Wstęp

W ostatnim czasie poruszamy kwestie bezpieczeństwa, podpisywania dokumentów i szyfrowania. Jak już pewnie wielu czytelników i słuchaczy wie, jestem gorącym zwolennikiem rozwiązań OpenSource i dobrych, darmowych rozwiązań pozwalających na bezpieczną, komfortową pracę.

Poruszałem już tematykę podpisywania cyfrowego wiadomości e-mail, poruszałem tematykę szyfrowania, ale jest z pewnością grupa osób, które nie korzystają zarówno w Thunderbirda, ani z Outlooka, a jednocześnie chciałyby podpisywać cyfrowo dokumenty.

Samo podpisywanie dokumentów co prawda nie chroni ich tajnością i każda osoba taki dokument może odczytać, ale z pewnością jest w stanie zagwarantować, że dokument nie został podrobiony, zmieniony w trakcie i pochodzi od zaufanego nadawcy.

Istnieje wiele płatnych i bezpłatnych sposobów na podpisywanie cyfrowo dokumentów. W dzisiejszym artykule skupimy się na jednym z bezpłatnych narzędzi do podpisywania cyfrowego dokumentów. Rozwiązanie opisywane dzisiaj jest w pełni darmowe i co ciekawe udostępniane przez jeden z serwisów Rzeczypospolitej Polskiej – EPUAP.

Dokładnie tak. Jakiś czas temu EPUAP został wzbogacony o możliwość podpisywania cyfrowego dokumentów. Udostępniany jest automatycznie każdemu i do tego całkowicie bezpłatnie. Mając już założony profil zaufany możemy wykorzystując go podpisywać wszelkie dokumenty.

Lista obsługiwanych rozszerzeń jest dość pokaźna bo obejmuje:

.txt, .rtf, .pdf, .xps, .odt, .ods, .odp, .doc, .xls, .ppt, .docx, .xlsx,

.pptx, .csv, .jpg, .jpeg, .tif, .tiff, .geotiff, .png, .svg, .wav, .mp3,

.avi, .mpg, .mpeg, .mp4, .m4a, .mpeg4, .ogg, .ogv, .zip, .tar,

.gz, .gzip, .7Z, .html, .xhtml, .css, .xml, .xsd, .gml, .rng, .xsl,

.xslt, .TSL, .XMLsig, .XAdES, .PAdES, .CAdES, .ASIC, .XMLenc,

.dwg, .dwf, .dxf, .dgn, .jp2

Wszystko odbywa się przy pomocy rządowej strony serwisu Mój GOV.

Podpisywanie dokumentów za pomocą profilu zaufanego

Po wejściu na stronę https://www.gov.pl/web/gov/podpisz-dokument-elektronicznie-wykorzystaj-podpis-zaufany widzimy informację o usłudze. Może ona posłużyć do podpisywania dokumentów przy wykorzystaniu naszego profilu zaufanego.

Klikamy na przycisk START.

Wybieramy odpowiedni rodzaj dokumentu i przechodzimy DALEJ.

Tu musimy wskazać dokument na dysku naszego komputera.

Możemy także przeczytać w rozwijanym „Menu” o co tak naprawdę chodzi i zapoznać się z najważniejszymi informacji o podpisywaniu w ten sposób dokumentów.

Wybieramy dokument z dysku.

Jeżeli wszystko jest w porządku ujrzymy komunikat jak niżej.

Klikamy na przycisk PODPISZ.

W tym momencie następuje procedura standardowa jak w przypadku logowania do którejkolwiek usługi rządowej. Logujemy się, czy za pomocą loginu i hasła, czy za pomocą bankowości internetowej do profilu zaufanego. Musimy przejść całą procedurę autoryzacji i potwierdzenia tożsamości.

Kiedy już jesteśmy zalogowani system przenosi nas na stronę podpisywania dokumentu.

Klikamy na niebieski przycisk Podpisz profilem zaufanym.

Potwierdzamy przyciskiem. Czasami zachodzi potrzeba dodatkowej autoryzacji, podania hasła z SMS’a lub ponownego logowania do banku.

Kiedy wszystko jest poprawnie otrzymujemy komunikat jak niżej.

A na dole możemy pobrać uprzednio podpisany dokument.

Po otwarciu przykładowego pliku .pdf na przykład w przeglądarce Edge, zauważymy, że jest na nim naniesiony podpis cyfrowy.

Podobnie jeśli sprawdzimy plik w aplikacji Adobe Acrobat.

W szczegółach podpisu na dokumencie możemy sprawdzić inne informacje.

Weryfikacja podpisanego dokumentu za pomocą profilu zaufanego i podpisywanie zwrotne

Otrzymaliśmy dokument, ale chcemy dla pewności sprawdzić czy taki dokument przez taką osobę został faktycznie napisany, wystawiony i jest autentyczny oraz czy możemy podpisać się na nim zwrotnie i odesłać go nadawcy na przykład kwitując odbiór. Możemy oczywiście zadzwonić, napisać do takiej osoby i upewnić się, że dokument jest autentyczny, ale możemy także skorzystać z dodatkowej funkcji systemu EPUAP, która umożliwia zweryfikowanie autentyczności takiego dokumentu.

Aby sprawdzić autentyczność i zwrotnie podpisać dokument wchodzimy ponownie na tą samą stronę.

https://www.gov.pl/web/gov/podpisz-dokument-elektronicznie-wykorzystaj-podpis-zaufany

Zaznaczamy opcję odpowiadającą rozszerzeniu naszego dokumentu.

Przechodzimy ponownie tę samą procedurę, jak w przypadku podpisywania.

Wybieramy podpisany dokument z naszego komputera.

Po załadowaniu dokumentu do systemu pokażą nam się informacje dotyczące podpisu.

Podobnie jak poprzednio, ale tym razem odbiorca przechodzi tę samą procedurę i dokłada swój podpis elektroniczny do dokumentu, przechodzi procedurę autentykacji, składania podpisu i pobiera dokument. W rozwijanej liście widać dodatkowy podpis. Tym samym na dokumencie są dwa podpisy – nadawcy i odbiorcy.

Po dostarczeniu zwrotnym podpisanego dokumentu w programie Adobe Acrobat widzimy drugi podpis – podpis odbiorcy.

Podsumowanie

W ten sposób możemy korzystać z narzędzia udostępnianego nam całkowicie bezpłatnie do podpisywania różnych dokumentów podpisem elektronicznym, który jest pełnoprawnym podpisem elektronicznym i dodatkowo wykorzystuje nasze dane osobowe – zweryfikowane podczas zakładania profilu elektronicznego EPUAP.

Wadą takiego rozwiązania, jak w każdym tego typu przypadku jest fakt, że wykorzystujemy rozwiązanie będące poza naszym komputerem, w chmurze. Choć w serwisie rządowym wszystkie nasze dane i tak już mają i są one tam zmagazynowane, przetwarzane są jednak pliki, które tam wysyłamy – nie wiemy co się z nimi dzieje. Czy są przechowywane na serwerach rządowych, czy są tymczasowe, czy są przetwarzane?

Niestety na stronie serwisu próżno szukać informacji o sposobie przetwarzania danych zawartych w naszych dokumentach, które podpisujemy za pomocą tego narzędzia.

Niemniej jednak warto wiedzieć, że istnieje darmowa, państwowa alternatywa dla drogich aplikacji i certyfikatów, podpisów kwalifikowanych, którą możemy wykorzystać do, powiedzmy sobie szczerze, mniej poufnych dokumentów, które nawet w przypadku wypłynięcia i wycieku nie będą stanowiły tajemnicy przedsiębiorstwa, nie będą to dokumenty tajne. Pamiętajmy na koniec złotą maksymę by traktować każdy plik, który wrzucamy do sieci jako potencjalnie możliwy publicznie dostępny ze względu na to, że nie wiemy jakie po drodze zabezpieczenia są stosowane w danej firmie, której powierzamy nasze dokumenty.