Składki na pliku

Elektroniczny transfer danych z Programu Płatnika korzysta z infrastruktury klucza publicznego.

Elektroniczny transfer danych z Programu Płatnika korzysta z infrastruktury klucza publicznego.

Istnieją dwa sposoby przekazywania danych z Programu Płatnika w postaci plików elektronicznych - na stałym nośniku CD lub siecią. Oba wymagają posłużenia się rozwiązaniami kryptograficznymi, zawartymi w Module Teletransmisji Programu Płatnika. Do ich implementacji wykorzystano bibliotekę SSLeay (dostępną bezpłatnie), opracowaną przez Erica Younga. Produkt ten przygotowano w Australii, nie obejmują go więc amerykańskie ograniczenia eksportowe dotyczące produktów kryptograficznych.

Oprócz szyfrowania danych, które ma na celu zabezpieczenie ich podczas transmisji w sieci publicznej (zgodnie z protokołem SSL, używanym powszechnie w WWW), zastosowano technologię podpisu cyfrowego, opartego na algorytmie kodowania z wykorzystaniem klucza asymetrycznego (prywatnego i publicznego). W połączeniu z umieszczaniem w plikach z danymi nieusuwalnej i nie dającej się zmodyfikować informacji o dacie - podpis cyfrowy ma stanowić niepodważalny dowód tego, że dokumenty do ZUS przesłał konkretny płatnik, ZUS je odebrał, a oryginalny zbiór danych nie został przez nikogo zmieniony.

Klucz prywatny jest tworzony i chroniony przez Program Płatnika (ważne, by Program Płatnika pochodził z wiarygodnego źródła - w Internecie zastosowano specjalne rozwiązania do jego dystrybucji). Klucz publiczny zaś musi być potwierdzony certyfikatem, stwierdzającym, że dany podmiot jest uprawniony do posługiwania się konkretnym kluczem. Certyfikaty wydaje "zaufana trzecia strona", niezależna od nadawcy i odbiorcy. W budowanej dla ZUS infrastrukturze rolę instytucji zarządzającej certyfikatami ma pełnić Unizeto sp. z o.o. ze Szczecina (http://www.cc.unet.pl). Firma ta przygotowała własne rozwiązania do tworzenia tzw. infrastruktury klucza publicznego (Public Key Infrastructure) na bazie standardów i zaleceń międzynarodowych (ISO/IEC 9594-8, ITU Recommendation X.509 v 3, PKI x.509 i INFOSEC Project Report S2101).

Elektroniczne podpisy i pieczątki

Uzyskanie certyfikatu to procedura kilkustopniowa. Płatnik musi potwierdzić swoją tożsamość w tzw. Punkcie rejestracji, zlokalizowanym w najbliższej płatnikowi placówce ZUS. Płatnik powinien przedstawić tam dyskietkę, zawierają- cą elektroniczny formularz rejestracyjny (powstały w Programie Płatnika). Zapisane na dyskietce potwierdzenie przyjęcia rejestracji pozwoli płatnikowi na przesłanie drogą elektroniczną wniosku o wydanie certyfikatu, do czego niezbędny jest mu adres poczty elektronicznej. Jak zapewnia Stefan Jarecki, wicedyrektor Biura Zasilania Informacji ZUS, może to być dowolny adres, także pochodzący z popularnych serwisów bezpłatnej poczty elektronicznej. "Obecnie największe problemy sprawia użytkownikom prawidłowe sformatowanie wniosku o certyfikat" - mówi Marek Witkowski, kierownik Działu Technologii Komputerowych w Unizeto. Użytkownik musi bowiem samodzielnie wstawić do treści listu tekst wniosku do Centrum Certyfikacji, zapisany na dyskietce przez Program Płatnika Teletransmisja.

Uzyskanie certyfikatu (wystawionego na określony czas, umieszczonego w bazie danych Unizeto) upoważnia do zapisania danych w postaci elektronicznej na nośniku trwałym lub elektronicznej transmisji danych (po uruchomieniu potrzebnej do tego celu infrastruktury technicznej w ZUS). Docelowo transfer na płytach CD ma być rozwiązaniem stosowanym jedynie dla ograniczonego kręgu firm - głównie największych.

"Oczekujemy zainteresowania otrzymaniem certyfikatu ze strony kilkunastu tysięcy dużych i średnich firm" - mówi Marek Witkowski. W ciągu ok. 2 tygodni działalności centrum certyfikacyjne wydało ich ponad 1000. Unizeto nie było w pełni przygotowane na przyjęcie takiego obciążenia i zainteresowania firm na przełomie stycznia i lutego br. Od oficjalnego ogłoszenia o możliwości uzyskania certyfikatu telefony w tej firmie były prawie cały czas zajęte.

Budowanie na pustyni

Budowana na potrzeby systemu informatycznego ZUS i Programu Płatnika infrastruktura klucza publicznego (PKI) to zadanie w naszym kraju pionierskie. Dotychczas nikt bowiem nie podjął się świadczenia obsługi certyfikatów elektronicznych. To, czy Unizeto ze Szczecina, firma wyrosła na bazie dawnego ośrodka obliczeniowego ZETO, jest instytucją wystarczająco niezależną (w tym przypadku od ZUS), jest kwestią otwartą. Niewątpliwie ZUS-owi do tej firmy było "po drodze". Wynikiem długoletniej współpracy jest zaufanie. Jeśli nikt nie zawiedzie zaufania płatników i system będzie działał poprawnie, to zmieni się w Polsce postrzeganie roli dokumentu elektronicznego i inne instytucje, poza ZUS, powinny zacząć traktować go jako doskonały środek komunikacji ze światem zewnętrznym. Unizeto zamierza w przyszłości świadczyć obsługę certyfikatów cyfrowych na rzecz innych podmiotów. Kilka innych firm także planuje to już w tym roku. Chciałoby się powiedzieć - nareszcie.

Przemysław Gamdzyk

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200