Podpisy kwalifikowane — omówienie

Spec Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence § Standard-backed Evidence: Standard-backed

W skrócie

„Kwalifikowany” to status prawny określony w unijnym rozporządzeniu eIDAS, a nie właściwość, którą może nadać biblioteka. Aby go uzyskać, kilka podmiotów musi wykonać określone zadania: potrzebny jest certyfikat kwalifikowany, kwalifikowane urządzenie do składania podpisu, kwalifikowany dostawca usług zaufania oraz publikowane listy zaufania. Ta strona opisuje te role i jasno wskazuje ściśle ograniczony zakres NextPDF — oraz większe obszary, za które NextPDF nie odpowiada.

Dlaczego to ma znaczenie

qualified electronic signature ma w danej jurysdykcji skutek prawny, który przypisuje mu prawo. Właśnie dlatego status „kwalifikowany” jest atrakcyjny. Z tego samego powodu jego pochopne przypisywanie jest niebezpieczne. Załóżmy, że pewien proces opisano jako wytwarzający podpisy kwalifikowane, ale brakuje jednej roli w łańcuchu — certyfikat nie jest kwalifikowany, urządzenie nie jest QSCD albo dostawca nie figuruje na liście zaufania. Wtedy podpisy nie są kwalifikowane. Ta luka ujawnia się zazwyczaj w momencie o największych konsekwencjach: podczas sporu, audytu czy transgranicznej weryfikacji uznania.

Trudność polega na tym, że w pełni ważny podpis zaawansowany i podpis kwalifikowany mogą wyglądać identycznie w przeglądarce PDF. Różnica tkwi w certyfikacie, urządzeniu, dostawcy i liście zaufania — z których żadnego nie dostarcza silnik podpisujący. Kluczowe jest precyzyjne ustalenie, która strona odpowiada za którą gwarancję.

Wersja skrócona

• Kwalifikowany to łańcuch, a nie funkcja. Wymaga certyfikatu kwalifikowanego wystawionego przez kwalifikowanego dostawcę usług zaufania, podpisywania na QSCD oraz możliwości odnalezienia za pośrednictwem list zaufania. Usunięcie któregokolwiek elementu sprawia, że wynik przestaje być kwalifikowany.
• QSCD jest obowiązkowe. Zgodnie z politykami certyfikatów kwalifikowanych podpisy muszą być tworzone wyłącznie przez kwalifikowane urządzenie do składania podpisu. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
• Wyłączna kontrola pozostaje po stronie podpisującego i urządzenia. Klucz prywatny musi pozostawać pod wyłączną kontrolą podpisującego i być przechowywany w urządzeniu, które go chroni oraz wykonuje podpisywanie w imieniu użytkownika. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
• Rola NextPDF jest wąska i jasno określona. Składa on strukturalnie poprawny podpis PDF i może osadzić zaufany znacznik czasu oraz materiał do walidacji długoterminowej. Nie jest QSCD, nie jest (kwalifikowanym) dostawcą usług zaufania i nie wystawia certyfikatów, nie prowadzi list zaufania ani nie nadaje statusu kwalifikowanego.

Jak podchodzi do tego NextPDF

Nazwane role

qualified electronic signature w rozumieniu eIDAS składa się z odrębnych obowiązków. NextPDF odpowiada dokładnie za jeden obszar; pozostałe należą do podmiotów i standardów spoza silnika.

1. Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
2. Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control
3. Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements ETSI EN 319 412-5 qualified-certificate profile — the QC statements
4. Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
5. Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds

Łańcuch, który po kolei przemierza qualified electronic signature, oraz to, kto odpowiada za każde ogniwo: certyfikat kwalifikowany, QSCD, kwalifikowany dostawca usług zaufania i lista zaufania nie są silnikiem podpisującym — NextPDF jedynie składa nośnik podpisu PDF i może dodać zaufany czas oraz materiał walidacyjny.

• Certyfikat kwalifikowany. Certyfikat wystawiony podpisującemu, zawierający oświadczenia QC, które oznaczają go w sposób czytelny maszynowo jako certyfikat kwalifikowany do podpisu elektronicznego oraz identyfikują kwalifikowanego dostawcę usług zaufania, który go wystawił. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF go nie wystawia.
• QSCD. Kwalifikowane urządzenie do składania podpisu — w terminologii ETSI bezpieczne urządzenie kryptograficzne, które przechowuje klucz prywatny użytkownika, chroni go przed kompromitacją i wykonuje podpisywanie w jego imieniu. Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF to oprogramowanie, które podpisuje za pośrednictwem takiego urządzenia; sam silnik nie jest QSCD, a jego ścieżka klucza programowego nim nie jest.
• Kwalifikowany dostawca usług zaufania. QTSP wystawia certyfikat kwalifikowany i sam jest nadzorowany; polityki wymagają, aby podpisy oparte na tych certyfikatach były tworzone wyłącznie przez QSCD. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF nie jest dostawcą usług zaufania.
• Listy zaufania. Publikowany dowód, na podstawie którego strona ufająca ustala, że dostawca i usługa były kwalifikowane. NextPDF nie prowadzi list zaufania ani za nie nie odpowiada.

Wąska część, jaką odgrywa NextPDF

W ramach tego łańcucha zadanie NextPDF jest ograniczone i konkretne. Składa on podpis PDF: umieszcza pole podpisu, oblicza zakres bajtów (byte range) i buduje strukturę CMS SignedData, którą standard nakazuje przechowywać we wpisie Contents. Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 Gdy klucz podpisujący znajduje się na QSCD, NextPDF podpisuje za jego pośrednictwem, przez tę samą granicę sprzętową opisaną w podpisywaniu opartym na HSM, a klucz pozostaje na urządzeniu.

NextPDF może także osadzić dwa składniki, które zwiększają trwałość podpisu: zaufany znacznik czasu od urzędu znacznika czasu oraz materiał do walidacji długoterminowej, który utrzymuje jego weryfikowalność. Znacznik czasu to dowód zaufanej strony trzeciej, że określone dane istniały przed określoną chwilą Spec Spec: RFC 3161, §1 RFC 3161 §1 ; w ramach UE ten urząd działa zgodnie z polityką dla dostawców usług zaufania wystawiających znaczniki czasu. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF żąda tokenu i go osadza. Nie prowadzi urzędu znacznika czasu, a osadzenie znacznika czasu samo w sobie nie czyni podpisu kwalifikowanym.

Co mówią dowody

Evidence § Standard-backed Evidence: Standard-backed Wymóg QSCD jest jednoznacznie wyrażony w politykach certyfikatów kwalifikowanych: obowiązki abonenta (lub zarządzającego TSP) wymagają, aby podpisy cyfrowe tworzono wyłącznie przez QSCD. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 Samo urządzenie jest zdefiniowane jako takie, które przechowuje klucz prywatny użytkownika, chroni go przed kompromitacją i wykonuje podpisywanie w imieniu użytkownika Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 ; w przypadku osoby fizycznej klucz prywatny musi pozostawać pod wyłączną kontrolą podpisującego. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 Biblioteka podpisująca nie może przejąć żadnego z tych obowiązków od pozostałych ogniw łańcucha.

Evidence § Standard-backed Evidence: Standard-backed O tym, co czyni certyfikat kwalifikowanym, rozstrzygają oświadczenia QC w certyfikacie, w tym czytelne maszynowo wskazanie, że został on wystawiony jako certyfikat kwalifikowany do podpisu elektronicznego, oraz dane identyfikujące kwalifikowanego dostawcę usług zaufania, który go wystawił. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 Biblioteka, która wykorzystuje certyfikat do zbudowania podpisu, nie czyni certyfikatu kwalifikowanym; czyni to QTSP, który go wystawił.

Evidence § Standard-backed Evidence: Standard-backed Zaufany czas wiąże się z odrębną rolą dostawcy. RFC 3161 definiuje urząd znacznika czasu (Time Stamp Authority) jako zaufaną stronę trzecią, która dostarcza dowód, że określone dane istniały w danej chwili Spec Spec: RFC 3161, §1 RFC 3161 §1 ; ETSI EN 319 421 określa wymagania dotyczące polityki i bezpieczeństwa dla dostawców usług zaufania wystawiających znaczniki czasu, które mogą wspierać podpisy cyfrowe lub dowodzić, że określone dane istniały przed określoną chwilą. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF osadza token od takiego dostawcy; status kwalifikowany dostawcy, jeśli taki istnieje, należy do dostawcy, a nie do silnika.

Human-factors note: Human-factors note

Ta strona zaczyna od łańcucha i kosztu brakującego ogniwa, jeszcze przed jakimkolwiek mechanizmem, ponieważ w kontekście zaufania prawnego najbardziej brzemienna w skutki informacja musi znaleźć się tam, gdzie nie można jej przeoczyć. Struktura jest zamierzona: najpierw role, jednoznacznie nazwane wąskie pole NextPDF, a następnie standardy — tak aby czytelnik mógł zatrzymać się po „Wersji skróconej” i już wiedzieć, które gwarancje nie należą do silnika.

Przykład praktyczny

Nie istnieje żadne API, które „czyni podpis kwalifikowanym”, a fragment kodu sugerujący inaczej byłby błędem. Praktycznym artefaktem jest tutaj lista kontrolna odpowiedzialności, z której może skorzystać recenzent:

Ogniwo w łańcuchu	Kto za nie odpowiada	Część NextPDF
Wystawienie certyfikatu kwalifikowanego	Kwalifikowany dostawca usług zaufania	Wykorzystuje go; nie wystawia go
Podpisywanie na QSCD	Podpisujący + urządzenie	Podpisuje za jego pośrednictwem; nie jest QSCD
Wyłączna kontrola nad kluczem prywatnym	Podpisujący + urządzenie	Nigdy nie przechowuje klucza, gdy jest on na QSCD
Dostawca/usługa są kwalifikowane	QTSP + nadzór	Niczego o tym nie zapewnia
Odnajdywalność za pośrednictwem list zaufania	Operatorzy list zaufania	Nie prowadzi ich ani nie sprawdza
Podpis PDF jest poprawnie zbudowany	Silnik podpisujący	To jest pole NextPDF
Osadzony zaufany znacznik czasu	Urząd znacznika czasu	Żąda i osadza token
Materiał do walidacji długoterminowej	Proces signing/validation	Może go osadzić (zob. Powiązane dokumenty)

Jeśli którykolwiek wiersz powyżej zakresu silnika pozostaje niespełniony, wynikiem jest — w najlepszym razie — ważny podpis zaawansowany, a nie kwalifikowany. NextPDF może spełnić każdy wiersz, za który odpowiada, a mimo to nie uczyni podpisu kwalifikowanym, ponieważ nadanie tego statusu nie należy do silnika.

Częste nieporozumienie

„NextPDF wytwarza podpisy kwalifikowane.”

Tak nie jest, a precyzyjne sformułowanie ma znaczenie. NextPDF wytwarza strukturalnie poprawne podpisy PDF i jest kompatybilny z podpisywaniem na QSCD oraz osadzaniem znaczników czasu od kwalifikowanych dostawców. To, czy dany podpis jest kwalifikowany, jest zależne od wdrożenia: zależy od certyfikatu kwalifikowanego, QSCD, kwalifikowanego dostawcy usług zaufania oraz statusu na liście zaufania — z których żadnego silnik nie dostarcza ani nie certyfikuje. Poprawne stwierdzenie brzmi: „NextPDF składa podpis; status kwalifikowany pochodzi od certyfikatu, urządzenia i dostawcy.” Stwierdzenie czegokolwiek więcej zawyżałoby status prawny, którego oprogramowanie nadać nie może.

Granice i ograniczenia

Granica, wyrażona wprost i bez łagodzenia:

• Czym NextPDF jest. Silnikiem podpisującym PDF 2.0. Buduje podpis zgodnie z Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 , podpisuje za pośrednictwem urządzenia, gdy zostanie ono dostarczone, i może osadzić znacznik czasu oraz materiał do walidacji długoterminowej.
• Czym NextPDF nie jest. Nie jest QSCD, nie jest kwalifikowanym (ani żadnym) dostawcą usług zaufania, nie jest urzędem certyfikacji ani nie jest operatorem listy zaufania. Nie ocenia, nie potwierdza ani nie nadaje statusu kwalifikowanego.
• Zgodność to nie certyfikacja. To stwierdzenie strukturalne: NextPDF buduje podpisy zgodne z standardem podpisu PDF i może przenosić elementy, których oczekuje profil AdES. Nie jest to certyfikacja, że jakikolwiek powstały podpis jest kwalifikowany, ani zastępstwo warunków QSCD, certyfikatu, dostawcy i listy zaufania, które — razem — go takim czynią.
• Jurysdykcja ma znaczenie. „Kwalifikowany” i jego skutek prawny są zdefiniowane przez rozporządzenie eIDAS w zakresie jego stosowania. Ta strona to wyjaśnienie inżynierskie, a nie porada prawna. Wystarczalność prawna podpisu do konkretnego zastosowania to kwestia właściwego prawa i prawników stron, a nie dokumentacji biblioteki.

Qualified-signature support — edition availability

Edition	Availability
Core	○ Core buduje nośnik podpisu PDF oraz kontener CMS. Sam w sobie nie przyczynia się do statusu kwalifikowanego.
Pro	○ Pro dodaje podpisywanie kluczem zarządzanym oraz wzbogacanie podpisu, opisane na poziomie zachowania. Nadal nie jest QSCD ani dostawcą usług zaufania.
Enterprise	○ Enterprise dodaje podpisywanie tokenem sprzętowym przez PKCS#11, dzięki czemu klucz podpisujący może znajdować się na urządzeniu, które wdrożenie obsługuje jako QSCD. Silnik podpisuje za pośrednictwem urządzenia; status kwalifikowany pozostaje statusem certyfikatu, urządzenia i dostawcy — nigdy silnika.

Mini-FAQ

Czy podpis zaawansowany to to samo co kwalifikowany? Nie. W przeglądarce mogą wyglądać identycznie. Podpis kwalifikowany wymaga dodatkowo certyfikatu kwalifikowanego, QSCD oraz kwalifikowanego dostawcy usług zaufania; podpis zaawansowany — nie. Różnica tkwi w łańcuchu, a nie w bajtach PDF.

Czy podpisywanie na HSM czyni podpis kwalifikowanym? Nie samo w sobie. QSCD jest konieczne, ale niewystarczające. Certyfikat musi być certyfikatem kwalifikowanym od kwalifikowanego dostawcy usług zaufania, a urządzenie musi spełniać kryteria QSCD dla danego wdrożenia. Zwykły HSM nie jest automatycznie QSCD.

Czy dodanie znacznika czasu czyni podpis kwalifikowanym? Nie. Zaufany znacznik czasu wzmacnia trwałość i dowód czasu; nie dostarcza warunków dotyczących certyfikatu, urządzenia ani dostawcy, które definiują status kwalifikowany. Jest potrzebny dla profili długoterminowych, lecz niewystarczający dla statusu kwalifikowanego.

Czy NextPDF może mi powiedzieć, czy mój podpis jest kwalifikowany? Nie. Silnik nie daje żadnej gwarancji co do statusu kwalifikowanego. Jego ustalenie to kwestia certyfikatu, urządzenia, dostawcy, list zaufania oraz właściwego prawa — poza odpowiedzialnością silnika.

Powiązane dokumenty

• Podpisywanie oparte na HSM — granica sprzętowa urządzenia, z której korzysta podpis oparty na QSCD, oraz miejsce, w którym przebiega granica klucza.
• Znaczniki czasu i zaufany czas — czego dowodzi znacznik czasu RFC 3161 oraz rola dostawcy, która za nim stoi.
• Walidacja długoterminowa — materiał walidacyjny, który utrzymuje weryfikowalność podpisu w czasie.

Słowniczek

• Kwalifikowany podpis elektroniczny — w rozumieniu rozporządzenia eIDAS zaawansowany podpis elektroniczny utworzony przez QSCD i oparty na certyfikacie kwalifikowanym; status prawny, a nie funkcja oprogramowania.
• eIDAS — rozporządzenie UE (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania; ramy prawne definiujące „kwalifikowany” i jego skutek.
• QSCD (kwalifikowane urządzenie do składania podpisu) — urządzenie spełniające kryteria eIDAS; w terminologii ETSI bezpieczne urządzenie kryptograficzne przechowujące klucz użytkownika, chroniące go i podpisujące w imieniu użytkownika.
• Certyfikat kwalifikowany — certyfikat wystawiony przez kwalifikowanego dostawcę usług zaufania, którego oświadczenia QC oznaczają go w sposób czytelny maszynowo jako kwalifikowany do podpisu elektronicznego.
• QTSP (kwalifikowany dostawca usług zaufania) — nadzorowany dostawca usług zaufania wystawiający certyfikaty kwalifikowane i powiązane usługi kwalifikowane.
• Lista zaufania — publikowany dowód, na podstawie którego strona ufająca ustala, że dostawca i usługa były kwalifikowane.
• Wyłączna kontrola — obowiązek, zgodnie z którym klucz prywatny podpisującego będącego osobą fizyczną pozostaje pod wyłączną kontrolą tego podpisującego.
• Urząd znacznika czasu (TSA) — zaufana strona trzecia dostarczająca dowód, że określone dane istniały w danej chwili (RFC 3161).