Zakup e-podpisu

Jak zakupić e-podpis? Ile czasu to trwa? Jak szybko może być aktywowany? Czy muszę się wcześniej umawiać?

Wystawienie kwalifikowanego certyfikatu wymaga spotkania z Inspektorem ds. rejestracji, w jednym z naszych Punktów rejestracji. Możliwe jest również zamówienie usługi z dojazdem inspektora. Po okazaniu dokumentu tożsamości i podpisaniu niezbędnych dokumentów Inspektor wydaje kartę (lub token) z e-podpisem. Cała procedura typowo trwa ok. 15 minut.

Otrzymaną kartę trzeba następnie aktywować na swoim komputerze, przy użyciu pliku aktywacyjnego otrzymanego mailem z CenCert.

Przed wizytą w wybranym punkcie rejestracji prosimy o telefoniczne potwierdzenie możliwości obsługi w danym terminie. Wyjątkiem jest Centralny Punkt Rejestracji, gdzie nie ma potrzeby telefonicznego uzgadniania wizyty (w godzinach pracy).

Ile to kosztuje? Czy ponoszę jakieś dodatkowe koszty, np. za weryfikację tożsamości?

Ceny są określone przy opisie poszczególnych produktów.

Robiąc zakupy u nas nie ponoszą Państwo żadnych dodatkowych kosztów typu „opłata za weryfikację tożsamości”, „opłata za przesłanie dokumentów” itp.
Jedyne dodatkowe koszty, które mogą ewentualnie wystąpić, są związane z dodatkowymi usługami: dojazd pod wskazany przez Państwo adres, szkolenie itp.

Czy certyfikat musi zawierać mój PESEL?

Kwalifikowany certyfikat CenCert musi zawierać numer PESEL albo numer NIP (osoby fizycznej, użytkownika certyfikatu), albo numer dokumentu tożsamości.

Wiele systemów administracji wymaga, aby w certyfikacie był umieszczony nr PESEL.

Zakupu certyfikatu z nr dokumentu zamiast numeru PESEL należy rozważyć w przypadku, gdy będzie on wykorzystywany do podpisywania dokumentów dostępnych następnie publicznie lub w szerokim gronie odbiorców (np. do podpisywania aktów prawnych bądź decyzji administracyjnych).

W przypadku certyfikatów nabywanych w celu kontaktu z systemami administracji (np. rozliczenia z urzędem skarbowym, eKRS), bezpieczniej jest kupić certyfikat z nr PESEL.

Wybór formatu certyfikatu (z nr PESEL czy bez) leży po stronie użytkownika i nie może być powodem roszczeń reklamacyjnych.

Reprezentuję jednostkę administracji. Czy mogę zapłacić przelewem, po realizacji usługi ?

Tak, udostępniamy dla jednostek administracji ścieżkę pozwalającą na zakup na podstawie faktury płatnej przelewem w terminie 14 dni.

W skrócie: Należy złożyć normalne zamówienie w sklepie www, wybierając płatność „przelewem bankowym”, następnie prosimy o maila na adres biuro@cencert.pl, z prośbą o wystawienie faktury do zamówienia o danym numerze. Po wystawieniu faktury, można od razu odebrać podpis, kod do odnowienia lub inny produkt, a zapłacić w terminie wskazanym na fakturze.

Szczegółowa instrukcja

Aktywacja, zablokowanie karty, narzędzia do składania podpisu

Jak aktywować kartę i token?

Otrzymana od Inspektora ds. rejestracji karta elektroniczna (lub token) zawiera dane do generowania podpisu elektronicznego, ale jest nieaktywna i zabezpieczona specjalnym kodem transportowym. Kod ten jest wysyłany przez nasz system mailem, na adres użytkownika podany przy rejestracji.

Po otrzymaniu maila (zawiera plik z kodem transportowym) można przystąpić do aktywacji karty.

W celu aktywowania najpierw trzeba zainstalować na komputerze (nie musi to być komputer, na którym później będziemy podpisywać) program PEM-HEART Signature.

Następnie należy:

  • w systemie Windows – kliknąć dwukrotnie myszą na zapisanym na dysku pliku z kodem transportowym,
  • w innych systemach – uruchomić program PEM-HEART Aktywacja (zawarty w pakiecie PEM-HEART Signature), a następnie wskazać w programie plik z kodem transportowym.

Program PEM-HEART Aktywacja przeprowadzi proces aktywacji karty. Po aktywacji, karta będzie gotowa do użycia.

Przy aktywacji karty trzeba będzie nadać nowe kody PIN i PUK. Zalecamy, aby wprowadzone kody PIN i PUK zapisać i przechowywać w bezpiecznym miejscu (oddzielnie od karty!!!). CenCert nie posiada kodów PIN/PUK nadanych przez użytkownika i nie jest w stanie pomóc w przypadku zablokowania karty.

Jakie narzędzia są potrzebne do składania e-podpisu?

Zestaw narzędzi do składania podpisu zależą od konkretnych potrzeb użytkownika – co i gdzie potrzebuje podpisywać.

W każdym przypadku, na komputerze służącym do składania podpisów trzeba zainstalować biblioteki Encard. Biblioteki można zainstalować wraz z pakietem PEM-HEART Signature lub samodzielnie. Biblioteki Encard umożliwiają dostęp do karty za pomocą standardowych poleceń, zgodnych ze standardami PKCS#11, CSP.

W przypadku składania podpisów w jakimś systemie informatycznym (np. na stronach WWW urzędów), wystarczające jest korzystanie z bibliotek Encard oraz oprogramowania dostarczanego przez dany system informatyczny lub strony WWW.

Do podpisywania plików (np. PDF. DOC itd.) można użyć pakietu PEM-HEART Signature.

Na ilu komputerach można używać kartę i token?

Nie ma żadnych ograniczeń licencyjnych co do liczby komputerów, na których można używać kartę i/lub token.

Na każdym komputerze musi być zainstalowana biblioteka Encard, ewentualnie cały pakiet PEM-HEART Signature (patrz pytanie Jakie narzędzia są potrzebne do składania e-podpisu?).

Jak zmienić PIN?

PIN do karty/tokenu można zmienić przy użyciu oprogramowania PEM-HEART Signature lub Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać aktualny kod PIN.

W programie PEM-HEART Signature należy wybrać polecenie Karta->Zmień PIN.

W programie Zarządca kart Encard – polecenie Zarządzanie PINami -> PIN do karty -> Zmień PIN.

Jak zmienić PUK?

PUK do karty/tokenu można zmienić przy użyciu oprogramowania Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać aktualny kod PUK.

W programie Zarządca kart Encard należy wybrać polecenie Zarządzanie PINami -> PIN administratora -> Zmień PIN.

Co zrobić jak zapomnę kod PIN i PUK?

Jeśli zapomnimy kod PIN, a znamy (lub mamy gdzieś zapisany) kod PUK – nie ma żadnego problemu.

Zablokowaną kartę da się odblokować przy pomocy oprogramowania PEM-HEART Signature lub Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać kod PUK.

W programie PEM-HEART Signature należy wybrać polecenie Karta->Odblokuj kartę.

W programie Zarządca kart Encard – polecenie Operacje -> Zaloguj się do tokenu. Operacja się nie uda z powodu zablokowanego PINu, a program zaproponuje odblokowanie i zmianę PINu, na podstawie kodu PUK.

 

Jeśli nie znamy kodu PIN ani PUK, niestety nie ma możliwości odblokowania karty. Nikt poza użytkownikiem nie zna tych kodów, a bez nich karta jest bezużyteczna.

W takim przypadku można jedynie zakupić nowy certyfikat, w cenie odnowienia.

Jak zablokować narzędzie do składania podpisu?

Jeśli ktoś chce mieć pewność, że jego narzędzie do składania podpisu nie będzie mogło być przez nikogo użyte – najprostszym sposobem jest fizyczne zniszczenie karty, np. poprzez przecięcie w miejscu, w którym znajduje się układ scalony (w miejscu złotych kontaktów). W przypadku tokena USB jest podobnie – trzeba otworzyć token (podważając klapkę), wyjąć ze środka kartę typu SIM i zniszczyć kartę. Sam czytnik (token) nie zawiera żadnych elementów związanych z certyfikatem i może być ponownie wykorzystany (np. przez inną osobę).

Jeśli ktoś ma taką potrzebę (np. nie chce lub nie umie wyjąć karty z czytnika typu token), kartę (token) można również zablokować logicznie. W tym celu należy zablokować kody PIN i PUK.
W celu zablokowania kodu PIN należy wywołać dowolną operację wymagającą podania kodu PIN (np. operację składania podpisu) – i podawać niepoprawny PIN tyle razy, aż pojawi się komunikat Karta zablokowana.
W celu zablokowania kodu PUK należy wywołać operację wymagającą podania kodu PIN (np. operację zmiany kodu PUK) – i podawać niepoprawny PUK tyle razy, aż pokaże się komunikat Kod PUK zablokowany lub PIN administratora zablokowany.

Po zablokowaniu karty (kodów PIN oraz PUK) nie ma żadnej możliwości użycia klucza do podpisywania, zapisanego na karcie.

Dane zawarte w certyfikacie

Co zrobić, jeśli zmienią się nasze dane osobowe np. nazwisko, adres zamieszkania, inne?

Jeśli zmienią się dane identyfikacyjne zawarte w certyfikacie, to jest imię lub nazwisko, należy unieważnić certyfikat i zakupić nowy w cenie odnowienia, na nowej karcie.
Ze względu na zmianę danych zapisanych w certyfikacie, nie można tej wymiany certyfikatu wykonać on-line, zapraszamy do jednego z naszych Punktów rejestracji.

W przypadku zmiany nr dokumentu tożsamości zapisanego w certyfikacie (np. z powodu upływu terminu ważności dokumentu), jeśli w certyfikacie zapisano nr dokumentu tożsamości, nic nie trzeba robić. Pole certyfikatu Serial number, w którym zapisuje się PESEL, NIP, albo numer dokumentu tożsamości, służy do dodatkowej identyfikacji użytkownika, w celu jednoznacznego wskazania, która osoba złożyła podpis (np. który „Jan Kowalski”), szczególnie w przypadku sporów, spraw sądowych itp. Nr dokumentu tożsamości, nawet nieaktualnego, wciąż spełnia tę role, nie ma więc potrzeby wymiany certyfikatu z tego powodu.

W przypadku zmiany adresu mail, prosimy o kontakt telefoniczny z naszą linią pomocy technicznej w celu aktualizacji adresu.

W przypadku zmiany innych danych (adres zamieszkania, telefon itd.) nic nie trzeba robić.

Składanie podpisu

Jakie pliki można podpisywać podpisem elektronicznym?

Podpisem elektronicznym mogą być podpisywane dowolne pliki. Nie ma żadnych ograniczeń ani na format, czy strukturę plików, ani na ich wielkość.

Natomiast nie wszystkie formaty podpisu mogą być zastosowane w każdym przypadku. Format PadES jest przeznaczony tylko dla plików PDF, XAdES otoczony – tylko dla plików XML i tylko do pojedynczego podpisu. Pozostałe formaty (czyli inne formy XAdES, podpisy CAdES) nie mają ograniczeń na format pliku podpisywanego.
W przypadku podpisów odłączonych (gdy podpis jest zapisywany w oddzielnym pliku), pamiętać trzeba, że komplet danych stanowią dwa pliki – plik podpisywany oraz plik z podpisem. W przypadku takiej formy podpisu, podpisu nie da się zweryfikować bez pliku podpisywanego.

Jak wyglądają podpisane pliki w różnych formatach?

W przypadku formatu podpisu PAdES – wynikiem jest zawsze plik PDF (*.pdf). Podpis znajduje się w środku pliku, w formacie zgodnym z PDF. Dokument (PDF) można odczytać bez weryfikacji podpisu (np, w programie Acrobat Reader DC).

W przypadku formatu XAdES otoczony, wynikiem jest plik w formacie zgodnym z XML (*.xml), dokument (XML) można odczytać bez programu do weryfikacji podpisu.

W przypadku formatu XAdES otaczający, wynikiem jest plik XML, zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.xades.

W przypadku formatu XAdES w osobym pliku, wynikiem jest dodatkowy plik XML, zawierający podpis (zazwyczaj *.xades). Plik podpisywany (źródłowy) pozostaje bez zmian i można go odczytywać niezależnie od weryfikacji podpisu.

W przypadku formatu CAdES, wynikiem jest plik PKCS#7 lub SMIME, zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.sig.

W przypadku formatu ASiC, wynikiem jest skompresowany plik zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.asisc.

Jak sprawdzić, czy plik jest podpisany?

Najpewniejszym sposobem przekonania się, czy plik jest podpisany, i ewentualnie ile i jakich podpisów zawiera, jest próba zweryfikowania podpisu. Można do tego użyć PEM-HEART Signature.

W przypadku plików PDF można także otworzyć dokument w Acrobat Reader DC i otworzyć Panel podpisu.

Weryfikacja podpisu

Czy można zweryfikować e-podpis bez swojego tokenu?

Tak. Do weryfikacji podpisu jest potrzebne tylko oprogramowanie, które potrafi rozpoznać i zweryfikować odpowiedni format podpisu, np. PEM-HEART Signature. Token nie jest potrzebny.

Czy można zweryfikować e-podpis bez zainstalowanego oprogramowania?

Do weryfikacji podpisu potrzebne jest oprogramowanie, które potrafi rozpoznać i zweryfikować odpowiedni format podpisu, np. program PEM-HEART Signature.

Szczególnym przypadkiem jest format podpisu PAdES (pliki PDF), ponieważ do weryfikacji tych podpisów wystarczy Acrobat Reader DC. W przypadku podpisów PDF nie ma więc potrzeby instalowania dodatkowego oprogramowania do podpisu. Dodatkowo, aktualne wersie Acrobat Reader DC korzystają z europejskiej listy TSL, a więc poprawnie rozpoznają certyfikaty europejskich kwalifikowanych dostawców usług zaufania, co oznacza, że nie ma potrzeby wykonywania żadnych czynności konfiguracyjnych przy weryfikacji podpisów składanych certyfikatami CenCert.

Czy trzeba mieć dostęp do Internetu, żeby zweryfikować podpis?

Przy weryfikacji podpisu, program musi dysponować aktualnymi informacjami o unieważnieniach certyfikatów oraz aktualnym certyfikatem dostawcy usług zaufania, który wystawił certyfikat użyty do podpisu. Informacje te program pobiera automatycznie przez Internet, kontaktując się z odpowiednim serwerem OCSP, czy też pobierając aktualną listę CRL lub TSL.

W przypadku braku połączenia internetowego, program PEM-HEART Signature wciąż umożliwia weryfikacje podpisów, z tym że wtedy potrzebne listy CRL i/lub TSL trzeba pobrać z Internetu ręcznie (np. na innym stanowisku) i następnie wczytać w programie (Ustawienia, następnie zakładka Import danych).

Podpisywanie przez wiele osób

Czy kilka osób może złożyć e-podpis pod dokumentem? Jak się to robi?

Tak, dokument może być podpisany przez wiele osób. W PEM-HEART Signature można to zrobić w następujący sposób: Funkcje zaawansowane -> Dodaj podpis.

Co to jest kontrasygnata? Kiedy się ją stosuje? Jak się ją składa?

Kontrasygnatą nazywamy podpis złożony pod podpisem.
W przypadku dodania „normalnego” podpisu do dokumentu, w większości formatów, podpisy są zapisane niezależnie od siebie. Każdy podpis potwierdza treść dokumentu, ale nie obejmuje innych podpisów. W związku z tym istnieje techniczna możliwość, aby usunąć np. jeden z podpisów dokumentu (nawet złożony wcześniej), a pozostałe podpisy będą wciąż poprawne.

Ponieważ podpis złożony jako „kontrasygnata” obejmuje również podpis złożony wcześniej, nie da się usunąć z dokumentu podpisu wcześniejszego i zachować jednocześnie ważności „kontrasygnaty”.

Potrzeba składania podpisów w trybie „kontrasygnaty” może wynikać z zaawansowanych potrzeb użytkowników podpisu elektronicznego. Format PAdES wymusza dodawanie następnych podpisów w trybie kontrasygnaty ze względów technicznych – każdy następny podpis musi obejmować wszystkie wcześniejsze podpisy z powody takiej konstrukcji normy PAdES.

PEM-HEART Signature kontrasygnatę można złożyć w następujący sposób: Funkcje zaawansowane -> Kontrasygnata.
Przy weryfikacji dokumentu w PEM-HEART Signature, podpis w trybie kontrasygnaty jest widoczny na drzewie podpisów jako „gałąź”, poniżej podpisu, do którego jest dołączony.

Znakowanie czasem

Co to jest znakowanie czasem? Do czego służy?

Znakowanie czasem polega na dodaniu do podpisu „znacznika czasu”, gwarantującego, że określony podpis (a więc i podpisany dokument) istniał w danym momencie.

Szczególne znaczenie mają kwalifikowane znaczniki czasu, wydawane przez kwalifikowanego dostawcę usług zaufania (jak CenCert). Takie znaczniki odnoszą skutek tzw. „daty pewnej”, są prawnie równoznaczne z urzędowym potwierdzeniem daty.

Zastosowanie znaczników czasu może być różnorodne – wszędzie tam, gdzie jest potrzebny dowód istnienia określonego dokumentu w określonym czasie. W ten sposób można np. datować dokumenty formalne jak protokoły z zebrań zarządów spółek czy zgromadzeń udziałowców.

Odrębnym, i bardzo ważnym, polem zastosowań jest zapewnienie ważności podpisu elektronicznego w dłuższym czasie.

Jeśli dysponujemy dokumentem popisanym elektronicznie, a certyfikat użyty do podpisu jest wciąż ważny i nie został unieważniony, sytuacja jest prosta. Możemy weryfikować podpis elektroniczny bez dodatkowych struktur jak znaczniki czasu.
Sytuacja się komplikuje, gdy certyfikat zostanie unieważniony (bo np. właściciel certyfikatu zgubi kartę lub zmieni pracę) albo jest już poza okresem ważności. W takim przypadku weryfikacja podpisu nie jest już taka prosta. Podpis elektroniczny dalej pozostaje ważny (pomimo utraty ważności certyfikatu), o ile został złożony wcześniej – w okresie ważności certyfikatu. A najlepszym i najpewniejszym dowodem istnienia tego podpisu w danym momencie (gdy certyfikat jest jeszcze ważny) jest kwalifikowany znacznik czasu.

Jak sprawdzić, czy dokument został oznakowany czasem?

PEM-HEART Signature po weryfikacji podpisów pod dokumentem wyświetlane są informacje o ewentualnych znacznikach czasu.
W przypadku dokumentów PDF, można to sprawdzić także w Acrobat Reader DC. Po otwarciu podpisanego dokumentu, w Panelu Podpis, znajduje się w takim przypadku adnotacja „Podpis zawiera osadzony znacznik czasu”.