14:11
12/5/2020

Specjalna rządowa usługa umożliwia podpisanie Profilem Zaufanym dowolnego dokumentu i każdy może sprawdzić poprawność podpisu. To fajnie ale warto wiedzieć, że wraz z podpisanym dokumentem prześlecie odbiorcy więcej informacji o sobie niż moglibyście chcieć ujawnić.

Większość osób wie, że Profilu Zaufanego można użyć do komunikacji z urzędem. Dodatkowo można użyć Profilu Zaufanego do podpisania dokumentu, który wyślemy innej, dowolnej osobie. Ta osoba ma możliwość sprawdzenia poprawności podpisu. To wszystko robi się za pomocą usługi Podpisz dokument elektronicznie, która jest dostępna pod adresem moj.gov.pl.

W czasach epidemii coś takiego może się przydać.

Usługa jest bardzo prosta w użyciu. Zaczynamy od wybrania dokumentu z dysku. Może to być plik w jednym z wielu formatów m.in.  .txt, .rtf, .pdf, .xps, .odt, .ods, .odp, .doc, .xls, .ppt, .docx, .xlsx i in. Następnie klikamy “Podpisz”.

Usługa Moj.gov.pl

Przejdziemy na stronę logowania do Proflu Zaufanego. Logujemy się w standardowy sposób, potwierdzamy co trzeba i uzyskujemy podpisany dokument do pobrania.

 

Pobieramy plik XML i oto mamy podpisany dokument, który możemy gdzieś wysłać. Osoba, która dostanie ten plik XML, może sprawdzić ważność podpisu za pośrednictwem tej samej e-usługi.

W czym problem?

Warto być świadomym jednej rzeczy. Kod powstałego pliku XML każdy może sobie podejrzeć. Tam znajdzie następujące informacje: PESEL podpisującego oraz ID konta użytkownika profilu zaufanego.

Udostępnianie własnego PESEL-u wraz z podpisem nie każdemu będzie się podobać. Wątpliwości może wzbudzić również udostępnianie ID konta użytkownika bo jakby nie patrzeć jest to jedna z danych uwierzytelniających potrzebnych do zalogowania się na Profil Zaufany. Naszym zdaniem ta dana powinna pozostawać informacją znaną użytkownikowi profilu i najlepiej tylko jemu.

Z reklam telewizyjnych wiemy,  że e-Polak potrafi. A jednak sądzimy, że wielu e-Polaków zareaguje na ten tekst tak.

Kadr z rewelacyjnej reklamy o e-Polakach. Radzimy obejrzeć oryginał.

Czy to jest wyciek danych?

Nie, ale i tak jest to pewien problem. Podobny do tego, o którym już pisaliśmy w kontekście zgłaszania skarg do UODO.

Po prostu wszyscy powinni wiedzieć, że rządowa usługa do podpisywania dowolnych dokumentów Profilem Zaufanym generuje plik, który ujawnia nasz numer PESEL. Od nas zależy, czy przekażemy komuś taki plik. Kluczowa jest tutaj świadomość, a niestety nikt nie informuje, że wraz z przekazywanym plikiem przekazujemy swój PESEL.

Możemy sobie nawet wyobrazić, że takie podejście do usługi ma pewien sens. PESEL jest numerem ewidencyjnym, który jednoznacznie wskazuje na konkretną osobę. Rozumiemy, że ktoś może chcieć łączyć podpis z PESEL-em na takiej zasadzie, że wiemy iż konkretna osoba podpisała się pod dokumentem. Tu jednak należałoby sobie zadać pytanie, czy taka usługa jest optymalna? Część osób nie będzie chciała korzystać z tej usługi jeśli dowie się, że przekazanie podpisanego dokumentu oznacza przekazanie PESEL-u.

Jeden z naszych Czytelników, który również zauważył ten problem, podzielił się z nami taką refleksją.

Importując plik XML do serwisu PESEL nie jest wyświetlany, więc chyba intencją narzędzia nie było ujawnianie numeru PESEL.

Ale może jednak było? Zadaliśmy pewne dodatkowe pytania Ministerstwu Cyfryzacji, ale przede wszystkim postanowiliśmy was ostrzec, czy też może poinformować o ważnej cesze rządowej usługi. Bo przecież to może być ficzer, nie bug.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

76 komentarzy

Dodaj komentarz
  1. Pesel jest jedynym unikalnym identyfikatorem osoby fizycznej, więc pewnie dlatego PZ potwierdza, że to osoba o konkretnym PESEL-u go podpisała. Czy i jak można byłoby potwierdzić podpisany dokument bez unikalnego identyfikatora jednoznacznie wskazującego na osobę podpisującą?

    • Ale po co ten PESEL jawnym tekstem? Na osobę podpisującą wskazuje jednoznacznie sam podpis w systemie profili zzaufanych – nie jest do tego potrzebny jawny PESEL.

    • Wy tutaj o profilu zaufanym a poczta polska dostanie w excelu imię, nazwisko, adres i PESEL !

    • Login i hasło też wskazują na konkretną osobę, jednak się ich nie ujawnia, a hasła nawet się nie przechowuje otwartym tekstem. Nie musisz ujawniać poufnych danych, żeby coś podpisać. Spokojnie wystarczyłoby nazwisko + hash innych danych odpowiednio zasolony. Masz wtedy i identyfikację i poufność zachowaną.

      Nawiasem mówiąc podobne rzeczy można robić przy wyborach kopertowych. W kopercie masz kartkę, na której jest identyfikator karty do głosowania. Kartę dostajesz losową, więc nie wiadomo do kogo poszedł który identyfikator. Kartkę sobie zabierasz i możesz potem sprawdzić głos. Masz jednocześnie weryfikowalność i brak możliwości identyfikacji. It’s magic ;-)… Tudzież it’s science ;-).

    • PESEL… UNIKALNY… hahaha

  2. Podpis zaufany (taki komercyjny) też zawiera przecież PESEL. Niestety, i sprawdzając dokumenty dostępne publicznie można go zobaczyć (podobnie jak np. w wyciągach z KRS gdzie jest nie zamaskowany).
    Problemem w naszym kraju jest, moim zdaniem, nieudolność stanowiących prawo i niechęć branży finansowej do ukrócenia procederu brania lewych pożyczek i kredytów na słupy na podstawie samego numeru PESEL. Wtedy taka dana nie byłaby już tak ważna dla osób postronnych. Gdyby prawo wreszcie obciążyło takim problemem tego, kto dał lewą pożyczkę a nie niewinną osobę to zaraz by się okazało, że wszystko da się szybko i bezpiecznie weryfikować. Ale obecnie firmy trzepią kasę a problem ma oszukany i bardzo ciężko to odkręcić.

    • Dokładnie w tym rzecz, PESEL jest wszechobecny, wystarczy być współwłaścicielem nieruchomości, ja znam PESELe wszystkich właścicieli mieszkań na moim osiedlu, 600 osób. Mało tego, nie musisz być właścicielem żadnej nieruchomości, wystarczy poznać numer jakiejkolwiek księgi wieczystej i wszystko można sobie sprawdzić online, więc jawne są PESELe wszystkich osób które mają jakąkolwiek nieruchomość na którą jest wystawiona księga wieczysta, o numery ksiąg można prosić sprzedawców mieszkań na OLX, masz pełny wgląd do danych właścicieli. Inne sprawy to umowy, każda umowa notarialna zawiera między innymi PESEL, zakładasz spółkę z 5 osobami, każdy wymienia się PESELami, to nie powinien być problem żeby wymieniać się PESELami.

      Ta dana jest jawna i powinna być tak traktowana, jak imię i nazwisko a nie jak hasło do banku, a to ułomne prawo powinno być jak najszybciej zmienione.

    • Absurdem jest wykorzystywanie PESELu jednocześnie jako “klucza publicznego” jak i “klucza prywatnego” – każdy go wszędzie żąda, jednocześnie zakładając, że zna go wyłącznie właściciel.

  3. Skoro w tym PESELu chodzi o identyfikację osoby, to czy nie lepiej byłoby w tym podpisie umieszczać hasz PESELu? A jeśli jest on potrzebny jako klucz do przeszukiwania bazy, to może po prostu generowanie osobnego identyfikatora użytkownika, który byłby używany do przeszukania bazy przy sprawdzaniu podpisu?

    • Hash PESELu nic nie zmienia – bo wygenerowanie hashów dla każdego możliwego numeru PESEL to pewnie kilka sekund/minut na obecnym sprzęcie.

    • Sądzę, że trochę za łatwo byłoby ten hash odwrócić. Masz 10k unikalnych peseli na dzień urodzin, 5k jeśli znasz płeć. To daje 1,5M peseli na rok urodzin, choć chyba są przydzielane po kolei, więc można jeszcze łatwo to ograniczyć

    • Ależ możnaby zrobić bezpieczniejszy hash. Wystarczy trochę soli.

  4. Identycznie wygląda podpis wykonany za pomocą podpisu kwalifikowanego. Klucz publiczny jest dołączany w całości do xml-a, a w nim jako identyfikator podmiotu jest wskazany PESEL właściciela podpisu.

  5. Podpiszcie podpisem kwalifikowanym pdf ( najlepiej podpis wewnętrzny ) z tego co pamiętam to PESEL bije po oczach przy weryfikacji ( podglądzie ) w Acrobat Readerze. Profil zaufany i podpis kwalifikowany ujawniają PESEL.

    • Podpis kwalifikowany zamiast PESEL-u może zawierać NIP.

  6. Przecież imię i nazwisko to mało do jednoznacznej identyfikacji osoby, która podpisała dokument. Ja się dziwię, że PESELu trzeba szukać w xml – powinno go wyświetlać narzędzie do weryfikacji podpisu (-ów).
    Zastanawiam się jaki dokument bez PESELu w treści chcielibyśmy podpisać profilem? Umowy zazwyczaj go tak czy inaczej zawierają.

    • podpisującym formularz (np. bilans, sprawozdanie roczne itp) może być np. Zarząd + >>inna osoba upoważniona<< i o ile dane imię/nazwisko/pesel Zarządu są znane bo figurują np. w KRS to te same dane np. księgowego, kadrowej czy szeregowego pracownika już nie powinny być dostępne otwartym tekstem…

  7. No sorry, istotą podpisu pliku jest powiązanie konkretnego bytu, czyli pliku z podmiotem, czyli w tym wypadku osobą. Czym ma podpisywać usługa “urzędowa”? Dowolnymi danymi jakie jej podacie? A może samym imieniem i nazwiskiem? OK, mogłoby być explicite powiedziane, że dane będą widoczne, ale to akurat ma sens.

    Natomiast tu – “Importując plik XML do serwisu PESEL nie jest wyświetlany” – ktoś nie umie w imiesłowy.

    • Ma podpisywać Twoim kluczem prywatnym. Baza centralna powinna przechowywać informację o każdym użytym podpisie cyfrowym i w odpowiedzi zwracać weryfikującemu Twój klucz publiczny, w oparciu o który można zweryfikować podpis.Koniec pitolenia

  8. Nie można tego pliku zedytować i wywalić pesel?

    • Tak, można go usunąć, niestety, razem z podpisem…

  9. Jak chcecie więcej danych z podpisu to polecam to narzędzie https://epuap.gov.pl/wps/portal/strefa-urzednika/inne-systemy/walidator

  10. Pisałem Wam o tym w kwietniu ale nikt się nie odezwał ;-(
    Przez dziennikarską przyzwoitość chociaż byście mnie wspomnieli w artykule, miałbym co w CV wkleić ;-)))

    Pozdrawiam Redakcję

    • W kwietniu? Przecież ‘to’ tak działa od początku, czyli chyba siedmiu lat. Powiem więcej – jak urzędnik przysyła odpowiedź, to widać (było) PESEL urzędnika. Jakieś pół roku czy rok temu to zmienili, i już nie widać.

    • Ale hakier z cb ziomek

  11. Bo do k nędzy wystarczy jedna ustawa, która zabroni stosowania PESELu jako tajnego składnika jakiejkolwiek autoryzacji. Podobnie jak numeru dowodu i pewnie paru innych numerków ulubionych przez januszy informatyzacji.

    • Mam pytanie: mając dokument firmowy muszę to podpisać swoim profilem zaufanym , ( czego nie chciałbym w pracy robic), ewentualnie czy można zastosować jakieś inne narzędzia, podpisy?

  12. W myśl § 8 ust. 1 pkt 3 rozporządzenia Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz.U.2016.1633) profil zaufany ePUAP zawiera numer PESEL użytkownika.

    Dane identyfikujące osobę składającą podpis z wykorzystaniem profilu zaufanego (imię, nazwisko, PESEL) pojawiają się dopiero w momencie składania podpisu i chociaż nie mogą być zawarte w certyfikacie udostępnionym przez ministra na ePUAP, to certyfikat ten zapewnia integralność dokumentu głównego tworzonego na ePUAP. Dokument główny zawiera zarówno treści podpisywane, ewentualne załączniki, jak i dane identyfikujące osobę składającą podpis. Dane te umieszczane są przez system w dokumencie głównym (mającym zawsze format XML) automatycznie, w momencie składania podpisu. Weryfikator podpisów elektronicznych zaimplementowany na ePUAP pozwala na weryfikację zarówno podpisu kwalifikowanego, jak i podpisu potwierdzonego profilem zaufanym – pozwala na odczytanie imienia, nazwiska oraz numeru PESEL, a także czasu złożenia podpisu.

    Należy zatem uznać, że umieszczenie w profilu zaufanym numeru PESEL użytkownika jest zgodne z art. 23 ust. 1 pkt 2, 4 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

    Odpowiedź z service deska UODO.

    • PROFIL w ePUAP zawiera PESEL i jest to oczywiste. Ale to nie implikuje umieszczania numeru PESEL w jawnej postaci w pliku XML podpisanym w systemie ePUAP.

  13. Podpis kwalifikowany nie musi zawierać pesel (inna sprawa czy do czegoś się wtedy przyda). Ja uważam że pesel (lub jego następca) powinien być jawny. Jak ktoś zacznie dawać pożyczki na numer buta to utajnimy numer buta? Problem po RWPG że pesel zawiera informacje o płci. Ale jakoś KRS nie przejmuje się tym. Może powinniśmy się mniej przejmować bo prawników jest i tak więcej niż lekarzy czego skutki widać.

    • “Problem po RWPG że pesel zawiera informacje o płci. Ale jakoś KRS nie przejmuje się tym.”

      Pst! To tajemnica. Polskie imiona tez zawieraja informacje o plci.

  14. No, chopaki oszczedzili na ID uzytkownika. Cale 4 bajty (int) na osobe!

    Gdzie takie pesele potrafia przeciez zyc wlasnym zyciem i moze na nazwe uzytkownika stykna, ale na ID w bazie? Niech sie cos kurka stanie w komus w zyciu nietypowego, nawet nie trzeba sie klonowac, standardowe sytuacje (cudzoziemcy, zakresy danych, pomylki, etc.) i cala baza warta tylko zeby ja wywalic na przemial…

    • Czyli co miało by tam być?
      Jakiś PESEL bis?
      I co by to zmieniało, przecież musiałaby być publiczna metoda przejścia z jednego, na drugi.
      Ten strach przed podaniem PESEL-a przypomina amerykańską niechęć do podawania numeru rachunku bankowego.

    • > Czyli co miało by tam być?
      > Jakiś PESEL bis?

      Logicznie to Profil_Zaufany_ID na przyklad. Zwlaszcza, ze logiczne jest rozciagniecie na inne podmioty prawne czy osoby bez PESEL’a.

      > I co by to zmieniało, przecież musiałaby być publiczna metoda przejścia z jednego, na drugi.
      Metoda przejscia jest w bazie, logujesz sie peselem, a w podpisie jest ID profilu.

      > Ten strach przed podaniem PESEL-a przypomina amerykańską niechęć
      > do podawania numeru rachunku bankowego.
      Niechec do podawania PESEL’u ma sens poniewaz rozne “instutucje” wciaz uwazaja go za informacje ktora mozna wykozystac do weryfikacji osoby (traktuja PESEL jak informacje tajna gdzie jedyna osoba ktora go zna jest ta nim opisana…).

    • > Ten strach przed podaniem PESEL-a przypomina amerykańską niechęć do podawania numeru rachunku bankowego.

      Też się z tym spotkałem. Ktoś wie, czemu tak jest?
      Myli im się numer rachunku z numerem karty czy co?

    • W Stanach jeśli masz numer banku (Routing Number) i konta, możesz zlecić wypłatę z w/w :) Oczywiście są zabezpieczenia, ale mimo wszystko zdarzają się nieplanowane wypłaty. Dlaczego? Taki zwyczaj. Tak samo jak np. czeki, których u nas nie widziałem już od 20 lat… a tam praktycznie najczęstszy sposób wypłat :)

  15. W podpisie są takie dane: imię, nazwisko, pesel, id konta pz i login equap. Jak się klika w reset hasła to trzba podać login i pesel (przekopiowane z opdpisu, sprawdziłem, działa).
    Do tego jest jakieś tajemnicze pole IdPolitykiAutoryzacji, jak się podpisuje mbankiem to ma wartość 109, próbowałem podpisać za pomocą hasła, nie przez bank, ale się nie da.
    Może ktoś sprawdzić w innym banku czy ta wartość będzie inna? Bo to pole nie jest opisane w api, jest tylko, że to liczba dodatnia.

  16. Imho błędem jest nie wyświetlanie PESELu od razu tak po stronie podpisującego jak i sprawdzającego.. Bo co sprawdzający tak na prawdę sprawdza? System mu powie, że tak faktycznie dokument podpisano i zrobiła to osoba o danym imieniu i nazwisku. Imho mało do uznania, że podpis został złożony przez konkretnego obywatela

    • Dostajesz dokument podpisany przez Jana Nowaka, prezesa firmy Czerwone Kije , z fakturą za dostarczenie pięciuset SuszarKałaszy 2000 – z numerm konta do wpłaty. Dokument podpisał Jan Nowak spod monopolowego, który założył sobie PZ za namową dobrego Pana Mietka, który to Pan Mietek sfinansował mu 0.75l…

    • Dostajesz dokument podpisany przez Jana Nowaka, prezesa firmy Czerwone Kije , z fakturą za dostarczenie pięciuset SuszarKałaszy 2000 – z numerm konta do wpłaty. Dokument podpisał Jan Nowak spod monopolowego, który założył sobie PZ za namową dobrego Pana Mietka, który to Pan Mietek sfinansował mu 0.75l…

      Problem – poruszany wielokrotnie – tkwi w tym, że PESEL, który jest od nas żądany na prawo i lewo, często widoczny publicznie, traktowany jest jako dana poufna…

  17. Przeprowadziłem małe śledztwo dziennikarskie w tej sprawie.
    W pliku xml są dane takie jak: imię, nazwisko, pesel, id profilu zaufanego i login oraz tajemnicze pole “IdPolitykiAutoryzacji”.

    Pomijając czy te wszystkie informację są potrzebne to w momencie kliknięcie “zapomniałem hasło” w profilu zaufanym jesteśmy pytani o login oraz pesel. Przekopiowałem te dane z pliku z podpisem i na maila przyszedł mi link do zmiany hasła.

    Teraz pozostaje moim zdaniem bardziej poważna sprawa związana z IdPolitykiAutoryzacji, niestety w api profilu zaufanego nie jest to nigdzie opisane, jest tylko informacja, że ma to być liczba dodatnia. Więc przeprowadziłem eksperymenty i podpisałem kilka plików za pomocą logowania się przez mbank i wartość ta wynosiła 109, natomiast gdy logowanie nastąpywało za pośrednictwem banku pko to wartość ta wynosiła 101. Moim zdaniem ten podpis ujawnia nasz pesel, login w profilu zaufanym oraz informację jakiego banku używamy.

  18. Mam podpis kwalifikowany Certum – i tam tez w ramach certyfikatu podpisującego jest PESEL. Łatwo podejrzeć. Więc to chyba standardowa zawartość pól certyfikatu podpisu.

    • Nie standardowa, tylko cwaniactwo lobbingu z branży ePodpisu! Jak poczytasz ustawę w której jest opisane co ma wchodzić w skład ePodpisu, to zauważysz, że jest to żywcem zerżnięty opis z zaleceń opisanych w dokumencie unii europejskiej. Ale u na cwaniaczkowie na początku zdania mówiącego o unikalnym identyfikatorze, dopisali sobie “PESEL lub”. I tak to właśnie masz PESEL w ePodpisie. A ściślej, to powód dlaczego pojawia się PESEL jest ujęty w ustawie do której link poniżej:
      Link: https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20160001579/U/D20161579Lj.pdf
      Konkretnie chodzi o art. 21a ust. 6 pkt. 4. Wspomniany tam jest akt wspólnotowy, ale nasi autorzy ustawy dopisali sobie na wstępie zwrot w postaci „PESEL lub”.
      Tak to wygląda w Polsce obecnej. Lobbing biznesowy ma dużo większy wpływ na regulacje prawne niż wyborcom się wydaje!

  19. ProTip: podpisując dokumenty certyfikatem kwalifikowanym, ujawnisz swój PESEL!1!!1

  20. Rozumiem, że ujawnienie kodu PESEL jest niebezpieczne, ale tak de fakto to tylko identyfikator. Rownie dobrze mogłbym podszyć się pod komentujacych powyżej i napisać jakieś głupoty.. ale to do niczego nie prowadzi.
    Macie jakiś lepszy sposób na takie konto, którego jeden człowiek nie może mieć więcej niż jedno? .. A jednocześnie żeby nie dało sie wykorzystać takiego identyfikatora jeśli nie jest się jego właścicielem?

    • Ktoś robi lewy dowód osobisty albo prawko na Twoje PRAWDZIWE dane wzięte z podpisu i bierze pożyczkę. Komornik przychodzi do Ciebie. Szach, mat.

  21. Już kiedyś o tym tutaj wspominałem. Zarówno podpis zaufany, jak i kwalifikowany, ujawnia PESEL. Zgłaszając to do Ministerstwa uzyskałem odpowiedź, że wg. nich to nie problem. I teraz jako petent piszący do urzędu w zasadzie nic nie tracę, bo z reguły ten PESEL urząd zna. Ale bajka zaczyna się w drugą stronę jako urzędnik podpisuje dokument PZ lub kwalifikowanym w imieniu organu (np. wojewody, starosty itp) I teraz klient dostaje pismo podpisane moimi danymi, moim PESELem. Tylko czekać, aż ktoś w ramach okazania “sympatii” wykorzysta te dane.

  22. Może nie całkiem w temacie, ale nie radzę logować się na profil zaufany używając komputerów do których inni mają dostęp. Nawet jeśli się wylogujesz, to gdy siądzie ktoś po tobie nawet po dłuższej przerwie i będzie się chciał zalogować na swój profil zaufany (kliknie zaloguj przy użyciu PZ) nagle okaże się że poprzedni użytkownik jest dalej zalogowany. W moim przypadku restart Chrome (różne sieci i komputery) nie pomógł (myślałem, że może to problem z sesją i cookies). :D Dzieje się tak chyba od zawsze.

  23. Szybko sie obudziliscie, tak jest od baaardzo dawna; jak tylko zobaczylem, co bylo w excely podczas testowania systemu olalem calosc.

    Smiech na sali z takim podpisem.

  24. Ja bym zrobił tak że do tego XML wrzucałbym ID podpisanego pliku a z tym ID w bazie danych powiązany pesel i wtedy serwis mógłby działać dalej tak samo ale pesel nie musiał by wychodzić poza serwis

    • Poza tym, że odbiorca takiego dokumentu nie miałby jak sprawdzić kto faktycznie podpisał dokument, bo nie byłoby możliwości powiązania podpisu z konkretną osobą. Tak jak już wspomnieli poprzednicy problemem nie jest ujawnianie numeru PESEL, ale możliwość wykorzystania go jako głównego składnika uwierzytelnienia w celu zawarcia umowy/wzięcia pożyczki itd. PESEL powinien być wyłącznie identyfikatorem w systemach informatycznych, a uwierzytelnienie osoby powinno być realizowane choćby właśnie za pomocą podpisu kwalifikowanego, profilu zaufanego czy podpisu zaufanego certyfikatem umieszczonym w dowodzie osobistym. Wówczas poświadczenie realizowane jest “dwuskładnikowo”, bo za każdym razem musiałbym coś mieć (telefon, kartę kryptograficzną, dowód osobisty) i coś wiedzieć (hasło do banku/epuap, pin do karty, pin do certyfikatu w dowodzie).

    • Masz rację ! To serwis JEST GWARANTEM, że nadawcą dokumentu jest właściwa osoba! Sprawdzać? A co? Co najwyżej samego gwaranta czy jest rzetelny jako gwarant i daje rękojmię prawdy co tożsamości nadawców dokumentów potwierdzanych!

  25. A w KRSie do którego wysyła się dokumenty podpisane nr PESEL to go nie widać? Jest dostępny dla każdego…

  26. Ktoś tu chyba nie zrozumiał istoty Profilu Zaufanego i tego jak wygląda obieg dokumentów i jakie dane się w nich podaje kierując do urzędu. I niestety mam na myśli Was Panowie z Niebezpiecznika. Pozdrawiam.

    • Przecież tu nie ma mowy o kierowaniu danych do urzędu, tylko o podpisywaniu czegokolwiek, w dowolnym celu.
      Niektórzy sądzą, że jest coś złego, w fakcie, że każdy podpisany dokument zawiera takie dane podpisującego, a nie tylko opis.

      Ja akurat nie widzę w tym większego problemu, dużo gorsze (i zupełnie zbędne) jest podawanie loginu ePUAP, oraz wykorzystanej metody logowania.
      Mogła by być o tym PESEL-u informacja, ale choć nie jest to powiedziane wprost na stronie podpisywarki, jego załączenie było dla mnie oczywiste.

    • Ktoś tu chyba nie zrozumiał, że mowa o usłudze do podpisywania własnych, customowych dokumentów do innych obiegów niż urzędowych :D

    • Inni już odpowiedzieli za mnie, ale mimo wszystko dodam coś od siebie.

      Zgaduję, że puściłeś komentarz bez czytania tekstu. W ogóle nie dotyczy on obiegu informacji w urzędach.

  27. Czy podpisywanie przez ePUAP za pośrednictwem banku (np.Santander), tez przesyła PESEL?

  28. PESEL to nie hasło, tylko login. PESEL to nie podpis, a co najwyżej odpowiednik imienia i nazwiska. PESEL nie jest tajny, PESEL krąży w wielu instytucjach i firmach.

    Nie wiem jak, ale chciałbym, żeby patologia udzielania kredytu na PESEL i sprawiania komuś dużych kłopotów przestała funkcjonować. Tak, wiem, że sytuacja wygląda inaczej i wymaga dużej ostrożności, ale jednak chciałbym normalności i przestać się bać.

  29. A ja dodam jeszcze jedną perełkę. Firmy mają obowiązek składania sprawozdań do E-KRS. Sprawozdania podpisują elektronicznie reprezentanci, których pesele są i tak ujawnione w KRS ale nie tylko – podstawowe sprawozdanie “Roczne sprawozdanie finansowe” podpisuje również sporządzający, najczęściej księgowy, który może nie być osobą umocowaną w KRS a jego imię, nazwisko i pesel każdy może sobie podejrzeć w przeglądarce dokumentów: h**ps://ekrs.ms.gov.pl/rdf/pd/search_df

  30. Ba! IMHO nazwa użytkownika w PZ powinna być w układzie Imię.Nazwisko.PESEL.
    Przecież, co w komentarzach już kilku wspominało, to tylko jednoznaczna identyfikacja osoby. Narzekanie na pojawiający się PESEL to jakby narzekanie, że po podpisaniu wiadomym jest kto podpisał.
    Problem jest gdzie indziej, i też to niektórzy wspominają, że PESEL stał się dla niektórych ‘sezamem’ otwierającym, a nie powinien.

  31. PESEL jest de facto numerem jawnym. Jest dostępny na przykład w KRS czy Elektronicznych Księgach Wieczystych.
    Ergo problemem nie jest to, że pojawia się on jeszcze gdzieś tam.
    Problem polega na tym, że bez dużego nakładu sił i środków, mając czyjś numer PESEL można narobić temu komuś zobowiązań.

  32. Mam wrażenie że tekst pisany “na siłę”. Czemu nie powstanie artykuł o oburzonych obecnością numeru PESEL w podpisie kwalifikowanym? Byłoby ekstra gdybyście przestali szukać dziury w całym i skupili się na obiektywnym dziennikarstwie, zamiast straszyć ludzi usługą powszechnej identyfikacji, której tak bardzo w tym kraju brakuje.

    • Pozwól, że się do tego odniosę.

      1. Zastanów się ile osób i w jakich przypadkach używa podpisu kwalifikowanego? Bo widzisz, szacuje się, że Profil Zaufany ma już 5 mln Polaków, a zatem ta konkretna usługa kierowana jest – teoretycznie – do tak dużej grupy. I widzisz – każdy z tych 5 mln Polaków powinien być świadomy, że wysłanie podpisanego w ten sposób dokumentu oznacza przekazanie swojego PESEL-u. Po to jest ten tekst, aby byli świadomi.

      2. W Polskich warunkach numer PESEL jest traktowany jako dana “tajna”, nierzadko będąca elementem uwierzytelniania. To nie jest dobre, ale obiektywnie musimy stwierdzić, że tak właśnie jest. Dlatego świadomość wspomniana w pkt 1 jest kluczowa.

      3. Dlaczego sugerujesz, że to nie jest “obiektywne dziennikarstwo”. Czy dlatego, bo opisaliśmy cechę rządowej usługi, czy może dlatego, że wystąpiliśmy z pytaniami do Ministerstwa Cyfryzacji, które ciągle może zająć stanowisko w tej sprawie? Bo widzisz, Ministerstwo może też się wypowiedzieć i określić, czy to jest pożądana cecha usługi, a jeśli tak, może poprawić swoje działania komunikacyjne w zakresie tego jak usługa działa.

      4. Właśnie na tym polega obiektywizm, ze piszemy jak jest. Owszem, skoro wiesz jak to wygląda w podpisie kwalifikowanym to po prostu nie było to dla Ciebie nic nowego. Uwierz nam jednak, że są osoby, dla których ten artykuł będzie istotną informacją.

      5. Jestem w stanie wyobrazić sobie nawet scenariusze wyłudzania PESEL-u oparte na nieświadomości tego jak ta usługa działa. Ty nie potrafisz?

  33. Warto zauwazyc ze dotyczy to takze podpisu kwalifikowanego. Certyfikat podpisu kwalifikowanego zawiera pesel.

  34. …Jak by tego wszystkiego nie obrać w słowa to moim skromnym zdaniem żadna czynność którą wykonujemy na swoich komputerach,laptopach,tabletach lub smartwonach, to żaden istniejący system nie zapewnił nikomu 100% gwarancji ochrony swoich danych! Znacząco i trwale pozostawiamy ślad za każdym razem uruchamiając komputer, logując się tym samym na konta….. kiedys można było się obawiać kradzieży wlasnych pieniędzy z banku lub dokumentów , obligacji itp, wszystkiego co stanowiło materialną wartość lub chęć sprawdzenia/ujawnienia istotnych informacji na czyjś temat. Dzisiejszy postęp technologiczny sprawił że NASZE! dane nie są bezpieczne w żadnym cyfrowym systemie! Nie ważne czy to bd profil zaufany,podpis elektroniczny czy lajkowanie postów na FACEBOOKU! Pozdrawiam✌

  35. Jeszcze niedawno Państwo Polskie dzielnie walczyło z peselem u sprzedawców węgla. Dziś Państwo Polskie dystrybuuje samodzielnie ten wraży i zwalczany pesel. Co nas czeka jutro? Obawiam się, że PUODO może w hipnotycznym transie antypeselowym przysolić wszystkim i każdemu, kto np. pobrał KRS, kary wielomilionowe za PESELe w ściągniętych plikach. Albo ukarać wszystkie urzędy, począwszy od tego co zrobił ten podpis. To może spowodować zakłócenie pola morfogenetycznego i co za tym idzie kolaps centralnych okolic Warszawy, które zamienią się w niebezpieczną czarną dziurę… a sorry, to już sie chyba wydarzyło…
    No dobra, za dużo oglądam HRejterów i mi się udziela…

  36. A zastanawialiście się czy przypadkiem ten serwis nie przechowuje naszych dokumentow, które powierzamy im tylko do podpisywania?

    • No właśnie uderzyło mnie, że nikt o tym wcześniej nie wspomniał.
      Wiadomo, że nie podpisuje się kartek świątecznych cyfrowo.
      WYobrażacie sobie wyciek paru TB takich dokumentów?

      Z innej baczki. Oświećcie mnie proszę: czy sam plik załącznika w XMLu jest zaszyfrowany, a jeśli tak to kto ma klucz do niego?

  37. Z pytaniami do MC chyba się pospieszyliście. Ja dodałbym jeszcze pytanie, czy i kiedy planowane jest wyrzucenie z PESELu daty urodzenia i płci, a zastąpienie ich jakimś ciągiem randomowym. PESEL w obecnej formie to przeżytek PRLu, skonstruowany w czasach przedkomputerowych, tak żeby każdy legitymujący milicjant wiedział ile lat ma legitymowany i jakiej jest płci.
    Utworzenie PESELa jako losowego ciągu znaków ucieszyłoby nie tylko Panie po 25 roku życia ale i wielu mężczyzn, w tym mnie, i mogłoby to poszerzyć krąg osób używających podpisu elektronicznego.

  38. Jak dla mnie to aplikacja podpisująca i weryfikująca powinna być lokalna.
    Jak mam niby przestrzegać RODO i posyłać dokumenty klientów do weryfikacji ?
    Widać że komuś zależy nie na ułatwieniu tylko na zbieraniu dokumentów bo po co ten transfer tylu danych zamiast tylko podpisu do danego pliku ?
    Inwigilacja i tyle.

  39. Chciałbym zauważyć że dokładnie tak samo jest przy podpisie certyfikatem wbudowanym w dowód osobisty (z warstwą elektroniczną) – certyfikat ten zawiera PESEL więc plik niem podpisany również zawiera PESEL.

  40. Witam

    Podpisałem sobie właśnie plik PDF Podpisem Zaufanym.
    Jak sprawdzić czy nadal jest w tym pliku widoczny PESEL?

    Pozdrawiam

  41. No i mamy 2022, Właśnie odebrałem wynik popularnego testu, również został opatrzony peselem pani diagnosty/biologa molekularnego. Nabyła go od wydawcy:
    2.5.4.97=VATPL-5260300517
    cn=COPE SZAFIR – Kwalifikowany
    o=Krajowa Izba Rozliczeniowa S.A.
    c=PL
    Oczywiście PESEL w środku. @Niebezpieczniku, czy możecie ponowić pyTanie do oficjeli?

    Inna sprawa, że laboratorium w ogóle się nie podpisało cyfrowo pod dokumentem.
    I weź tu zaufaj wynikowi :)

  42. […] możliwość nieautoryzowanej zmiany metody autoryzacji, możliwość podrobienia podpisu ePUAP, ujawnianie numeru PESEL użytkownika PZ, niedociągnięcia w 2FA albo brak weryfikacji e-maila. To wszystko łączyło się z […]

  43. Bez jawnego peselu to podpisywanie nie ma sensu. Czy koledzy piszący, że “podpis można zweryfikować w serwisie” itp. zastanowili się co piszą? Jaką wartość ma informacja, bardzo mocno potwierdzona, że to Jan Kowalski podpisał? Ktoś z Was potrafi powiedzieć który z 50 tyś możliwych osób, wysłał mi pismo z wezwaniem do zapłaty, urzędnik czy “żartowniś”?

Odpowiadasz na komentarz Patryk

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: