Mimo braku ustawy o podpisie elektronicznym, powstają pierwsze rozwiązania infrastruktury klucza publicznego. Jedno z nich oferuje szczecińskie Unizeto.

Pomimo kilku lat prac nad ustawą o podpisie elektronicznym, nadal nie przybrała ona jeszcze formy projektu. Na razie opracowano jedynie wstępną wersję konkretnych rozwiązań technicznych i organizacyjnych, potrzebnych do funkcjonowania uniwersalnego podpisu elektronicznego, który stanowiłby potwierdzenie transakcji i przesyłania dokumentów pomiędzy różnymi podmiotami, instytucjami i osobami fizycznymi. Wersja ta dopiero od niedawna jest weryfikowana przez prawników.

Nad ustawą pracuje zamknięte grono osób, głównie związanych z Narodowym Bankiem Polskim. Chociaż wyznacznikiem dla proponowanych rozwiązań pozostają projekty dyrektyw Unii Europejskiej (Common Framework for Electronic Signatures) oraz zalecenia ONZ (Unicentral Model Law on Electronic Commerce), o konkretnych proponowanych zapisach polskiego rozwiązania wciąż zbyt mało wiedzą kluczowe instytucje, takie jak Polski Komitet Normalizacyjny czy Urząd Ochrony Państwa. A ich przedstawiciele chcieliby brać udział w tym procesie.

Tylko jeden

Mimo braku ustawy, powstaje już pierwsze (na razie jednostkowe) wdrożenie Infrastruktury Klucza Publicznego (PKI), stanowiącej fundament funkcjonowania podpisu elektronicznego. Pionierem było Unizeto w Szczecinie, które na zlecenie Zakładu Ubezpieczeń Społecznych rok temu zbudowało PKI potrzebne do elektronicznego transferu danych z Programu Płatnika do KSI ZUS.

Do tej pory Unizeto wydało ok. 6 tys. certyfikatów podmiotom pragnącym przesyłać deklaracje ubezpieczeniowe drogą elektroniczną. Certyfikat wiąże tożsamość podmiotu z jego kluczem publicznym, co jest potrzebne do uwiarygodnienia podpisu elektronicznego. Tą formą przekazywania danych były zainteresowane przede wszystkim firmy duże, dla których elektroniczny transfer dokumentów stanowił istotną oszczędność i uproszczenie.

Obecnie wydawanych jest jedynie 100-200 certyfikatów miesięcznie. Dzięki transmisji danych z Programu Płatnika wśród przetwarzanych przez ZUS deklaracji ubezpieczeniowych ok. 11% stanowią dokumenty otrzymane drogą elektroniczną (na 120 mln dokumentów przetworzonych w br.). Mimo dużej liczby zapytań ze strony innych firm, Unizeto nadal świadczy usługi jedynie dla ZUS.

Nowe projekty

Inne wdrożenia PKI powstają na wewnętrzny użytek instytucji - wdrożenie takie zakończono już w banku PKO bp. Do połowy przyszłego roku PKI zostanie wdrożona we współpracy z Siemensem na użytek własny Zakładu Ubezpieczeń Społecznych (będzie ona podporządkowana w hierarchii certyfikatów Unizeto w Szczecinie).

O świadczeniu usług wystawiania certyfikatów myślą też inne instytucje, w tym Polska Wytwórnia Papierów Wartościowych.

Wobec braku rozwiązań prawnych narzucających wspólne standardy - przede wszystkim ustawy o podpisie elektronicznym - rodzą się obawy o niespójność stosowanych rozwiązań, a w konsekwencji niemożność zbudowania w przyszłości hierarchicznej struktury wystawców certyfikatów w skali całej Polski, tak aby jedna instytucja zaufania publicznego mogła poświadczać wiarygodność wszystkich wystawców. Oznaczałoby to, że podpis elektroniczny zatraciłby walor uniwersalności.

Kłopot z początkiem

Dopóki nie ma generalnego wystawcy certyfikatów, dopóty firmy zainteresowane taką działalnością - jak Unizeto - muszą same gwarantować wiarygodność swoich kluczy. Głównym problemem przy tworzeniu klucza prywatnego jest brak urządzeń kryptograficznych certyfikowanych przez UOP. Dlatego obecnie stosowany w Unizeto klucz został stworzony programowo (dla zachowania jego bezpieczeństwa podzielono go na części przechowywane przez różne osoby).

Unizeto opracowało to rozwiązanie razem ze specjalistami z Politechniki Szczecińskiej. W zamierzeniach na przyszły rok jest przejście z wykorzystywanych narzędzi bazujących na algorytmach DES i RSA w stronę rozwiązań opartych na krzywych eliptycznych.