Jaki certyfikat

Przyjęty w przepisach wykonawczych do Ustawy o podpisie elektronicznym sposób identyfikacji certyfikatów kwalifikowanych, oparty na normach europejskich, nie pozwala aplikacjom na odróżnienie certyfikatów kwalifikowanych od niekwalifikowanych (tzw. certyfikatów kluczy infrastruktury) wystawianych przez kwalifikowane podmioty. Rozróżnienie takie jest bardzo ważne, ponieważ podpis elektroniczny weryfikowany wyłącznie przy użyciu kwalifikowanego certyfikatu jest równoważny podpisowi odręcznemu. Przed złożeniem podpisu (i po jego weryfikacji) użytkownik aplikacji powinien być więc poinformowany, jaki certyfikat jest związany z podpisem i czy podpis ten wywołuje skutki prawne określone ustawą.

Wprawdzie przepisy przewidują umieszczanie w certyfikatach jednoznacznie zdefiniowanej, rozpoznawalnej przez aplikacje deklaracji, że certyfikat jest kwalifikowany (tzw. rozszerzenie QCStatement), jednak jej umieszczanie nie jest obligatoryjne. Niektóre kwalifikowane podmioty przyjęły więc, że w wystawianych przez nie kwalifikowanych certyfikatach takiej deklaracji nie będzie, a certyfikaty będą oznaczane jako kwalifikowane w inny sposób. Niestety, posłużono się tutaj niestandardowymi deklaracjami tekstowymi (zresztą zgodnie z przepisami), co praktycznie nie umożliwia rozpoznawania go przez aplikacje. W związku z tym w niektórych przypadkach aplikacja składająca lub weryfikująca podpis elektroniczny będzie mogła poinformować użytkownika jedynie o tym, że przetwarzany certyfikat może być certyfikatem kwalifikowanym. Użytkownikowi pozostanie konieczność sprawdzenia, czy tak jest w istocie, z wszelkimi konsekwencjami wynikającymi z ewentualnej pomyłki.

Weryfikacja wiarygodna

Aby sprawdzić ważność bezpiecznego podpisu elektronicznego, należy zbudować ścieżkę certyfikacji, a następnie na podstawie aktualnej listy unieważnionych i zawieszonych certyfikatów (listy CRL) i listy unieważnionych zaświadczeń certyfikacyjnych (ARL) zweryfikować ważność certyfikatów i zaświadczeń na ścieżce, po czym zweryfikować podpis. Pozornie wygląda to dość prosto. Lecz diabeł tkwi w szczegółach. Na przykład w rozumieniu pojęcia aktualnej listy CRL/ARL.

Dotychczas, w systemach posługujących się zwykłymi podpisami elektronicznymi, przyjmowano, że lista CRL/ARL jest ważna od momentu wystawienia aż do daty nowej planowej listy. Podpisy elektroniczne mogły być więc weryfikowane na bieżąco. Z konstrukcji przepisów dotyczących zasad oceny ważności bezpiecznych podpisów elektronicznych wynika, że pojęcie czasu ważności listy CRL/ARL straciło sens. Właściwie można powiedzieć, że okres jej ważności wynosi 0, to znaczy, że do weryfikacji każdego następnego podpisu elektronicznego potrzebna jest nowa lista.

Reguła prawna mówiąca o tym, że bezpieczny podpis elektroniczny stanowi dowód, iż został złożony przez osobę wskazaną w certyfikacie, przestaje obowiązywać od chwili, w której certyfikat został zawieszony lub unieważniony. Wydaje się, że przez czas zawieszenia lub unieważnienia należy rozumieć chwilę podjęcia decyzji o zawieszeniu lub unieważnieniu przez odpowiedzialnego za to pracownika kwalifikowanego podmiotu certyfikacyjnego oraz zmaterializowania tej decyzji w systemie komputerowym tegoż podmiotu. Podmiot ten powinien następnie wystawić i opublikować nową listę CRL/ARL, zawierającą informację o zawieszeniu lub unieważnieniu, przy czym dopuszczalne opóźnienie to jedna godzina.

Od momentu zawieszenia lub unieważnienia certyfikatu bezpieczne podpisy elektroniczne weryfikowane przy użyciu tego certyfikatu nie mogą już być uznawane za ważne, jednak aż do opublikowania nowej listy CRL/ARL osoby weryfikujące dokumenty podpisane elektronicznie nie mogą się o tym dowiedzieć!

W związku z tym procedura weryfikowania ważności bezpiecznego podpisu elektronicznego powinna uwzględniać uzyskanie znacznika czasu, następnie list CRL i ARL wystawionych po chwili widniejącej w znaczniku czasu. Listy wystawione przed momentem złożenia podpisu (a w praktyce - przed momentem określonym znacznikiem czasu) są bezwartościowe, ponieważ nie mogą zawierać pełnej informacji o statusie certyfikatu i zaświadczenia.

W praktyce oznacza to, że podmiot weryfikujący dokument (np. bank, który ma zweryfikować prawdziwość podpisu pod przelewem) musi czekać na pojawienie się listy CRL/ARL. Czas oczekiwania nie będzie długi (np. kilka czy kilkanaście minut), jeśli tylko listy CRL będą wystawiane odpowiednio często do liczby unieważnień. Jeśli zaś wystawca certyfikatów opublikuje następną listę w okresie zgodnym z polityką certyfikacji - a przepisy nakazują, by lista ta była wystawiana raz dziennie - to czas oczekiwania na tę listę może przekraczać 24 godz.

Wystawca wprawdzie musi wystawić listę CRL/ARL w ciągu jednej godziny, gdyby nastąpiło unieważnienie certyfikatu lub zaświadczenia. Mogłoby się więc wydawać, że wystarczy odczekać godzinę. Jeśli nie pojawi się nowa lista CRL/ARL, to można by uznać, że unieważnienia nie było. Jednak takie postępowanie jest ryzykowne. Mogłoby się bowiem później okazać, że unieważnienie wystąpiło i lista CRL/ARL została opublikowana, a tylko osoba weryfikująca podpis z pewnych względów nie mogła tej listy pobrać. Nawet jeśli lista rzeczywiście nie została opublikowana (np. wskutek zaniedbania lub awarii powstałej po stronie kwalifikowanego podmiotu), to możliwości udowodnienia tego faktu przez osobę pobierającą listy CRL/ARL wydają się niewielkie. Dlatego procedura weryfikowania bezpiecznego podpisu elektronicznego, prowadzona w taki sposób, by uzyskać pewność, że w przypadku wystąpienia jakichkolwiek problemów będzie można potwierdzić ważność podpisu w sądzie, musi zakładać oczekiwanie na listy CRL/ARL wystawione po utworzeniu podpisu elektronicznego - choćby nawet było to kilkanaście lub więcej godzin.

Problem dostępności informacji o unieważnieniach można wprawdzie próbować rozwiązać za pomocą serwerów OCSP (są to serwery informujące o statusie certyfikatów w trybie online), jeśli oczywiście kwalifikowane podmioty będą w ogóle świadczyć takie usługi. Jednak zasady działania serwerów OCSP nie zostały uregulowane w przepisach - w szczególności nieznane jest dopuszczalne opóźnienie w propagacji informacji o unieważnieniu certyfikatu (w praktyce serwery te mogą posługiwać się informacją aktualizowaną z opóźnieniem, np. kilkunastu minut). Co więcej, odpowiedź zawierająca status certyfikatu, wystawiona przez kwalifikowany podmiot świadczący usługi OCSP, będzie wymagała weryfikacji za pomocą zaświadczenia certyfikacyjnego. Aby zweryfikować ważność tego zaświadczenia, należy dysponować listą ARL, wystawioną po udzieleniu odpowiedzi OCSP (a więc i tak trzeba poczekać kilkanaście godzin).