Szczegółowe problemy

Po blisko półtora roku od wejścia w życie w Polsce Ustawy o podpisie elektronicznym, nadal nie rozwiązano wielu technicznych problemów dotyczących implementacji bezpiecznego e-podpisu.

Po blisko półtora roku od wejścia w życie w Polsce Ustawy o podpisie elektronicznym, nadal nie rozwiązano wielu technicznych problemów dotyczących implementacji bezpiecznego e-podpisu.

Zgodnie z Ustawą o podpisie elektronicznym bezpieczny e-podpis jest "równoważny pod względem skutków prawnych podpisowi własnoręcznemu". Aby można było mówić o takiej równoważności, podpis elektroniczny powinien być "złożony za pomocą bezpiecznego urządzenia do składania podpisu, a do jego weryfikacji powinien zostać użyty certyfikat kwalifikowany". Wiele osób zadaje pytanie, po co w ustawie wprowadzono tyle wymagań dotyczących składania podpisu elektronicznego, przecież do złożenia własnoręcznego autografu pod dokumentem papierowym wystarczy tylko długopis lub pióro.

Przechowywanie klucza prywatnego

Przypomnijmy, że aby posługiwać się podpisem elektronicznym, niezbędne jest posiadanie pary kluczy - prywatnego i publicznego. Klucz prywatny służy do składania podpisu elektronicznego i powinien być znany tylko właścicielowi, klucz publiczny zaś jest udostępniany wszystkim zainteresowanym, najczęściej w postaci certyfikatu klucza publicznego, i służy do weryfikowania poprawności podpisów cyfrowych. Sposób przechowywania klucza prywatnego oraz jego wykorzystania podczas generowania e-podpisu jest niezwykle istotnym, a zarazem bardzo newralgicznym elementem całej elektronicznej układanki. Jeżeli osoba niepowołana wejdzie w posiadanie naszego klucza prywatnego, wówczas będzie mogła bez naszej wiedzy i świadomości podpisywać dokumenty elektroniczne. Dopóki nie zastrzeżemy certyfikatu klucza publicznego, dopóty wszystkie dokumenty nim podpisane przez osobę nieupoważnioną będą ważne. Aby zagwarantować odpowiedni poziom bezpieczeństwa kluczowi prywatnemu, w Ustawie o podpisie elektronicznym wprowadzono wymóg stosowania bezpiecznych urządzeń do składania podpisów.

Podpis elektroniczny jest generowany za pomocą bezpiecznego urządzenia pozostającego pod wyłączną kontrolą osoby składającej podpis. Wspomniane urządzenie składa się - w myśl ustawy - z komponentu technicznego i oprogramowania podpisującego. Komponentem technicznym jest najczęściej karta lub moduł kryptograficzny, w którym są generowane i przechowywane klucze użytkownika, a także tworzony e-podpis. Komponent ten musi posiadać certyfikat zgodności, zaświadczający spełnienie wymagań określonych w Polskich Normach, specyfikacji technicznej ITSEC, normie FIPS PUB 140 lub normie Evaluation Criteria. W przypadku zagranicznych norm i specyfikacji technicznych dla niektórych osób nie jest do końca jasne, czego ma konkretnie dotyczyć ten certyfikat. Niektórzy twierdzą, że wystarczy, aby certyfikat zgodności był wydany dla układu scalonego karty, inni, że powinien także dotyczyć zaimplementowanego na niej systemu operacyjnego.

Bezpieczne urządzenie do składania podpisu powinno przede wszystkim uniemożliwiać pozyskanie przez osoby niepowołane klucza prywatnego danego użytkownika. Każda karta kryptograficzna, która ma jeden z wymienionych certyfikatów zgodności, uniemożliwia skopiowanie klucza prywatnego przechowywanego na karcie. Ponadto wszystkie operacje związane z generowaniem podpisu są wykonywane na karcie, dzięki czemu klucz prywatny nigdy jej nie opuszcza.

Zawartość karty - a więc również klucz prywatny - jest chroniona kodem znanym tylko użytkownikowi. Kilkakrotne podanie błędnego kodu powoduje zablokowanie karty. To w wielu przypadkach stanowi dość skuteczne zabezpieczenie przed użyciem przez osoby niepowołane skradzionej karty. Karty mające wspomniane polskie i międzynarodowe certyfikaty bronią się także przed "atakiem" polegającym na pomiarze poboru mocy przez kartę w trakcie wykonywania przez nią operacji. Na podstawie takich pomiarów można ustalić dane pomocne przy odtworzeniu klucza prywatnego.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200