Nie jest tak źle z e-podpisem

Niektóre problemy z e-podpisem to mit - dowodzą testy. Aplikacje do składania i weryfikacji podpisu elektronicznego nieźle ze sobą współpracują. Radzą sobie też z obsługą kart kryptograficznych.

Problem z podpisem elektronicznym bierze się stąd, że nie został on zdefiniowany w przepisach. Za to sam format podpisu został określony aż w trzech odrębnych, obszernych specyfikacjach. Podpisy utworzone na ich podstawie mogą różnić się między sobą. Stąd podnoszone w raportach problemy, a więc mnogość wersji i standardów dla podpisu elektronicznego czy problemy z niejednolitymi konwencjami nazewniczymi stosowanymi w certyfikatach. Krotko mówiąc: brak interoperacyjności podpisu.

Aby zweryfikować problemy, Instytut Maszyn Matematycznych, w którym od ponad dwóch lat działa Laboratorium Podpisu Elektronicznego, zorganizował Narodowy Test Interoperacyjności Podpisu Elektronicznego.

Aplikacje stanęły do testów

Uczestnicy testu

W testach interoperacyjności podpisu elektronicznego wzięło udział sześć aplikacji krajowych i cztery zagraniczne: z Węgier, Niemiec, Włoch i Japonii, należące do firm:

- ENIGMA Systemy Ochrony Informacji,

- Krajowa Izba Rozliczeniowa,

- Unizeto Technologies,

- Polska Wytwórnia Papierów Wartościowych,

- Microsec,

- EC2,

- BIT4ID,

- Hitachi,

- OpenLimit SignCubes.

Testy miały na celu zbadanie problemów związanych ze współpracą różnych aplikacji do składania i weryfikacji e-podpisów, problemów związanych z uznawalnością certyfikatów wydanych przez różne centra certyfikacji, problemów związanych z weryfikacją certyfikatów, niedostatkami interfejsu użytkownika i zgodnością składanych podpisów z wymaganiami prawa. W testach wzięło udział dziesięć aplikacji, sześć krajowych i cztery zagraniczne: z Węgier, Niemiec, Włoch i Japonii.

"Na początek należy obalić mit o problemach we współpracy pomiędzy aplikacjami do składania i weryfikacji e-podpisu. Dodatkowo, dzięki uczestnictwu podmiotów z innych krajów mogliśmy się przekonać, że również współpraca z zagranicznymi aplikacjami nie sprawia dużych problemów. Optymizmem napawa też fakt, iż wykryte nieprawidłowości nie mają poziomu krytycznego, a często są to drobne i łatwe do usunięcia błędy" - czytamy w raporcie końcowym z testów.

Na podstawie przeprowadzonych testów można stwierdzić, że w obszarze obsługi kart kryptograficznych aplikacje nie mają większych problemów. W obszarze certyfikatu większość aplikacji wspiera klucze kryptograficzne RSA i funkcje skrótu SHA2. Większość aplikacji nie miała również problemów z rozpoznaniem certyfikatu jako certyfikatu kwalifikowanego ani z obsługą podpisu w wersji podstawowej.

Wiele zostało do zrobienia

Problemy rozpoczynają się w momencie dołączenia rzadziej stosowanych rozszerzeń podpisu, takich jak CommitmentTypeIndication czy obsługa polityk podpisu. W wynikach można zauważyć, że im bardziej zaawansowana jest wersja składanego podpisu, tym większe problemy z jej obsługą w aplikacjach. Wiele aplikacji nie radziło sobie z obsługą podpisów w wersji archiwalnej, ignorując dołączone dane dotyczące odwołania i weryfikując certyfikat na czas bieżący.

Kolejnym obszarem była obsługa algorytmu podpisu opartego na krzywych eliptycznych. Ze względu na brak obsługi algorytmu w aplikacji referencyjnej test został anulowany. "Pomimo dosyć wysokiego poziomu interoperacyjności aplikacji, należy zauważyć, że przy narzędziu takim jak podpis elektroniczny oczekiwania użytkowników są znacznie wyższe. Przeciętna osoba będzie oczekiwać poprawności działania na poziomie zbliżonym do 100%. Porównując sytuację na rynku e-podpisu do rynku telefonów komórkowych, użytkownik oczekuje, że będzie mógł dzwonić na dowolny model telefonu, a nie tylko na wybrane. Wynika z tego, że na rynku podpisu elektronicznego jest jeszcze sporo do zrobienia" - czytamy w raporcie z testów.

Test był przeprowadzany przez osoby doskonale znające aplikacje. Można przypuszczać, że niedoświadczony użytkownik będzie mieć spore problemy z instalacją karty kryptograficznej.

Polskie e-podpisy czekają na dyrektywę

Co dalej z ustawą o podpisach elektronicznych, nad którą obradował Sejm poprzedniej kadencji? Ustaliliśmy, że rząd nie może ponownie przedłożyć projektu, nad którym pracował poprzedni Sejm, ze względu na zasadę dyskontynuacji. Projekt musiałby zostać przepracowany i ponownie poddany uzgodnieniom międzyresortowym. Jednak obecnie nie przewiduje się takich prac z uwagi na rozpoczęty w 2011 r. proces nowelizacji dyrektywy 1999/93/WE w sprawie wspólnotowych ram prawnych dla podpisów elektronicznych. Z kolei, jak informuje Ministerstwo Gospodarki, w 2012 r. przyjęta zostanie istotnie znowelizowana dyrektywa, która znacząco wpłynie na uregulowanie obowiązującej w Polsce ustawy oraz wszelkie projekty. Dlatego też przygotowanie nowelizacji obowiązującej ustawy o e-podpisie zostało przełożone do czasu jej przyjęcia. Wynik konsultacji w sprawie zmian dyrektywy był prezentowany i dyskutowany na konferencji zorganizowanej przez Ministerstwo Gospodarki w trakcie polskiej prezydencji, w listopadzie ub.r. Przebieg konferencji wskazuje, że wiele narzędzi, takich jak podpisy osób prawnych, znakowanie czasem czy inne usługi otoczenia podpisu elektronicznego, powinno zostać doregulowanych na poziomie europejskim, w celu "uniknięcia partykularyzmów technicznych i prawnych". Projekt dyrektywy prawdopodobnie ujrzy światło dzienne nie wcześniej niż po zakończeniu uzgodnień w Komisji Europejskiej, czyli w maju 2012 r.