Podpis cyfrowy: definicja, funkcjonowanie i różnica w stosunku do podpisu elektronicznego
Wiele osób myli « podpis cyfrowy » z « podpisem elektronicznym ». Te dwa terminy jednak nie oznaczają tego samego. Oto jasne wyjaśnienie, bez żargonu technicznego, aby zrozumieć różnicę i wybrać właściwe rozwiązanie.
Krótko mówiąc
Podpis cyfrowy to precyzyjny mechanizm kryptograficzny (klucz prywatny + certyfikat + odcisk palca dokumentu), który potwierdza tożsamość podpisującego i integralność dokumentu. Podpis elektroniczny to termin bardziej ogólny, prawny, który oznacza każde urządzenie umożliwiające podpisanie dokumentu w sposób zdemateriazowany — podpis cyfrowy jest zaawansowaną formą tego. W praktyce, gdy strona taka jak Certyneo mówi o « podpisie elektronicznym », prawie zawsze chodzi o podpis cyfrowy w sensie technicznym.
Co to jest podpis cyfrowy?
Podpis cyfrowy to dane kryptograficzne dołączone do dokumentu elektronicznego. Tworzony jest na podstawie odcisku dokumentu (hash) i klucza prywatnego należącego do podpisującego. Każda osoba dysponująca odpowiadającym jej kluczem publicznym może wtedy sprawdzić dwie rzeczy: czy dokument nie został zmieniony po podpisaniu, oraz czy podpis został rzeczywiście złożony przez posiadacza klucza prywatnego. Podpis cyfrowy jest wykorzystywany w większości rozwiązań podpisu elektronicznego zgodnych z rozporządzeniem eIDAS.
Podpis cyfrowy a podpis elektroniczny
Te dwa terminy są często używane zamiennie, ale nie oznaczają dokładnie tego samego.
| Kryterium | Podpis cyfrowy | Podpis elektroniczny |
|---|---|---|
| Natura | Mechanizm techniczny (kryptografia) | Pojęcie prawne (eIDAS) |
| Zakres | Ograniczony: konkretna metoda | Szeroki: dowolne urządzenie do podpisu elektronicznego |
| Gwarancje | Tożsamość + integralność potwierdzone matematycznie | Zmienna w zależności od poziomu (SES, AES, QES) |
| Przykład | Podpis PAdES pliku PDF z certyfikatem X.509 | Pole wyboru "akceptuję", podpis myszą, podpis cyfrowy z certyfikatem |
| Wartość prawna | Silna (równoważna podpisowi odręcznemu na poziomie AES/QES) | Zmienna w zależności od wybranego poziomu |
Jak działa podpis cyfrowy?
Proces w 4 etapach — uproszczony.
- 1
Obliczanie skrótu dokumentu
Dokument przechodzi przez funkcję haszowania (SHA-256). Rezultatem jest unikalny skrót o wielkości kilku bajtów, który zmienia się drastycznie, jeśli nawet jeden znak dokumentu zostanie zmieniony.
- 2
Szyfrowanie skrótu kluczem prywatnym
Skrót jest szyfrowany kluczem prywatnym sygnatariusza, przechowywany na bezpiecznym nośniku (HSM, karta inteligentna lub serwer zgodny z eIDAS dla podpisu zdalnego).
- 3
Umieszczenie podpisu i certyfikatu
Zaszyfrowany skrót jest dołączany do dokumentu razem z certyfikatem cyfrowym sygnatariusza (zawierającym jego klucz publiczny i tożsamość potwierdzoną przez urząd certyfikacji).
- 4
Weryfikacja przez odbiorcę
Odbiorca używa klucza publicznego z certyfikatu do odszyfrowania podpisanego skrótu, a następnie porównuje go ze skrótem przeliczonym dokumentu. Jeśli oba się zgadzają, dokument jest autentyczny i nie został zmieniony.
Kiedy używa się podpisu cyfrowego?
- Podpisywanie umowy o pracę zdalnie
- Walidacja faktury elektronicznej zgodnej
- Podpisywanie demateriazowanego aktu notarialnego
- Uwierzytelnianie dokumentów bankowych
- Podpisywanie umowy handlowej zdalnie
- Walidacja oferty lub zlecenia
- Podpisywanie umowy najmu lub nieruchomości
- Dokumenty medyczne i zgody pacjentów
Chcesz podpisywać dokumenty cyfrowo?
Certyneo proponuje podpis elektroniczny zgodny z eIDAS (wykorzystujący podpis cyfrowy w tle) — bezpłatny do 5 kopert miesięcznie, bez karty kredytowej.
Często zadawane pytania
Podpis cyfrowy i podpis elektroniczny to to samo?
Nie, ale są ściśle powiązane. Podpis elektroniczny to pojęcie prawne zdefiniowane rozporządzeniem eIDAS — oznacza dowolne urządzenie do podpisu elektronicznego. Podpis cyfrowy to technologia kryptograficzna, która umożliwia większość zgodnych podpisów elektronicznych (zwłaszcza poziomy AES i QES).
Czy podpis cyfrowy ma wartość prawną?
Tak, gdy jest używany w ramach zaawansowanego podpisu elektronicznego (AES) lub kwalifikowanego (QES) w sensie eIDAS, jego wartość prawna jest równoważna wartości podpisu odręcznego. Poziom prosty (SES) — często pole wyboru — nie ma takiej mocy dowodowej.
Jak sprawdzić autentyczność podpisu cyfrowego?
Większość czytników PDF (Adobe Acrobat Reader, Foxit) wyświetla status podpisu po otwarciu podpisanego dokumentu. Możesz także skorzystać z usługi weryfikacji Krajowej Agencji Bezpieczeństwa Systemów Informatycznych (ANSSI) dla europejskich podpisów kwalifikowanych.
Czy potrzebujesz specjalnego oprogramowania do podpisu cyfrowego?
Nie, nie dla sygnatariusza. Platforma taka jak Certyneo zajmuje się częścią techniczną: generowaniem certyfikatu, obliczaniem skrótu, podpisem kryptograficznym, stemplowaniem czasu. Sygnatariusz musi tylko kliknąć przycisk "Podpisz" w przeglądarce.