Trwają prace nad projektem ustawy o podpisie elektronicznym

Ustawa o podpisie elektronicznym nie przybrała jeszcze formy projektu.

Ustawa o podpisie elektronicznym nie przybrała jeszcze formy projektu. Na razie opracowano jedynie wstępną wersję konkretnych rozwiązań technicznych i organizacyjnych, potrzebnych do funkcjonowania uniwersalnego podpisu elektronicznego, który stanowiłby potwierdzenie transakcji i przesyłania dokumentów pomiędzy różnymi podmiotami, instytucjami i osobami fizycznymi. Wersja ta dopiero od niedawna jest weryfikowana przez prawników.

Nad ustawą pracuje zamknięte grono osób, głównie związanych z Narodowym Bankiem Polskim. Chociaż wyznacznikiem dla proponowanych rozwiązań pozostają projekty dyrektyw Unii Europejskiej (Common Framework for Electronic Signatures) oraz zalecenia ONZ (Unicentral Model Law on Electronic Commerce), o konkretnych proponowanych zapisach polskiego rozwiązania wciąż zbyt mało wiedzą kluczowe instytucje, takie jak Polski Komitet Normalizacyjny czy Urząd Ochrony Państwa.

Tylko jeden

Mimo braku ustawy, powstaje już pierwsze (na razie jednostkowe) wdrożenie Infrastruktury Klucza Publicznego (PKI) stanowiącej fundament funkcjonowania podpisu elektronicznego. Pionierem było Unizeto w Szczecinie, które na zlecenie Zakładu Ubezpieczeń Społecznych rok temu zbudowało PKI potrzebne do elektronicznego transferu danych z Programu Płatnika do KSI ZUS.

Do tej pory Unizeto wydało niecałe 6 tys. certyfikatów podmiotom pragnącym przesyłać deklaracje ubezpieczeniowe drogą elektroniczną. Certyfikat wiąże tożsamość podmiotu z jego kluczem publicznym, co potrzebne jest do uwiarygodnienia podpisu elektronicznego. Tą formą przekazywania danych były zainteresowane przede wszystkim firmy duże, dla których elektroniczny transfer dokumentów stanowił istotną oszczędność i uproszczenie. Obecnie wydawanych jest jedynie 100-200 certyfikatów miesięcznie. Dzięki transmisji danych z programu Płatnika wśród przetwarzanych przez ZUS deklaracji ubezpieczeniowych ok. 11% stanowią dokumenty otrzymane drogą elektroniczną (na 120 mln dokumentów przetworzonych w br.). Mimo dużej liczby zapytań ze strony innych firm, Unizeto nadal świadczy usługi jedynie dla ZUS.

Nowe projekty

Inne wdrożenia PKI powstają na wewnętrzny użytek instytucji - wdrożenie takie zakończono już w banku PKO bp. Do połowy przyszłego roku PKI zostanie wdrożona we współpracy z Siemensem na użytek własny Zakładu Ubezpieczeń Społecznych (będzie ona podporządkowana w hierarchii certyfikatów Unizeto w Szczecinie).

O świadczeniu usług wystawiania certyfikatów myślą też inne instytucje, w tym Polska Wytwórnia Papierów Wartościowych. Wobec braku rozwiązań prawnych narzucających wspólne standardy - przede wszystkim ustawy o podpisie elektronicznym - rodzą się obawy o niespójność stosowanych rozwiązań, a w konsekwencji niemożności zbudowania w przyszłości hierarchicznej struktury wystawców certyfikatów w skali całej Polski, tak, aby jedna instytucja zaufania publicznego mogła poświadczać wiarygodność wszystkich wystawców. Oznaczałoby to, że podpis elektroniczny zatraciłby walor uniwersalności.

Kłopot z początkiem

Dopóki nie ma generalnego wystawcy certyfikatów, firmy zainteresowane taką działalnością - jak Unizeto - muszą same gwarantować wiarygodność swoich kluczy. Głównym problemem przy tworzeniu klucza prywatnego jest brak urządzeń kryptograficznych certyfikowanych przez UOP. Dlatego obecnie stosowany w Unizeto klucz został stworzony programowo (dla zachowania jego bezpieczeństwa podzielono go na części przechowywane przez różne osoby).

Unizeto opracowało to rozwiązanie razem ze specjalistami z Politechniki Szczecińskiej. W zamierzeniach na przyszły rok jest przejście z wykorzystywanych narzędzi bazujących na algorytmach DES i RSA w stronę rozwiązań opartych na krzywych eliptycznych.