Centrast zatwierdzony

Minister gospodarki podjął decyzję, na mocy której spółka Centrast będzie pełnić rolę tzw. roota w systemie bezpiecznego podpisu elektronicznego.

Minister gospodarki podjął decyzję, na mocy której spółka Centrast będzie pełnić rolę tzw. roota w systemie bezpiecznego podpisu elektronicznego.

Paweł Łysakowski, wiceprezes zarządu Centrum Zaufania i Certyfikacji Centrast SA"Staliśmy się teraz kluczowym elementem infrastruktury systemu bezpiecznego podpisu elektronicznego w Polsce" - mówi Paweł Łysakowski, wiceprezes zarządu Centrum Zaufania i Certyfikacji Centrast SA. Na mocy obowiązującej ustawy system podpisu elektronicznego w Polsce jest pod nadzorem Ministerstwa Gospodarki. Centrast ma więc wykonywać usługi na rzecz tego resortu. Upoważnienie ministra gospodarki dotyczy ściśle określonych działań: wydawania zaświadczeń certyfikacyjnych, publikowania ich listy oraz danych służących do weryfikowania wydanych zaświadczeń certyfikacyjnych.

To do ministerstwa, a nie Centrastu, mają się zgłaszać podmioty zainteresowane świadczeniem usług wystawiania certyfikatów kwalifikowanych. Wraz z wnioskiem podmioty te powinny przekazać dane zawierające swój klucz publiczny, a także dane identyfikacyjne podpisane własnym kluczem prywatnym. Po pomyślnym przejściu kontroli i dokonaniu wpisu do rejestru podmiotów kwalifikowanych oraz przedstawieniu umowy ubezpieczenia OC, minister gospodarki wydaje Centrastowi polecenie wydania zaświadczenia certyfikacyjnego.

Dane z ministerstwa do Centrastu mogą być przesyłane na dyskietce lub CD. "Nie zawierają one informacji wrażliwych. Natomiast chroniony w sposób, który ma gwarantować całkowite bezpieczeństwo, będzie najważniejszy klucz w Polsce - klucz prywatny ministra gospodarki" - mówi Paweł Łysakowski. Zostanie on wygenerowany dopiero wtedy, gdy trzeba będzie wystawić pierwsze zaświadczenie certyfikacyjne. Będzie on obowiązywać przez 11 lat, podczas gdy zaświadczenia certyfikacyjne tylko przez 5 lat. "Będziemy stosować tutaj system zakładkowy, generując nowe klucze przed okresem upływu ważności starych" - wyjaśnia Paweł Łysakowski.

Organizacja i weryfikacja

Do tej pory stosowne wnioski w Ministerstwie Gospodarki złożyły cztery podmioty: Polska Wytwórnia Papierów Wartościowych, TP Internet, Unizeto oraz Krajowa Izba Rozliczeniowa. Według nieoficjalnych informacji, jako pierwsze wpis do rejestru powinno wkrótce uzyskać szczecińskie Unizeto. Spółka ta otrzymała również niezależny certyfikat WebTrust. "Takie certyfikaty są przez nas mile widziane, ale one nie wystarczą" - wyjaśnia Jerzy Molak, dyrektor Departamentu Handlu i Usług w Ministerstwie Gospodarki.

Uzyskanie wpisu do rejestru musi zostać poprzedzone obligatoryjną kontrolą ze strony ministerstwa. "Na razie nie wykorzystywaliśmy do takiej kontroli pracowników Centrastu. Ustawa zresztą mówi o tym, że nie mają to być firmy, ale konkretni specjaliści" - mówi Jerzy Molak.

Leszek Balcerowicz, prezes NBP, wystąpił do ministra gospodarki z oficjalnym pismem o uznanie Centrastu za roota - zgodnie z zapisami ustawowymi - jeszcze w sierpniu br., a więc wkrótce po wejściu w życie ustawy. Blisko 3 miesiące trwał proces weryfikacji Centrastu, w szczególności stwierdzenia, czy spełnia on techniczne i organizacyjne wymogi zawarte w Ustawie o podpisie elektronicznym (takie same jak dla kwalifikowanych wystawców certyfikatów cyfrowych).

Audytu dokumentacji dokonał Ernst & Young Polska, natomiast dwie inne niezależne firmy sprawdzały technologiczne przygotowanie Centrastu. Według nieoficjalnych informacji uwag było sporo, lecz - jak zapewnia Paweł Łysakowski - miały one głównie charakter redakcyjny. Niemniej już na etapie projektu jeden z audytów doprowadził do istotnej zmiany koncepcji funkcjonowania roota. Pierwotnie założono, że w hierarchii certyfikat klucza ministra gospodarki miał być podrzędny wobec certyfikatu Centrastu, tworząc niezależną odnogę drzewa certyfikacyjnego dla bezpiecznego podpisu, jednocześnie druga odnoga miała obsługiwać certyfikaty zwykłe. Ostatecznie wdrożono model, w którym klucz ministra jest pierwszym i niezależnym ogniwem infrastruktury dla bezpiecznego podpisu elektronicznego, zaś dla certyfikatów niekwalifikowanych, w razie potrzeby, zostanie zbudowana oddzielna hierarchia.