Czym jest podpis cyfrowy
i dlaczego możesz
go potrzebować?

Podpis cyfrowy - dlaczego możesz go potrzebować?

Podpis cyfrowy jest znanym sposobem uwierzytelniania dokumentów. Chociaż regulacje dotyczące podpisu cyfrowego są znacznie starsze niż w przypadku znanego powszechnie kwalifikowanego podpisu elektronicznego, to obie formy uwierzytelniania cyfrowego są powszechnie stosowane. Ale czy to oznacza, że podpis elektroniczny i cyfrowy to to samo?

Oczywiście, że nie – różnic jest całkiem sporo, a żeby je lepiej zrozumieć, warto przyjrzeć się w szczególności podpisowi cyfrowemu, który jest o wiele bardziej skomplikowanym narzędziem. A zarazem – daje dużo więcej możliwości oraz, co nie mniej ważne, zapewnia znacznie wyższy poziom bezpieczeństwa. Więc: czym jest podpis cyfrowy, jak wygląda jego praktyczne zastosowanie i kiedy może się on okazać lepszym rozwiązaniem od powszechnie znanych kwalifikowanego podpisu elektronicznego oraz Profilu Zaufanego?

Podpis cyfrowy: czym jest?

Podpis cyfrowy, jak mówi definicja, to sposób sprawdzania autentyczności dokumentów i wiadomości elektronicznych przy pomocy matematycznych metod uwierzytelniania (czyli – na przykład – szyfrowania).

Podpis cyfrowy ma zapewnić:

  • integralność dokumentów – umożliwić prześledzenie zmian w dokumencie oraz potwierdzić ich wiarygodność lub zgodność z posiadanymi sumami kontrolnymi;
  • niezaprzeczalność autorstwa, zmian lub sygnatury – czyli pozwolić na jednoznaczne przypisanie do konkretnej osoby, posługującym się podpisem cyfrowym, działań na dokumencie czy wiadomości;
  • autentyczność pochodzenia – podobnie jak w kwestii autorstwa, ma jednoznacznie wskazywać na to, kto stworzył dokument i to odpowiada za jego autorstwo.

Te informacje, zapewniane przez podpis cyfrowy, są szczególnie istotne w sytuacji tworzenia elektronicznego obiegu dokumentów w firmie czy przenoszeniu procesu podpisywania umów z papieru do digitalu.

Istotną kwestią podpisu cyfrowego jest jego bezpieczeństwo – oznacza to, że certyfikowane podpisy opierają się na kryptografii asymetrycznej, co przekłada się na to, że:

  • klucz prywatny jest wykorzystywany do podpisania dokumentu i przypisania konkretnej akcji do konkretnego posiadacza podpisu cyfrowego;
  • klucz publiczny jest wykorzystywany do weryfikacji podpisu.

Chociaż niektóre funkcje podpisu cyfrowego mogą być realizowane za pomocą algorytmów symetrycznych (czyli do weryfikacji i podpisu służą te same klucze), a takie metody posiadają nawet certyfikat ISO (13888-2), to nadal są one mniej popularną metodą podpisywania dokumentów.

Sama mechanika działania podpisu cyfrowego asymetrycznego opiera się na trójelementowym algorytmie probabilistycznym czasu wielomianowego G, S, V (co sprowadza się do tego, że algorytm działa w oparciu o trzy kluczowe elementy):

  • G, czyli generator kluczy publicznych i odpowiadających im kluczy prywatnych;
  • S, czyli samo podpisanie – łączy się z kluczem publicznym i prywatnym (jak wspomniałem powyżej);
  • V, czyli weryfikacja – która stwierdza, czy klucz publiczny i prywatny odpowiadają sobie.

Innymi słowy: podpis cyfrowy pozwala, przy użyciu szyfrowania, na podpisywanie dokumentów oraz weryfikację podpisu konkretnej wersji.

Warto wspomnieć, że istnieją obecnie dwa najpopularniejsze standardy podpisu cyfrowego – RSA i DSA.

Podpis cyfrowy w standardzie RSA (Rivest-Shamir-Adleman) to jedno z najstarszych tego typu rozwiązań – oferowane od 1989 roku. Z kolei standard DSA (Digital Signature Algoritm)  jest rozwiązaniem stworzonym jako amerykański Federalny Standard Procesowania Informacji – jest to ujednolicony standard podpisu elektronicznego. Warto wspomnieć, że patent na standard RSA był zamknięty, a korzystanie z patentu na podpisy cyfrowe, oparte o standard DSA, było darmowe dzięki otwartemu patentowi.

Między innymi ta decyzja twórców DSA przyczyniła się do szerokiego rozwoju i dostępności podpisów cyfrowych na świecie. To duże uproszczenie działania podpisu cyfrowego – jeśli chcesz dowiedzieć się więcej, na Wikipedii znajdziesz obszerny artykuł o kryptografii klucza publicznego, który znacznie rozszerza tę metodę sygnowania dokumentów. Jednak istotne jest prawne uregulowanie podpisu cyfrowego – bez tego jest on tylko przyjemnym dodatkiem do pracy, z którego w rzeczywistości nie byłoby sensu korzystać.

Podstawa prawna korzystania z podpisu cyfrowego

Podobnie jak w przypadku innych rozwiązań, które mają jakiś „ciężar prawny”, istotne jest „umocowanie” ich w obowiązujących przepisach. O ile trudno mówić o tym, żeby skan podpisu traktować jako „podpis elektroniczny” (chociaż wiele osób nadal tak go traktuje), o tyle uregulowanie prawne podpisu cyfrowego i kwalifikowanego podpisu cyfrowego są jasne. Ale już na samym początku może rodzić się podstawowe pytanie: czy podpis cyfrowy to w praktyce to samo co kwalifikowany podpis elektroniczny? Niekoniecznie; ale prawo polskie i unijne (podobnie jak normy ISO) pędzą z wyjaśnieniem.

Zatem – podpis cyfrowy jest uregulowany przez normę ISO 7498-2:1989; określa ona, że podpis cyfrowy jest formą elektronicznego i zabezpieczonego kryptograficznie potwierdzenia wiarygodności danych oraz ochrony ich przed fałszerstwem. Idąc tym tropem – oraz opierając się o rozumienie obecnie obowiązujących przepisów – można stwierdzić, że podpis cyfrowy może być narzędzia (lub mechanizmu), które służy do dokonania podpisu elektronicznego.

Z kolei dyrektywa unijna stwierdza, że podpis elektroniczny jest raczej czynnością (czyli samym aktem podpisania dokumentu przez osobę fizyczną), niż narzędziem do realizacji tej czynności. Narzędziem jest… podpis cyfrowy. To trochę skomplikowane, zwłaszcza gdy doda się do tego polskie prawo, przyjętą w nim terminologię oraz – co nie mniej komplikujące – samą certyfikację podpisu.

Warto pamiętać jednak, że:

  • podpis cyfrowy może być rozumiany jako narzędzie do elektronicznego poświadczenia dokumentu i zabezpieczania przed fałszerstwem;
  • podpis elektroniczny może być rozumiany jako czynność, mająca na celu podpisanie konkretnego dokumentu;
  • polskie prawo odnosi się do kwestii podpisu cyfrowego (jako narzędzia) oraz samej czynności podpisu elektronicznego w ustawie o usługach zaufania (U. z 2020 r. poz. 1173).

Poznaj Adobe Sign – program do podpisu elektronicznego

Najczęściej wybierane:

Adobe Sign for business – subskrypcja MULTI/PL

Adobe Sign for business – subskrypcja MULTI/PL

– Nowa subskrypcja (12 miesięcy)
– Subskrypcja na użytkownika
150 transakcji (do wykorzystania przez rok)
– Dla średnich i dużych organizacji
– Wersja wielojęzykowa/polska (MULTI/PL)
– Wersja elektroniczna (szybka realizacja)

1 389,90 zł

Adobe Sign for enterprise – subskrypcja MULTI/PL

Adobe Sign for enterprise – subskrypcja MULTI/PL

– Nowa subskrypcja (12 miesięcy)
– Subskrypcja na użytkownika
150 transakcji (do wykorzystania przez rok)
– Dla dużych organizacji z potrzebą integracji systemów
– Wersja wielojęzykowa/polska (MULTI/PL)
– Wersja elektroniczna (realizacja 24-48h)

3 527,84 zł

Adobe Sign for business – transakcje 1000-2499 – MULTI/PL/COM-GOV

Adobe Sign for business – transakcje 1000-2499 – MULTI/PL/COM-GOV

– Zakup pojedynczych transakcji
– Cena jednostkowa z przedziału 1000-2499
– Ważne rok od zakupu

– Dla średnich i dużych organizacji
– Wersja wielojęzykowa/polska (MULTI/PL)
– Wersja elektroniczna (realizacja 24-48h)

14,22 zł

Zastosowanie podpisu cyfrowego – w firmie, ale również w życiu prywatnym

Podpis cyfrowy, dostarczony przez certyfikowany podmiot, znajdzie zastosowanie zarówno w firmie, jak i życiu prywatnym.

Do najważniejszych możliwości podpisu cyfrowego można zaliczyć:

  • załatwianie spraw urzędowych, bez konieczności pojawiania się w urzędzie – podpis cyfrowy ma zarówno funkcje równoznaczne z podpisem odręcznym, jak i zapewnia wysokie bezpieczeństwo procesu podpisywania składanych w urzędzie dokumentów. Wiele osób woli korzystać z niego niż z Profilu Zaufanego – w dużej mierze dzięki znacznemu uproszczeniu procesu podpisywania dokumentów (zwłaszcza w porównaniu z wieloma przekierowaniami na stronę banku i czekaniem na kod SMS);
  • podpisywanie umów – zarówno firmowych (świetne rozwiązanie dla prezesów i osób decyzyjnych, które stawiają duży nacisk na mobilność lub rzadko bywają w biurach), jak prywatnych (świetne rozwiązanie z perspektywy freelancerów, którzy mogą podpisywać umowy z kontrahentami z dowolnego miejsca na świecie);
  • zmniejszenie kosztów prowadzenia działalności – przy pełnym wprowadzeniu podpisu cyfrowego w obiegu dokumentów firmowych możliwe jest niemal całkowite wyeliminowanie kosztów druku, dystrybucji i przechowywania dokumentów;
  • wysoki poziom bezpieczeństwa podpisywanych umów czy procesowanych dokumentów oraz praktyczne zwiększenie mobilności samego przedsiębiorstwa – bez ograniczeń w postaci konieczności fizycznego pojawiania się w firmie w celu podpisania umów, itp.

Te zalety to w praktyce tylko część możliwości podpisu cyfrowego, chociaż realne korzyści możesz dostrzec dopiero gdy połączysz sam podpis z systemem do obiegu i podpisywania dokumentów elektronicznych przy pomocy certyfikowanego podpisu cyfrowego – na przykład Adobe Sign.

Pierwsze pozwalają na szybkie i wygodne tworzenie oraz edytowanie wersji tekstowych dokumentów – w praktyce na każdym etapie pracy, od przygotowywania do nanoszenia poprawek. Również online, chociaż widać, że Microsoft 365 mocno stawia na wersje online swoich aplikacji do pracy z dokumentami.

Produkty Adobe są z kolei trybami, w których przygotowane dokumenty mogą przechodzić przez kolejne etapy weryfikacji czy nanoszenia poprawek: Adobe Sign czy Acrobat pozwalają na przeglądanie, weryfikowanie, edytowanie (śledzone) i podpisywanie konkretnych wersji dokumentów – zwłaszcza w formacie PDF

Jednak funkcjonalności samych aplikacji obu firm, chociaż bardzo przydatne i znane od lat, zyskują w perspektywie wykorzystania chmur dedykowanych obu systemom (które to chmury można też ze sobą integrować dzięki kluczom API, zapewniając płynny obieg plików).

MS OneDrive czy Adobe Document Cloud to usługi dedykowane zarówno małym jak i wielkim firmom – pozwalają na płynne udostępnianie i przechowywanie dokumentów online w chmurze, co jest niezwykle istotne przy pracy w rozproszonym zespole lub w sytuacji, w której ważny jest natychmiastowy dostęp do zasobów przedsiębiorstwa. Jeśli dodasz do tego zgodność obu rozwiązań ze standardami ISO i wsparcie ze strony firm wdrażających czy dostarczających oprogramowanie – okazuje się, że te rozwiązania pozwalają szybko przesiąść się w stu procentach na pracę z dokumentami online.

Koszt podpisu cyfrowego (i dlaczego sam podpis bez systemu może być zbędnym wydatkiem)

Zakup podpisu cyfrowego może wiązać się z pewnymi kosztami, które zależą jednak od dostawcy oraz usług dodatkowych czy samej formy podpisu cyfrowego. W Polsce przyjęło się mówić o podpisie cyfrowym „podpis elektroniczny” – wielu dostawców oferuje założenie go jako „kwalifikowanego podpisu elektronicznego”. Chociaż te nazwy wiążą się z różnymi rozwiązaniami czy metodami, to jedno pozostaje bez zmian – celem stosowania podpisu cyfrowego jest możliwość elektronicznego poświadczenia dokumentu, równoznacznego z osobistym podpisem.

Jak pewnie się domyślasz, istnieje też wiele rodzajów narzędzi do podpisywania:

  • podpis cyfrowy w formie karty (z czytnikiem);
  • podpis cyfrowy w formie klucza USB;
  • podpis cyfrowy w chmurze.

Różnice między tymi rozwiązaniami są zauważalne w dużej mierze z praktycznego punktu widzenia – korzystając z podpisu w formie karty żeby cokolwiek podpisać potrzebujesz czytnika.

Z kolei podpis cyfrowy w chmurze oferuje znacznie wyższą mobilność, jednak wymaga od Ciebie większej dbałości o bezpieczeństwo telefonu (jednorazowe kody weryfikacyjne do podpisania dokumentów przychodzą w formie wiadomości SMS lub push).

Zatem – cena podpisu cyfrowego, razem ze szkoleniem z korzystania z niego oraz zestawem dodatkowych narzędzi (o ile takie są niezbędne do korzystania z niego) – może się wahać od nieco ponad 100 złotych za rok nawet do kilkuset lub kilku tysięcy złotych.

Istotne jest jednak to, co dostajesz w tej cenie. Na przykład jeden z najstarszych polskich podpisów cyfrowych, dystrybuowany przez Polską Wytwórnię Papierów Wartościowych, kosztuje nieco ponad sto złotych, do których trzeba doliczyć szkolenie oraz koszt niezbędnych narzędzi (karty/czytnika). Z kolei podpis cyfrowy dostępny dla użytkowników Adobe Sign to w praktyce kluczowy element zaawansowanego systemu do obiegu i podpisywania dokumentów w firmie.

Kluczowy, ale jednak – element. Oznacza to, że w jednej „paczce” masz nie tylko wysokiej jakości podpis cyfrowy, ale także zestaw znakomitych narzędzi, które umożliwiają usprawnienie pracy w każdej firmie.

Innymi słowy: musisz samodzielnie podjąć decyzję, czy potrzebujesz jedynie podpisu cyfrowego do elektronicznego sygnowania dokumentów od czasu do czasu (wtedy z pewnością sprawdzi się najprostszy podpis cyfrowy), czy całego systemu, który pozwoli Ci pozbyć się papieru w firmie.