10:02
14/4/2015
14/4/2015
Jeden z czytelników przesłał nam pytanie, czy publikowanie wzorów podpisów i pieczęci jest rozsądne. Jako przykład podał BIP Domu Pomocy Społecznej.
Z jednej strony, taka publikacja pozwala komuś porównać, czy pismo od danego urzędu jest oryginalne (o ile dotrze do BIP-a i przy założeniu że nie sprawdzi tego prostszą metodą — telefonem). Z drugiej, taka publikacja ułatwia zadanie fałszerzom — nie muszą już silić się na pomysły, jak zdobyć oryginały pism.
Pytanie, czy ktoś dzisiaj w ogóle weryfikuje dokumenty na podstawie podpisów i pieczątek? Obyśmy się niedługo doczekali publikowanych w BIP-ach kluczy publicznych.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Co do kluczy publicznych – obawiam się, że mielibyśmy wiele przypadków publikowania par kluczy… Zresztą należałoby się zastanowić, czy administracja powinna korzystać z rozproszonego modelu zaufania?
W dzisiejszych czasach każdy kto ma chęć podrobić oficjalny dokument jakiegoś urzędu może to bez trudu zrobić w warunkach domowych. Przecież nawet podpisy prezydenta, marszałka czy premiera można znaleźć w internecie. Podejrzewam, że w przeciągu godziny miałbym faksymile 50 najważniejszych ludzi w państwie. Pytanie tylko po co?
Problem leży w fakcie, że fizyczny podpis graficzny nie posiada “mechanizmu zapadkowego” – dostęp do wzoru umożliwiającego weryfikację autentyczności podpisu jednocześnie znacznie ułatwia wygenerowanie (tzn. podrobienie) samego podpisu. To trochę tak, jakbyś pozyskawszy czyjś klucz publiczny jednocześnie w zasadzie wchodził w posiadanie jego klucza prywatnego…
“Pytanie, czy ktoś dzisiaj w ogóle weryfikuje dokumenty na podstawie podpisów i pieczątek?” – Czy ktoś wymyślił inny (praktyczny) sposób przy obiegu papierowym dokumentów? Myślę też, że są na świecie pieczęcie, które jest znacznie ciężej podrobić niż pieczątkę za czypięćdziesiąt ze stanowiskiem i nazwiskiem.
Taki wzór pozwoli tylko określić, czy podpis na jakimś papierze jest zrobiony przez kogoś, kto nie ma pojęcia jak oryginalny podpis wygląda i tyle (albo nie chciał fałszować podpisu, więc podpisał byle jak – ciekawe czy to by przeszło). Z tego co wiem potrzeba setek wzorów do analizy grafologicznej – ktoś kto chce udowodnić, że podpis na umowie o kredyt jest nie jego, musi złożyć podpisać się setki razy specjalnie dla grafologa.
Podpisy członków zarządów spółek (i prokurentów też ;-) leżą w aktach w KRS właśnie jako rękojmia wiarygodności — więc nie widzę problemu.
“Z tego co wiem potrzeba setek wzorów do analizy grafologicznej – ktoś kto chce udowodnić, że podpis na umowie o kredyt jest nie jego, musi złożyć podpisać się setki razy specjalnie dla grafologa”
Bajki waść piszesz. Analizą grafologiczną zajmują się laboratoria ( czy jak to tam się nazywa) policyjne. Nie trzeba setek podpisów do porównania. Na analizę czeka się ok. 3 mies. Bardziej złożone przypadki 6 mies. W Centralnym Laboratorium Policyjnym w Warszawie na ukończeniu jest technologia, która pozwala porównać podpis prawdziwy z fałszywym tylko na podstawie zdjęcia. Program zdejmuje kolejne warstwy podpisu i analizuje między innymi nacisk długopisu / pióra na kartkę papieru.
Jeden malutki szczegół, każdy program który może wykonać tego typu analizę wzoru może go również odtworzyć za pomocą zwykłego bota.
Podpis (czy pieczęć) nie jest w dzisiejszych czasach czynnikiem uwierzytalniającym tylko stwierdzającym stan woli człowieka czy urzędnika. Czyli pełni funkcję mechanizmu gwarantującego niezaprzeczalność a nie uwierzytelnienie.
Do 15 stycznia wzory podpisów były np. obowiązkowym załącznikiem wniosku o wpis do rejestru przedsiębiorców (uchylony art. 11 ustawy o KRS). Wgląd nie ograniczony w czytelniach KRS.
W chyba każdym planie gminnego zarządzania kryzysowego jest załącznik z podpisami.
Błąd w tytule oraz treści – to nie są WZORY podpisów. A problem – wydumany. Jak ktoś będzie chciał uzyskać przykład dowolnego podpisu, dostanie go po złożeniu dowolnego zapytania o dostęp do informacji publicznej, która taki podpis będzie zawierać. Podpis zwykle nie służy do niczego (tak jak parafki na każdej stronie – one są wyłącznie po to, żeby dla własnych celów oznaczać strony już przeczytane i zaakceptowane, lub te które już sprawdził nasz prawnik), tak samo zresztą jak na przykład …wiele umów. Umowy się pisze na wypadek konfliktu, podpis jest również na wypadek sporu – tylko grafolog może stwierdzić jego autentyczność, zatem potencjalny oszust nawet nie musi się silić na podrobienie czyjegoś podpisu, może sobie zwyczajnie cokolwiek sam nabazgrać, bo potencjalna ofiara i tak nie ma mechanizmu do sprawdzenia samego znaku graficznego. Istnieje co prawda coś takiego jak ‘wzór podpisu’, ale to jest grube niepozozumienie, gdyż wiele osób nie umie drugi raz mechanicznie podpisać się tak samo po latach, więc stoisz w takim banku i pytasz pani w okienku “a może tak wam to 10 lat temu namalowałem?” – głupota stwarzająca iluzję bezpieczeństwa, bo sprawdza się jedynie jakieś zgrubne podobieństwo. Jakby nie wystarczyło porównanie danych z dowodu – co jak co, ale podobieństwo twarzy ze zdjęcia ludzki mózg analizuje nieporównywalnie lepiej, niż podobieństwo literek, a fałszerstwo wizerunku też jest trudniejsze do wykonania domowymi metodami.
A żeby uzmysłowić każdemu, że podpis jest na prawdę mało istotny – fałszesz może posłużyć się oryginalnym, wystarczy że go uzyska np. na kilkustronicowej decyzji i podmieni pierwsze strony, wtedy pozostaje jedynie analiza papieru oraz tonera tej ostatniej strony z podmienionymi; ale przecież uzyskanie takiego samego papieru oraz tuszu jest również banalne (kto to dostarcza będzie widoczne w wynikach przetargu) i wtedy pozostaje już chyba tylko analiza samego procesu druku, tj. cech charakterystycznych konkretnej drukarki, a więc rzecz leżąca grubo poza zasięgiem ofiary. Po co więc chronić coś, co jest dostępne powszechnie?
Urzędników nikt nie uczy, aby:
1. unikać podpisów na nowej stronie, z jakimiś pojedynczymi linijkami tekstu powyżej – zwykle stałe stopki z pouczeniem o terminie, ktore można zastosować w nowospreparowanym piśmie,
2. drukować dwustronnie – wówczas problem jest ograniczony do stron nieparzystych, czyli o 50% zredukowana szansa na wykorzystanie ich autentycznego podpisu do frauda,
3. bezwzględnie podawać na dole dokumentu (tj. stronie z podpisem) daty, sygnatury pisma oraz danych stron (otrzymują: strony, a/a).
Zwykle piszecie tutaj o zagrożeniach cyfrowych, ale w dziedzinie analogowej takie rzeczy również robiono i będzie się robiło, zatem problem ludzkiej ignorancji to nie jest coś nowego, wynikającego z niedostosowania się do nowych cyfrowych warunków, tylko stare jak świat “kawa mi stygnie, a nie pierdołami się zajmować będę, jakoś to będzie”. Ludzie ignorują i będą w większości ignorowali swoje bezpieczeństwo (AC jest drogie, a dobrze jeżdżę i mam immobilizer, więc nie ukradną, ubezpieczenie od pożaru czy powodzi też drogie, ale na pewno nic się nie stanie, a jak coś to państwo płaci, wypłacę sobie 200 kzł z banku i zapakuję do reklamówki, przecież mnie nie okradną, po co mam czytać umowę, już tyle ludzi czytało, to musi być w porządku, zadzwonili do mnie z taką dobrą ofertą, muszę się spieszyć, wygralem super garnki, napisał do mnie nigeryjski bogacz itd.) – z drugiej strony są paranoicy, którzy spędzają godzinę nad umową …nie rozumiejąc jej treści (z braku znajomości podstaw prawa), wyłączający JS w przeglądarce, czytający onet przez tora, chowający się przed uliczną kamerą, kupujący pizzę za bitcoiny czy cała masa preppersów szykujących się na apokalipsę czy inną wojnę. Mało kto ma zdrowy instynkt samozachowawczy – z jednej strony zanika, bo za wygodnie się nam żyje, z drugiej strony jak już ktoś się spotka z oszustwem, to zaburzenie idzie w drugą strone. I żadne szkolenia nic tu nie pomogą.
Oj naprawdę, czepiacie się biednych urzędników. A nie lepiej sobie jakiś akcik notarialny sprokurować? W pełni profesjonalni prawnicy-notariusze chętnie udostępniają podpis i pieczęć na WWW dla wszystkich zainteresowanych, na przykład tu: http://hpms.pl/
Uwaga! Tam są kopie podpisów i pieczęci obu panów notariuszy, obrazki się zmieniają.