Urzędowe Poświadczenie Odbioru w e-PUAP

Opisywałem już wymagania, które powinno spełniać Urzędowe Poświadczenie Odbioru (UPO). W ramach testów e-PUAP przeanalizujemy, które z nich zostały spełnione przez zespół MSWiA. Analizowany dokument znajduje się w załączniku.

Wstępna analiza struktury

Pierwszą różnicą między obowiązującymi przepisami a systemem e-PUAP jest nazewnictwo. Dokument, o którym rozporządzenia piszą jako Urzędowym Poświadczeniu Odbioru, w przypadku e-PUAP nazywa się Urzędowe Poświadczenie Przedłożenia. Z technicznego punktu widzenia jest to nawet lepsza terminologia, bardziej bowiem odpowiada rzeczywistej funkcji tego dokumentu; nie wiem jednak, czy nie spowoduje to jakichś problemów prawnych. Tak czy inaczej w dalszej części niniejszego artykułu będzie wykorzystywana nazwa UPP.

Informacje zawarte w UPP

UPP wystawione przez e-PUAP zawiera:

  • dane adresata pisma (nazwa podmiotu i wewnętrzny identyfikator w systemie e-PUAP)
  • dane nadawcy pisma (nazwa podmiotu i wewnętrzny identyfikator w systemie e-PUAP)
  • datę doręczenia pisma
  • datę wytworzenia poświadczenia
  • identyfikator przyjętego dokumentu
  • podpis elektroniczny

Podpis elektroniczny

Zgodnie z przepisami UPO (a więc i e-PUAPowe UPP) powinno być przygotowane w taki sposób, by można było wykryć ewentualne jego modyfikacje. e-PUAP wykorzystuje do tego, podobnie zresztą jak inne systemy realizujące funkcjonalność skrzynki podawczej, podpis elektroniczny. W tym przypadku wykorzystano podpis elektroniczny w formacie XAdES. Jest to podpis typu ENVELOPED. Dodatkowo podpisywana jest referencja do złożonego dokumentu, przy czym referencja ta przed podpisaniem jest przetwarzana transformacją C11N - odpada więc możliwość bezpośredniego wysłania dokumentu w formacie binarnym.

Do złożenia podpisu pod UPP wykorzystano certyfikat wystawiony na okres 3 lat przez Sigillum (Level 3). System Windows nie ma domyślnie zainstalowanych certyfikatów tego centrum certyfikacji, w wyniku czego po otwarciu certyfikatu na lokalnym komputerze pojawia się informacja o braku możliwości zbudowania ścieżki certyfikacji. Można wprawdzie zainstalować odpowiednie certyfikaty wystawcy, ale nie jest to rozwiązanie poprawne z formalnego punktu widzenia - nie ma bowiem podstaw, by ufać komercyjnemu centrum certyfikacji w zakresie wystawianych certyfikatów niekwalifikowanych.

Z ciekawostek należy zauważyć, że certyfikat ten ma określony sposób użycia klucza (key usage) jako: Podpis cyfrowy, Bez odrzucania, przy czym flaga bez odrzucania to oznaczenie specyficzne dla certyfikatów kwalifikowanych. Oczywiście nie jest on certyfikatem kwalifikowanym - nie spełnia bowiem innych wymagań w tym zakresie. Intuicja mi jednak mówi, że takie określenie sposobu użycia klucza w certyfikatach kwalifikowanych mogłoby umożliwić podpisywanie takimi certyfikatami na przykład poczty elektronicznej.

Wymagania prawne

Poniżej znajdują się wymagania, o których pisałem wcześniej. Wymagania, które moim zdaniem nie są spełnione, oznaczone zostały pogrubieniem, a wymogi, których realizacja budzi wątpliwości - pochylonym pogrubieniem.

UPP powinno zawierać:
1.1. pełną nazwę Urzędu,
1.2. datę i czas doręczenia dokumentu (dostarczenia dokumentu do systemu informatycznego Urzędu),
1.3. datę i czas wystawienia Urzędowego Poświadczenia Odbioru.

Ponadto:
2.1. powinno mieć format XML (jest bowiem przygotowane do przesyłania za pomocą środków komunikacji elektronicznej),
2.2. musi zawierać co najmniej następujące metadane w formie umożliwiającej ich łatwe wyodrębnienie:
2.2.1. jednoznaczny identyfikator - w UPP znajduje się jedynie identyfikator dokumentu, którego ono dotyczy, nie znalazłem jednak identyfikatora UPP (choć można przyjąć, że jest on jednoznaczny z identyfikatorem dokumentu - pod warunkiem, że dla 1 dokumentu wystawia się zawsze 1 i tylko 1 UPP);
2.2.2. tytuł;
2.2.3. informację o formacie i typie dokumentu,
2.2.4. określenie, komu i na jakich zasadach można udostępnić dokument;
2.2.5. informacje na temat dokumentu, którego dotyczy;
2.2.6. informacja o podmiocie, do którego adresowane jest UPO.

Podsumowanie

Moim zdaniem struktura UPP jest z technicznego punktu widzenia wystarczająca. Oczywiście przeprowadzona przeze mnie analiza nie jest wyczerpująca; należałoby ją rozbudować i uszczegółowić. Wskazane byłoby też, by UPP przyjrzał się prawnik i zweryfikował je z punktu widzenia obowiązujących przepisów.

Kategoria: 

Komentarze

Wartość nonRepudiation atrybutu keyUsage nie jest zastrzeżona dla certyfikatów kwalifikowanych.

W ogóle interpretowanie tych wartości dosłownie wg znaczenia nazw jest bardzo mylące. W rzeczywistości wartość nonRepudiation oznacza "podpis podmiotu pod treścią", a digitalSignature "wszystkie pozostałe użycia matematycznej operacji podpisu" czyli np. uwierzytelnienie przez podpisanie danych losowych. Jak widać, faktyczne znaczenie wartości jest prawie odwrotne niż to by wynikało z nazw.

Połączenie tych flag w certyfikacie kwaliifkowanym jest niezalecane przez ETSI i niedopuszczalne przez nasze rozporządzenie dla uniknięcia nadużyć. W certyfikacie niekwalifikowanym, w zależności od profilu, nie jest to specjalna usterka. Do podpisywania UPO/UPP właściwie wystarczyłoby samo nonRepudiation (bo UPO jest niewątpliwie jakąś podpisywaną treścią), ale może używają tego jeszcze do czegoś.

Certyfikat kwalifikowany możemy wyróżnić na podstawie rozszerzenia qcStatement lub/i innych, wskazanych przez definicję "kwalifikacji" np. opis "Nr wpisu" w polskim rozporządzeniu.

Dodaj komentarz

Markdown

  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.

Filtered HTML

  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Dozwolone znaczniki HTML: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <small>
  • Znaki końca linii i akapitu dodawane są automatycznie.

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
CAPTCHA
Proszę, przepisz napis z obrazka do okienka poniżej. Sprawdzamy w ten sposób, czy nie jesteś aby robotem. Wielkość znaków ma znaczenie!
By submitting this form, you accept the Mollom privacy policy.