. Pole walidacji wskazuje konkretnego podpisującego na podstawie jego kwalifikowanego certyfikatu.
Kwalifikowany podpis elektroniczny zawiera:
- informacje o osobie podpisującej, które pochodzą z certyfikatu podpisującego,
- wskazanie, że jest to kwalifikowany podpis elektroniczny,
- numer seryjny umieszczony w certyfikacie podpisującego – w szczególności może być to numer PESEL, numer dowodu osobistego lub numer paszportu.
Kwalifikowany podpis elektroniczny zawiera Europejski Znak Zaufania, który może być – zgodnie z prawem UE – stosowany jedynie w stosunku do kwalifikowanych usług zaufania.
3. Pieczęć Autenti potwierdzająca złożenie zwykłego podpisu elektronicznego
Pieczęciami elektronicznymi Autenti zabezpieczone są także zwykłe podpisy elektroniczne. Platforma Autenti po każdym złożeniu podpisu przez podpisującego, dołącza do dokumentu:
- dane podpisującego,
- informację w jaki sposób podpisujący został zweryfikowany,
- datę podpisania.
Wszystkie wymienione dane są dostępne na Karcie Podpisów, tak, jak zaprezentowano poniżej.
Ilustracja 1 – podpis elektroniczny Autenti osoby uwierzytelnionej za pomocą adresu e-mail, bez wskazania organizacji podpisującego, a więc pozostającej najczęściej z nadawcą w relacji konsumenckiej. Pole to zawiera imię i nazwisko podpisującego oraz jego adres e-mail, za pomocą którego nastąpiło uwierzytelnienie.
Ilustracja 2 – podpis elektroniczny Autenti, gdzie podpisujący został zweryfikowany zarówno e-mailem, jak i SMS-em. Podpis ten zawiera adres e-mail i numer telefonu osoby podpisującej, pod który platforma Autenti wysłała SMS-em jednorazowy kod OTP (“one-time password”). Służy to do dodatkowej weryfikacji podpisującego.
Ilustracja 3 – podpis elektroniczny Autenti, gdzie podpisujący został zweryfikowany zarówno mailem, jak i SMS-em. Podpisujący reprezentuje w tym przypadku również swoją organizację, a jej dane zostały ujawnione w podpisie. Są to: nazwa firmy, numer NIP oraz rola (funkcja), jaką podpisujący pełni w organizacji.
Uwaga: Dane organizacji są danymi deklarowanymi – nie podlegają weryfikacji przez Autenti. Platforma umożliwia wysyłanie dokumentów do przedstawicieli biznesu (najczęściej kontrahentów, partnerów biznesowych), bez konieczności dodatkowego uwierzytelnienia w oparciu o kod SMS, o ile podpisujący znani są już wcześniej nadawcy. Jeśli reprezentacja firmy podpisującej składa się z dwóch lub więcej osób, każda z nich musi zostać odrębnie wskazana na platformie i przypisana do firmy o tych samych danych (nazwa, NIP).
Każdy niekwalifikowany podpis elektroniczny złożony na Platformie jest zabezpieczony pieczęcią elektroniczną Autenti.
4. Pieczęć końcowa Autenti
Pieczęć końcowa potwierdza złożenie wszystkich podpisów na platformie Autenti oraz zabezpiecza integralność dokumentu. Potwierdza ona, że proces podpisywania został zrealizowany za pomocą platformy Autenti, a także zabezpiecza autentyczność i integralność dokumentu. Dodatkowo pieczęć końcowa zawiera informację o dacie i godzinie zakończenia procesu podpisywania dokumentu na platformie Autenti.
Jeżeli dokument został zmanipulowany, a jego integralność naruszona, to aplikacja do weryfikacji podpisów pokaże całość w następujący sposób:
Poszczególne pola podpisów powinny wskazywać powód błędnej weryfikacji, jakim jest manipulacja treści podpisanego dokumentu, według przykładu przedstawionego na poniższej ilustracji.
Wskazana powyżej sytuacja zdarza się rzadko i może być spowodowana nie tylko rzeczywistą manipulacją pliku. Czasem bowiem, w wyniku przesyłania dokumentu mailem do odbiorcy, programy antywirusowe nieznacznie “poprawią” jego treść, co zostanie wychwycone przez weryfikator i zaprezentowane jako błąd podpisu. Okazyjnie może się także zdarzyć, iż weryfikator wskaże podpis elektroniczny jako taki, którego ważność jest nieokreślona – w takim wypadku warto zweryfikować podpis również innym narzędziem np. w przeglądarce Acrobat Adobe Reader, o czym piszemy w innym artykule na naszym blogu: https://autenti.com/weryfikowanie-dokumentu-podpisanego-w-autenti-za-pomoca-adobe-acrobat/.