Problemy związanych z podpisem elektronicznych mają genezę w tym, że nie został on zdefiniowany w przepisach prawa. Jednocześnie format podpisu - który może być stosowany przy składaniu podpisów kwalifikowanych - został zdefiniowany w trzech odrębnych, obszernych specyfikacjach. Dlatego też podpisy utworzone na ich podstawie mogą znacznie różnić się między sobą. Stad podnoszone w różnych raportach, problemy tj. mnogość wersji i standardów dla podpisu elektronicznego czy problemy z niejednolitymi konwencjami nazewniczymi stosowanymi w certyfikatach.

Aby zweryfikować te problemy Instytut Maszyn Matematycznych - w którym od ponad dwóch lat działa Laboratorium Podpisu Elektronicznego - zorganizował Narodowy Test Interoperacyjności Podpisu Elektronicznego.

Zobacz również:

• Projektowanie zorientowane na użytkownika - Polska powyżej europejskiej średniej

Aplikacje stanęły do testów

Miał on na celu zbadanie problemów związanych ze współpracą różnych aplikacji do składania i weryfikacji podpisów elektronicznych, problemów związanych z uznawalnością certyfikatów wydanych przez różne centra certyfikacji, problemów związanych z weryfikacją certyfikatów, niedostatkami interfejsu użytkownika i zgodnością składanych podpisów z wymaganiami prawa. W testach wzięło udział 10 aplikacji, sześć krajowych i cztery zagraniczne, z Węgier, Niemiec, Włoch i Japonii.

"Na początek obalić należy mit o problemach we współpracy pomiędzy aplikacjami do składania i weryfikacji e-podpisu. Dodatkowo - dzięki uczestnictwu podmiotów z innych krajów - mogliśmy się przekonać, że również współpraca z zagranicznymi aplikacjami nie sprawia dużych problemów. Optymizmem napawa też fakt, iż wykryte nieprawidłowości nie mają poziomu krytycznego, a często są to drobne i łatwe do usunięcia błędy" - czytamy w raporcie końcowym z testów.

Na podstawie przeprowadzonych testów można stwierdzić, że w obszarze obsługi kart kryptograficznych aplikacje nie mają większych problemów. Natomiast w obszarze certyfikatu większość aplikacji wspiera klucze kryptograficzne RSA i funkcje skrótu SHA2. Większość aplikacji nie miała również problemów z rozpoznaniem certyfikatu jako certyfikatu kwalifikowanego, ani z obsługą podpisu w wersji podstawowej.

Wiele zostało jeszcze do zrobienia

Problemy rozpoczynają się w momencie dołączenia rzadziej stosowanych rozszerzeń podpisu takich, jak CommitmentTypeIndication, czy obsługa polityk podpisu. W ramach testów można zauważyć tendencję, że im bardziej zaawansowana jest wersja składanego podpisu, tym większe są problemy z jej obsługą w aplikacjach. Wiele aplikacji miało problemy z obsługą podpisów w wersji archiwalnej, ignorując dołączone dane dotyczące odwołania i weryfikując certyfikat na czas bieżący.

Kolejnym obszarem, który sprawiał problem aplikacjom była obsługa algorytmu podpisu opartego o krzywe eliptyczne. Ze względu na brak obsługi tego algorytmu w aplikacji referencyjnej test został anulowany. "Pomimo dosyć wysokiego poziomu interoperacyjności aplikacji, należy zauważyć, że przy narzędziu takim, jak podpis elektroniczny oczekiwania użytkowników są znacznie wyższe. Przeciętna osoba będzie oczekiwać poprawności działania na poziomie zbliżonym do 100%. Porównując sytuację na rynku e-podpisu do rynku telefonów komórkowych, użytkownik oczekuje, że będzie mógł dzwonić na dowolny model telefonu, a nie tylko na wybrane. Wynika z tego, że na rynku podpisu elektronicznego jest jeszcze sporo do zrobienia" - czytamy w raporcie z testów.

Test był przeprowadzany 77 przez osoby doskonale znające aplikacje. Można więc przypuszczać, że niedoświadczony użytkownik może mieć problemy z instalacją karty kryptograficznej.