FAQ Najczęściej
Zadawane Pytania
Strona ze zbiorem najczęstszych pytań oraz odpowiedzi dotyczących naszej usługi weryfikacjapodpisu.pl oraz tematyki usług bezpieczeństwa powiązanej z podpisem elektronicznym w ramach rozporządzenia eIDAS. Sprawdź pytania w poniższych zakładkach, aby uzyskać odpowiedzi na swoje i znaleźć dodatkowe informacje.
Jak weryfikować podpis elektroniczny w formacie XAdES?
Czy można zweryfikować spakowaną paczkę plików typu RAR lub ZIP?
Tak weryfikator jest w stanie automatycznie rozpakować archiwum RAR i ZIP i zweryfikować jego zawartość.
Który rodzaj podpisu elektronicznego wykorzystać do określonego formatu podpisów elektronicznych?
Rozporządzenie eIDAS wskazuje cztery główne formaty podpisów:
- XAdES, dla dokumentów XML oraz jako podpis zewnętrzny dla dowolnego/ych pliku/ów,
- PAdES, wyłącznie dla dokumentów PDF,
- CAdES, postać binarna, występuje w formie wewnętrznej i zewnętrznej,
- ASiC, to jest paczka/kontener zawierająca wiele podpisanych dokumentów.
Co oznacza status nieobsługiwany format podpisu?
Weryfikator obsługuje formaty podpisu takie jak (XAdES, CAdES, PAdES, ASiC, PKCS7), na różnych poziomach walidacji, które dostępne są na stronie głównej aplikacji. Formaty, formy nie wskazane na stronie nie są obsługiwane. Ponadto taki komunikat może się pojawić w przypadku nieobsługiwanego algorytmu podpisu, transformaty dokumentu mimo, że podpis zapisano w obsługiwanym formacie.
Czy wymagane jest stosowanie algorytmu SHA-2?
Od 1 lipca 2018 w Polsce (zgodnie z Ustawą o usługach zaufania i identyfikacji elektronicznej) do składania podpisów elektronicznych nie powinno się używać funkcji skrótu SHA-1. W to miejsce należy używać funkcji z rodziny SHA-2. Jednakże nie można automatycznie uznać takiego podpisu za nieważny, ponieważ w normach obecnie jest niezalecany, ale nie został uznany za wycofany. System przy weryfikacji zwraca informację o wykorzystanym algorytmie funkcji skrótu, na który należy aktualnie zwrócić uwagę analizując wynik weryfikacji w konkretnej czynności prawnej.
Co oznacza status: Certyfikat jest nieważny?
Status oznacza, że certyfikat stracił swoją ważność. W szczegółach weryfikacji można znaleźć daty graniczne ważności certyfikatu. Informacja ta jest o tyle ważna, że w momencie weryfikacji podpisu elektronicznego dla którego certyfikat podpisującego nie jest już ważny nie ma dowodów, iż dokument został podpisany w okresie jego ważności, a więc w okresie kiedy można by go uznać za ważny. W tym celu warto stosować znakowanie czasem podpisu.
Co oznacza informacja: Niewłaściwa ścieżka certyfikacji?
Status oznacza problem z odszukaniem ścieżki certyfikacji podpisującego po stronie list CRL, TSL, OCSP, których zadaniem jest potwierdzić wystawcę certyfikatu, jego ważność oraz dane osoby na którą certyfikat został wydany.
W jaki sposób najlepiej podpisać dokument w formacie PDF?
Do dokumentów PDF dedykowany jest format PAdES i korzystanie z niego nie powoduje problemów z jego weryfikacją, ponieważ oprogramowania do weryfikacji przede wszystkim weryfikują podpisy w pełni zgodne z EIDAS. Ponadto – standardowe oprogramowania do odczytu plików PDF także prezentuje automatycznie wynik weryfikacji właśnie tak złożonego podpisu, a do tego podpis taki jest trwale powiązany z podpisanym dokumentem i nie ma sposobu by (w przeciwieństwie do podpisu zewnętrznego) go „zgubić lub o nim zapomnieć” przy przekazaniu dokumentu drugiej stronie czynności prawnej.
Czy pełnomocnictwo podpisane elektroniczne traci ważność w momencie wygaśnięcia certyfikatu osoby udzielającej pełnomocnictwo?
Ważność należy badać na określony moment. Jeśli po upływie ważności certyfikatu dokona się weryfikacji podpisu to wynik będzie negatywny ze względu na brak dowodów o złożeniu podpisu w okresie ważności certyfikatu. tzn. nie można ustalić w sposób wiarygodny na podstawie danych zawartych w podpisie, że był on złożony w okresie ważności.
Jako uzupełnienie podpisu elektronicznego można dodać do podpisu znacznik czasu, który niejako „wydłuży ważność” podpisu do upływu ważności certyfikatu znacznika czasu. Te mają z reguły dłuższy okres ważności aniżeli sam certyfikat podpisu, a znacznik gwarantuje nam istnienie podpisu w czasie zawartym w znaczniku czasu. Oczywiście podobnie jak kwalifikowane podpisy elektroniczne, kwalifikowane znaczniki czasu dają nam pełną gwarancję czasu jaki zawierają.
Dodatkowym rozwiązaniem jest weryfikacja podpisu elektronicznego oraz wygenerowanie EPW (Elektroniczne Poświadczenie Weryfikacji) jako dowód dokonania weryfikacji w czasie kiedy certyfikat był ważny.
Jak zweryfikować zagraniczny podpis elektroniczny?
Podpisy, które są obsługiwane przez nasz weryfikator można znaleźć na Europejskiej liście zaufanych dostawców usług (TSL) znajdującej się na stronie https://webgate.ec.europa.eu/tl-browser. Lista TSL obejmuje dostawców usług certyfikacyjnych z terenu krajów UE oraz EOG (zgodnie z eIDAS).
Podpisy, które są obsługiwane przez nasz weryfikator można znaleźć na Europejskiej liście zaufanych dostawców usług (TSL) znajdującej się na stronie https://webgate.ec.europa.eu/tl-browser. Lista TSL obejmuje dostawców usług certyfikacyjnych z terenu krajów UE oraz EOG (zgodnie z eIDAS).
Weryfikowany plik najprawdopodobniej został zmodyfikowany po jego podpisaniu. Przykładem utraty integralności może być np. nadanie hasła na podpisywany plik po jego podpisaniu. Integralność jest podstawową cechą podpisu elektronicznego gwarantującą, że podpisane dane nie zostały zmodyfikowane po jego podpisaniu.
Co oznacza status: Weryfikacja podpisu jest niemożliwa?
Wynik weryfikacji informuje w przypadku plików .xades, że system nie był w stanie odnaleźć podpisywanych plików. Jeśli pliki XADES są plikami podpisu typu zewnętrznego, by była możliwość ich zweryfikowania, do weryfikatora należy przekazać wszystkie pliki jednocześnie.
Czy usługa weryfikacji podpisów za pośrednictwem strony weryfikacjapodpisu.pl jest usługą certyfikowaną?
Usługa na stronie weryfikacjapodpisu.pl jest świadczona przez Madkom SA na podstawie wpisu do rejestru niekwalifikowanych usług zaufania NCCERT`u w zakresie Weryfikacji statusu certyfikatu. Nasze poświadczenie może być wykorzystywane jako dowód oraz posiada moc prawną wynikającą ze świadczenia niekwalifikowanej usługi weryfikacji podpisu elektronicznego i pieczęci elektronicznej.
Na stronie generuje się raport dotyczący weryfikacji. Czy mogę również korzystać z tej strony i przesyłać dokumenty, których część z nich stanowi tajemnicę przedsiębiorstwa Wykonawców?
Zgodnie z Polityką świadczenia usługi weryfikacji podpisów elektronicznych w trybie online, system nie przechowuje jakichkolwiek przekazanych plików do weryfikacji. Są one automatycznie usuwane natychmiast po procesie weryfikacji. Zachowany w systemie jest jedynie pełny wynik weryfikacji podpisu.
Co to jest rewizja dokumentu w przypadku plików PDF?
PDF jest specjalnym kontenerem plikowym, a poszczególne rewizje to tak naprawdę kolejne wersje dokumentu. Istnienie więcej niż 1 rewizji w dokumencie PDF oznacza, że po pierwotnym stworzeniu dokumentu w samym już PDF były dokonywane jakieś zmiany. Te zmiany mogą obejmować zamierzoną edycję dokumentu lub też dodawanie tylko kolejnych podpisów elektronicznych. Sama kolejna rewizja dokumentu w kontenerze PDF zawiera tylko zmiany w stosunku do poprzedniej wersji dokumentu a nie całą nową wersję dokumentu.
Pierwszy podpis elektroniczny w dokumencie PDF zawarty jest w podstawowej rewizji dokumentu. By móc dodać kolejny podpis, aplikacje podpisujące dodają w dokumencie kolejne rewizje, a więc kolejny podpis zostanie zapisany w rewizji nr 2, a jeszcze kolejny w rewizji nr 3 itd. Pierwszy podpis obejmuje pierwotny dokument – jako całość, drugi podpis obejmuje zarówno treść dokumentu jak i podpis złożony jako pierwszy, trzeci podpis obejmuje treść i dwa poprzednie podpisy, itd.
Niekiedy zdarza się, że na skutek tylko i wyłącznie weryfikacji podpisu elektronicznego aplikacja weryfikująca dodaje do każdego odnalezionego podpisu znacznik czasu z czasem z momentu weryfikacji powodując pojawienie się jeszcze kolejnych rewizji, które system wykryje jako niepodpisane. Nie stanowi to jednak przeszkody w uznaniu takich podpisów za ważne.
Czy wynik weryfikacji w kolorze pomarańczowym dla jednego z podpisu sugeruje błąd? Czy wszystkie podpisy powinny wskazywać kolor zielony?
Kolor pomarańczowy wyniku weryfikacji zawsze wymaga przejrzenia i analizy szczegółów weryfikacji i podjęcie na podstawie tych danych decyzji przez użytkownika serwisu.
Czy usługa jest w stanie potwierdzać zgodność UPO wystawianych przez urzędy z oryginalnymi dokumentami do których UPO zostały wystawione (zgodność skrótu dokumentu ze skrótem podanym w UPO)?
Aplikacja weryfikuje w ogólności same podpisy elektroniczne, ale istotnym etapem weryfikacji podpisu jest sprawdzenie integralności dokumentu poprzez weryfikację sumy kontrolnej. Konstrukcja UPO generowanego m.in. przez system ePUAP obejmuje taki mechanizm przez co do poprawnej weryfikacji UPO.xml wymagana jest jednocześnie weryfikacji dokumentu, którego dotyczy. Pozytywny wynik weryfikacji UPO.xml potwierdza przynależność do tegoż UPO.
Na jakiej podstawie aplikacja stwierdza kwalifikowalność podpisu elektronicznego jeżeli nie jest w stanie potwierdzić ścieżki certyfikacji? Czy mogą Państwo wskazać dokument z minimalnymi wymaganiami technicznymi jakie musi spełnić certyfikat, aby można było uznać go za kwalifikowany i akceptowalny?
Certyfikat kwalifikowany zgodnie z eIDAS musi zawierać informację możliwą do przetworzenia w sposób automatyczny o tym, iż jest on certyfikatem kwalifikowanym. Ponadto certyfikat albo zarejestrowana na liście TSL usługa wymaga zawarcia jednocześnie informacji o umieszczaniu powiązanego z nim klucza prywatnego na tzw. kwalifikowanym urządzeniu np. QSCD. Na podstawie tych informacji aplikacja uznaje czy zaawansowany podpis elektroniczny może zostać uznany za kwalifikowany.
Z jaką datą zostaje złożony elektroniczny podpis kwalifikowany?
Z podpisem elektronicznym może być związanych wiele czasów. Po pierwsze – w momencie składania podpisu elektronicznego aplikacja podpisująca pobiera czas lokalny z komputera/urządzenia osoby podpisującej i umieszcza go w takiej części podpisu by te dane zostały podpisane. Jest to tzw. deklarowany czas złożenia podpisu, a więc osoba podpisująca niejako podpisała się pod tym czasem. Inne czasy są związane z tzw. znacznikami czasu. A więc zaufaną i powiązaną z danymi których znacznik czasu dotyczy, informacją o czasie pochodzącą z zewnętrznego źródła. Oczywiście zastosowanie kwalifikowanego znacznika daje największą pewność czasu zawartego w znaczniku. Jednakże należy wziąć pod uwagę, że znacznik czasu można niejako „dołożyć” do podpisu w dowolnym momencie po złożeniu podpisu. Dodatkowo może to zrobić dowolna osoba – w tym osoba weryfikująca podpis elektroniczny. Przy takiej konstrukcji należy pamiętać, że znacznik czasu mówi tylko o istnieniu podpisu w momencie czasu zawartym w znaczniku czasu, a nie mówi o tym kiedy dokładnie dokument został podpisany. Dodanie znacznika czasu do podpisu po okresie ważności certyfikatu nie gwarantuje nam złożenia podpisu w okresie jego ważności. Dodanie znacznika czasu w okresie ważności certyfikatu podpisującego powoduje niejako „przedłużenie” ważności podpisu do upływu ważności certyfikatu znacznika czasu (o ile jego koniec ważności nastąpi później niż koniec ważności certyfikatu podpisu).
Czy system jest w stanie zweryfikować rzeczywistą datę podpisu dokumentu a nie z zegara systemu?
W ogólności – nie. Po szczegóły proszę zajrzeć do odpowiedzi na pytanie wyżej.
Co to jest Elektroniczne Poświadczenie Weryfikacji ?
Elektroniczne Poświadczenie Weryfikacji (EPW) to dokument zaświadczający o dokonanej walidacji dokumentu.
Podane jest w nim jaki dokument został weryfikowany, kiedy i jaki rezultat tej weryfikacji zwrócił system w chwili weryfikacji.
Nie widzisz odpowiedzi na swoje pytanie?