Wszystko ma swój czas
- Krystian Ryłko,
- 01.05.2004
Odpowiedzialność prawna
Ustawodawca polski dopuszcza znakowanie czasem. "Podpis elektroniczny może być znakowany czasem" - zgodnie z art. 7 Ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (DzU 2001 Nr 130, poz. 1450) - "Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów kodeksu cywilnego". Przepis ten informuje: "Uważa się, że podpis elektroniczny znakowany czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne został złożony nie później niż w chwili dokonywania tej usługi. Domniemanie to istnieje do dnia utraty ważności zaświadczenia certyfikacyjnego wykorzystywanego do weryfikacji tego znakowania. Przedłużenie istnienia domniemania wymaga kolejnego znakowania czasem podpisu elektronicznego wraz z danymi służącymi do poprzedniej weryfikacji przez kwalifikowany podmiot świadczący tę usługę".
Na terenie Polski prawnie ważne są obecnie tylko znaczniki czasu wystawione przez dwa podmioty wpisane do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne: Unizeto - Certum oraz Polską Wytwórnię Papierów Wartościowych - Sigillum.
NTS 200 - serwer czasu sieciowego dużej wydajności
Znakowanie czasem w UE
Wagę usług zapewniających szeroko rozumiane bezpieczeństwo elektronicznej wymiany dokumentów dostrzeżono również na szczeblu Parlamentu Europejskiego. W dyrektywie 1999/93/EC z 13 grudnia 1999 r. zapisano, iż produkty i usługi związane z podpisami elektronicznymi nie powinny być ograniczone jedynie do wydawania i zarządzania nimi, ale powinny również obejmować usługi rejestracji i usługi oznaczania czasem (time-stamping).
Według zalecenia UE podpis elektroniczny wystawiony w dowolnym kraju członkowskim na podstawie certyfikatu uprawnionego do tego podmiotu ma skutki prawne w pozostałych krajach wspólnoty, z wyjątkiem Szwecji i Austrii. Należy pamiętać, że nie obowiązuje on również w Szwajcarii, która nie jest członkiem UE. "Państwa członkowskie nie mogą ograniczać udostępniania usług autoryzacyjnych pochodzących z innych państw członkowskich w dziedzinach objętych tą dyrektywą".
Nie jest natomiast prawnie uregulowane wzajemne uznawanie usług znakowania czasem. Wprawdzie mogą być one świadczone na terenie całej Unii, ale nie pociągają skutków prawnych. Chcąc zachować niepodważalność daty, należy skorzystać z usług urzędu znacznika czasu właściwego dla danego kraju.
Polskie Urzędy Znacznika Czasu
Certum
Pierwszym polskim Urzędem Znacznika Czasu, wpisanym do rejestru przez Ministra Gospodarki w styczniu 2003 r., było Certum-CCK-TSA, prowadzone przez Unizeto. Jest to zarazem pierwszy tego typu urząd w Europie i jeden z pierwszych na świecie.
Certum wykorzystuje własne rozwiązania programowe TSA. Obsługuje żądania znacznika czasu zawierające skróty kryptograficzne SHA1. Klucze prywatne TSA są chronione sprzętowym modułem HSM firmy nCipher. Funkcję IDS (Intrusion Detection System) dla serwerów Linux realizuje Snort.
Oferta TSA w polsce
Wystawione znaczniki czasu są przechowywane w bazach danych przez 5 lat. Na żądanie można uzyskać podpisane cyfrowo poświadczenia czasu oznaczenia dokumentu. Do zarządzania podpisami elektronicznymi i znacznikami czasu firma oferuje autorskie oprogramowanie proCertum Combi. Z rozwiązań TSA Certum korzystają m.in. PZU Życie, Agencja Restrukturyzacji i Modernizacji Rolnictwa oraz Centralny Zarząd Służby Więziennej. Ciekawymrozszerzeniem PKI jest usługa elektronicznej poczty poleconej, w której są wydawane poświadczenia nadania i odbioru przesyłek.
Sigillum, Signet, Centrast
Jako drugie, na listę kwalifikowanych podmiotów świadczących usługi znakowania czasem zostało wpisane w marcu 2003 r. Sigillum, należące do Polskiej Wytwórni Papierów Wartościowych.
Usługi znakowania czasem świadczy także Signet. Są one powszechnie dostępne i bezpłatne, jednak firma nie udziela na nie żadnych gwarancji. Rozwiązanie TSA jest oparte na technologii firmy Baltimore.
Jakość usług prowadzonych przez Certum i Signet została potwierdzona przyznaniem im certyfikatu WebTrust.
Rolę centrum TSA pełni również Centrum Zaufania i Certyfikacji Centrast. Świadczy usługi na rzecz Ministra Gospodarki oraz podmiotów finansowych i Skarbu Państwa. Spełnia funkcje nadrzędną w polskim systemie PKI i prowadzi rejestr podmiotów kwalifikowanych.
Usługi oznaczania czasem nie są jeszcze u nas popularne. Jako przyczynę tego stanu Adam Dąbrowski z Unizeto wskazuje małą świadomość społeczną, fatalną informatyzację kraju oraz ograniczenia wynikające z małej powszechności usług elektronicznych w Polsce.