Dyskusyjne urządzenia

Choć w Polsce funkcjonuje system e-podpisu, nadal brak wymogów, jakie muszą spełniać urządzenia służące do jego składania.

Choć w Polsce funkcjonuje system e-podpisu, nadal brak wymogów, jakie muszą spełniać urządzenia służące do jego składania.

W wykazie bezpiecznych urządzeń służących do składania i weryfikowania podpisu elektronicznego, zamieszczonym na stronach Centrum Zaufania i Certyfikacji Centrast, firmy pełniącej rolę tzw. roota systemu e-podpisu w Polsce, widnieje tylko jedna pozycja. To komponent techniczny CompCrypt DELTA-1 współpracujący z oprogramowaniem Baltimore Technologies UniCert w wersji 3.5.3. Dlaczego w wykazie znalazło się tylko jedno urządzenie, w dodatku nie przeznaczone dla użytkowników indywidualnych, lecz centrów certyfikacji? Co się stało z obietnicami, że do składania kwalifikowanego e-podpisu wystarczy posługiwanie się kartą mikroprocesorową obsługiwaną przez odpowiedni czytnik połączony z komputerem PC? Dlaczego żadnych tego typu urządzeń nie ma w tym wykazie?

Zgodnie z wymogami ustawy, w przypadku tzw. bezpiecznego podpisu elektronicznego, czyli złożonego z wykorzystaniem kwalifikowanych certyfikatów cyfrowych - tylko taki podpis ma moc równą podpisowi odręcznemu - konieczne jest posługiwanie się specjalnym urządzeniem. Służy ono do składania bądź weryfikowania podpisu. W myśl zapisów ustawy składa się ono z tzw. komponentu technicznego i obsługującego go oprogramowania. Klucz prywatny jest umieszczony na karcie mikroprocesorowej, zabezpieczonej oprogramowaniem kryptograficznym. Ponadto dostęp do takiej karty powinien być zabezpieczony kodem PIN.

Tutaj pojawiają się istotne różnice zdań i wątpliwości. Jakie wymogi powinny rzeczywiście spełniać takie komponenty technologiczne i obsługujące je oprogramowanie? Zdaniem specjalistów z Centrastu komponent musi spełniać uznane normy międzynarodowe - FIPS, Common Criteria czy IT Sec. Wszystkie na poziomie co najmniej trzecim. W Polsce odpowiedników tych norm jeszcze nie ma, zastosowano więc możliwość wykorzystania tzw. norm okładkowych.

W wykazie Centrastu znajduje się jedyne urządzenie, które uzyskało certyfikat Agencji Bezpieczeństwa Wewnętrznego. Teoretycznie wykazy bezpiecznych urządzeń, które uzyskały certyfikat powinni publikować wystawcy certyfikatów. Tak naprawdę nie wiadomo jednak, kto miałby to zrobić.

"Dokładniejsza analiza treści ustawy i rozporządzeń pozwala na twierdzenie, że właściwie nie ma takiego urządzenia, które spełniałoby wszystkie wymogi prawne. Stąd wprowadzenie do oferty cyfrowych certyfikatów kwalifikowanych jest jedynie działaniem obliczonym na efekt marketingowy" - twierdzi Elżbieta Andrukiewicz z e-Telbanku, firmy zainteresowanej działalnością na rynku podpisu elektronicznego. Inni uważają jednak, że taki punkt widzenia jest zbyt ortodoksyjny. Wystawcy, każdy we własnym zakresie, starają się stworzyć pewne standardy, pogodzić niekiedy sprzeczne interesy użytkowników, wystawców czy służb specjalnych.

"System do składania czy weryfikacji bezpiecznego podpisu elektronicznego musi funkcjonować jako pewna całość" - uważa Andrzej Ruciński, członek zarządu ds. technicznych Unizeto. W skład systemu wchodzą: karta mikroprocesorowa, czytnik i aplikacja służąca do składania czy weryfikowania e-podpisu. Dostawca takiej aplikacji musi udzielić deklaracji zgodności, czyli zagwarantować, że jest ona bezpieczna. Unizeto na razie taką gwarancję ogranicza do warunków, w których cały system funkcjonuje na komputerze użytkownika. "Oznacza to, że nie może tu być pełnej uniwersalności polegającej na tym, że można ze swoją kartą, na której jest klucz publiczny, pójść np. do kawiarenki internetowej i tam złożyć podpis. Do tego potrzebne są inne rozwiązania" - mówi Andrzej Ruciński. Takich usług nie oferuje jeszcze żaden z wystawców. "Urządzenia mające odpowiednie certyfikaty są oczywiście nieco droższe, ale nie jest to tak duża różnica w cenie, jak w przypadku urządzeń, które mogą funkcjonować w środowisku publicznym" - zauważa Jarosław Majdyś z krakowskiej firmy CryptoTech. Stosowanie bezpiecznych urządzeń ma przede wszystkim stanowić gwarancję, że klucz prywatny danego użytkownika będzie należycie chroniony. Ustawa jednak pozostawia furtkę. Jeden z jej zapisów mówi bowiem o tym, że wykorzystanie urządzenia, które nie jest bezpieczne, nie oznacza, iż e-podpis złożony za jego pomocą jest nieważny.

Wystawcy są zgodni, że niejasności dotyczące urządzeń do składania bezpiecznego e-podpisu są kolejnym czynnikiem nie sprzyjającym rychłemu jego upowszechnieniu.