Certyfikat dla każdego

Klienci bankowości elektronicznej w Polsce będą mogli korzystać z usług tzw. zaufanej trzeciej strony udzielającej elektronicznych certyfikatów.

Klienci bankowości elektronicznej w Polsce będą mogli korzystać z usług tzw. zaufanej trzeciej strony udzielającej elektronicznych certyfikatów.

Rozwijające się w Polsce systemy bankowości elektronicznej i internetowej są niespójne, bowiem klient - zmieniając bank - musi po swojej stronie instalować całkowicie inne rozwiązanie. Sytuację mogłoby poprawić wprowadzenie pewnej standaryzacji do budowy infrastruktury klucza publicznego (PKI) w elektronicznych systemach bankowych i finansowych (gdzie PKI jest podstawą zabezpieczenia i uwierzytelnienia transakcji). Standaryzację tę miałby zapewnić jednolity mechanizm udzielania elektronicznych ceryfikatów. Certyfikat wiąże tożsamość podmiotu z jego kluczem - zaufana trzecia strona - udzielając certyfikatu - zaświadcza, że rzeczywiście dana instytucja zastosowała swój klucz. Ofertę taką zamierza przedstawić Krajowa Izba Rozliczeniowa, instytucja powołana do prowadzenia rozliczeń międzybankowych.

"Chcemy oferować usługi klientom banków, ale działać będziemy za pośrednictwem banków" - mówi Jarosław Tymowski, wiceprezes KIR. Stąd nowa oferta KIR zwrócona w stronę home bankingu czy bankowości internetowej. Dzisiaj w tych systemach bezpieczeństwo transakcji gwarantuje bank - w przypadku stosowania szyfrowania z kluczem asymetrycznym i podpisów elektronicznych oznacza to, że jedna ze stron transakcji jednocześnie jest arbitrem rozsądzającym: czy określone dane rzeczywiście zostały wysłane, czy dana transakcja została zawarta.

Banki tworzą jednak własne rozwiązania, które nie gwarantują zachowania waloru uniwersalności. Stosując jeden i ten sam klucz w systemie z "kluczem kirowskim", klient mógłby korzystać z usług elektronicznych różnych banków. Banki nie muszą być jednak tym rzeczywiście zainteresowane, bowiem uniwersalność oznacza, że klientowi łatwo zmienić bank czy instytucję, która oferuje mu usługi finansowe. Tym łatwiej, że interfejsem do banku może być Internet. Natomiast własne rozwiązania bardziej wiążą klienta z danym bankiem.

Nie ma jeszcze znormalizowanych protokołów żądania zrealizowania usługi przez dostawcę certyfikatów. Postęp w pracach normalizacyjnych jest powolny. Seria zaleceń PKIX reguluje kwestie dotyczące certyfikatów, co niestety nie wystarcza do budowania systemów w pełni otwartych. Dlatego tak ważne staje się dopasowanie do konkretnego rozwiązania.

Drogie certyfikaty

Przyszłość pokaże, czy rozwiązanie proponowane przez KIR znajdzie więcej zwolenników. Stworzenie jednostki wydającej certyfikaty to kosztowne przedsięwzięcie (inwestycja co najmniej kilkuset tysięcy czy kilku milionów złotych). Infrastruktura klucza publicznego (PKI) składa się z bazy sprzętowej, programowej, baz danych, sieci, procedur bezpieczeństwa oraz obowiązków prawnych. Dlatego instytucje finansowe mogą być zainteresowane korzystaniem z usług KIR na własny użytek, zamiast samodzielnego budowania PKI. Umożliwia ona jednostkom i podmiotom wzajemną identyfikację podczas realizacji transakcji prowadzonych za pośrednictwem sieci.

Szczególnej ochrony wymaga np. klucz prywatny centrum certyfikacji. Chroni on bowiem przed podrobieniem certyfikatu kluczy użytkowników. Naruszenie jego bezpieczeństwa może sprawić, że wiarygodność tracą podpisy elektroniczne użytkowników korzystających z usług danego centrum certyfikacji. Dlatego klucz prywatny centrum certyfikacji powinien być chroniony w szczególny sposób (nie mniej niż klucze prywatne użytkowników).

Oprócz standardowych zabezpieczeń (takich jak izolowane serwery, zamknięte pomieszczenie bez okien itd.), do tworzenia klucza prywatnego powinny być wykorzystane urządzenia sprzętowe. Do tej pory usługi certyfikacyjne dla klientów zewnętrznych świadczyło także Unizeto ze Szczecina. Mimo iż system PKI funkcjonował tam ponad rok, Unizeto nie zdołało pozyskać nowego klienta, poza Zakładem Ubezpieczeń Społecznych.

W systemie PKI wdrożonym w Unizeto Szczecin, stosowanym w elektronicznym transferze danych z Programu Płatnika do Zakładu Ubezpieczeń Społecznych, klucz opracowano na drodze programowej. Kierownicy tego ośrodka chcieli bowiem korzystać z urządzeń certyfikowanych przez Urząd Ochrony Państwa, a tych jeszcze do tej pory nie było.

Właśnie Krajowa Izba Rozliczeniowa była w Polsce pionierem w dziedzinie wprowadzania tzw. infrastruktury klucza publicznego (Public Key Infrastructure - PKI). System PKI został przez KIR wdrożony na potrzeby systemu ELIXIR - międzybankowych rozliczeń elektronicznych. Wykorzystano w nim podpisy elektroniczne, bazujące na algorytmach szyfrowania z kluczami asymetrycznymi. Obecnie w użyciu jest ok. 1500 certyfikatów wydanych przez KIR na potrzeby systemu ELIXIR. Ich liczba stale się zmniejsza z uwagi na postępującą centralizację systemów bankowych (certyfikaty wydawane są dla oddziałów bezpośrednio uczestniczących w systemie ELIXIR).

Pierwszy certyfikat wydano już w 1993 r. Formalnie system ELIXIR zaczął funkcjonować rok później. Rozwiązanie to zostało dostarczone jako gotowy produkt przez Unisysa. Klucz prywatny KIR, najważniejszy w hierarchii certyfikatów w systemie ELIXIR, powstał w kryptograficznym urządzeniu sprzętowym firmy Racal. Następnie podzielono go na części i umieszczono na kartach procesorowych.

Szafir na horyzoncie

Obecnie jest realizowane wdrożenie nowego Systemu Zarządzania Certyfikatami "Szafir", które powinno być zakończone już w styczniu br. Usługi oparte na nowym systemie powinny znaleźć się w ofercie KIR w I kwartale. Trwają też rozmowy z bankami, potencjalnie zainteresowanymi nowym systemem wydawania certyfikatów.

Szafir zbudowano zgodnie z zaleceniami dokumentu "Polityka i wytyczne bezpieczeństwa infrastruktury kluczy publicznych dla Wspólnej Sieci Elektronicznej Bankowości" przyjętego przez Związek Banków Polskich. Będzie mógł być stosowany do zabezpieczania i uwierzytelniania komunikacji w poczcie elektronicznej czy komunikacji z serwerami WWW (w tym niewykluczone jest udzielanie przez KIR certyfikatów dla internetowych serwisów). W przyszłości planowane jest wprowadzenie możliwości stemplowania znacznikiem czasu dokumentów elektronicznych.

W drugiej połowie br. planuje się stopniowe udostępnienie funkcjonalności nowego systemu dla ELIXIR-a. Docelowo w ciągu roku nastąpi całkowite przejście systemu ELIXIR na nowe rozwiązanie. KIR zmierza do tego, aby w korespondencji pomiędzy bankami zostały całkowicie wyeliminowane rozliczeniowe dokumenty papierowe. Pozostaje to jednak nadal sprawą przyszłości.

W nowym systemie będą wydawane nowoczesne certyfikaty, zgodne ze specyfikacją ITU X.509v3. Mają one dodatkowe pola opisowe, pozwalające na wprowadzenie informacji o rodzaju zastosowania certyfikatu, podmiocie, który otrzymał certyfikat, miejscu, gdzie można sprawdzić ważność certyfikatu itd. "Będziemy obsługiwać klucze aż 2048-bitowe i dawać certyfikaty o znacznej sile bezpieczeństwa" - mówi Elżbieta Włodarczyk, specjalista w dziale rozwoju KIR SA.

Aby otrzymać pierwszy certyfikat, trzeba zgłosić się osobiście. Jest to konieczne, by w sposób nie budzący wątpliwości potwierdzić tożsamość osoby ubiegającej się o certyfikat. Później odnawianie certyfikatu (który traci ważność zazwyczaj po upływie roku) może być już realizowane elektronicznie, także przez Internet - chyba że dojdzie do tzw. kompromitacji, czyli ujawnienia klucza publicznego, i całą procedurę trzeba zacząć od początku. W przypadku klientów obsługiwanych przez banki, te wizyty będą mogły mieć miejsce w siedzibach banków przy wydzielonych stanowiskach rejestracji (dzisiaj jest to jedynie KIR - w postaci lokalnych jednostek rozliczeniowych w 17 największych miastach). Banki będą same decydować o stosowanych zabezpieczeniach i wymaganiach wobec klientów, jeśli chodzi o zabezpieczenie kluczy prywatnych. KIR może w tej sprawie wydawać jedynie zalecenia.

Jedni nad drugimi

Z inicjatywy Związku Banków Polskich oraz Narodowego Banku Polskiego ma powstać Główny Urząd Certyfikacji Kluczy (GUCK), będący najważniejszą jednostką, wydającą certyfikaty dla całego sektora usług finansowych. Ośrodek Zarządzania Kluczami, funkcjonujący w KIR, miałby być mu podporządkowany - w sensie hierarchii jednostek certyfikujących.

"Inicjatywa ta wyprzedza regulacje ogólnopaństwowe, ale ich nie zastąpi. Kiedy pojawią się potrzebne rozwiązania prawne, GUCK może okazać się już niepotrzebny" - uważa Jarosław Tymowski. Ustawa o podpisie elektronicznym, który w I połowie br. znajdzie się w fazie gotowego projektu, będzie prawdopodobnie zawierać postanowienie o stworzeniu krajowego urzędu autoryzacji wystawców certyfikatów. GUCK zacznie funkcjonować już w tym roku, jednak na razie w wersji pilotażowej.