Centrast zatwierdzony

Minister gospodarki podjął decyzję, na mocy której spółka Centrast będzie pełnić rolę tzw. roota w systemie bezpiecznego podpisu elektronicznego.

Przyszłe dochody

"Usługi roota świadczone na rzecz ministra gospodarki są bezpłatne. Finansowanie naszej działalności planujemy z przychodów z innych świadczonych usług" - mówi Paweł Łysakowski. Zgodnie z ustawą o Narodowych Banku Polskim muszą być one ograniczone do podmiotów z sektora bankowo-finansowego i instytucji Skarbu Państwa. Do NBP należy bowiem ponad 70% akcji Centrastu. Według optymistycznych prognoz Centrast powinien osiągnąć samowystarczalność finansową w ciągu 2, 3 lat.

Centrast planuje świadczenie usług doradczych i szkoleniowych, katalogowych (publikowanie list certyfikatów), znakowania czasem, jak również weryfikowania statusu ważności certyfikatu strony transakcji. Ta ostatnia usługa, tzw. OCSP, może mieć szczególnie istotne znaczenie, choć bowiem jednostkowo jest wyceniana dość nisko (na poziomie od kilkudziesięciu groszy do kilku złotych), zakłada masowość stosowania. Strony transakcji mogą co prawda odpytywać wystawców, lecz dla instytucji działających na większą skalę szybkość i kompleksowość usług OCSP mogą mieć istotne znaczenie.

Uważna lektura ustawy pozwala stwierdzić, że tak naprawdę nie można mieć całkowitej pewności, czy certyfikat zastosowany w danym momencie do potwierdzenia podpisu elektronicznego nie został wcześniej unieważniony. Wystawcy mają bowiem obowiązek aktualizowania listy unieważnionych certyfikatów (CLR) z dokładnością do godziny. Czyli dla całkowitej pewności nie można działać tutaj w czasie rzeczywistym - uzyskanie gwarancji prawdziwości złożonego podpisu elektronicznego wymaga odczekania przepisowej godziny.

Synchronizacja

Na razie Centrast nie przedstawił swojej interpretacji obowiązujących standardów przy implementacji systemów PKI, w szczególności w zakresie certyfikatów cyfrowych. Stosowny profil jest jednak udostępniany zainteresowanym (pewną standaryzację w tym obszarze, konieczną acz niewystarczającą, wprowadziły rozporządzenia towarzyszące ustawie, w których wręcz posłużono się informatyczną notacją ASN). "W interesie wystawców leży dostosowanie się do tego profilu. Zresztą pola zawierające informacje obowiązkowe nie powinny sprawiać problemów. Oczywiście brakuje nam doświadczeń praktycznych i liczymy się z tym, że mogą wystąpić pewne problemy na poziomie aplikacji użytkownika końcowego" - uważa Paweł Łysakowski.

Większość wystawców cyfrowych certyfikatów, planujących działalność na rynku usług podpisu elektronicznego w Polsce, posługuje się oprogramowaniem firmy Baltimore Software. Korzysta z niego także Centrast. Powinno to ułatwić zadanie ujednolicenia interpretacji standardów. Testy z innymi powszechnie znanymi aplikacjami PKI także zakończyły się pozytywnie.