Kup pan podpis

Diagnoza

Stan opisany w powyższym akapicie trwa już ładnych parę lat i on to właśnie wbudował w umysły fałszywy obraz kryptografii, certyfikatów, podpisów i całej związanej z tym magii. Obraz fałszywy, ale tak sugestywny, że w fachowych skądinąd tekstach spotkać dziś można sformułowanie "kupić podpis elektroniczny". A czy ktoś z czytelników oburzył się na użyte przeze mnie wyżej sformułowanie "sprzedaż certyfikatów"? Nie sądzę.

Otóż model zaufania, dla którego opracowywany był standard X.509, obecnie nie istnieje. Został zastąpiony rynkiem certyfikatów. Całe akcesorium kryptograficzne stało się zwykłym towarem. Terminologia techniczna została zawłaszczona przez sprzedawców, którzy "lansują" niemające związku z rzeczywistością, a wygodne dla siebie tej terminologii znaczenia. W umysłach - wcale niekoniecznie laików - pokutuje jako sprawdzony i działający w praktyce model zaufania opisany relacją:

[4] "Znam ten CA, ufam mu, ponieważ..." (w druku zwykle jasnoszare)

^

[3'] certyfikat CA (któregokolwiek z tysięcy)

^

[3] certyfikat subCA (opcjonalny, tego samego CA co wyżej)

^

[2] certyfikat (dla adresu WWW lub adresu e-mail)

^

[1] okienko "certyfikat jest prawidłowy"

^

[0] "zamknięta kłódeczka w przeglądarce" lub "ptaszek OK" w kliencie pocztowym

Cyfry w nawiasach oznaczają kolejne stopnie weryfikacji dokonywanej przez użytkownika i/lub jego oprogramowanie. Gros użytkowników nigdy nie weryfikowała strony czy poczty powyżej [0]. Kroki [2], [3] i [3'] powinno wykonywać oprogramowanie. O krok [1] ostatnio mądrze proszą banki. Krok [4], który powinien odbyć się w naszej głowie, jest w tym modelu nie do przeprowadzenia.

Model ten, choć kulawy i nijak mający się do pierwotnych założeń X.509, jednak działa. Dobrze służy jednemu powszechnie znanemu celowi: zabezpieczaniu przed podejrzeniem lub wysłaniem w niewłaściwe ręce numeru karty kredytowej albo hasła. Działa też nieźle w przypadku poczty elektronicznej. Oprogramowanie stosujące go pozwala zaszyfrować pocztę, a po drugie ostrzega, jeśli certyfikat dołączony do listu został wystawiony na inny adres e-mail niż ten, który widnieje w polu "od". Jako działający i jedynie słuszny model ten - zapewne nie bez udziału głównych graczy na rynku certyfikatów - został wprowadzony do legislacji prawie całego świata, i to właśnie dlatego nie tylko w Polsce, ale na całym świecie "jakoś z podpisem nie wychodzi".

Nieporozumienia i sprostowania

Nieporozumienia: (1) "Certyfikat jest pieczątką jednorocznego użytku, którą zamawia się u producenta (drogie te pieczątki) i potem używa do przystawiania na stronach WWW, poczcie i innych dokumentach, jak się wpisze hasło pieczątki". (2) "Podpis elektroniczny to odcisk pieczątki-certyfikatu". (3) "Podpis elektroniczny to coś, co należy do informatyki".

Sprostowania: (1) Podpis elektroniczny nie należy do dziedziny informatyki, podpis elektroniczny należy do dziedziny organizacji społecznej, czy też krócej: prawa, państwowości, jak kto woli. (2) Podpis elektroniczny nie jest pieczątką "w pięć minut", podpis elektroniczny jest oświadczeniem osoby o potwierdzonej tożsamości. I najważniejsze: (3) Certyfikat nie jest towarem, certyfikat jest dokumentem tożsamości i jako taki dokument powinien być traktowany.

Jeśli przyjmiemy powyższe, jasnym stanie się, że model zaufania zakładający mnogość "głównych, zaufanych" i na dokładkę jeszcze prywatnych urzędów certyfikacji nie może służyć jako podstawa systemu weryfikacji tożsamości i oświadczeń woli. I to właśnie jest to "nie tak", które szczypie intuicję tych, którzy nie chcą i nie będą używać wciskanego im przez lobbystów systemu.

Remedium

Niech sieć WWW ma, co miała, czyli wolny rynek certyfikatów. Niech powstają też organizacje pozarządowe oferujące certyfikaty potwierdzające pseudonimy i adresy e-mail. Dla zbudowania działającego systemu zapewniającego spokojne i bezpieczne używanie podpisu elektronicznego należy przywrócić model zaufania, który standaryzowali twórcy X.509 - hierarchiczny, z głównym korzeniem, któremu można zaufać nie dlatego, że jest na liście jakiejś przeglądarki, ale dlatego, że ma się zaufanie do swojego państwa i jego instytucji. Model, w którym Główny Urząd Certyfikacji będzie utrzymywał certyfikat, którym będzie certyfikował urzędy podległe, np. wojewódzkie, urzędy wojewódzkie zaś poszczególne swoje delegatury miejskie czy gminne, te zaś wydziały spraw obywatelskich. I niech na każdym piętrze tej hierarchii będzie działająca lista CRL (certyfikatów odwołanych) dostępna automatycznie przez protokół OCSP.

Czy korzeń systemu będzie europejski, czy czysto polski jest w gruncie rzeczy mało istotne. Niech tylko cały system, od samego korzenia po procedury weryfikacji osób (także prawnych), którym wydaje się certyfikat, będzie po prostu godny zaufania. W systemie, który mi się teraz - i to ustawowo - proponuje, najstarszy, największy i najbardziej godny zaufania prywatny dostawca certyfikatów nie miał żadnego problemu z wydaniem (w 2001 r.) rosyjskiemu hakerowi certyfikatu poświadczającego, że tenże haker jest największym na świecie producentem oprogramowania.

Certyfikat jak paszport

Jako Polak i Europejczyk podsumuję tak: nie jest rzeczą prywatnych firm sprzedawanie mi dokumentu tożsamości, w dodatku corocznie. To jest zadanie dla państwa - dokładnie takie samo, jak wydanie mi w postaci dobrze zabezpieczonego kawałka plastiku dowodu osobistego, prawa jazdy czy też paszportu. Za część logistyczną zapłacę podatkami, a za część materialną - wliczając uczciwie skalkulowany koszt utrzymania przez kompetentną firmę zabezpieczeń krajowego CA - uiszczę jakąś drobną opłatę skarbową. Swój certyfikat odbiorę osobiście we właściwym mi Wydziale Spraw Obywatelskich po dokładnej weryfikacji mojej tożsamości - jest w urzędzie i moja metryka urodzenia, moje zdjęcia i wzór mojego podpisu odręcznego. Mój certyfikat będzie ważny co najmniej kilka, może nawet i dziesięć lat - tak jak dokument plastikowy. W razie utraty czy nawet podejrzenia utraty hasła do certyfikatu, będę mógł zgłosić ten fakt przez Internet, a potem osobiście - w tym samym okienku, w którym odbierałem swój certyfikat - utratę tę potwierdzić. Zaraz potem - za opłatą - będę mógł otrzymać do nowego klucza prywatnego nowy dokument. Dopiero w takim systemie, zarówno jako użytkownik certyfikatu - dowodu mojej tożsamości w cyberświecie - składający za jego pomocą podpis na elektronicznych dokumentach, jak i ktoś, kto musi i może weryfikować podpis na dokumentach podpisanych przez innych, będę mógł spać spokojnie. Przede wszystkim będę mógł wykonać podstawowy, czwarty krok weryfikacji: sprawdzić, czy ufam całemu systemowi.


TOP 200