Vademecum e-podpisu

Zasady podpisu elektronicznego są trudne do zrozumienia dla laika. W końcu to implementacja złożonych algorytmów matematycznych.

Zasady podpisu elektronicznego są trudne do zrozumienia dla laika. W końcu to implementacja złożonych algorytmów matematycznych.

Podpis elektroniczny dzieli od podpisu odręcznego znacznie istotniejsza różnica niż ta, która występuje między listem elektronicznym a listem papierowym. W przypadku listów treść jest taka sama, zmienia się jedynie forma przekazu. Podpis elektroniczny natomiast nie jest tylko zmianą formy podpisu i użycie tego samego słowa - podpis - nie ma uzasadnienia (np. Niemcy używają dwu różnych wyrazów do określenia podpisów elektronicznego i ręcznego). Z podpisem klasycznym ma tylko podobieństwo funkcjonalne - jest formą oświadczenia woli podpisującego.

Podpis elektroniczny jest ciągiem bitów dołączonych do dokumentu. Ciąg ten nie tylko pozwala na jednoznaczną identyfikację tego, który go złożył, ale również jest ściśle związany z dokumentem. To oznacza, że dany dokument może mieć tylko sobie właściwy ciąg bitów, zwany podpisem elektronicznym. Podpis jest więc wypadkową informacji, jaką dysponuje podpisujący, i informacji przypisanych dokumentowi.

W przypadku klasycznego podpisu łącznikiem między dokumentem a podpisem jest papier, na którym znajdują się zarówno treść dokumentu, jak i podpis. Wystarczy więc podrobić czyjś podpis, żeby sfałszować dokument. Do oceny autentyczności klasycznego podpisu odręcznego potrzeba grafologów i znajomości "wzorcowego podpisu". W przypadku podpisu elektronicznego weryfikacją zajmuje się program komputerowy.

Przy podpisie elektronicznym liczy się cała treść dokumentu. By podpis podrobić, nie wystarczy go skopiować. Podpis elektroniczny jest różny dla różnych dokumentów lub nawet ich fragmentów. Jego podrobienie jest właś- ciwie niemożliwe - nie znana jest bowiem dobra metoda "złamania" podpisu cyfrowego. Tak zwana metoda brutalna wymaga tak wielu obliczeń, że obecnie istniejące komputery nie potrafiłyby się z problemem uporać przez lata. Nawet jeśli komputery będą szybsze (a bez wątpienia będą!), to zawsze można wydłużać długość kluczy stosowanych do stworzenia podpisu elektronicznego.

Rozkład i iloczyn

W obecnie stosowanych rozwiązaniach, w dużym uproszczeniu, klucze są parami bardzo dużych liczb pierwszych (niepodzielnych przez żadną liczbę, poza 1 i tę samą liczbę). Łatwo policzyć iloczyn takich liczb, natomiast wyznaczenie z pomnożenia jakich liczb powstał ten iloczyn (proces zwany faktoryzacją) jest zadaniem niezwykle trudnym. Na tej asymetryczności bazuje większość stosowanych obecnie rozwiązań podpisu elektronicznego.

Użytkownik ma do dyspozycji klucze, tzw. prywatny i publiczny. Ten pierwszy jest tajemnicą użytkowni- ka (a więc w przywołanym wcześniej schemacie tymi dwiema liczbami pierwszymi), natomiast publiczny ich iloczynem.

Oczywiście, jest to opis uproszczony i może razić specjalistów, ale technika, jaka leży u podstaw stosowania podpisu elektronicznego, to skomplikowane zagadnienia matematyczne. Na szczęście użytkownik posługuje się jedynie programami czy urządzeniami, takimi jak czytnik kart procesorowych, które będą skutecznie uwalniać go od poz-nania technicznej strony problemu. Trzeba jednak zwrócić uwagę na możliwość przejęcia przez osobę niepowołaną tych programów czy urządzeń. Można je dodatkowo chronić hasłem czy PIN-em, docelowo biometrycznymi metodami identyfikacji. W przyjętej przez Sejm ustawie przewidziano już sankcje dla tych, którzy w ten sposób chcieliby "sfałszować" podpis elektroniczny - grzywnę lub karę pozbawienia wolności do 3 lat włącznie.

Wracając do meritum: użytkownik podpisuje się, stosując klucz prywatny, natomiast odbiorca dokumentu, posługując się kluczem publicznym, może sprawdzić, czy rzeczywiście dokument został podpisany. Pojawia się jednak istotny problem - operacje te dzieją się w świecie wirtualnym i potrzebna jest metoda, która pozwoliłaby związać klucze z konkretną osobą, żeby było wiadomo kto się danymi kluczami posługuje. Podpis elektroniczny ma przecież identyfikować osobę lub instytucję podpisującą dokument, a co więcej stanowić później niezaprzeczalny dowód podpisania dokumentu.

Do realizacji tego celu służą cyfrowe certyfikaty. Wydają je i przechowują wystawcy certyfikatów. Kowalski zgłasza się do wystawcy, legitymuje się dokumentami tradycyjnymi, by udowodnić swoją tożsamość i otrzymuje klucze. Wystawca na życzenie innych potwierdza, że ten klucz publiczny należy do Kowalskiego. Żeby system działał sprawnie, zarówno odbiorca, jak i nadawca muszą korzystać z usług tego samego wystawcy bądź wystawcy muszą ze sobą współpracować. Najczęściej ich działania koordynuje nadrzędna instytucja.

Obywatel - certyfikat

Wystawianie i potwierdzanie certyfikatów może być działalnością komercyjną. Zarabia się przede wszystkim na wydawaniu certyfikatów (30-50 zł i więcej za jeden), a także na ich potwierdzaniu. Wystawcy mogą świadczyć również inne usługi, np. znakowanie czasem. Wówczas dokument zostaje oznaczony podpisem elektronicznym, w którym zawarta zostaje informacja o dokładnym czasie podpisania (nawet do 1 sek. - co jest istotne np. w odniesieniu do usług finansowych).

W przyszłości działalność wystawców może być bardzo dochodowa. Nic więc dziwnego, że interesują się nią różne podmioty gospodarcze. Budowa systemu informatycznego, jakim musi dysponować wystawca, jest na tyle kosztowna, że próg opłacalności można przekroczyć dopiero przy ok. 100 tys. klientów. Dominującą pozycję na tym rynku zajmie więc kilka firm. Ich działalność jest uzależniona od regulacji prawnych, czyli od ustawy o podpisie elektronicznym. Stworzone w polskim parlamencie zapisy ustawowe tworzą bardzo obszerny akt prawny. Ponad 90% z nich dotyczy właśnie określenia ram funkcjonowania wystawców certyfikatów elektronicznych (sprawienie, żeby z prawnego punktu widzenia podpis elektroniczny był równoważny klasycznemu wymaga jedynie prostych zmian zapisów w kodeksie cywilnym).

Z punktu widzenia użytkowników (zwanych odbiorcami usług certyfikacyjnych) istotne jest to, że ustawa zakłada nałożenie na wszelkie organy władzy publicznej obowiązku przyjmowania podań, wniosków i wykonywania innych czynności w postaci elektronicznej. Ma stać się tak co prawda dopiero w 4 lata od wejścia w życie ustawy, ale właściwe instytucje, aby spełnić te wymogi, powinny już wkrótce podjąć działania przystosowawcze. W ciągu roku od daty wejścia w życie ustawy powinno pojawić się rozporządzenie, regulujące sprawę wnoszenia opłat administracyjnych w przypadku posługiwania się dokumentami w postaci elektronicznej, bo przecież trudno na czymś niematerialnym przykleić znaczek skarbowy...