KWALIFIKOWANE CENTRUM CERTYFIKACJI KLUCZY

Często zadawane pytania (FAQ)

 

 

 

Jak zakupić e-podpis? Ile czasu to trwa? Jak szybko może być aktywowany? Czy muszę się wcześniej umawiać?

Wystawienie kwalifikowanego certyfikatu wymaga spotkania z jednym z naszych Inspektorów ds. rejestracji. Po okazaniu dokumentu tożsamości i podpisaniu niezbędnych dokumentów wydawana jest karta (lub token) z e-podpisem. Cała procedura typowo trwa ok. 15 minut. Kartę trzeba aktywować na komputerze, przy użyciu pliku aktywacyjnego wysłanego przez system CenCert. Plik aktywacyjny jest wysyłany na adres podany przy rejestracji, od razu po zatwierdzeniu w systemie, przez Inspektora ds. rejestracji, podpisanych przez użytkownika dokumentów.

Typowo cały proces, w przypadku wizyty w punkcie rejestracji, trwa ok. 15 minut, po czym użytkownik wychodzi z gotową kartą, a jednocześnie na koncie mailowym ma od razu kod do aktywacji karty. Certyfikat jest ważny od momentu wystawienia (od razu).

Zasadniczo nie trzeba się umawiać, nie prowadzimy zapisów na konkretne terminy, jednak prosimy o telefoniczne wcześniejsze potwierdzenie możliwości obsługi w danym punkcie rejestracji w danym terminie. Szczególnie w mobilnych punktach rejestracji, może się bowiem okazać, że uprawniony inspektor akurat obsługuje klientów w terenie i nie będzie obecny.
W przypadku zamówienia usługi z dojazdem, również trzeba się umówić, w tym ustalić koszt usługi dojazdu.

Powrót na górę strony

 

 

Ile to kosztuje? Czy ponoszę jakieś dodatkowe koszty, np. za weryfikację tożsamości? Sposoby płatności?

Cennik podpisu elektonicznego jest dostępny TUTAJ. Nie ma żadnych dodatkowych kosztów za zakup e-podpisu. W cenę e-podpisu są wliczone opłaty typu "opłata za weryfikację tożsamości", "opłata za przesłanie dokumentów" itp.
Jedyne dodatkowe koszty, jakie użytkownik ewentualnie ponosi, mogą być związane z dodatkowymi usługami typu dojazd do biura/domu użytkownika, szkolenie itp.
Usługi te i związane z nimi koszty są opcjonalne i powinny być ustalone przed realizacją usługi.

Podstawową formą zapłaty jest gotówka lub karta (o ile dany Punkt Rejestracji przyjmuje płatności kartą).
Za realizację usługi można także zapłacić przez Internet lub przelewem tradycyjnym - w takim przypadku trzeba się zarejestrować przez WWW, a następnie wybrać formę przedpłaty "Przelewy24" albo "Przelew tradycyjny". W przypadku "Przelewy24" będzie można zapłacić przy pomocy bankowości elektronicznej lub innych form płatności internetowych. W przypadku wyboru opcji "Przelew tradycyjny", system wyśle mailem fakturę pro forma, którą należy opłacić tradycyjnie. Następnie trzeba poczekać na maila informującego o zaksięgowaniu płatności, po czym można się udać do jednego z Punktów Rejestracji w celu odebrania swojego zestawu.

W przypadku zamówenia większej liczby e-podpisów rozliczenia się odbywają na zasadach opisanych w umowie.

Powrót na górę strony

 

 

Czy certyfikat musi zawierać mój PESEL?

Kwalifikowany certyfikat CenCert musi zawierać numer PESEL albo numer NIP (osoby fizycznej, użytkownika certyfikatu), albo numer dokumentu tożsamości.

Niestety wiele systemów administracji wciąż wymaga, aby w certyfikacie był umieszczony nr PESEL.

Wydaje się, że rozważenie zakupu certyfikatu z nr dokumentu zamiast numeru PESEL należy rozważyć szczególnie w przypadku, gdy będzie on wykorzystywany do podpisywania dokumentów dostęnych następnie publicznie lub w szerokim gronie odbiorców (np. do podpisywania aktów prawnych bądź decyzji administracyjnych).

W przypadku certyfikatów nabywanych w celu kontaktu z systemami administracji (np. rozliczenia z urzędem skarbowym), bezpieczniej jest kupić certyfikat z nr PESEL.

Wybór formatu certyfikatu (z nr PESEL czy bez) leży po stronie użytkownika i nie może być powodem roszczeń reklamacyjnych.

Powrót na górę strony

 

 

Jak aktywować kartę i token?

Otrzymana od Inspektora ds. rejestraji karta elektroniczna (lub token) zawiera dane do generowania podpisu elektronicznego, ale jest nieaktywna i zabezpieczona specjalnym kodem transportowym. Kod ten jest wysyłany przez nasz system mailem, na adres użytkownika podany przy rejestracji.

Po otrzymaniu maila (zawiera plik z kodem transportowym) można przystąpić do aktywacji karty.

W celu aktywowania najpierw trzeba zainstalować na komputerze (nie musi to być komputer, na którym później będziemy podpisywać) program PEM-HEART Signature.

Następnie należy:

  • w systemie Windows - kliknąć dwukrotnie myszą na zapisanym na dysku pliku z kodem transportowym,
  • w innych systemach - uruchomić program PEM-HEART Aktywacja (zawarty w pakiecie PEM-HEART Signature), a następnie wskazać w programie plik z kodem transportowym.

Program PEM-HEART Aktywacja przeprowadzi proces aktywacji karty. Po aktywacji, karta będzie gotowa do użycia.

Przy aktywacji karty trzeba będzie nadać nowe kody PIN i PUK. Zalecamy, aby wprowadzone kody PIN i PUK zapisać i przechowywać w bezpiecznym miejscu (oddzielnie od karty!!!). CenCert nie posiada kodów PIN/PUK nadanych przez użytkownika i nie jest w stanie pomóc w przypadku zablokowania karty.

Powrót na górę strony

 

 

Jakie narzędzia są potrzebne do składania e-podpisu?

Zestaw narzędzi do składania podpisu zależą od konkretnych potrzeb użytkownika - co i gdzie potrzebuje podpisywać.

W każdym przypadku, na komputerze służącym do składania podpisów trzeba zainstalować biblioteki Encard. Biblioteki można zainstalować wraz z pakietem PEM-HEART Signature lub samodzielnie. Biblioteki Encard umożliwiają dostęp do karty za pomocą standardowych poleceń, zgodnych ze standardami PKCS#11, CSP.

W przypadku składania podpisów w jakimś systemie informatycznym (np. na stronach WWW urzędów), wystarczające jest korzystanie z bibliotek Encard oraz oprogramowania dostarczanego przez dany system informatyczny lub strony WWW.

Do podpisywania plików (np. PDF. DOC itd.) można użyć pakietu PEM-HEART Signature.

Powrót na górę strony

 

 

Na ilu komputerach można używać kartę i token?

Nie ma żadnych ograniczeń licencyjnych co do liczby komputerów, na których można używać kartę i/lub token.

Na każdym komputerze musi być zainstalowana biblioteka Encard, ewentualnie cały pakiet PEM-HEART Signature (patrz Jakie narzędzia są potrzebne do składania e-podpisu?).

Powrót na górę strony

 

 

Jak zmienić PIN?

PIN do karty/tokenu można zmienić przy użyciu oprogramowania PEM-HEART Signature lub Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać aktualny kod PIN.

W programie PEM-HEART Signature należy wybrać polecenie Karta->Zmień PIN.

W programie Zarządca kart Encard - polecenie Zarządzanie PINami -> PIN do karty -> Zmień PIN.

Powrót na górę strony

 

 

Jak zmienić PUK?

PUK do karty/tokenu można zmienić przy użyciu oprogramowania Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać aktualny kod PUK.

W programie Zarządca kart Encard należy wybrać polecenie Zarządzanie PINami -> PIN administratora -> Zmień PIN.

Powrót na górę strony

 

 

Co zrobić jak zapomnę kod PIN i PUK?

Jeśli zapomnimy kod PIN, a znamy (lub mamy gdzieś zapisany) kod PUK - nie ma żadnego problemu.

Zablokowaną kartę da się odblokować przy pomocy oprogramowania PEM-HEART Signature lub Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać kod PUK.

W programie PEM-HEART Signature należy wybrać polecenie Karta->Odblokuj kartę.

W programie Zarządca kart Encard - polecenie Zarządzanie PINami -> PIN do karty -> Odblokuj PIN.

 

Jeśli nie znamy kodu PIN ani PUK, niestety nie ma możliwości odblokowania karty. Nikt poza użytkownikiem nie zna tych kodów, a bez nich karta jest bezużyteczna.

W takim przypadku można jedynie zakupić nowy certyfikat, w cenie odnowienia.

Powrót na górę strony

 

 

Jak zablokować narzędzie do składania podpisu?

Jeśli ktoś chce mieć pewność, że jego narzędzie do składania podpisu nie będzie mogło być przez nikogo użyte - najprostszym sposobem jest fizyczne zniszczenie karty, np. poprzez przecięcie w miejscu, w którym znajduje się układ scalony (w miejscu złotych kontaktów). W przypadku tokena USB jest podobnie - trzeba otworzyć token (podważając czymś klapkę), wyjąć ze środka kartę typu SIM i zniszczyć kartę. Sam czytnik (token) nie zawiera żadnych elementów związanych z certyfikatem i może być ponownie wykorzystany (np. przez inną osobę).

Jeśli ktoś ma taką potrzebę (np. nie chce lub nie umie wyjąć karty z czytnika typu token), kartę (token) można również zablokować logicznie. W tym celu należy zablokować kody PIN i PUK.
W celu zablokowania kodu PIN należy wywołać dowolną operację wymagającą podania kodu PIN (np. operację składania podpisu) - i podawać niepoprawny PIN tyle razy, aż pojawi się komunikat Karta zablokowana.
W celu zablokowania kodu PUK należy wywołać operację wymagającą podania kodu PIN (np. operację odlokowania karty - patrz Co zrobić jak zapomnę kod PIN i PUK?) - i podawać niepoprawny PUK tyle razy, aż pokaże się komunikat Kod PUK zablokowany.

Po zablokowaniu karty (kodów PIN oraz PUK) nie ma żadnej możliwości użycia klucza do podpisywania, zapisanego na karcie.

Powrót na górę strony

 

 

Co zrobić, jeśli zmienią się nasze dane osobowe np. nazwisko, adres zamieszkania, inne?

Jeśli zmienią się dane identyfikacyjne zawarte w certyfikacie, to jest imię lub nazwisko, należy unieważnić certyfikat i zakupić nowy w cenie odnowienia, na nowej karcie.
Ze względu na zmianę danych zapisanych w certyfikacie, nie można tej wymiany certyfikatu wykonać on-line, zapraszamy do jednego z naszych Punktów rejestracji.

W przypadku zmiany nr dokumentu tożsamości zapisanego w certyfikacie (np. z powodu upływu terminu ważności dokumenty), jeśli w certyfikacie zapisano nr dokumentu tożsamości, nic nie trzeba robić. Pole certyfikatu Serial number, w którym zapisuje się PESEL, NIP, albo numer dokumentu tożsamości służy do dodatkowej identyfikacji użytkownika, w celu jednoznacznego wskazania, która osoba złożyła podpis (np. który "Jan Kowalski"), szczególnie w przypadku sporów, spraw sądowych itp. Nr dokumentu tożsamości, nawet nieaktualnego, wciąż spełnia tę role, nie ma więc potrzeby wymiany certyfikatu z tego powodu.

W przypadku zmiany adresu mail, prosimy o kontakt telefoniczny z naszą linią pomocy technicznej w celu aktualizacji adresu.

W przypadku zmiany innych danych (adres zamieszkania, telefon itd.) nic nie trzeba robić.

Powrót na górę strony

 

 

Jakie pliki można podpisywać podpisem elektronicznym?

Podpisem elektronicznym mogą być podpisywane dowolne pliki. Nie ma żadnych ograniczeń ani na format, czy strukturę plików, ani na ich wielkość.

Natomiast nie wszystkie formaty podpisu mogą być zastosowane w każdym przypadku. Format PadES jest przeznaczony tylko dla plików PDF, XAdES otoczony - tylko dla plików XML. Pozostałe formaty (czyli inne formy XAdES, podpisy CAdES) nie mają ograniczeń na format pliku podpisywanego.
W przypadku podpisów odłączonych (gdy podpis jest zapisywany w oddzielnym pliku), pamiętać trzeba, że komplet danych stanowią dwa pliki - plik podpisywany oraz plik z podpisem. W przypadku takiej formy podpisu, podpisu nie da się zweryfikować bez pliku podpisywanego.

Powrót na górę strony

 

 

Jak wyglądają podpisane pliki w różnych formatach?

W przypadku formatu podpisu PAdES – wynikiem jest zawsze plik PDF (*.pdf). Podpis znajduje się w środku pliku, w formacie zgodnym z PDF. Dokument (PDF) można odczytać bez pomocy programu do weryfikacji podpisu (np, w programie Acrobat Reader.

W przypadku formatu XAdES otoczony, wynikiem jest plik w formacie zgodnym z XML (*.xml), dokument (XML) można odczytać bez programu do weryfikacji podpisu.

W przypadku formatu XAdES otaczający, wynikiem jest plik XML, zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.xades.

W przypadku formatu XAdES w osobym pliku, wynikiem jest dodatkowy plik XML, zawierający podpis (zazwyczaj *.xades). Plik podpisywany (źródłowy) pozostaje bez zmian i można go odczytywać niezależnie od weryfikacji podpisu.

W przypadku formatu CAdES, wynikiem jest plik PKCS#7 lub SMIME, zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.sig>.

W przypadku formatu ASiC, wynikiem jest skompresowany plik zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.asisc>.

Powrót na górę strony

 

 

Jak sprawdzić, czy plik jest podpisany?

Najpewniejszym sposobem przekonania się, czy plik jest podpisany, i ewentualnie ile i jakich podpisów zawiera, jest próba zweryfikowania podpisu. Można do tego użyć PEM-HEART Signature.

W przypadku plików PDF można także otworzyć dokument w Acrobat Reader i otworzyć Panel podpisu.

Powrót na górę strony

 

 

Czy można zweryfikować e-podpis bez swojego tokenu?

Tak. Do weryfikacji podpisu jest potrzebne tylko oprogramowanie, które potrafi rozpoznać i zweryfikować odpowiedni format podpisu, np. PEM-HEART Signature. Token nie jest porzebny.

Powrót na górę strony

 

 

Czy można zweryfikować e-podpis bez zainstalowanego oprogramowania?

Do weryfikacji podpisu potrzebne jest oprogramowanie, które potrafi rozpoznać i zweryfikować odpowiedni format podpisu, np. program PEM-HEART Signature.

Szczególnym przypadkiem jest format podpisu PAdES (pliki PDF), ponieważ do weryfikacji tych podpisów wystarczy Acrobat Reader. W przypadku podpisów PDF nie ma więc potrzeby instalowania dodatkowego oprogramowania do podpisu. Dodatkowo, nowsze wersie Acrobat Reader korzystają z europejskiej listy TSL, a więc poprawnie rozpoznają certyfikaty europejskich kwalifikowanych dostawców usług zaufania, co oznacza, że nie ma potrzeby wykonywania żadnych czynności konfiguracyjnych przy weryfikacji podpisów składanych certyfikatami CenCert.

Powrót na górę strony

 

 

Czy trzeba mieć dostęp do Internetu, żeby zweryfikować podpis?

Przy weryfikacji podpisu, program musi dysponować aktualnymi informacjami o unieważnieniach certyfikatów oraz aktualnym certyfikatem dostawcy usług zaufania, który wystawił certyfikat użyty do podpisu. Informacje te program pobiera automatycznie przez Internet, kontaktując się z odpowienim serwerem OCSP, czy też pobierając aktualną listę CRL lub TSL.

W przypadku braku połączenia internetowego, program PEM-HEART Signature wciąż umożliwia weryfikacje podpisów, z tym że wtedy potrzebne listy CRL i/lub TSL trzeba pobrać z Internetu ręcznie (np. na innym stanowisku) i następnie wczytać w programie (Ustawienia, następnie zakładka Import danych).

Powrót na górę strony

 

 

Czy kilka osób może złożyć e-podpis pod dokumentem? Jak się to robi?

Tak, dokument może być podpisany przez wiele osób. W PEM-HEART Signature można to zrobić w następujący sposób: Funkcje zaawansowane -> Dodaj podpis.

Powrót na górę strony

 

 

Co to jest kontrasygnata? Kiedy się ją stosuje? Jak się ją składa?

Kontrasygnatą nazywamy podpis złożony pod podpisem.
W przypadku dodania "normalnego" podpisu do dokumentu, w większości formatów, podpisy są zapisane niezależnie od siebie. Każdy podpis potwierdza treść dokumentu, ale nie obejmuje innych podpisów. W związku z tym istnieje techniczna możliwość, aby usunąć np. jeden z podpisów dokumentu (nawet złożony wcześniej), a pozostałe podpisy będą wciąż poprawne.

Ponieważ podpis złożony jako "kontrasygnata" obejmuje również podpis złożony wcześniej, nie da się usunąć z dokumentu podpisu wcześniejszego i zachować jednocześnie ważności "kontrasygnaty".

Potrzeba składania podpisów w trybie "kontrasygnaty" może wynikać z zaawansowanych potrzeb użytkowników podpisu elektroniczego.

W PEM-HEART Signature kontrasygnatę można złożyć w następujący sposób: Funkcje zaawansowane -> Kontrasygnata.
Przy weryfikacji dokumentu w PEM-HEART Signature, podpis w trybie kontrasygnaty jest widoczny na drzewie podpisów jako "gałąź", poniżej podpisu, do którego jest dołączony.

Powrót na górę strony

 

 

Co to jest znakowanie czasem? Do czego służy?

Znakowanie czasem polega na dodaniu do podpisu "znacznika czasu", gwarantującego, że określony podpis (a więc i podpisany dokument) istniał w danym momencie.

Szczególne znaczenie mają kwalifikowane znaczniki czasu, wydawane przez kwalifikowanego dostawcę usług zaufania (jak CenCert). Takie znaczniki odnoszą skutek tzw. "daty pewnej", są prswnie równoznaczne z urzędowym potwierdzeniem daty.

Zastosowanie znaczników czasu może być różnorodne - wszędzie tam gdzie jest potrzebny dowód isnienia określonego dokumentu w określonym czasie. W ten sposób można np. datować dokumenty formalne jak protokoły z zebrań zarządów spółek czy zgromadzeń udziałowców.

Odrębnym, i bardzo ważnym, polem zastosowań jest zapewnienie ważności podpisu elektronicznego w dłuższym czasie.

Jeśli dysponujemy dokumentem popisanym elektronicznie, crtyfikat użyty do podpisu jest wciąż ważny i nie został unieważniony, sytuacja jest prosta. Możemy weryfikować podpis elektroniczny bez dodatkowych struktur jak znaczniki czasu.
Sytuacja się komplikuje, gdy certyfikat zostanie unieważniony (bo np. właściciel certyfikatu zgubi kartę lub zmieni pracę) albo jest już poza okresem ważności. W takim przypadku weryfikacja podpisu nie jest już taka prosta. Podpis elektroniczny dalej pozostaje ważny, pomimo utraty ważności certyfikatu, o ile został złożony wcześniej - w okresie ważności certyfikatu. A najlepszym i najpewniejszym dowodem istnienia tego podpisu w danym momencie (gdy certyfikat jest jeszcze ważny) jest kwalifikowany znacznik czasu.

Powrót na górę strony

 

 

Jak sprawdzić, czy dokument został oznakowany czasem?

W PEM-HEART Sigtature po weryfikacji podpisów pod dokumentem wyświetlne są informacje o ewentualnych znacznikach czasu.
W przypadku dokumentów PDF, można to sprawdzić także a Acrobat Reader. Po otwarciu podpisanego dokumentu, w Panelu Podpis, znajduje się w takim przypadku adnotacja "Podpis zawiera osadzony znacznik czasu".

Powrót na górę strony





   © 2010 Enigma SOI. CenCert jest zastrzeżonym znakiem towarowym firmy Enigma SOI