FAQ - Frequently Asked Questions
A page with a collection of the most common questions and answers about our service verifysignature.eu and the subject of security services associated with an electronic signature under the eIDAS Regulation. Check the questions in the following tabs to get answers and find additional information.
W przypadku podpisów zapisanych w odrębnym pliku o nazwie najczęściej odpowiadającej nazwie podpisanego pliku z rozszerzeniem .xades, należy do weryfikatora przekazać jednocześnie oba pliki. W przeciwnym wypadku system będzie informował o braku możliwości weryfikacji pliku lub o braku integralności.
Tak weryfikator jest w stanie automatycznie rozpakować archiwum RAR i ZIP i zweryfikować jego zawartość.
Rozporządzenie eIDAS wskazuje cztery główne formaty podpisów:
- XAdES, dla dokumentów XML oraz jako podpis zewnętrzny dla dowolnego/ych pliku/ów,
- PAdES, wyłącznie dla dokumentów PDF,
- CAdES, postać binarna, występuje w formie wewnętrznej i zewnętrznej,
- ASiC, to jest paczka/kontener zawierająca wiele podpisanych dokumentów.
Weryfikator obsługuje formaty podpisu takie jak (XAdES, CAdES, PAdES, ASiC, PKCS7), na różnych poziomach walidacji, które dostępne są na stronie głównej aplikacji. Formaty, formy nie wskazane na stronie nie są obsługiwane. Ponadto taki komunikat może się pojawić w przypadku nieobsługiwanego algorytmu podpisu, transformaty dokumentu mimo, że podpis zapisano w obsługiwanym formacie.
Od 1 lipca 2018 w Polsce (zgodnie z Ustawą o usługach zaufania i identyfikacji elektronicznej) do składania podpisów elektronicznych nie powinno się używać funkcji skrótu SHA-1. W to miejsce należy używać funkcji z rodziny SHA-2. Jednakże nie można automatycznie uznać takiego podpisu za nieważny, ponieważ w normach obecnie jest niezalecany, ale nie został uznany za wycofany. System przy weryfikacji zwraca informację o wykorzystanym algorytmie funkcji skrótu, na który należy aktualnie zwrócić uwagę analizując wynik weryfikacji w konkretnej czynności prawnej.
Status oznacza, że certyfikat stracił swoją ważność. W szczegółach weryfikacji można znaleźć daty graniczne ważności certyfikatu. Informacja ta jest o tyle ważna, że w momencie weryfikacji podpisu elektronicznego dla którego certyfikat podpisującego nie jest już ważny nie ma dowodów, iż dokument został podpisany w okresie jego ważności, a więc w okresie kiedy można by go uznać za ważny. W tym celu warto stosować znakowanie czasem podpisu.
Status oznacza problem z odszukaniem ścieżki certyfikacji podpisującego po stronie list CRL, TSL, OCSP, których zadaniem jest potwierdzić wystawcę certyfikatu, jego ważność oraz dane osoby na którą certyfikat został wydany.
Do dokumentów PDF dedykowany jest format PAdES i korzystanie z niego nie powoduje problemów z jego weryfikacją, ponieważ oprogramowania do weryfikacji przede wszystkim weryfikują podpisy w pełni zgodne z EIDAS. Ponadto – standardowe oprogramowania do odczytu plików PDF także prezentuje automatycznie wynik weryfikacji właśnie tak złożonego podpisu, a do tego podpis taki jest trwale powiązany z podpisanym dokumentem i nie ma sposobu by (w przeciwieństwie do podpisu zewnętrznego) go „zgubić lub o nim zapomnieć” przy przekazaniu dokumentu drugiej stronie czynności prawnej.
Ważność należy badać na określony moment. Jeśli po upływie ważności certyfikatu dokona się weryfikacji podpisu to wynik będzie negatywny ze względu na brak dowodów o złożeniu podpisu w okresie ważności certyfikatu. tzn. nie można ustalić w sposób wiarygodny na podstawie danych zawartych w podpisie, że był on złożony w okresie ważności.
Jako uzupełnienie podpisu elektronicznego można dodać do podpisu znacznik czasu, który niejako „wydłuży ważność” podpisu do upływu ważności certyfikatu znacznika czasu. Te mają z reguły dłuższy okres ważności aniżeli sam certyfikat podpisu, a znacznik gwarantuje nam istnienie podpisu w czasie zawartym w znaczniku czasu. Oczywiście podobnie jak kwalifikowane podpisy elektroniczne, kwalifikowane znaczniki czasu dają nam pełną gwarancję czasu jaki zawierają.
Dodatkowym rozwiązaniem jest weryfikacja podpisu elektronicznego oraz wygenerowanie EPW (Elektroniczne Poświadczenie Weryfikacji) jako dowód dokonania weryfikacji w czasie kiedy certyfikat był ważny.
Podpisy, które są obsługiwane przez nasz weryfikator można znaleźć na Europejskiej liście zaufanych dostawców usług (TSL) znajdującej się na stronie https://webgate.ec.europa.eu/tl-browser. Lista TSL obejmuje dostawców usług certyfikacyjnych z terenu krajów UE oraz EOG (zgodnie z eIDAS).
Weryfikowany plik najprawdopodobniej został zmodyfikowany po jego podpisaniu. Przykładem utraty integralności może być np. nadanie hasła na podpisywany plik po jego podpisaniu. Integralność jest podstawową cechą podpisu elektronicznego gwarantującą, że podpisane dane nie zostały zmodyfikowane po jego podpisaniu.
Wynik weryfikacji informuje w przypadku plików .xades, że system nie był w stanie odnaleźć podpisywanych plików. Jeśli pliki XADES są plikami podpisu typu zewnętrznego, by była możliwość ich zweryfikowania, do weryfikatora należy przekazać wszystkie pliki jednocześnie.
Usługa na stronie verifysignature.eu jest świadczona przez Madkom SA na podstawie wpisu do rejestru niekwalifikowanych usług zaufania NCCERT`u w zakresie Weryfikacji statusu certyfikatu. Nasze poświadczenie może być wykorzystywane jako dowód oraz posiada moc prawną wynikającą ze świadczenia niekwalifikowanej usługi weryfikacji podpisu elektronicznego i pieczęci elektronicznej.
Zgodnie z Polityką świadczenia usługi weryfikacji podpisów elektronicznych w trybie online, system nie przechowuje jakichkolwiek przekazanych plików do weryfikacji. Są one automatycznie usuwane natychmiast po procesie weryfikacji. Zachowany w systemie jest jedynie pełny wynik weryfikacji podpisu.
PDF jest specjalnym kontenerem plikowym, a poszczególne rewizje to tak naprawdę kolejne wersje dokumentu. Istnienie więcej niż 1 rewizji w dokumencie PDF oznacza, że po pierwotnym stworzeniu dokumentu w samym już PDF były dokonywane jakieś zmiany. Te zmiany mogą obejmować zamierzoną edycję dokumentu lub też dodawanie tylko kolejnych podpisów elektronicznych. Sama kolejna rewizja dokumentu w kontenerze PDF zawiera tylko zmiany w stosunku do poprzedniej wersji dokumentu a nie całą nową wersję dokumentu.
Pierwszy podpis elektroniczny w dokumencie PDF zawarty jest w podstawowej rewizji dokumentu. By móc dodać kolejny podpis, aplikacje podpisujące dodają w dokumencie kolejne rewizje, a więc kolejny podpis zostanie zapisany w rewizji nr 2, a jeszcze kolejny w rewizji nr 3 itd. Pierwszy podpis obejmuje pierwotny dokument – jako całość, drugi podpis obejmuje zarówno treść dokumentu jak i podpis złożony jako pierwszy, trzeci podpis obejmuje treść i dwa poprzednie podpisy, itd.
Niekiedy zdarza się, że na skutek tylko i wyłącznie weryfikacji podpisu elektronicznego aplikacja weryfikująca dodaje do każdego odnalezionego podpisu znacznik czasu z czasem z momentu weryfikacji powodując pojawienie się jeszcze kolejnych rewizji, które system wykryje jako niepodpisane. Nie stanowi to jednak przeszkody w uznaniu takich podpisów za ważne.
Kolor pomarańczowy wyniku weryfikacji zawsze wymaga przejrzenia i analizy szczegółów weryfikacji i podjęcie na podstawie tych danych decyzji przez użytkownika serwisu.
Aplikacja weryfikuje w ogólności same podpisy elektroniczne, ale istotnym etapem weryfikacji podpisu jest sprawdzenie integralności dokumentu poprzez weryfikację sumy kontrolnej. Konstrukcja UPO generowanego m.in. przez system ePUAP obejmuje taki mechanizm przez co do poprawnej weryfikacji UPO.xml wymagana jest jednocześnie weryfikacji dokumentu, którego dotyczy. Pozytywny wynik weryfikacji UPO.xml potwierdza przynależność do tegoż UPO.
Certyfikat kwalifikowany zgodnie z eIDAS musi zawierać informację możliwą do przetworzenia w sposób automatyczny o tym, iż jest on certyfikatem kwalifikowanym. Ponadto certyfikat albo zarejestrowana na liście TSL usługa wymaga zawarcia jednocześnie informacji o umieszczaniu powiązanego z nim klucza prywatnego na tzw. kwalifikowanym urządzeniu np. QSCD. Na podstawie tych informacji aplikacja uznaje czy zaawansowany podpis elektroniczny może zostać uznany za kwalifikowany.
Z podpisem elektronicznym może być związanych wiele czasów. Po pierwsze – w momencie składania podpisu elektronicznego aplikacja podpisująca pobiera czas lokalny z komputera/urządzenia osoby podpisującej i umieszcza go w takiej części podpisu by te dane zostały podpisane. Jest to tzw. deklarowany czas złożenia podpisu, a więc osoba podpisująca niejako podpisała się pod tym czasem.
Inne czasy są związane z tzw. znacznikami czasu. A więc zaufaną i powiązaną z danymi których znacznik czasu dotyczy, informacją o czasie pochodzącą z zewnętrznego źródła. Oczywiście zastosowanie kwalifikowanego znacznika daje największą pewność czasu zawartego w znaczniku.
Jednakże należy wziąć pod uwagę, że znacznik czasu można niejako „dołożyć” do podpisu w dowolnym momencie po złożeniu podpisu. Dodatkowo może to zrobić dowolna osoba – w tym osoba weryfikująca podpis elektroniczny. Przy takiej konstrukcji należy pamiętać, że znacznik czasu mówi tylko o istnieniu podpisu w momencie czasu zawartym w znaczniku czasu, a nie mówi o tym kiedy dokładnie dokument został podpisany. Dodanie znacznika czasu do podpisu po okresie ważności certyfikatu nie gwarantuje nam złożenia podpisu w okresie jego ważności. Dodanie znacznika czasu w okresie ważności certyfikatu podpisującego powoduje niejako „przedłużenie” ważności podpisu do upływu ważności certyfikatu znacznika czasu (o ile jego koniec ważności nastąpi później niż koniec ważności certyfikatu podpisu).
W ogólności – nie. Po szczegóły proszę zajrzeć do odpowiedzi na pytanie wyżej.
Contact With Us
+48 58 712 60 20
www.madkom.plPrivacy policy