Pozwolę sobie zgłosić kilka uwag (podpisem elektronicznym zajmuję się zawodowo). 1. Podpis elektroniczny to pojęcie prawne obejmujące szerszy zakres narzędzi, niż podpis cyfrowy (szyfrowanie skrótu kluczem prywatnym) występujący w kryptografii. Zgodnie z przepisami, podpisem elektronicznym jest nawet zwykły podpis pod mailem (w stylu „Pozdrawiam. Jan Kowalski”). Kryptograficzny „podpis cyfrowy” jest w przepisach określany mianem „zaawansowanego podpisu elektronicznego”. 2. Przedstawiona definicja podpisu elektronicznego jest błędna - podpis nie przyporządkowuje danych do składnia / weryfikacji podpisu do osoby składającej podpis. To raczej certyfikat przyporządkowuje dane do weryfikacji podpisu (klucz publiczny) do osoby składającej ten podpis. Definicje podpisu elektronicznego (w różnych wariantach) można znaleźć w rozporządzeniu eIDAS (np. www.nccert.pl/files/CELEX_32014R0910_PL.pdf ). 3. Zamiennie stosuje Pan pojęcia „podpis” i „certyfikat”, co prowadzi do takich „kwiatków” jak zdanie „niekwalifikowanego podpisu elektronicznego można użyć np. do szyfrowania plików Word”. Podpisu do szyfrowania nie można użyć, ale niekwalifikowany certyfikat jak najbardziej może być wykorzystany do wielu różnych celów (np. szyfrowanie, uwierzytelnianie i oczywiście podpis). Certyfikaty kwalifikowane w większości są wystawiane do podpisu elektronicznego (użycie klucza - niezaprzeczalność), ale na rynku są już dostępne kwalifikowane certyfikaty uwierzytelniania witryn internetowych (czyli kwalifikowany odpowiednik tzw. certyfikatów SSL). 4. Często stosuje Pan bardzo popularny skrót myślowy „kupić podpis elektroniczny”. Kupić można zestaw do składania podpisu (karta z kluczem prywatnym, certyfikat i ew. czytnik). A dopiero później można za jego pomocą złożyć podpis. Kupowanie podpisów jest chyba karalne :) 5. Pojęcie „podpis elektroniczny weryfikowany kwalifikowanym certyfikatem” nie oznacza tego samego co „kwalifikowany podpis elektroniczny”. Certyfikat kwalifikowany nie wymusza stosowania karty elektronicznej, na której zapisany jest klucz prywatny. W Europie dostępne są zestawy,w których certyfikat kwalifikowany powiązany jest z kluczem prywatnym w formie software (pkcs#12). Podpis złożony za pomocą takiego cuda nazywa się „zaawansowanym podpisem elektronicznym weryfikowanym kwalifikowanym certyfikatem”. Dopiero „kwalifikowany podpis elektroniczny” wymaga użycia karty elektronicznej. 6. Certyfikowane Centra, które wydają kwalifikowane certyfikaty (a nie kwalifikowane podpisy) noszą nazwę „kwalifikowanych dostawców usług zaufania” i są wpisywane do rejestru dostawców usług zaufania przez Ministerstwo Cyfryzacji (Ministerstwo Gospodarki zajmowało się tym do 2016 r). Rejestr dostępny jest na stronie www.nccert.pl 7. Nie do końca prawdą jest, że kwalifikowanego certyfikatu można użyć jedynie w certyfikowanej aplikacji. Kwalifikowany podpis elektroniczny można złożyć np. za pomocą Acrobat Reader (format PAdES) albo MS Word (tutaj format nie do końca jest zgodny z normami, ale działa). 7. Firma Eurocert jest polskim kwalifikowanym dostawcą usług zaufania. 8. Nie ma już ustawy o podpisie elektronicznym. Obowiązującym aktem prawnym (oczywiście poza rozporządzeniem eIDAS) jest Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (www.nccert.pl/files/ustawa_o_uslugach_zaufania_05092016.pdf) 9. Jeszcze drobne wyjaśnienie - w usłudze SimplSign klucze kryptograficzne użytkownika przechowywane są na urządzeniu HSM (hardware security module) u dostawcy usług zaufania. W uproszczeniu można powiedzieć, że mamy taką „wirtualną kartę elektroniczną”.

A ja bym miał takie pytanie odnośnie yubikey - do czego Pan go używa poza niewieloma rzeczami, o których Pan wspomniał? Zastanawiałem się nad zakupem, ale ilość zastosowań jest na tyle mała (patrzyłem na stronie producenta na jakich stronach mogę go użyć), że chyba na chwilę obecną to bardziej luksus niż potrzeba z mojego punktu widzenia. I tak - wiem, że bezpieczeństwo jest bezcenne, ale priorytety to remont dachu, zakup węgla na zimę i takie tam życiowe problemy :/

Wykłady Pana są super, ale jedna uwaga, która mnie (jako osoby wdrażającej podpisy kwalifikowane) za każdym razem, kiedy Pan o tym mówi, bardzo razi. Mówi Pan o różnych nośnikach, na których można zapisać certyfikaty. W tym kontekscie wymienia Pan karty SMART oraz pandrive. To tak nie jest. W OBU przypadkach nośnikami certyfikatów (kluczy prywatnych) są karty SMART. Tyle tylko, że mamy dwie wielkości tych kart: jedne wielkości karty kredytowej, drugie wielkości karty SIMM do telefonu. W pierwszym przypadku do karty dodawany jest czytnik USB (duży, zewnętrzny), w drugim natomiast też dodawany jest czytnik USB - tyle tylko, że w postaci Pendrive. W drugim przypadku karta SMART jest włożone do środka tego Pendrive-a, ale klucz prywatny jest na karcie SIMM - a nie na Pendrive (bo Pandrive jest jedynie czytnikiem tej karty).

co Pan myślisz o cyklach na propionacie?

Panie Jarku materiały super ale oglądalność wraz z poziomem zagłębiania się w działanie kryptografii - notabene z którą mamy do czynienia każdego dnia - spada. Nie wiem czemu tak jest. Przecież ta oglądalność powinna wzrastać. Może ludzie jak Pan często powtarza są nie świadomi jak to jest istotne. Strasznie mnie to martwi. Oglądam dalej i pełen szacunek za te materiały.