Odpowiedzialność prawna

Ustawodawca polski dopuszcza znakowanie czasem. "Podpis elektroniczny może być znakowany czasem" - zgodnie z art. 7 Ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (DzU 2001 Nr 130, poz. 1450) - "Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów kodeksu cywilnego". Przepis ten informuje: "Uważa się, że podpis elektroniczny znakowany czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne został złożony nie później niż w chwili dokonywania tej usługi. Domniemanie to istnieje do dnia utraty ważności zaświadczenia certyfikacyjnego wykorzystywanego do weryfikacji tego znakowania. Przedłużenie istnienia domniemania wymaga kolejnego znakowania czasem podpisu elektronicznego wraz z danymi służącymi do poprzedniej weryfikacji przez kwalifikowany podmiot świadczący tę usługę".

Na terenie Polski prawnie ważne są obecnie tylko znaczniki czasu wystawione przez dwa podmioty wpisane do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne: Unizeto - Certum oraz Polską Wytwórnię Papierów Wartościowych - Sigillum.

Podpis elektroniczny, podobnie jak własnoręczny, z momentem podpisania powinien być ważny prawnie na czas nieokreślony. Jednak z technicznego punktu widzenia podpis cyfrowy zawarty w certyfikacie służącym do weryfikacji podpisu elektronicznego ważny jest jedynie przez określony czas. Chcąc zapewnić niepodważalność podpisu, fakt podpisania należałoby rejestrować, np. w elektronicznym notariacie (Electronic Notary). Osoba weryfikująca podpis powinna sprawdzić jego istnienie na liście odwołanych certyfikatów CRL (Certificate Revocation List). Lista CRL w momencie sprawdzania dotyczy niestety stanu przeszłego. Aby zmniejszyć odstęp pomiędzy jego unieważnieniem a opublikowaniem w CRL, można wykorzystywać protokół OCSP (Online Certificate Status Protocol), sprawdzający na bieżąco status certyfikatu. Panaceum na powyższe mankamenty wydaje się znakowanie czasem. Pomimo że znacznik czasu jest usankcjonowany legislacyjnie, zgłaszane są argumenty, iż brak jest prawnych regulacji dotyczących funkcjonowania urzędów TSA, tzn. brak wyznaczonych wzorców czasu, polityki bezpieczeństwa itp.

Znakowanie czasem w UE

Wagę usług zapewniających szeroko rozumiane bezpieczeństwo elektronicznej wymiany dokumentów dostrzeżono również na szczeblu Parlamentu Europejskiego. W dyrektywie 1999/93/EC z 13 grudnia 1999 r. zapisano, iż produkty i usługi związane z podpisami elektronicznymi nie powinny być ograniczone jedynie do wydawania i zarządzania nimi, ale powinny również obejmować usługi rejestracji i usługi oznaczania czasem (time-stamping).

Według zalecenia UE podpis elektroniczny wystawiony w dowolnym kraju członkowskim na podstawie certyfikatu uprawnionego do tego podmiotu ma skutki prawne w pozostałych krajach wspólnoty, z wyjątkiem Szwecji i Austrii. Należy pamiętać, że nie obowiązuje on również w Szwajcarii, która nie jest członkiem UE. "Państwa członkowskie nie mogą ograniczać udostępniania usług autoryzacyjnych pochodzących z innych państw członkowskich w dziedzinach objętych tą dyrektywą".

Nie jest natomiast prawnie uregulowane wzajemne uznawanie usług znakowania czasem. Wprawdzie mogą być one świadczone na terenie całej Unii, ale nie pociągają skutków prawnych. Chcąc zachować niepodważalność daty, należy skorzystać z usług urzędu znacznika czasu właściwego dla danego kraju.

Polskie Urzędy Znacznika Czasu

Certum

Pierwszym polskim Urzędem Znacznika Czasu, wpisanym do rejestru przez Ministra Gospodarki w styczniu 2003 r., było Certum-CCK-TSA, prowadzone przez Unizeto. Jest to zarazem pierwszy tego typu urząd w Europie i jeden z pierwszych na świecie.

Certum wykorzystuje własne rozwiązania programowe TSA. Obsługuje żądania znacznika czasu zawierające skróty kryptograficzne SHA1. Klucze prywatne TSA są chronione sprzętowym modułem HSM firmy nCipher. Funkcję IDS (Intrusion Detection System) dla serwerów Linux realizuje Snort.

Certum pełni rolę Startum1 - jest wpisane na listę podstawowych serwerów czasu NTP (Network Time Protocol), jednego z dwóch na terenie Polski. Wartość czasu jest odbierana poprzez odbiorniki satelitarne GPS 167 firmy Meinberg, pracujące w trybie PPS (Precise Positioning Service). W tym trybie transmisja sygnału z satelity jest prowadzona w formie zaszyfrowanej, dostępnej tylko autoryzowanym użytkownikom. Aby wyeliminować niedokładności w czasie podawanym przez sieć satelitów oraz błędy w transmisji sygnału radiowego, jest przeprowadzana synchronizacja ze źródłami zewnętrznymi. Serwery Certum synchronizują swój czas z największymi ośrodkami badawczymi: Obserwatorium Marynarki Wojennej USA - oficjalny czas USA - oraz Narodowym Instytutem Badań i Testów Szwecji - oficjalny czas Szwecji. Certum gwarantuje oznaczanie czasem z dokładnością do 1 s.

Wystawione znaczniki czasu są przechowywane w bazach danych przez 5 lat. Na żądanie można uzyskać podpisane cyfrowo poświadczenia czasu oznaczenia dokumentu. Do zarządzania podpisami elektronicznymi i znacznikami czasu firma oferuje autorskie oprogramowanie proCertum Combi. Z rozwiązań TSA Certum korzystają m.in. PZU Życie, Agencja Restrukturyzacji i Modernizacji Rolnictwa oraz Centralny Zarząd Służby Więziennej. Ciekawymrozszerzeniem PKI jest usługa elektronicznej poczty poleconej, w której są wydawane poświadczenia nadania i odbioru przesyłek.

Sigillum, Signet, Centrast

Jako drugie, na listę kwalifikowanych podmiotów świadczących usługi znakowania czasem zostało wpisane w marcu 2003 r. Sigillum, należące do Polskiej Wytwórni Papierów Wartościowych.

Usługi znakowania czasem świadczy także Signet. Są one powszechnie dostępne i bezpłatne, jednak firma nie udziela na nie żadnych gwarancji. Rozwiązanie TSA jest oparte na technologii firmy Baltimore.

Jakość usług prowadzonych przez Certum i Signet została potwierdzona przyznaniem im certyfikatu WebTrust.

Rolę centrum TSA pełni również Centrum Zaufania i Certyfikacji Centrast. Świadczy usługi na rzecz Ministra Gospodarki oraz podmiotów finansowych i Skarbu Państwa. Spełnia funkcje nadrzędną w polskim systemie PKI i prowadzi rejestr podmiotów kwalifikowanych.

Usługi oznaczania czasem nie są jeszcze u nas popularne. Jako przyczynę tego stanu Adam Dąbrowski z Unizeto wskazuje małą świadomość społeczną, fatalną informatyzację kraju oraz ograniczenia wynikające z małej powszechności usług elektronicznych w Polsce.