Jaki konsument kupi wyspecjalizowane urządzenie przypominające współczesne terminale kasowe, w celu zasilenia telefonu komórkowego lub wysłania do urzędu prostego pisma? W radosnym pędzie pojęcia takie jak "użytkownik końcowy" czy "rynek" pomijano tak starannie, że na końcu czekało tylko bolesne zetknięcie z rzeczywistością.

Nasz własny problem

Polskie rozporządzenie definiuje konstrukcję bezpiecznych kanałów i ścieżek pomiędzy kartą kryptograficzną a aplikacją podpisującą. Służy to oczywiście zapobieżeniu sytuacji, w której koń trojański modyfikuje dane podpisywane przez użytkownika lub pokazuje mu co innego, niż przesyła do karty. Niestety, trzeba zdać sobie sprawę, że to w praktyce jest niemożliwe. Jak można bowiem mówić o bezpiecznej ścieżce w systemach, w których użytkownik pracuje z prawami administratora, a pierwsza lepsza dziura w przeglądarce skutkuje tym, że złośliwa strona WWW może uruchomić swój kod z uprawnieniami systemowymi?

I tu ustawodawca dokonał niesamowitej wręcz wolty, wprowadzając pojęcie "oprogramowania niepublicznego", które nie musi stosować ścieżek czy kanałów. Polskie rozporządzenie mówi, że tym ostatnim jest każde oprogramowanie stosowane w domu, biurze i telefonie komórkowym. Czytaj: w domu i w biurze można składać bezpieczny podpis elektroniczny nawet pod Windows 98 na koncie administratora i będzie on nadal podpisem bezpiecznym. Chaos pogłębiły oferty firm przedstawiających rzekomo bezpieczne środowisko składające z karty mikroprocesorowej z dedykowaną aplikacją. Ostatecznie okazuje się, że tak zwane bezpieczne urządzenie to składanka do samodzielnego montażu, gdzie użytkownik końcowy ma być sobie sam integratorem i administratorem.

Na forsowanie chaotycznej i niespójnej regulacji wiele osób zwracało uwagę już w momencie prac nad polską ustawą. Jednak żadne głosy krytyki nie przeszkodziły w przepchnięciu obecnej formy ustawy wraz z towarzyszącymi jej rozporządzeniami.

Student potrafi

Absurdalna dialektyka sięgnęła szczytu w 2005 roku, kiedy mała szczecińska firma poinformowała o udanym fałszerstwie podpisu przez zainstalowanie w Windows konia trojańskiego modyfikującego w tle podpisywane dane. Była to konsekwencja założonego w rozporządzeniu braku bezpiecznego kanału i ścieżki. W odpowiedzi jedno z centrów certyfikacji uspokajało opinię publiczną deklaracjami, że urządzenie jest bezpieczne, ponieważ w instrukcji użytkownika uprzedza się go, iż jego system operacyjny ma być wolny od wirusów.

Jeden procent

Wszystko to sprawiło, że użytkowników podpisu elektronicznego w latach 2002-2008 nie przekraczała połowy promila. Po nałożeniu na 200 tys. płatników ZUS obowiązku zakupu certyfikatów kwalifikowanych liczba ta wspięła się do około 1%, na którym to poziomie pozostaje do dziś. I taka też liczba obywateli ma w Polsce dostęp do elektronicznych usług administracji publicznej.