Wszystko o Certyfikacie Kwalifikowanym i bezpiecznym podpisie elektronicznym

• Pytania o bezpieczny podpis elektroniczny i certyfikaty kwalifikowane
• Czym jest certyfikat kwalifikowany?
• Dlaczego zgodność z wymaganiami ustawy jest tak ważna?
• Czym różni się certyfikat kwalifikowany od "zwykłego" certyfikatu?
• Jakie rodzaje certyfikatów kwalifikowanych wydaje Signet?
• Czy certyfikatem kwalifikowanym można podpisywać wiadomości poczty elektronicznej?
• Czy certyfikatem kwalifikowanym można szyfrować dokumenty i wiadomości poczty elektronicznej?
• Co to jest bezpieczny podpis elektroniczny?
• Czym bezpieczny podpis elektroniczny różni się od zwykłego podpisu?
• Co to jest bezpieczne urządzenie?
• Co to jest bezpieczne urządzenie do składania podpisu elektronicznego?
• Co to jest bezpieczne urządzenie do weryfikacji podpisu elektronicznego?
• Pytania dotyczące Certyfikatu Kwalifikowanego
• Czy Certyfikat Kwalifikowany można wykorzystywać w innych systemach operacyjnych niż Windows?
• Czy Certyfikatem Kwalifikowanym wystawionym przez Signet można podpisywać i szyfrować wiadomości poczty elektronicznej?
• Czy każdy może mieć Certyfikat Kwalifikowany?
• Co umożliwia Certyfikat Kwalifikowany?
• Jak zarządzać elementami Certyfikatu Kwalifikowanego?
• Co muszę mieć żeby zainstalować produkt?
• Pytania dotyczące aplikacji do składania bezpiecznego podpisu elektronicznego
• Co to jest format otaczający i dołączany?
• Skąd bierze się "dziwna" zawartość pliku z podpisem elektronicznym?
• Dlaczego w pliku z podpisem elektronicznym nie ma tego, co zostało podpisane?
• Dlaczego nie można wyświetlić pliku, który ma być podpisany?
• Dlaczego podpisany plik ma być w tym samym katalogu?
• Dlaczego nie udało mi się złożyć bezpiecznego podpisu elektronicznego?
• Czy mogę podpisać wcześniej podpisany plik?
• Czy złożony wcześniej podpis zostanie nadpisany?
• Dlaczego na złożenie podpisu przewidziane jest tylko 10 sekund?
• Dlaczego podpisywanie dużych plików tak długo trwa i tak dużo zajmuje pamięci?
• Pytania dotyczące aplikacji do weryfikacji bezpiecznego podpisu elektronicznego
• Dlaczego po zmianie niektórych znaków w podpisanym pliku podpis weryfikuje się poprawnie?
• Dlaczego po zmianie kolejności niektórych elementów w podpisanym pliku podpis nadal się weryfikuje?
• Dlaczego nie można podejrzeć zawartości podpisanego pliku?
• Co to znaczy 'podpis niekompletnie zweryfikowany'?
• Co to znaczy tryb on-line i off-line?

Odpowiedzi na pytania o bezpieczny podpis elektroniczny i certyfikaty kwalifikowane

• Czym jest certyfikat kwalifikowany?
  
  Certyfikat kwalifikowany to certyfikat klucza publicznego zgodny z wymaganiami określonymi w Ustawie o podpisie elektronicznym z 18 września 2001 roku. Ustawa ta i towarzyszące jej rozporządzenia szczegółowo opisały, jakie informacje (tzw. rozszerzenia) musi zawierać taki certyfikat, a jakie informacje są opcjonalne. Dodatkowo rozporządzenia precyzyjnie opisały, jak należy interpretować zawartość poszczególnych rozszerzeń.
  
  
• Dlaczego zgodność z wymaganiami ustawy jest tak ważna?
  
  Ustawa o podpisie elektronicznym zrównuje skutki prawne tzw. bezpiecznego podpisu elektronicznego (o nim dalej) ze skutkami prawnymi podpisu odręcznego. Bezpieczny podpis elektroniczny jest weryfikowany przy pomocy certyfikatu kwalifikowanego. Mogą je wystawiać tylko te podmioty, które spełniają wysokie wymagania odnośnie bezpieczeństwa stosowanych rozwiązań technicznych i organizacyjnych, co jest potwierdzone wpisem do rejestru kwalifikowanych podmiotów certyfikacyjnych (Signet otrzymał ten wpis 14 lutego 2003 roku).
  
  
• Czym różni się certyfikat kwalifikowany od "zwykłego" certyfikatu?
  
  Zwykły certyfikat (czyli certyfikat klucza publicznego zgodny ze standardem X.509) musi obowiązkowo zawierać siedem atrybutów. Certyfikat kwalifikowany ma więcej obowiązkowych atrybutów i każdy z nich został dokładnie opisany w rozporządzeniach towarzyszących Ustawie. Niektóre ustawienia w certyfikacie kwalifikowanym powodują, że nie można się nim posługiwać w popularnych aplikacjach.
  
  Uzyskanie certyfikatu kwalifikowanego odbywa się według bardziej rygorystycznych zasad, niż przy certyfikacie zwykłym. Procedura rejestrowania użytkownika i wydawania certyfikatu kwalifikowanego gwarantuje, że Centrum Certyfikacji Signet posiada i odpowiednio zabezpiecza wszelkie informacje niezbędne do jednoznacznej identyfikacji posiadacza certyfikatu (w szczególności weryfikowane są dwa dokumenty potwierdzające tożsamość wnioskodawcy, a każda czynność przeprowadzana w systemie jest elektronicznie rejestrowana i archiwizowana przez okres 20 lat).
  
  
• Jakie rodzaje certyfikatów kwalifikowanych wydaje Signet?
  
  Podział na rodzaje certyfikatów kwalifikowanych wydawanych przez Signet można przeprowadzić według dwóch kryteriów: zakresu informacji zawartych w certyfikacie (typ certyfikatu) oraz wskazania w czyim imieniu działa osoba składająca podpis.
  Centrum Certyfikacji Signet wydaje trzy typy certyfikatów kwalifikowanych:
  - 2 rodzaje certyfikatów imiennych zawierające następujące zestawy danych osobowych posiadacza:
        - imię, nazwisko, PESEL albo NIP oraz kraj pochodzenia,
        - nazwę powszechną, PESEL albo NIP oraz kraj pochodzenia,
  - certyfikaty anonimowe - zawierające tylko pseudonim posiadacza certyfikatu.
  
  Oczywiście, w każdym przypadku Centrum Certyfikacji Signet posiada pełną informację na temat tożsamości posiadacza certyfikatu, niezależnie od tego, jaki certyfikat został mu wydany.
  W certyfikatach wydawanych przez Signet można zawrzeć informację, że podmiot składający podpis działa:
  - we własnym imieniu albo
  - jako przedstawiciel innej osoby fizycznej, osoby prawnej, albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo
  - w charakterze członka organu albo organu osoby prawnej, albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo
  - jako organ władzy państwowej.
  
  
• Czy certyfikatem kwalifikowanym można podpisywać wiadomości poczty elektronicznej?
  
  Nie. Certyfikat kwalifikowany można stosować tylko w bezpiecznym urządzeniu do składania podpisu elektronicznego. Tylko przy korzystaniu z tej aplikacji można mieć pewność, że proces składania podpisu jest odpowiednio chroniony. Posługiwanie się certyfikatem kwalifikowanym do podpisywania poczty elektronicznej jest nierozważne i bardzo niebezpieczne, bowiem aplikacje pocztowe zwykle nie są programami, których kod źródłowy jest dostępny, przez co nie można sprawdzić, co naprawdę jest podpisywane.
  
  Może się okazać, że zamiast wiadomości pocztowej podpisany został podstawiony przez aplikację dokument, a w myśl polskiego prawa nie ma znaczenia, czy podpis został złożony w bezpieczny urządzeniu, czy nie - jeżeli coś jest podpisane, to przyjmuje się przez domniemanie, że podpis złożono w bezpiecznym urządzeniu, a wiec podpisujący celowo i świadomie podpisał ten dokument.
  
  
• Czy certyfikatem kwalifikowanym można szyfrować dokumenty i wiadomości poczty elektronicznej?
  
  Nie. Zastosowanie certyfikatu kwalifikowanego jest ściśle określone - służy on wyłącznie do weryfikacji bezpiecznego podpisu elektronicznego. Znajduje to wyraz w Ustawie o podpisie elektronicznym oraz aktach wykonawczych, z których wynika odpowiednia wartość atrybutów certyfikatu kwalifikowanego, uniemożliwiających szyfrowanie danych. Wysokiej klasy szyfrowanie informacji zapewniają inne produkty Signet, jak choćby Signet Super.
  
  
• Co to jest bezpieczny podpis elektroniczny?
  
  Bezpieczny podpis elektroniczny to podpis, który jest jednoznacznie przyporządkowany do osoby składającej podpis, jest składany przy użyciu bezpiecznego urządzenia do składania podpisu i jest tak powiązany z podpisanymi danymi, że każda późniejsza zmiana tych danych jest rozpoznawana. Oznacza to, że dzięki bezpiecznemu podpisowi elektronicznemu można zidentyfikować podpisującego (bądź zwrócić się do Signet o taką identyfikację), a sposób składania podpisu (przy użyciu bezpiecznego urządzenia) jest odpowiednio zabezpieczony.
  
  
• Czym bezpieczny podpis elektroniczny różni się od zwykłego podpisu?
  
  Zwykły podpis elektroniczny można złożyć w każdym miejscu, w każdej aplikacji obsługującej cyfrowe certyfikaty. Jednak przy weryfikacji podpisu nie można stwierdzić, czy na pewno złożyła go ta osoba, która jest wymieniona w certyfikacje i czy podpis złożyła przy użyciu odpowiedniego (wiarygodnego) oprogramowania. Weryfikując bezpieczny podpis można mieć pewność, że osoba, która go złożyła, świadomie podpisała ten dokument (bezpieczna aplikacja do składania podpisu zawsze prezentuje podpisywaną treść i zawsze informuje o skutkach złożenia podpisu oraz prosi o aktywowanie kluczy do podpisu poprzez podanie kodu PIN przy każdym podpisie). Ponadto zyskuje się pewność co do tego, kto go podpisał (Signet szczegółowo weryfikuje tożsamość posiadacza certyfikatu nim wyda mu certyfikat).
  
  
• Co to jest bezpieczne urządzenie?
  
  Bezpieczne urządzenie, a dokładniej bezpieczne urządzenie do składania podpisu elektronicznego i bezpieczne urządzenie do weryfikacji podpisu elektronicznego, to środowiska, w których użytkownik może w bezpieczny sposób wykonywać dwie najważniejsze czynności związane z podpisem elektronicznym: składanie podpisu oraz jego weryfikację.
  
  Bezpieczna urządzenia spełniają szereg kryteriów bezpieczeństwa i funkcjonalności określonych w Ustawie o podpisie elektronicznym oraz związanych z nią rozporządzeniach.
  
  
• Co to jest bezpieczne urządzenie do składania podpisu elektronicznego?
  
  Bezpieczne urządzenie do składania podpisu elektronicznego to karta mikroprocesorowa wraz z dedykowaną aplikacją, w której użytkownik wybiera, ogląda i podpisuje dokumenty. Ustawodawca określił między innymi wymagania bezpieczeństwa dla karty mikroprocesorowej, która może być stosowana jako nośnik kluczy kryptograficznych do podpisu, określił jak powinien być zabezpieczony proces składania podpisu, jakie informacje muszą być załączone do podpisu.
  
  
• Co to jest bezpieczne urządzenie do weryfikacji podpisu elektronicznego?
  
  Bezpieczne urządzenie do weryfikacji podpisu elektronicznego to dedykowane oprogramowanie, który w rzetelny i zgodny z Ustawą sposób weryfikuje podpisy elektroniczne. Oprogramowanie to m.in. weryfikuje wszystkie certyfikaty na ścieżce certyfikacji, ostrzega użytkownika, jeżeli w systemie brakuje informacji na temat ważności któregoś z certyfikatów na ścieżce, ostrzega, jeżeli podpis został złożony przy użyciu certyfikatu z pseudonimem oraz pozwala na odzyskanie z podpisanego pliku oryginalnego dokumentu.
  
  

Odpowiedzi na pytania dotyczące Certyfikatu Kwalifikowanego

• Czy Certyfikat Kwalifikowany można wykorzystywać w innych systemach operacyjnych niż Windows?
  
  Obecnie nie. Integralną częścią produktu jest aplikacja do składania i weryfikacji bezpiecznego podpisu elektronicznego. W aktualnej wersji produktu wspierane są tylko platformy Windows.
  
  
• Czy Certyfikatem Kwalifikowanym wystawionym przez Signet można podpisywać i szyfrować wiadomości poczty elektronicznej?
  
  Certyfikat Kwalifikowany Signet jest zgodny z wymogami Ustawy o podpisie elektronicznym. Jak wspomniano wyżej, może być stosowany tylko w bezpiecznym urządzeniu do składania podpisu elektronicznego. Nie umożliwia zatem podpisywania wiadomości poczty (ani dokumentów w innych aplikacjach, niż pochodząca od Signet). Brak możliwości szyfrowania wynika ze specyfiki certyfikatu kwalifikowanego, który służy wyłącznie do weryfikacji bezpiecznego podpisu elektronicznego (a dokładniej jego atrybutów, które wynikają z rozporządzeń do Ustawy o podpisie elektronicznym).
  
  
• Czy każdy może mieć Certyfikat Kwalifikowany?
  
  Certyfikat Kwalifikowany może kupić każdy, kto posiada ważny dowód osobisty i drugi dokument tożsamości. Obecnie Signet pozwala, żeby drugim dokumentem był paszport lub prawo jazdy. Planowane jest umożliwienie legitymowania się innymi dokumentami.
  
  
• Co umożliwia Certyfikat Kwalifikowany?
  
  Dzięki Certyfikatowi Kwalifikowanemu można bezpiecznie podpisywać dokumenty elektroniczne, a złożony pod nimi podpis wywołuje takie same skutki prawne, jak podpis odręczny. Oznacza to, iż możliwe jest przeniesienie czynności związanych z podejmowaniem i akceptowaniem decyzji ze świata papierowego w świat systemów elektronicznych, a tym samym generowanie oszczędności czasu i pieniędzy.
  
  
• Jak zarządzać elementami Certyfikatu Kwalifikowanego?
  
  Najważniejsze czynności związane z zarządzaniem elementami Certyfikatu Kwalifikowanego, to zmiana PIN-u karty oraz odnawianie certyfikatu oraz unieważnianie certyfikatu. Do zmiany PIN-u służy dedykowana aplikacja.
  
  Odnowienie certyfikatu to procedura, która jest inicjowana przez Signet nie później niż trzy tygodnie przed końcem ważności posiadanego certyfikatu. Umożliwia ona pobranie przez użytkownika po niższej cenie, niż za pierwszy certyfikat, kolejnego certyfikatu. Podczas odnawiania wykorzystywane są dane podane przy pierwszej rejestracji oraz, zamiast podpisu odręcznego, bezpieczny podpis elektroniczny.
  
  Unieważnienie certyfikatu to proces awaryjny, w którym posiadacz nieodwracalnie blokuje możliwość prawidłowego weryfikowania podpisów dla unieważnianego certyfikatu. Stosuje się je zazwyczaj w momencie utraty (zgubienia) karty mikroprocesorowej, służącej jako nośnik kluczy kryptograficznych służących do podpisu.
  
  
• Co muszę mieć żeby zainstalować produkt?
  
  Certyfikat Kwalifikowany można zainstalować na każdym komputerze z systemem Windows w wersji 98SE, 2000, XP lub nowszej. Do prawidłowego działania produktu niezbędne jest również to, żeby w systemie było zainstalowane oprogramowanie sterujące do posiadanych czytnika i karty oraz High Encryption Pack (pozwalający na korzystanie z kluczy kryptograficznych o długości 1024 bity lub więcej dla algorytmów asymetrycznych i minimum 128 bitów dla algorytmów symetrycznych).
  
  

Odpowiedzi na pytania dotyczące aplikacji do składania bezpiecznego podpisu elektronicznego

• Co to jest format otaczający i dołączany?
  
  Podpis w formacie otaczającym to dokument, w którym oryginalny (podpisywany) dokument zostaje 'otoczony' dodatkowymi informacjami. W wyniku złożenia takiego podpisu tworzony jest nowy plik, który jest około 1,5 razy większy od podpisywanego dokumentu i który zwiera zarówno treść z oryginalnego dokumentu (zakodowaną w formacie base64), jak i informacje związane z podpisem.
  Podpis w formacie dołączanym to dokument, w którym jest tylko zapisana nazwa oryginalnego dokumentu (bez jego zawartości) oraz informacje związane z podpisem. Dzięki takiej konstrukcji wielkość pliku z podpisem nie zależy od rozmiaru podpisywanego dokumentu i nie przekracza 10 kB. Inną ważną cechą takiego formatu jest to, że do weryfikacji tak podpisanego dokumentu potrzebny jest zarówno plik z podpisem, jak i oryginalny dokument.
  
  
• Skąd bierze się "dziwna" zawartość pliku z podpisem elektronicznym?
  
  Zgodnie z wymaganiami określonymi w rozporządzeniu do Ustawy o podpisie elektronicznym, aplikacja do składania podpisu elektronicznego musi tworzyć plik z podpisem zgodny z jednym z trzech wymienionych w rozporządzeniu formatów: ETSI TS 101733, ETSI TS 101 903 lub PKCS7. Udostępniana przez Signet aplikacja do składania bezpiecznego podpisu elektronicznego tworzy podpis zgodny ETSI TS 101 903, czyli z Zaawansowanym Podpisem Elektronicznym w języku XML.
  
  
• Dlaczego w pliku z podpisem elektronicznym nie ma tego, co zostało podpisane?
  
  W pliku z podpisem elektronicznym jest oczywiście podpisana zawartość (w podpisie otaczającym), ale wygląda ona nieco inaczej. Otóż plik podpisu jest zbudowany w języku XML, a zgodnie z jego specyfikacją w pliku można używać tylko określonego zestawu znaków. Dlatego, żeby mieć pewność, że żadna informacja z podpisywanego pliku nie zostanie przekłamana, aplikacja do składania podpisu zamienia plik, który jest podpisywany, na plik w innym formacje (dokonuje transformacji zgodnie z algorytmem base64).
  W przypadku podpisu dołączanego, w pliku z podpisem jest tylko zapisana nazwa pliku, który został podpisany, ale nie ma jego zawartości.
  
  
• Dlaczego nie można wyświetlić pliku, który ma być podpisany?
  
  Użytkownicy komputerów pracują z różnymi rodzajami plików. Aplikacja do składania podpisu nie wyświetla sama zawartości pliku, tylko korzysta z przeglądarki, która jest zainstalowana w systemie użytkownika. Dlatego też, jeżeli próbujemy podpisać plik, dla którego nie ma w systemie dostępnej przeglądarki (np. plik z rozszerzeniem *.sys), to aplikacja poinformuje, że podgląd tego pliku nie jest dostępny.
  
  
• Dlaczego podpisany plik ma być w tym samym katalogu?
  
  Wskazywanie miejsca, w którym ma zostać zapisany plik z podpisem, zostanie dodane w kolejnych wersjach aplikacji.
  
  
• Dlaczego nie udało mi się złożyć bezpiecznego podpisu elektronicznego?
  
  Przyczyn może być kilka. Najczęstszą jest brak karty w czytniku. Często zdarza się tak, że karta nie jest do końca wsunięta do czytnika (zwłaszcza w czytnikach PCMCIA) - proszę się upewnić, że tak nie jest.
  
  Druga przyczyna to posługiwanie się certyfikatem kwalifikowanym pochodzącym z innego centrum certyfikacji niż Signet. Aplikacja do składania podpisu obsługuje tylko certyfikaty wydane przez Signet.
  
  Ostatnią z potencjalnych przyczyn jest brak ważnego certyfikatu na karcie. Zgodnie z zapisami Polityki Certyfikacji (dostępna na płycie CD zestawu Certyfikat Kwalifikowany oraz w Repozytorium Signet na stronie www.signet.pl), podpis możemy składać tylko wtedy, gdy certyfikat jest ważny. Dlatego po jego wygaśnięciu bądź unieważnieniu, operacja podpisu będzie się zawsze kończyć niepowodzeniem.
  
  
• Czy mogę podpisać wcześniej podpisany plik?
  
  Oczywiście tak. Aplikacja do składania podpisu pozwala na wielokrotne podpisywanie plików. Należy jednak pamiętać, że aplikacja dopisuje kolejny podpis do pliku, ale nie tworzy kontrasygnaty. Oznacza to, że nie można zweryfikować dowolnego podpisu, a tylko ostatni. Innymi słowy, jeżeli osoba A podpisze dokument, a potem podpisany przez nią dokument podpisze osoba B, to żeby zweryfikować podpis osoby A musimy najpierw zweryfikować podpis osoby B, zapisać odzyskany z podpisu plik i dopiero wtedy możemy zweryfikować podpis osoby A.
  
  
• Czy złożony wcześniej podpis zostanie nadpisany?
  
  Nie. Poprzedni podpis można odzyskać. Każdy kolejny podpis jest dopisywany do dokumentu i nie nadpisuje żadnej informacji w nim umieszczonej.
  
  
• Dlaczego na złożenie podpisu przewidziane jest tylko 10 sekund?
  
  Składanie bezpiecznego podpisu elektronicznego to tak samo ważny proces, jak składanie podpisu odręcznego. Nie jest trudno wyobrazić sobie sytuację, kiedy podczas składania podpisu zadzwoni bardzo ważny telefon. Użytkownik może odwrócić się, zacząć czegoś szukać w dokumentach i zapomnieć, że właśnie skład podpis elektroniczny. Dlatego nawet kiedy użytkownik zapomni zatwierdzić podpis, albo zapomni go anulować, po 10 sekundach od rozpoczęcia wprowadzania PIN-u aplikacja przerwie składanie podpisu i poinformuje użytkownika, że nie udało się złożyć podpisu. Funkcja ta została wprowadzona dla zwiększenia bezpieczeństwa użytkownika.
  
  
• Dlaczego podpisywanie dużych plików tak długo trwa i tak dużo zajmuje pamięci?
  
  Przy podpisywaniu dużych plików w trybie otaczającym aplikacja do podpisu buduje szereg struktur, które zajmują dużo pamięci i których przetwarzania bardzo długo trwa. Dlatego zalecamy, żeby duże pliki podpisywać w trybie dołączanym - składanie takiego podpisu trwa bardzo krótko i nie zajmuje tak dużo pamięci.
  
  

Odpowiedzi na pytania dotyczące aplikacji do weryfikacji bezpiecznego podpisu elektronicznego

• Dlaczego po zmianie niektórych znaków w podpisanym pliku podpis weryfikuje się poprawnie?
  
  Plik z podpisem zawiera wiele informacji. Nie wszystkie z nich są jednak podpisane. W szczególności wszystkie informacje, które są umieszczone pomiędzy <SignatureUnsignedProperties> a </SignatureUnsignedProprties> nie są podpisane. Dlatego dokonanie zmian w tej części pliku nie będzie sygnalizowane. Oczywiście nie jest to żadna luka, ani niebezpieczeństwo. Po prostu takie opcje zostały przewidziane i zaprojektowane przez Europejski Instytut Standardów Telekomunikacyjnych w specyfikacji ETSI TS 101 903.
  
  
• Dlaczego po zmianie kolejności niektórych elementów w podpisanym pliku podpis nadal się weryfikuje?
  
  Jest to właściwość języka XML. Atrybuty (czyli elementy umieszczone w nawiasach <> i </> ) można zamieniać kolejnością, bo ważne jest to jaką zawierają informację, a nie w jakiej kolejności występują w pliku.
  
  
• Dlaczego nie można podejrzeć zawartości podpisanego pliku?
  
  Podgląd zawartości podpisanego pliku jest możliwy, ale dopiero po zapisaniu pliku na dysk.
  
  
• Co to znaczy 'podpis niekompletnie zweryfikowany'?
  
  Jednym z elementów weryfikacji podpisu elektronicznego jest zweryfikowanie ważności wszystkich certyfikatów w ścieżce certyfikacyjnej, czyli sprawdzenie, czy ważne są: samopodpisany certyfikat Centrastu (urząd nadrzędny dla wszystkich podmiotów wystawiających certyfikaty kwalifikowane w Polsce), certyfikat Signet podpisany przez Centrast oraz certyfikat podpisującego poświadczony przez Signet. Jeżeli dla któregoś z tych certyfikatów brakuje ważnej listy certyfikatów unieważnionych (tzw. lista CRL), aplikacja informuje, że podpis został niekompletnie zweryfikowany.
  
  
• Co to znaczy tryb on-line i off-line?
  
  Aplikacja do weryfikacji podpisu może działać w trybie off-line, co oznacza, że aplikacja nie będzie łączyła się z Internetem i nie będzie pobierać żadnych informacji ze świata (w szczególności nie pobierze aktualnej listy CRL). W trybie on-line aplikacja łączy się ze wskazanymi w certyfikatach punktami, skąd pobiera aktualne listy CRL, bądź w których bezpośrednio pyta się o ważność certyfikatu przy użyciu protokołu OCSP.