Szczegółowe problemy

Weryfikacja statusu certyfikatu

Szczegółowe problemy

Sposób składania bezpiecznego podpisu elektronicznego

Zgodnie z ustawą w trakcie weryfikacji podpisu elektronicznego konieczne jest również sprawdzenie statusu certyfikatu wykorzystywanego do weryfikacji. I ten wymóg w przypadku weryfikacji jest niezwykle istotny. Załóżmy, że zgubiliśmy kartę, na której został zapisany nasz podpis elektroniczny. Wówczas - w celu poinformowania o tym wszystkich zainteresowanych - niezbędne jest unieważnienie certyfikatu, wydanego dla klucza prywatnego przechowywanego na karcie. Oznacza to, że dokumenty weryfikowane za pomocą takiego certyfikatu nie powinny być uznawane za ważne.

W Polsce działają obecnie cztery podmioty świadczące usługi certyfikacyjne (Krajowa Izba Rozliczeniowa, Polska Wytwórnia Papierów Wartościowych, TP Internet i Unizeto), a także Centrum Zaufania i Certyfikacji Centrast pełniące - w imieniu Ministra Gospodarki, Pracy i Polityki Społecznej - role krajowego roota. Przynajmniej teoretycznie, bezpieczne urządzenie do weryfikacji podpisu powinno umieć obsługiwać certyfikaty kwalifikowane wydawane przez wszystkie zarejestrowane w Polsce podmioty. Tym samym powinno umieć odwołać się do informacji o unieważnionych certyfikatach publikowanych przez te podmioty, w tym również do danych o certyfikatach, których okres ważności upłynął. W przypadku weryfikacji użytkownik powinien mieć możliwość zweryfikowania podpisu elektronicznego w dowolnie przez niego wskazanym momencie. Okazuje się, że nie jest to takie proste.

Każdy z wymienionych podmiotów ma prawo udostępniać te informacje w dowolny sposób, np. poprzez publikowanie listy unieważnionych certyfikatów, w wybranym przez siebie miejscu. Lista może dotyczyć wszystkich certyfikatów wydanych przez podmiot od początku jego działania lub też tylko certyfikatów, których nominalny okres ważności właśnie upłynął. W tym drugim przypadku informacje o wygasłych certyfikatach są przechowywane na listach archiwalnych. Centrast prowadzi obecnie prace zmierzające do uruchomienia serwisu OCSP (Online Certificate Status Protocol), który w jednym miejscu będzie udostępniał zainteresowanym informacje o statusach certyfikatów wydanych przez wszystkie kwalifikowane podmioty świadczące usługi certyfikacyjne.

Niezbędny wykaz urządzeń

Zgodnie z ustawą każdy z działających obecnie kwalifikowanych podmiotów świadczących usługi certyfikacyjne ma obowiązek udostępniania klientom wykazu bezpiecznych urządzeń do składania i weryfikowania podpisów. Z ustawy nie wynika jasno, czy wykaz ma obejmować wszystkie urządzenia dostępne na rynku, czy też urządzenia, które jest w stanie obsłużyć dany podmiot. Kwalifikowane podmioty działające w Polsce uzgodniły, że każdy z nich będzie prezentował swoją listę urządzeń, zaś łączna lista wszystkich urządzeń będzie udostępniana przez Centrast.

Wiele osób zainteresowanych tematyką podpisu elektronicznego twierdzi, że tak zdefiniowane w ustawie urządzenia do składania i weryfikowania podpisu po prostu nie mogą istnieć. Dla nich wymagania stawiane w ustawie o e-podpisie są zbyt rygorystyczne. Z drugiej strony, należy jednak pamiętać, że bezpieczny podpis elektroniczny ma być równoważny odręcznemu. To wymaga zastosowania odpowiednich mechanizmów zabezpieczeń. Pierwsze bezpieczne urządzenia są już dostępne na rynku, zatem ich twórcom chyba udało się wypełnić wymagania ustawodawcy. Na serwerze internetowym Centrastu pojawiła się pierwsza pozycja w wykazie bezpiecznych urządzeń do składania podpisów elektronicznych - komponent techniczny CompCrypt DELTA-1, współpracujący z oprogramowaniem Baltimore UniCert 3.5.3.

Centrum informacji o e-podpisach

Każde z działających w Polsce centrów certyfikacji - stworzonych przez Krajową Izbę Rozliczeniową, Polską Wytwórnię Papierów Wartościowych, TP Internet i Unizeto - ma udostępniać informacje o certyfikatach unieważnionych lub tych, których ważność wygasła. Aby ułatwić wymianę tych danych, Centrum Zaufania i Certyfikacji Centrast prowadzi prace zmierzające do uruchomienia serwisu OCSP (Online Certificate Status Protocol). W jednym miejscu będzie on udostępniał zainteresowanym informacje o statusach certyfikatów wydanych przez wszystkie kwalifikowane podmioty świadczące usługi certyfikacyjne w Polsce.

Elżbieta Włodarczyk jest kierownikiem Ośrodka Zarządzania Kluczami w Krajowej Izbie Rozliczeniowej SA.


TOP 200