eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoAkty prawneProjekty ustawRządowy projekt ustawy o podpisach elektronicznych

Rządowy projekt ustawy o podpisach elektronicznych

- projekt ma na celu implementacje dyrektywy Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych

projekt mający na celu wykonanie prawa Unii Europejskiej

  • Kadencja sejmu: 6
  • Nr druku: 3629
  • Data wpłynięcia: 2010-11-23
  • Uchwalenie:

3629

Projekt
ROZPORZĄDZENIE
MINISTRA GOSPODARKI1)
z dnia …………….

w sprawie minimalnych wymagań dotycz ce polityk certyfikacji dla certyfikatów
kwalifikowanych2) 

Na podstawie art. 25 ust. 3 ustawy z dnia ………………… 2010 r. o podpisach
elektronicznych (Dz. U. Nr ….. , poz. …..) zarządza się, co następuje:

§1. Rozporządzenie określa minimalne wymagania techniczne dotyczące polityk
certyfikacji dla certyfikatów kwalifikowanych.

§2. Użyte w rozporządzeniu określenia oznaczają:
1) funkcja skrótu -funkcję odwzorowującą ciągi bitów na ciągi bitów o stałej długości,
w której dla danej wartości funkcji jest obliczeniowo trudne wyznaczenie argumentu
odwzorowywanego na tę wartość, a dla danego argumentu jest obliczeniowo trudne
wyznaczenie drugiego argumentu odwzorowywanego na tę samą wartość;
2) algorytm szyfrowy - zestaw przekształceń matematycznych służących do zamiany
informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zależnych od
zastosowanego klucza;
3) identyfikator obiektu - ciąg liczb, który jednoznacznie i niezmiennie wskazuje na
określony obiekt, w szczególności skonstruowany w oparciu o postanowienia Polskiej
Normy PN-ISO/IEC 9834.

§3. Polityki certyfikacji dla certyfikatów kwalifikowanych są przygotowywane zgodnie
z wymaganiami określonymi w specyfikacji technicznej ETSI TS 101 456 "Electronic
Signatures and Infrastructures (ESI); Policy Requirements for certification authorities issuing
qualified certificates".

§4. Maksymalny okres ważności certyfikatu kwalifikowanego przewidywany przez
politykę certyfikacji wynosi 5 lat.

§5. 1. Weryfikacja tożsamości, o której mowa w art. 12 ust. 1 ustawy z dnia ........ 2010 o
podpisach elektronicznych jest dokonywana osobiście, na podstawie jednego z wymienionych
niżej dokumentów:
1) dowodu osobistego;
2) paszportu;
3) innego dokumentu stwierdzającego tożsamość na terenie Unii Europejskiej,
zgodnie z odpowiednimi przepisami kraju wydającego dokument tożsamości.
2. Weryfikacja danych identyfikujących podmiot, o którym mowa w art. 12 ust. 1 pkt 1
ustawy, jest przeprowadzana na podstawie wypisu z odpowiedniego rejestru.
3. Weryfikacja umocowania osoby fizycznej składającej wniosek, o którym mowa w art.
12 ust. 1 pkt 1 ustawy, jest przeprowadzana na podstawie dokumentu potwierdzonego w
sposób wymagany przy reprezentacji podmiotu.
4. Dokument, o którym mowa w ust. 3 może być przedłożony w formie elektronicznej.
                                                           
1) 
Minister Gospodarki kieruje działem administracji rządowej – gospodarka, na podstawie § 1 ust. 2
rozporządzenia Prezesa Rady Ministrów z dnia 16 listopada 2007 r. w sprawie szczegółowego zakresu
działania Ministra Gospodarki (Dz. U. Nr 216, poz. 1593). 
2)    Niniejsze rozporządzenie zostało notyfikowane Komisji Europejskiej w dniu … 2010 r., pod numerem …,
zgodnie z § 4 rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania
krajowego systemu notyfikacji norm i aktów prawnych (Dz. U. Nr 239 , poz. 2039 oraz z 2004 r. Nr 65 ,
poz. 597), które wdraża postanowienia dyrektywy 98/34/WE z dnia 22 czerwca 1998 r. ustanawiającej
procedurę udzielania informacji w zakresie norm i przepisów technicznych (Dz. Urz. WE L 204 z
21.07.1998, z poźn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 20, str. 337).
5. Czynność weryfikacji tożsamości, o której mowa w ust. 1 jest potwierdzana przez
weryfikującego własnoręcznym podpisem, oraz poprzez podanie numeru PESEL
weryfikującego, w pisemnym oświadczeniu o dokonaniu weryfikacji tożsamości.
6. Podpis, o którym mowa w ust. 5 nie może być złożony w formie elektronicznej.

§6. 1. W przypadku gdy osoba wnioskująca o certyfikat kwalifikowany posiada ważny
certyfikat kwalifikowany, potwierdzenie jej tożsamości nie wymaga przedstawienia
dokumentów wymienionych w §5. ust. 1.
2. W przypadku, o którym mowa w ust. 1 podmiot świadczący usługi wydawania
certyfikatów kwalifikowanych:
1) weryfikuje prawdziwość informacji podanych przez osobę ubiegającą się
o kwalifikowany certyfikat przez porównanie ich z danymi znajdującymi się
w certyfikacie kwalifikowanym użytym do podpisania umowy,
2) dba o to aby zakres danych identyfikujących właściciela certyfikatu nie był szerszy
od zakresu danych znajdujących się w certyfikacie kwalifikowanym użytym do
podpisania umowy chyba, że dostarczy on dowody potwierdzające ich
prawdziwość,
3) w przypadku weryfikacji, o której mowa w §5 ust. 3 sprawdza czy dane zawarte w
certyfikacie kwalifikowanym są wystarczające do reprezentacji podmiotu,
4) dba o to, aby wartość zapisana zgodnie z załącznikiem nr 2 ust. 7 nie była niższa
niż 5.

§7. 1. Parametry algorytmów szyfrowych, podane w polityce certyfikacji spełniają
minimalne wymagania określone w załączniku nr 1.
2. W przypadku braku wymagań dla algorytmu szyfrowego w załączniku nr 1, stosuje się
zalecenia specyfikacji technicznej ETSI TS 102 176-1 Electronic Signatures and
Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1:
Hash functions and asymmetric algorithms wydanego przez European Telecommunications
Standards Institute (ETSI).

§8. 1. Polityki certyfikacji dopuszczają stosowanie funkcji skrótu zgodnie z zapisami
załącznika nr 4.
2. W przypadku braku odpowiednich zapisów w załączniku nr 4, stosuje się zalecenia
specyfikacji technicznej TS 102 176-1 Electronic Signatures and Infrastructures (ESI);
Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and
asymmetric algorithms wydanego przez European Telecommunications Standards Institute
(ETSI).

§9. Polityki certyfikacji zawierają specyfikację profilu certyfikatu spełniającego
wymagania określone w załączniku nr 2.

§10. Unikalność nazwy wyróżnionej „(distinguished name)” nie musi być zachowywana
w przypadku odnowienia certyfikatu.

§11. W przypadku wykorzystania list CRL polityka certyfikacji zawiera specyfikację
profilu listy spełniającą wymagania określone w załączniku nr 3.

§12.
Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.

Minister
Gospodarki


 
‐ 2 ‐ 
Załączniki
do rozporządzenia
Ministra Gospodarki
z dnia ....
 
Zał cznik nr 1
 
Wymagania dla algorytmów szyfrowych

1. Dla algorytmu RSA po dniu 31-12-2011:
- minimalna
długość klucza, rozumianego jako moduł p*q, wynosi 2048 bitów,
- długości liczb pierwszych p i q, składających się na moduł, nie mogą się różnić więcej
niż o 30 bitów.

2. Dla algorytmu DSA po dniu 31-12-2011:
- minimalna
długość klucza, rozumianego jako moduł p, wynosi 2048 bitów,
- minimalna
długość parametru q, będącego dzielnikiem liczby (p-1), wynosi 256 bitów.

3. Dla algorytmu ECDSA i ECGDSA do dnia 31-12-2011:
- minimalna
długość parametru q wynosi 160 bitów,
- minimalny
współczynnik r0 wynosi 104,
- minimalna
wartość parametru MinClass wynosi 200.

4. Dla algorytmu ECDSA i ECGDSA po dniu 31-12-2011:
- minimalna
długość parametru q wynosi 224 bity,
- minimalny
współczynnik r0 wynosi 104,
- minimalna
wartość parametru MinClass wynosi 200,
- iloraz n/q, gdzie n jest rzędem krzywej, a q jest rzędem generatora, jest równy nie
więcej niż 4.

5. Nazewnictwo parametrów, o których mowa w punktach 1-4 jest zgodne ze
specyfikacją techniczną TS 102 176-1 Electronic Signatures and Infrastructures (ESI);
Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions
and asymmetric algorithms, wydaną przez European Telecommunications Standards
Institute.

6. Wymagania wymienione w punktach 1-4 nie dotyczą procesu weryfikacji ważności
poświadczenia i podpisu elektronicznego.

‐ 3 ‐ 
Zał cznik nr 2
 
Wymagania dla certyfikatu kwalifikowanego

1. Certyfikat kwalifikowany zawiera co najmniej zestaw danych wymienionych w art. 27
ust. 1 ustawy z dnia ........ 2010 o podpisach elektronicznych.

2. Profil certyfikatu kwalifikowanego jest zgodny ze specyfikacją techniczną TS 102 280
X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons wydaną przez
European Telecommunications Standards Institute z zastrzeżeniem, iż w przypadku
odwołań do dokumentu SR 002 176 należy stosować odwołania do specyfikacji
technicznej ETSI TS 102 176-1.

3. Certyfikat kwalifikowany wydawany osobom fizycznym może mieć następujące
kategorie:
a) kategoria I zawiera w nazwie podmiotu „(subject)” przynajmniej następujące
atrybuty: nazwa kraju „(countryName)”, nazwisko „(surname)”, imię (imiona)
„(givenName)”, numer seryjny,
b) kategoria II zawiera w nazwie podmiotu „(subject)” przynajmniej następujące
atrybuty: nazwa kraju „(countryName)”, nazwa powszechna „(commonName)”,
numer seryjny „(serialNumber)”;
c) kategoria III zawiera w nazwie podmiotu „(subject)” przynajmniej następujące
atrybuty: nazwa kraju „(countryName)”, pseudonim „(pseudonym)”.

4. Dla certyfikatu kwalifikowanego wydawanego osobie fizycznej, w przypadku użycia
w nazwie podmiotu „(subject)” atrybutu „serialNumber” dozwolone jest podanie
jednej z wartości :
a) "PAS: <kod-iso-3166><numer id>", gdzie <kod-iso-3166> jest dwuznakowym
identyfikatorem kraju będącego wydawcą paszportu, a <numer id> oznacza serię
i numer paszportu bez spacji,
b) "ID: <kod-iso-3166><numer id>", gdzie <kod-iso-3166> jest dwuznakowym
identyfikatorem kraju będącego wydawcą dokumentu tożsamości, <numer id>
oznacza serię i numer dokumentu tożsamości posiadacza certyfikatu,
a w przypadku obywatela Polski <numer id> oznacza serię i numer dowodu
osobistego bez spacji,
c) "PESEL: <numer id>", gdzie <numer id> numer PESEL,
d) "NIP: <numer id>", gdzie <numer id> oznacza numer NIP bez spacji i znaków '-'.

5. Dla certyfikatu wydawanego osobie fizycznej, w przypadku użycia w nazwie
podmiotu „(subject)” pseudonimu dopuszcza się stosowanie atrybutu „pseudonym”
zgodnie z
zaleceniami dokumentu RFC 3739 opublikowanego przez Internet
Engineering Task Force lub nowszego.

6. W przypadku wydawania certyfikatu zgodnie z polityką certyfikacji dla certyfikatów
kwalifikowanych użytkowanych z bezpiecznym urządzeniem do składania podpisu
(QCP Public + SSCD), w certyfikacie kwalifikowanym umieszcza się identyfikator id-
etsi-qcs-QcSSCD, wskazany przez specyfikację techniczną TS 101 862 Qualified
Certificate Profile.

7. Certyfikat kwalifikowany zawiera rozszerzenie id-etsi-qcs-QcRetentionPeriod opisane
w specyfikacji technicznej TS 101 862, zawierające informację o okresie
przechowywania dokumentacji dotyczącej weryfikacji tożsamości właściciela
‐ 4 ‐ 
certyfikatu, zawierającej odręczny podpis wnioskodawcy, wyrażonej jako liczba lat
przechowywania począwszy od daty wygaśnięcia certyfikatu.

8. Dopuszcza się umieszczanie w certyfikatach kwalifikowanych rozszerzeń w sposób
opisany w dokumencie TR 102 044 "Requirements for role and attribute certificates"
wydanym przez European Telecommunications Standards Institute (ETSI).

9. Podpis zaawansowany złożony pod certyfikatem kwalifikowanym oraz dane służące
do weryfikacji podpisu elektronicznego spełniają wymagania określone w załączniku
nr 1 do niniejszego rozporządzenia, a w przypadku braku wymagań w załączniku
zalecenia specyfikacji technicznej TS 102 176-1 Electronic Signatures and
Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures;
Part 1: Hash functions and asymmetric algorithms wydanego przez European
Telecommunications Standards Institute (ETSI).
‐ 5 ‐ 
strony : 1 ... 10 ... 20 ... 26 . [ 27 ] . 28 ... 32

Dokumenty związane z tym projektem:



Eksperci egospodarka.pl

1 1 1

Akty prawne

Rok NR Pozycja

Najnowsze akty prawne

Dziennik Ustaw z 2017 r. pozycja:
1900, 1899, 1898, 1897, 1896, 1895, 1894, 1893, 1892

Monitor Polski z 2017 r. pozycja:
938, 937, 936, 935, 934, 933, 932, 931, 930

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: