Kto potrzebuje bezpiecznego e-podpisu?

Czytając wszystkie wypowiedzi odnoszę wrażenie, że zapomniano o jednym z elementów bardzo ważnych w całej strukturze podpisu - bezpiecznym systemie operacyjnym na którym funkcjonuje program do e-podpisu. Jak mi wiadomo - żaden z systemów oepracyjnych dostępnych na rynku (i instalowany u odbiorcy) nie gwarantuje całkowitego bezpieczeństwa przy składaniu podpisu, niektóre z tych systemów wręcz informują, że całkowicie nie gwarantują bezpieczeństwa. Cóż zatem po dodatkowych urządzeniach służacych do odczytania takiego klucza z jakiejś karty zabezpieczonej hasłem przed odczytem, skoro, by jej użyć trzebga użyć systemu operacyjnego, który nie gwarantuje bezpieczeństwa użycia takiej karty.

Szanowni Państwo, odnosz±c się do tezy autora artykułu oraz Państwa komentarzy pozwolę sobie zauważyc, że strategia Ministerstwa Finansów oraz przyjęte rozwi±zanie, w uruchomionym 1-go stycznia 2008 r. systemie e-deklaracje, wychodzi naprzeciw Państwa uzasadnionym oczekiwaniom przez udostępnienie usług składania podpisanych p.e. dokumentów elektronicznych w postaci plików XML (opartych o opublikowane schematy XSD [[http://e-deklaracje.mf.gov.pl]]) opatrzonych certyfikatem kwalifikowanym niezależnie od sposobu składania tego podpisu - oprogramowania, którym posługuje się podatnik/płatnik, co jest zgodne z zasad± neutralno¶ci technologicznej. Zatem wprowadzenie innej formy podpisu (podpis zaawansowany) nie naruszy naczelnej zasady naszej strategii, polegaj±cej na promowaniu otwartych standardów i współpracy z podmiotami gospodarczymi, w szczególno¶ci z rynku IT, z którymi chcieliby¶my używać - w granicach obowi±zuj±cego prawa - wszelkich standardów zwiększaj±cych "masowo¶ć" stosowania dokumentów elektronicznych w kontaktach z administracj± publiczn± np. przez autoryzację oprogramowania interfejsowego. Co się tyczy e-faktur to należy zauważyć, że w prawie polskim jest wiele (nie podejmuję sie dyskutować o ich zasadno¶ci) wymogów, które wymuszaj± "siln± weryfikację tożsamo¶ci" wystawcy dokumentu elektronicznego. S±dzę, że nie jest to główna przeszkoda w upowszechnianiu podpisu elektronicznego w Polsce. Istnieje wiele sposobów, aby upowszechnić certyfikaty kwalifikowane nie "wylewaj±c dziecka z k±piel±", co postuluje m.in. autor artykułu. Popieram osobi¶cie ten kierunek i deklaruję, że będzie on wspierany przez systemy Ministerstwa Finansów, w szczególno¶ci system e-deklaracje. Z poważaniem Witold Jarzynka Zastępca Dyrektora Departamentu Rozwoju Systemów Informatycznych Ministerstwo Finansów

@Gość Zgodnie z polskim prawem i zgodnie z politykami certyfikacji wszystkich znanych mi centrów ma Pan pełne prawo uzyskać certyfikat na klucz publiczny, do którego klucz prywatny wygenerował Pan samodzielnie na własnej karcie. Nie musi Pan kupować czytnika ani karty od centrum - oczywiście centra nie promują takiego rozwiązania, bo na zestawie zarabiają więcej. Taki certyfikat we wszystkich trzech centrach kosztuje dokładnie 190 zł netto (a nie jak napisałem w artykule 199 zł - od 2005 roku centra dokonały radykalnej obniżki cen o 4,5%).

"Nieprawda. Zawsze za nowy produkt płacimy więcej. Jego cena spada znacz?co wraz ze wzrostem podaży w odpowiedzi na popyt. Zna to każdy użytkownik komputera. Ale to nie jest nowy produkt - u.o.p.e. to 2001 rok czyli 6 lat temu. "W takiej Estonii państwo wgrało certyfikaty obywatelom na chip dowodu osobistego i wszyscy zastanawiaj? się dlaczego ten kraj jest w czołówce wygodnych do prowadzenia spraw przez Internet krajów ?wiata." Między innymi dlatego, że jest tam jedno centrum certyfikacji i jedna firma, która zaprojektowała system DigiDoc i e-Id. Drugi powód to skala - 1,5 miliona obywateli to mniej niż pilot Wrót Małopolski. U nas jest 38 milionów ludzi i kilka-kilkanaście firm, które żrą się na rynku blokując się nawzajem w przetargach i podkładając sobie najróżniejsze pułapki w ustawach i rozporządzeniach. "No wła?nie. Oto odpowiedĽ dlaczego za oprogramowanie (i sprzęt) z tzw certyfikatami (np. FIPS, CC) płacimy wielokrotnie więcej. " I to jest m.in. odpowiedź dlaczego systemy z certyfikatami stosuje się tylko tam gdzie jest to absolutnie wymagane. W przypadku podpisu elektronicznego ustawodawca i chciałby mieć ciastko, i zjeść go. Tak się nie da. "Podpisuj?c się tradycyjnie czy analizujemy ryzyka i w razie dużego rezygnujemy z podpisu własnoręcznego?" To co Pan postuluje to jest tzw. pieczątka elektroniczna czyli dokładnie to o czym piszę w artykule :) "Oczywi?cie trudno im odmówić czasami użyteczno?ci, ale czę?ciej gmatwaj? całe to PKI… Gdzie na tradycyjnym papierowym dokumencie polityka podpisu? Jest tre?ć w odpowiednim kontek?cie i tyle. " Myślenie o podpisie elektronicznym przez analogie do tradycyjnego podpisu jest często złudne. Analogia do papieru jest zachowana tylko wtedy gdy podpisuje Pan dokument pozbawiony struktury (np. dokument Worda czy OpenOffice). Ale siła p.e. wychodzi dopiero wtedy gdy przetwarza Pan dokumenty o określonej strukturze i stąd różne wynalazki jak commitmentBit czy SignaturePolicy. "Faktury to przepisy fiskalne. Tu nie ma żartów. Znane s? przypadki zakwestionowania dużych sum z powodu podważenia cech formalnych takich dokumentów (również podpisu)." Ale faktura papierowa nie wymaga już podpisu co najmniej od kilku lat. Nie kwestionuję również konieczności silnej weryfikacji tożsamości posiadacza (jedna noga certyfikatu kwalifikowanego) ani trzymania go na karcie (druga noga) tylko konieczność stosowania bezpiecznego urządzenia (trzecia noga). To pierwsze i to drugie chroni przed groźnymi i prawdopodobnymi atakami - to ostatnie przed atakiem mało prawdopodobnym, i generuje równocześnie najwięcej problemów. "Ale problemy fiskalne w cywilizacjach rozwi?zuje się poprzez płacenie podatków od tego co pojawia się na koncie a nie od zaistnienia jakiej? nieszczęsnej faktury. Ale do tego jak widać nasze Państwo nie dojrzało" Ma Pan rację. W USA pytanie o podpis kwalifikowany wzbudza konsternację i nikt tam takich cudów techniki nie stosuje. Tyle że tam jest działający system sądowniczy, w przeciwieństwie do Polski. Ba, w USA nawet pytanie o fakturę budzi konsternację ale to wynika jak rozumiem ichni system podatkowy z braku federalnego podatku VAT. Proszę pamiętać że to właśnie idiotycznie skomplikowany sposób naliczania i odliczania podatku VAT zmusza przedsiębiorców do szczegółowego opisywania każdego wydatku i dochodu (potrzebne przy kontroli krzyżowej), a urząd skarbowy do pilnowania tegoż. Innymi słowy, Dyrektywa 1999/93/EC jest zaawansowanym technicznie sposobem na rozwiązanie problemu, którego w USA w ogóle nie ma.

@Paweł Krawczyk "Certyfikat kwalifikowany kosztuje sporo albowiem Centra musz? spełniać rygorystyczne wymagania" I zupełnie przypadkiem u wszystkich kosztuje dokładnie 199 zł netto? >¦wiadczy to identycznych kosztach prowadzenia tego zakresu działalno¶ci ;-) A serio, jestem za jak najniższ± cen± certyfikatu i wydłużeniem okresu ważno¶ci (z 1-2 lat obecnie do np. 5). I tak za skutki złożenia podpisu odpowiada składaj±cy. Istniej± procedury wcze¶niejszego unieważnienia w razie zagrożeń; po stronie subskrybenta i CA. "Rozwi?zanie: Upowszechnienie się e-podpisu. Milion wydanych certyfikatów musi zmniejszyć koszty jednostkowe o rz?d wielko?ci" Normalnie na rynku działa to odwrotnie: upowszechnienie produktu osi±ga się przez rozs±dn± politykę cenow±, a nie ustawowy nakaz korzystania z niego. > Nieprawda. Zawsze za nowy produkt płacimy więcej. Jego cena spada znacz±co wraz ze wzrostem podaży w odpowiedzi na popyt. Zna to każdy użytkownik komputera. W takiej Estonii państwo wgrało certyfikaty obywatelom na chip dowodu osobistego i wszyscy zastanawiaj± się dlaczego ten kraj jest w czołówce wygodnych do prowadzenia spraw przez Internet krajów ¶wiata. "może i musi opublikować deklarację zgodno?ci wynikaj?c? z ustawy o PE. Dlaczego tego nie czyni" Po pierwsze dlatego że deklaracja powinna być podparta audytem, który kosztuje. Po drugie łatwiej i taniej jest to zrobić przez furtkę EDI. > No wła¶nie. Oto odpowiedĽ dlaczego za oprogramowanie (i sprzęt) z tzw certyfikatami (np. FIPS, CC) płacimy wielokrotnie więcej. Zgadzam się że pełna zgodno¶ć z rozp. o w.t. jest konieczna w przypadkach gdy podpis wi±że się z duż± odpowiedzialno¶ci± i służy to ochronie podpisuj±cego. Tutaj najwidoczniej zabrakło jednak analizy ryzyka, to znaczy okre¶lenia co to znaczy "duża odpowiedzialno¶ć" i jakie ¶rodki s± racjonalne dla jej ochrony. > Zgoda, aczkolwiek podpis to podpis i powinien być po prostu tani (ten jeden, równoważny własnoręcznemu). Mnożenie rodzajów podpisu to chyba też nie najlepsza droga. Podpisuj±c się tradycyjnie czy analizujemy ryzyka i w razie dużego rezygnujemy z podpisu własnoręcznego? Albo co¶ musimy (chcemy) podpisać albo nie. Nie podpisujemy własnoręcznie mniej lub bardziej odpowiedzialnie. Tu przychodz± mi na my¶l nowe zjawiska jakie zaczynaj± towarzyszyć e-podpisowi (np.: polityki podpisu). Oczywi¶cie trudno im odmówić czasami użyteczno¶ci, ale czę¶ciej gmatwaj± całe to PKI… Gdzie na tradycyjnym papierowym dokumencie polityka podpisu? Jest tre¶ć w odpowiednim kontek¶cie i tyle. W maj±cym największy sens zastosowaniu czyli e-fakturze tak silny mechanizm jest przesadny w stosunku do możliwych zagrożeń, bo nieracjonalny jest atak polegaj±cy na fałszowaniu podpisu kwalifikowanego pod e-faktur± czy też wyparcie się wystawienia tejże. Główne zagrożenie to nowa forma phishingu z fakturami z fałszywym numerem konta. Ale je¶li klient składa zamówienie na serwerze chronionym niekwalifikowanym certyfikatem Thawte czy Verisign, to ten certyfikat będzie równie dobry do ochrony autentyczno¶ci faktury. > Faktury to przepisy fiskalne. Tu nie ma żartów. Znane s± przypadki zakwestionowania dużych sum z powodu podważenia cech formalnych takich dokumentów (również podpisu). Osobi¶cie zgadzam się. Ale problemy fiskalne w cywilizacjach rozwi±zuje się poprzez płacenie podatków od tego co pojawia się na koncie a nie od zaistnienia jakiej¶ nieszczęsnej faktury. Ale do tego jak widać nasze Państwo nie dojrzało. "A ten musi mieć komfort podczas prowadzenia e-biznesu i ufać temu, że e-podpis jest równoważny własnoręcznemu." Rezultat tej polityki jest taki, że firmy wysyłaj± e-faktury W OGÓLE BEZ PODPISU ponieważ racjonalnie oceniaj± że ryzyko takiej operacji jest pomijalnie niskie, a podpis jest zbyt drogi w stosowaniu. > Mit. Wystawienie już obecnie (i e-podpisanie) tylko około 100 faktur i przesłanie ich e-mail`em już jest tańsze niż tradycyjne drukowanie i wysyłka listem poleconym! Oczywi¶cie nadal mimo tego jest to nie dla małego biznesu. "Nic innego nie powinno go interesować; oto ma certyfikat kwalifikowany i bezpieczne urz?dzenie" Za tym wszystkim musi stać jeszcze ekonomiczna racjonalno¶ć, której obecnie brakuje. Podpis elektroniczny został stworzony DLA PRZEDSIĘBIORCÓW, a nie dla CA. > Zgoda.

@Grzegorz "Certyfikat kwalifikowany kosztuje sporo albowiem Centra musz? spełniać rygorystyczne wymagania" I zupełnie przypadkiem u wszystkich kosztuje dokładnie 199 zł netto? "Rozwi?zanie: Upowszechnienie się e-podpisu. Milion wydanych certyfikatów musi zmniejszyć koszty jednostkowe o rz?d wielko?ci" Normalnie na rynku działa to odwrotnie: upowszechnienie produktu osiąga się przez rozsądną politykę cenową, a nie ustawowy nakaz korzystania z niego. "może i musi opublikować deklarację zgodno?ci wynikaj?c? z ustawy o PE. Dlaczego tego nie czyni" Po pierwsze dlatego że deklaracja powinna być podparta audytem, który kosztuje. Po drugie łatwiej i taniej jest to zrobić przez furtkę EDI. Zgadzam się że pełna zgodność z rozp. o w.t. jest konieczna w przypadkach gdy podpis wiąże się z dużą odpowiedzialnością i służy to ochronie podpisującego. Tutaj najwidoczniej zabrakło jednak analizy ryzyka, to znaczy określenia co to znaczy "duża odpowiedzialność" i jakie środki są racjonalne dla jej ochrony. W mającym największy sens zastosowaniu czyli e-fakturze tak silny mechanizm jest przesadny w stosunku do możliwych zagrożeń, bo nieracjonalny jest atak polegający na fałszowaniu podpisu kwalifikowanego pod e-fakturą czy też wyparcie się wystawienia tejże. Główne zagrożenie to nowa forma phishingu z fakturami z fałszywym numerem konta. Ale jeśli klient składa zamówienie na serwerze chronionym niekwalifikowanym certyfikatem Thawte czy Verisign, to ten certyfikat będzie równie dobry do ochrony autentyczności faktury.

Grzegorz "Certyfikat kwalifikowany kosztuje sporo albowiem Centra musz? spełniać rygorystyczne wymagania" I zupełnie przypadkiem u wszystkich kosztuje dokładnie 199 zł netto? "Rozwi?zanie: Upowszechnienie się e-podpisu. Milion wydanych certyfikatów musi zmniejszyć koszty jednostkowe o rz?d wielko?ci" Normalnie na rynku działa to odwrotnie: upowszechnienie produktu osiąga się przez rozsądną politykę cenową, a nie ustawowy nakaz korzystania z niego. "może i musi opublikować deklarację zgodno?ci wynikaj?c? z ustawy o PE. Dlaczego tego nie czyni" Po pierwsze dlatego że deklaracja powinna być podparta audytem, który kosztuje. Po drugie łatwiej i taniej jest to zrobić przez furtkę EDI. Zgadzam się że pełna zgodność z rozp. o w.t. jest konieczna w przypadkach gdy podpis wiąże się z dużą odpowiedzialnością i służy to ochronie podpisującego. Tutaj najwidoczniej zabrakło jednak analizy ryzyka, to znaczy określenia co to znaczy "duża odpowiedzialność" i jakie środki są racjonalne dla jej ochrony. W mającym największy sens zastosowaniu czyli e-fakturze tak silny mechanizm jest przesadny w stosunku do możliwych zagrożeń, bo nieracjonalny jest atak polegający na fałszowaniu podpisu kwalifikowanego pod e-fakturą czy też wyparcie się wystawienia tejże. Główne zagrożenie to nowa forma phishingu z fakturami z fałszywym numerem konta. Ale jeśli klient składa zamówienie na serwerze chronionym niekwalifikowanym certyfikatem Thawte czy Verisign, to ten certyfikat będzie równie dobry do ochrony autentyczności faktury. "A ten musi mieć komfort podczas prowadzenia e-biznesu i ufać temu, że e-podpis jest równoważny własnoręcznemu." Rezultat tej polityki jest taki, że firmy wysyłają e-faktury W OGÓLE BEZ PODPISU ponieważ racjonalnie oceniają że ryzyko takiej operacji jest pomijalnie niskie, a podpis jest zbyt drogi w stosowaniu. "Nic innego nie powinno go interesować; oto ma certyfikat kwalifikowany i bezpieczne urz?dzenie" Za tym wszystkim musi stać jeszcze ekonomiczna racjonalność, której obecnie brakuje. Podpis elektroniczny został stworzony DLA PRZEDSIĘBIORCÓW, a nie dla CA.

@Grzegorz "Certyfikat kwalifikowany kosztuje sporo albowiem Centra musz? spełniać rygorystyczne wymagania" I zupełnie przypadkiem u wszystkich kosztuje dokładnie 199 zł netto? "Rozwi?zanie: Upowszechnienie się e-podpisu. Milion wydanych certyfikatów musi zmniejszyć koszty jednostkowe o rz?d wielko?ci" Normalnie na rynku działa to odwrotnie: upowszechnienie produktu osiąga się przez rozsądną politykę cenową, a nie ustawowy nakaz korzystania z niego. "może i musi opublikować deklarację zgodno?ci wynikaj?c? z ustawy o PE. Dlaczego tego nie czyni" Po pierwsze dlatego że deklaracja powinna być podparta audytem, który kosztuje. Po drugie łatwiej i taniej jest to zrobić przez furtkę EDI. Zgadzam się że pełna zgodność z rozp. o w.t. jest konieczna w przypadkach gdy podpis wiąże się z dużą odpowiedzialnością i służy to ochronie podpisującego. Tutaj najwidoczniej zabrakło jednak analizy ryzyka, to znaczy określenia co to znaczy "duża odpowiedzialność" i jakie środki są racjonalne dla jej ochrony. W mającym największy sens zastosowaniu czyli e-fakturze tak silny mechanizm jest przesadny w stosunku do możliwych zagrożeń, bo nieracjonalny jest atak polegający na fałszowaniu podpisu kwalifikowanego pod e-fakturą czy też wyparcie się wystawienia tejże. Główne zagrożenie to nowa forma phishingu z fakturami z fałszywym numerem konta. Ale jeśli klient składa zamówienie na serwerze chronionym niekwalifikowanym certyfikatem Thawte czy Verisign, to ten certyfikat będzie równie dobry do ochrony autentyczności faktury. "A ten musi mieć komfort podczas prowadzenia e-biznesu i ufać temu, że e-podpis jest równoważny własnoręcznemu." Rezultat tej polityki jest taki, że firmy wysyłają e-faktury W OGÓLE BEZ PODPISU ponieważ racjonalnie oceniają że ryzyko takiej operacji jest pomijalnie niskie, a podpis jest zbyt drogi w stosowaniu. "Nic innego nie powinno go interesować; oto ma certyfikat kwalifikowany i bezpieczne urz?dzenie" Za tym wszystkim musi stać jeszcze ekonomiczna racjonalność, której obecnie brakuje. Podpis elektroniczny został stworzony DLA PRZEDSIĘBIORCÓW, a nie dla CA.

Certyfikat kwalifikowany kosztuje sporo albowiem Centra musz± spełniać rygorystyczne wymagania narzucone przez ustawodawcę (Państwo). To Państwo stoi na straży tożsamo¶ci obywateli (również w ¶rodowisku wirtualnym poprzez wprowadzenie podpisu bezpiecznego). Rozwi±zanie: Upowszechnienie się e-podpisu. Milion wydanych certyfikatów musi zmniejszyć koszty jednostkowe o rz±d wielko¶ci… Wydanie certyfikatów w nowych dowodach osobistych (kilkana¶cie milionów) bardzo poważnie zmniejszyłoby koszty certyfikatów. Warunek: Nie administracja państwowa powinna prowadzić CA (prywatny biznes jest bardziej konkurencyjny a pieni±dze i tak zapłac± obywatele lub przedsiębiorcy, albo jawnie albo poprzez podatki). Rezygnowanie przez Państwo z konieczno¶ci rygorystycznego pilnowania CA poprzez rozluĽnienie infrastruktury IT w tym zakresie (PKI) spowoduje w±tpliw± jako¶ć okre¶lania tożsamo¶ci i jej pewno¶ci (a o to chodzi w tym całym e-podpisie). Bezpieczne urz±dzenie. Każdy wytwórca oprogramowania (FK, systemy fakturuj±ce itp…) z opcj± podpisu może i musi opublikować deklarację zgodno¶ci wynikaj±c± z ustawy o PE. Dlaczego tego nie czyni±? Może zależy im tylko na robieniu kasy a nie na odpowiedzialno¶ci?! Duża odpowiedzialno¶ć CA (również finansowa; patrz Ustawa o PE) też jest elementem cenotwórczym certyfikatów. Takiej odpowiedzialno¶ci nikt nie chce ponosić. W razie znacznego zliberalizowania rynku w tym zakresie wszelkie problemy i konieczno¶ć dowodzenia spadłaby tylko na ostatnie ogniwo: obywatela. A ten musi mieć komfort podczas prowadzenia e-biznesu i ufać temu, że e-podpis jest równoważny własnoręcznemu. Nic innego nie powinno go interesować; oto ma certyfikat kwalifikowany i bezpieczne urz±dzenie za które kto¶ wzi±ł odpowiedzialno¶ć w ramach obowi±zuj±cego prawa. Jeżeli takowe urz±dzenia (oprogramowanie) nie s± bezpieczne to już na inny temat. Żadne inne wynalazki typu podpis zaawansowany nic tu nie wnios±…

Przymierzałem się do podpisu ale co to za podpis je¶li dotyczy np sumy 300-500 zł . A Np rozmowa o zwrocie podatku to czasami ponad 5000 zł . Fiasko podpisu to zbyt mała suma któr± za pomoc± podpisu można wykonać . Przeciętny zjadacz chleba w internetowym e-biznesie potrzebuje certyfikatu na sumy znacznie większe. jan

Niestety polskie prawo jest jakie jest - podpis może i jest dobrze sprecyzowany w polskim prawie ale centra certyfikacji o dziwo różnie te przepisy stosuj± nie mówi±c już o różnym formacie identyfikatora jakim jest np. pesel to np. w certyfikatach wydawanych przez sigillum brakuje odwołania do odpowiedniej listy CRL zawieraj±cej dane do weryfikacji certyfikatu. Pomijaj±c certyfikat napotykamy na kolejny problem - format paczki zawieraj±cej dokument elektroniczny. Tu wszystkie centra zastosowały w swoich aplikacjach pełn± dowolno¶ć. Tego już było zbyt wiele - postanowiłem stworzyć oprogramowanie które pozwala podpisywać za pomoc± karty dokumenty PDF (np. faktury elektroniczne) - projekt się udał, więc padł pomysł - dlaczego tego prostego rozwi±zania nie zastosować w administracji publicznej tak jak robi to np. Belgia. No i tu się zaczynaj± schody ponieważ w końcu w którym¶ z rozporz±dzeń opisano format paczki - Xades, którego wymagany w administracji rodzaj (Xades-A) nie doczekal się jeszcze oficjalnej polskiej dokumentacji tego profilu. To tak w skrócie - a więc moje pytanie brzmi? Po co tak komplikować i wprowadzać kolejne standardy gdy nie mamy tak naprawdę nawet podstaw. Może warto przystopować upro¶cić sprawy i rozwijać dalej gdy okaże się to przydatne. Problemów jest jeszcze dużo więcej - ot chodĽby znakowanie czasem - znacznik kwalifikowany kosztuje niewiele 0,35zl. Niewiele do momentu gdy trzeba nim oznakować tysi±ce pism wpływaj±cych do urzędu. Pieni±żki te trafi± do centrów certyfikacji - dlaczego? Czy mswia nie stać na postawienie własnego serwera do znakowania czasem darmowego dla wszystkich urzedów? Będę bardzo rozczarowany jeżeli nowe dowody nie będ± posiadały odrazu wgranego certyfikatu kwalifikowanego tylko będe musiał za niego płacić kilkaset złotych i wgrywać go sobie w konkretnej firmie. Podpis elektroniczny w Polsce to niestety bajka... [[www.epodpis.mav.pl]]

"planowane jest wdrożenie oprogramowania działającego na systemie Linux" Takie oprogramowanie faktycznie już istnieje - po pierwsze ebStream (Java), po drugie Adobe Reader. Wtyczka do Readera opublikowana w ramach projektu e-Deklaracje zapewnia zgodność z ustawą. Sam Reader jest na pewno wieloplatformowy, nie wiem czy wtyczka też musi mieć wersje pod różne systemy. "wraz z nim stracily waznosc wszystkie zakupione certyfikaty" Ale nie podpisy - podpis jest ważny, jeśli certyfikat był ważny w momencie podpisywania.

Według informacji od konsultantów jednego z centrów certyfikacji na przełomie stycznia/lutego planowane jest wdrożenie oprogramowania działającego na systemie Linux. W chwili obecnej znajduje sie ono w fazie testów.

tylko integracja z dowodem osobistym i z odciskiem palca albo teczowka.....roziazania juz sa...najtaniej

rynek podpisow elektronicznych w polsce brzydko pachnie. zmowa cenowa jest oczywista, poza tym dziwi, ze cena certyfikatu dla firm zalezy od tego na jaka kwote transakcje beda nim podpisywane. poza tym 1 polskie centrum zakonczylo dzialalnosc, a wraz z nim stracily waznosc wszystkie zakupione certyfikaty... poza tym, o ile sie nie myle, oprogramowanie poszczegolnych firm wydajacych certyfikaty jest ze soba niekompatybilne, wiec nie dziwi calkowita porazka e-podpisu. mam tylko nadzieje, ze jak wejdzie on na masowa skale, to ceny spadna.

Przypadkiem tak sie sklada ze monopol na podpis maja 3 centra z czego do niedawna aktywne bylo tylko jedno. Idea podpisu jest sluszna, ale tylko jesli takie certyfikaty beda wydawac urzedy a nie "zaufane firmy" Co do jednoplatformowosci :) deficyt kadry implementujacej rozwiazania PKI oraz tzw. rotacja pracownikow w przedsiebiorstwie, ktora nie stanowi problemu spowodowala to co zwykle - ktos cos kiedys zrobil i dziala ale nie jest juz tak preznie rozwijane, bo najpierw trzeba sie polapac co ktos zrobil :) Ave PL :)

Jaki jest? Drogi? Jest BEZPŁATNY! Choćby [[www.thawte.com]]. jedna weryfikacja i podpisy na całe życie. Mowa oczywiście o podpisie dla osoby, bo firmowe są płatne.

Zreszt± sama Polska idea "e-podpisu" jest do niczego. Kartę z certyfikatem i kluczem prywatnym(!) kupuje się od jakiej¶ firmy. To zupełne wypaczenie PKI. Je¶li dostaje klucz prywatny w karcie od kogo¶ to gdzie jest niepodważalo¶ć podpisu? Przecież nie wiem co się działo z karta zanim trafiła do mnie. Kto wie jak generowano klucze? Na wolnej karcie, czy może metod± przemysłowy± - na szybkim na szybkim PC, a póĽniej tylko kopiowali na karty. Nikt o zdrowych zmysłach nie będzie czekał 10-15 minut zanim karta wygeneruje odpowiednie liczby pierwsze. Zrobi± 10000 par kluczy i zapisz± na kartach! Szybko, tanio... i można zawsze kopie podesłać do CBA i ABW.

Jasne! Walnąć przepis i niech ludzie płacą...

i nie jest na Linux-e i na Mac OS X. nie mówię, że nie może być, ale że nie jest obecnie

Dlaczego e-podpis nie jest popularny? Proste: 1. Jest drogi 2. Licencję trzeba odnawiać co rok 3. Brak infrastruktury w Polsce, przez co e-podpis jest w większości przypadków po prostu bezużyteczny.