W nawiązaniu do artykułu Przemysława Gamdzyka Dyskusyjne urządzenia (Computerworld 16/2003) należy stwierdzić, że zgodnie z art. 6 ust. 3 Ustawy o podpisie elektronicznym, każdy podpis elektroniczny możliwy do zweryfikowania przy użyciu kwalifikowanego certyfikatu jest podpisem ważnym i wywołującym wszystkie skutki przewidziane prawem - bez względu na to, czy składający ten podpis użył tzw. bezpiecznego urządzenia służącego do składania podpisu elektronicznego, czy też innego urządzenia, które nie spełnia wszystkich wymagań stawianych przez ustawę i rozporządzenie Rady Ministrów z 7 sierpnia 2002 r.

Bezpieczne urządzenie służące do składania podpisu elektronicznego ma przede wszystkim funkcjonować w interesie składającego podpis elektroniczny, w tym w szczególności poprzez ochronę danych służących do składania podpisu elektronicznego. Oferowane obecnie karty kryptograficzne, jako nośniki tych danych, spełniają oczekiwania prawodawcy. Pojawia się jednak problem uznania całego urządzenia za bezpieczne. Ustawa zakłada bowiem, że w jego skład wchodzą komponent techniczny i oprogramowanie podpisujące.

Wydaje się, że dostępne są już komponenty techniczne (sprzęt) wraz z modułami kluczowymi, które spełniają większość lub nawet wszystkie wymagania prawa o podpisie elektronicznym. Jednak taki sprzęt musi poprawnie współdziałać z całą rzeszą aplikacji podpisujących. Potwierdzenie właściwego współdziałania konkretnego sprzętu z odpowiednim oprogramowaniem nie jest proste i wymaga odpowiedniego badania.

Każdy podmiot świadczący usługi certyfikacyjne powinien, zgodnie z art. 10 ust. 1 pkt 8 ustawy, udostępniać odbiorcy usług certyfikacyjnych wykaz bezpiecznych urządzeń służących do składania podpisu elektronicznego. Urządzenia te powinny poprawnie współpracować z certyfikatami wydawanymi przez ten podmiot, obsługiwać określony typ nośników kluczy. Dlatego listy tych urządzeń, w zależności od podmiotu świadczącego usługi certyfikacyjne, mogą się od siebie różnić.

Należy również wziąć pod uwagę to, że rynek usług certyfikacyjnych w Polsce dopiero się kształtuje. Fakt, iż listy bezpiecznych urządzeń do składania podpisu elektronicznego wskazują tylko kilka urządzeń nie stanowi przeszkody we wdrażaniu systemu podpisu elektronicznego. Nie można również mówić o żadnych kontrowersjach związanych z tymi urządzeniami.

Co prawda brakuje konkretnej instytucji, która arbitralnie rozstrzygałaby, czy dane urządzenie spełnia stosowne wymagania, jednak nie stanowi to przeszkody do uznania urządzenia za bezpieczne. Można również doprowadzić do powołania takiej jednostki.

Każde urządzenie spełniające wymagania ustawowe jest bezpiecznym urządzeniem. Certyfikacja tego urządzenia nie jest konieczna, aby urządzenie uznać za bezpieczne. Rozporządzenie Rady Ministrów odwołuje się wprost do europejskich i światowych norm dotyczących urządzeń do składania podpisu elektronicznego. Dlatego można uznać, że urządzenia dopuszczone do użytku za granicą, w tym w krajach Unii Europejskiej, mogą znaleźć zastosowanie w Polsce.

Rolą Centrum Zaufania i Certyfikacji Centrast nie jest obsługa użytkowników końcowych, lecz kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Nie powinno więc dziwić, że wykaz bezpiecznych urządzeń opublikowany przez nas dotyczy urządzeń przeznaczonych dla centrów certyfikacji.

Robert Podpłoński, główny specjalista Centrum Zaufania i Certyfikacji Centrast SA