W ostatnim miesiącu miały miejsce trzy poważne ataki na infrastrukturę dostawców kwalifikowanych podpisów elektronicznych we Włoszech, Niemczech i Polsce. Każdy z tych incydentów budzi pytania o bezpieczeństwo usług, danych i transakcji. W tym artykule wyjaśniamy, dlaczego kwalifikowany podpis elektroniczny pozostaje bezpieczny, mimo tych wydarzeń.
Na czym polegał atak?
Ataki polegały na zaszyfrowaniu i potencjalnej kradzieży danych z procesów rejestracji użytkowników. Dotknięte zostały dane osobowe, adresy internetowe oraz dane logowania do panelu użytkownika. Głównym skutkiem było czasowe utrudnienie dostępu do informacji z rejestracji oraz potencjalny wyciek danych osobowych.
Jednak dzięki wysokim standardom bezpieczeństwa związanym z kwalifikowanymi podpisami elektronicznymi i pieczęciami elektronicznymi, infrastruktura świadcząca te usługi nie została naruszona.
Ujawnienie certyfikatu jest bezpieczne
Podstawową funkcją dostawców podpisu elektronicznego jest wydawanie certyfikatów i zarządzanie kluczami kryptograficznymi. Certyfikat, który użytkownik dołącza do podpisanego dokumentu, jest publicznie dostępny i chroniony pod względem integralności.
Certyfikat nie zawiera prywatnego klucza kryptograficznego, który służy do składania podpisu, dlatego jego ujawnienie nie stanowi zagrożenia.
Dane do składania podpisu są bezpieczne
Dane potrzebne do składania podpisu elektronicznego przechowywane są wyłącznie na karcie podpisu użytkownika lub w urządzeniu HSM (Hardware Security Module).
- Karta podpisu: Użytkownik przechowuje ją fizycznie przy sobie, co uniemożliwia dostęp do kluczy w przypadku ataku na infrastrukturę dostawcy.
- HSM: Klucze przechowywane w urządzeniach HSM są technicznie zabezpieczone przed kopiowaniem lub odzyskiwaniem.
W obu przypadkach klucze kryptograficzne pozostają całkowicie bezpieczne, niezależnie od ataku.
Hasła należy zmienić
Choć hasła są przechowywane w bazach danych w postaci zaszyfrowanej, zaleca się ich zmianę w celu zwiększenia bezpieczeństwa. Szczególnie dotyczy to sytuacji, gdy użytkownik stosuje jedno hasło w wielu systemach.
Dla większego bezpieczeństwa:
- Utwórz unikalne hasło dla wszystkich systemu.
- Unikaj powtarzania haseł między różnymi usługami.
Bezpieczeństwo podpisanych dokumentów
Proces podpisywania dokumentów kwalifkowanym podpisem elektronicznym nie wymaga przekazywania ich treści do dostawcy. Podpis elektroniczny bazuje wyłącznie na tzw. „odcisku palca dokumentu” (wyniku funkcji skrótu), dokument pozostaje po stronie aplikacji do składania podpisu elektronicznego.
To oznacza, że:
- Dostawca usług nie miał dostępu do treści dokumentu, a zatem nie przechowuje jego zawartości.
- Atak na infrastrukturę dostawcy nie wpływa na podpisane już dokumenty.
- Podpisy pozostają ważne i nienaruszone, a treść dokumentów bezpieczna.
Podsumowanie
Ataki na infrastrukturę dostawców podpisów elektronicznych mogą naruszać nasze poczucie bezpieczeństwa i wymagać podjęcia działań, takich jak zmiana haseł.
Jednak kwalifikowany podpis elektroniczny, dane do jego składania oraz podpisane dokumenty pozostają bezpieczne. Nie istnieje ryzyko, iż osoby nieuprawnione złożą podpis w naszym imieniu, a podpisane dokumenty przez cały czas są prawnie ważne.
Data publikacji: 28.01.2025
