Problem może stwarzać interpretacja danych przez różnego typu oprogramowanie służące do budowy infrastruktury klucza publicznego (PKI). Fakt, że aż trzy firmy zainteresowane działalnością wystawiania cyfrowych certyfikatów posługują się rozwiązaniami tego samego dostawcy (Baltimore), może ułatwić standaryzację. Podstawową trudnością natomiast jest brak współpracy między firmami zainteresowanymi świadczeniem usług związanych z funkcjonowaniem systemu podpisu elektronicznego. "Za wcześ-nie, by można było myśleć o mówieniu jednym wspólnym głosem. Na to zapewne przyjdzie czas, gdy rynek się już jakoś ustabilizuje" - twierdzi Elżbieta Włodarczyk.

Nie wiadomo zatem, kto miałby opracować wspólny profil i wybrać rozwiązanie zaakceptowane przez wszystkie zainteresowane podmioty - Ministerstwo Gospodarki, Polski Komitet Normalizacyjny czy może Związek Banków Polskich? Dopiero wówczas będziemy mieć w Polsce w pełni uniwersalny podpis elektroniczny.

Izba wystosowała do pozostałych uczestników rynku usług związanych z systemem podpisu elektronicznego (do PIIiT należy jedynie TP Internet) ofertę współpracy nad nowelizacją ustawy, adresaci jednak przyjęli ją z dużą rezerwą. Wątpliwości pozostałych uczestników rynku budzi bowiem stopień kontestacji prezentowany przez Izbę i w gruncie rzeczy mało konstruktywna postawa w trakcie pracy nad rozporządzeniami do ustawy. W pewnych kwestiach jednak Izbie trudno odmówić racji. Polak na błędach

Opinie zagranicznych prelegentów, zaproszonych na Europejskie Forum Podpisu Elektronicznego, były dość jednoznaczne. Zasadniczy błąd stanowi zbyt wysokie początkowe ustawienie rygorów bezpieczeństwa, bowiem skutecznie hamuje to rozwój usług związanych z systemem podpisu elektronicznego i niepotrzebnie generuje ogromne koszty. W opinii specjalistów trzeba zaczynać od niższego poziomu, by stopniowo w miarę upowszech- niania e-podpisu podnosić wymogi bezpieczeństwa. Tymczasem w Polsce popełniliśmy dokładnie te same błędy, co np. w Niemczech czy Danii.

Kazimierz Ferenc, prezes spółki Centrast, mającej pełnić rolę tzw. roota w systemie podpisu elektronicznego w Polsce, który jako wiceminister MSWiA promował wysokie rygory bezpieczeństwa w zapisach ustawowych, również dzisiaj traktuje te kwestie jako najważniejsze. Dość kuriozalny fakt, że organizacyjno-techniczne wymogi bezpieczeństwa, jakie muszą spełniać wystawcy certyfikatów kwalifikowanych, nieomalże przewyższają poziom zabezpieczeń systemów teleinformatycznych sztabów NATO, jest dla osób współtworzących z Kazimierzem Ferencem Ustawę o podpisie elektronicznym powodem do dumy. Prezes Centrastu chętnie przytacza hipotetyczny przykład trzyosobowej mafii obcokrajowców, która wobec niewystarczającego poziomu zabezpieczenia systemu mogłaby założyć centrum wystawiania certyfikatów, w ciągu jednego dnia "wyprowadzając miliardy złotych z polskiego systemu bankowego".

Te uprzedzenia i obawy mogą jednak w ostatecznym efekcie sprawić, że na rozpowszechnienie wykorzystania podpisu elektronicznego w Polsce przyjdzie nam jeszcze długo poczekać.

Sytuację komplikuje dodatkowo skierowanie przez Polską Izbę Informatyki i Telekomunikacji wniosku do Trybunału Konstytucyjnego o uznanie nieprawidłowości przy uchwalaniu tego aktu prawnego (chodzi o poprawki wniesione przez Senat). Interpretacje prawne są oczywiście różne. Należy jednak oczekiwać, że nawet jeśli Trybunał uzna zasadność tej skargi, to jedynie uchyli kontrowersyjny zapis ustawy (chodzi o ustawową wyłączność dla spółki Centrast), a nie całą ustawę. Wówczas trzeba będzie w trybie pilnym nowelizować ten akt prawny. Tymczasem do wydania wyroku może minąć od kilku do kilkunastu miesięcy. "Niewątpliwie jest to sytuacja niekorzystna dla rozwoju rynku podpisu elektronicznego, bowiem wywołuje niepewność i w konsekwencji wstrzemięźliwość ze strony potencjalnych klientów, użytkowników tej nowej technologii" - mówi Elżbieta Włodarczyk. Niestety na razie w rozwój systemu podpisu elektronicznego w Polsce nie zaangażowała się żadna instytucja zaufania publicznego.

Skąd dochody

Dodatkowe usługi (przede wszystkim budowa i utrzymanie infrastruktur PKI na rzecz podmiotów zewnętrznych), które to w pierwszym etapie powinny dać znaczące źródło przychodów dla wystawców certyfikatów cyfrowych, są rynkiem o trudnej do przewidzenia dynamice rozwoju. Co prawda żadna z istniejących metod identyfikacji i uwierzytelnienia użytkowników, bazujących na identyfikatorach i hasłach, tokenach, systemach pojedynczego klucza (jak Kerberos), nie daje podobnego poziomu bezpieczeństwa jak PKI, przy jednoczesnym zachowaniu technologicznej uniwersalności. Jednak, jak podaje Gartner Group w jednym ze swoich raportów na temat infrastruktury klucza publicznego, wdrożenia PKI na świecie posuwają się bardzo wolno i - przynajmniej do tej pory - udanych wdrożeń mamy niewiele. Zaledwie 15% użytkowników, którzy mają dostęp do tej technologii, zaczęło ją stosować.