Problem z podpisem elektronicznym bierze się stąd, że nie został on zdefiniowany w przepisach. Za to sam format podpisu został określony aż w trzech odrębnych, obszernych specyfikacjach. Podpisy utworzone na ich podstawie mogą różnić się między sobą. Stąd podnoszone w raportach problemy, a więc mnogość wersji i standardów dla podpisu elektronicznego czy problemy z niejednolitymi konwencjami nazewniczymi stosowanymi w certyfikatach. Krotko mówiąc: brak interoperacyjności podpisu.

Aby zweryfikować problemy, Instytut Maszyn Matematycznych, w którym od ponad dwóch lat działa Laboratorium Podpisu Elektronicznego, zorganizował Narodowy Test Interoperacyjności Podpisu Elektronicznego.

Aplikacje stanęły do testów

Testy miały na celu zbadanie problemów związanych ze współpracą różnych aplikacji do składania i weryfikacji e-podpisów, problemów związanych z uznawalnością certyfikatów wydanych przez różne centra certyfikacji, problemów związanych z weryfikacją certyfikatów, niedostatkami interfejsu użytkownika i zgodnością składanych podpisów z wymaganiami prawa. W testach wzięło udział dziesięć aplikacji, sześć krajowych i cztery zagraniczne: z Węgier, Niemiec, Włoch i Japonii.

"Na początek należy obalić mit o problemach we współpracy pomiędzy aplikacjami do składania i weryfikacji e-podpisu. Dodatkowo, dzięki uczestnictwu podmiotów z innych krajów mogliśmy się przekonać, że również współpraca z zagranicznymi aplikacjami nie sprawia dużych problemów. Optymizmem napawa też fakt, iż wykryte nieprawidłowości nie mają poziomu krytycznego, a często są to drobne i łatwe do usunięcia błędy" - czytamy w raporcie końcowym z testów.

Na podstawie przeprowadzonych testów można stwierdzić, że w obszarze obsługi kart kryptograficznych aplikacje nie mają większych problemów. W obszarze certyfikatu większość aplikacji wspiera klucze kryptograficzne RSA i funkcje skrótu SHA2. Większość aplikacji nie miała również problemów z rozpoznaniem certyfikatu jako certyfikatu kwalifikowanego ani z obsługą podpisu w wersji podstawowej.

Wiele zostało do zrobienia

Problemy rozpoczynają się w momencie dołączenia rzadziej stosowanych rozszerzeń podpisu, takich jak CommitmentTypeIndication czy obsługa polityk podpisu. W wynikach można zauważyć, że im bardziej zaawansowana jest wersja składanego podpisu, tym większe problemy z jej obsługą w aplikacjach. Wiele aplikacji nie radziło sobie z obsługą podpisów w wersji archiwalnej, ignorując dołączone dane dotyczące odwołania i weryfikując certyfikat na czas bieżący.

Kolejnym obszarem była obsługa algorytmu podpisu opartego na krzywych eliptycznych. Ze względu na brak obsługi algorytmu w aplikacji referencyjnej test został anulowany. "Pomimo dosyć wysokiego poziomu interoperacyjności aplikacji, należy zauważyć, że przy narzędziu takim jak podpis elektroniczny oczekiwania użytkowników są znacznie wyższe. Przeciętna osoba będzie oczekiwać poprawności działania na poziomie zbliżonym do 100%. Porównując sytuację na rynku e-podpisu do rynku telefonów komórkowych, użytkownik oczekuje, że będzie mógł dzwonić na dowolny model telefonu, a nie tylko na wybrane. Wynika z tego, że na rynku podpisu elektronicznego jest jeszcze sporo do zrobienia" - czytamy w raporcie z testów.

Test był przeprowadzany przez osoby doskonale znające aplikacje. Można przypuszczać, że niedoświadczony użytkownik będzie mieć spore problemy z instalacją karty kryptograficznej.