We wcześniejszym wpisie omówiliśmy dwa podstawowe formaty podpisu elektronicznego – XAdES oraz PAdES – najczęściej wykorzystywane do kwalifikowanych e-podpisów. Kontynuując ten temat, zajmiemy się innym ważnym zagadnieniem: podpisami wewnętrznymi i zewnętrznymi.
To, czy podpis elektroniczny zostanie osadzony w pliku, czy zapisany jako oddzielny plik, ma duże znaczenie praktyczne – zwłaszcza przy podpisywaniu dużych plików lub pracy z rozbudowanymi systemami teleinformatycznymi.
W tym artykule wyjaśniamy, czym są kwalifikowane podpisy wewnętrzne i zewnętrzne oraz co oznaczają w kontekście różnych formatów (PAdES, XAdES, CAdES). Przedstawiamy ich główne plusy i minusy, a także podpowiadamy, kiedy warto użyć każdego z tych rozwiązań.
Podpis wewnętrzny to taki, który zostaje włączony bezpośrednio do podpisywanego dokumentu. Mówiąc prościej: po podpisaniu pliku podpisem wewnętrznym otrzymujemy jeden plik, zawierający zarówno treść dokumentu, jak i informacje o podpisie (certyfikat, znacznik czasu itp.). Typ podpisu wewnętrznego jest dostępny m.in. w standardach PAdES oraz XAdES – oba pozwalają umieścić e-podpis wewnątrz podpisywanego pliku. Przykładowo podpis PAdES zawsze zapisuje podpis razem z PDF-em w jednym pliku, a XAdES może osadzić podpis jako element w strukturze XML oryginalnego dokumentu.
Podpis zewnętrzny natomiast jest oddzielnym plikiem – po podpisaniu dokumentu otrzymujemy dwa (lub więcej) pliki: oryginalny dokument oraz osobny plik z podpisem cyfrowym. Ten zewnętrzny plik (np. z rozszerzeniem .xades lub .sig) zawiera dane kryptograficzne potwierdzające podpis, ale nie zawiera treści oryginalnego dokumentu. Takie kwalifikowane podpisy zewnętrzne można tworzyć w formatach XAdES lub CAdES. W praktyce oznacza to, że aby zweryfikować podpis i treść, odbiorca musi dysponować obiema częściami – dokumentem oraz plikiem podpisu. Brak któregoś z nich uniemożliwi sprawdzenie autentyczności podpisu i zawartości dokumentu.
Różnica między podpisem wewnętrznym a zewnętrznym sprowadza się do sposobu umiejscowienia podpisu – wewnątrz podpisywanego pliku albo jako osobny plik towarzyszący.
Ważne jest jednak podkreślenie, że pod względem prawnym oba rodzaje są równoważne. Zarówno kwalifikowany podpis wewnętrzny, jak i zewnętrzny, spełniają wymogi rozporządzenia eIDAS i są uznawane za prawnie wiążące. Wybór typu podpisu wpływa więc głównie na kwestie techniczne i użytkowe – np. łatwość przechowywania, weryfikacji czy przesyłania dokumentów – a nie na moc prawną samego e-podpisu.
Oba typy podpisów wspierają dodatki jak znaczniki czasu, polityki podpisu itp., zwiększając bezpieczeństwo długoterminowe.
PAdES (PDF Advanced Electronic Signature) to format podpisu kwalifikowanego przeznaczony wyłącznie dla plików PDF. W tym standardzie podpis elektroniczny (oraz certyfikat podpisującego) zostaje wbudowany w strukturę PDF – staje się integralną częścią dokumentu. Dzięki temu wszystko, co potrzebne do weryfikacji, znajduje się w jednym pliku, który można otworzyć w popularnych programach typu Adobe Reader. Co więcej, PAdES umożliwia dodanie wizualnej reprezentacji podpisu na stronie dokumentu (np. graficznej pieczęci czy informacji o podpisie), co zwiększa czytelność i upodabnia e-podpis do podpisu odręcznego na papierze.
XAdES (XML Advanced Electronic Signature) to uniwersalny format podpisu elektronicznego, bazujący na standardzie XML. Jego zaletą jest elastyczność – za pomocą XAdES można podpisać praktycznie dowolny typ pliku: od dokumentów tekstowych (DOCX, ODT), przez PDF, obrazy (JPEG, PNG), arkusze kalkulacyjne, pliki ZIP, aż po dane binarne czy XML. W przypadku danych ustrukturyzowanych (XML) XAdES jest wręcz preferowany, ponieważ pozwala systemom komputerowym zarówno zweryfikować podpis, jak i automatycznie przetworzyć zawartość dokumentu. Z tego powodu XAdES bywa wymagany przy elektronicznym składaniu formularzy i wniosków do instytucji (np. deklaracje podatkowe PIT, wnioski ZUS), gdzie dane z dokumentu mają być wczytane do systemu informatycznego.
XAdES oferuje zarówno tryb podpisu wewnętrznego, jak i zewnętrznego. Jeśli podpisujemy plik XML, podpis XAdES może zostać osadzony jako element wewnątrz tego pliku (podpis wewnętrzny/otoczony). Natomiast dla innych typów plików (np. PDF, DOCX, JPG) zazwyczaj stosuje się podpis zewnętrzny XAdES – skutkiem podpisania będzie oryginalny plik plus oddzielny plik .xades zawierający podpis. Taki podział powoduje pewne niedogodności: przy podpisywaniu np. PDF w formacie XAdES trzeba zawsze przekazać odbiorcy dwa pliki i upewnić się, że zweryfikuje on podpis wraz z dokumentem. Pominięcie pliku podpisu lub jego nieprawidłowe skojarzenie z dokumentem sprawi, że podpis nie zostanie uznany za ważny. Istnieje co prawda możliwość stworzenia jednego pliku .xades zawierającego zarówno podpis, jak i zakodowaną treść (np. PDF w formie binarnej) – jest to tzw. podpis otaczający – ale taki plik nie jest bezpośrednio czytelny dla użytkownika (trzeba najpierw wydobyć z niego oryginalny dokument), więc w praktyce jest mało wygodny.
Ciąg dalszy nastąpi – w drugiej części artykułu omówimy format CAdES oraz praktyczne wskazówki dotyczące wyboru rodzaju podpisu.
Zapraszamy!
Jeśli masz jakiekolwiek wątpliwości lub pytania, skontaktuj się z nami
Odpowiemy na Twoje pytania, znajdziemy pasujący Ci termin oraz doradcę w Gdańsku, Gdyni, Krakowie, Warszawie lub Wrocławiu.
Możesz również napisać od nas emaila [email protected].
