Nie jest tak źle z e-podpisem

wiad o m o ś ci
A D M I N I S T R AC J A p u b l ic z na
Nie jest tak źle
z e-podpisem
Aplikacje do składania i weryfikacji podpisu
elektronicznego nieźle ze sobą współpracują.
Radzą sobie też z obsługą kart kryptograficznych.
P
roblem z podpisem elektronicznym Monika
bierze się stąd, że nie został on zde- Tomkiewicz
finiowany w przepisach. Za to sam
format podpisu został określony aż
w trzech odrębnych, obszernych
specyfikacjach. Podpisy utworzone
na ich podstawie mogą różnić się między
sobą. Stąd podnoszone w raportach problemy, a więc mnogość wersji i standardów
dla podpisu elektronicznego czy problemy
z niejednolitymi konwencjami nazewniczymi stosowanymi w certyfikatach. Krotko
mówiąc: brak interoperacyjności podpisu.
Aby zweryfikować problemy, Instytut
Maszyn Matematycznych, w którym od
ponad dwóch lat działa Laboratorium
Podpisu Elektronicznego, zorganizował
Narodowy Test Interoperacyjności Podpisu
Elektronicznego.
Aplikacje stanęły do testów
Testy miały na celu zbadanie problemów
związanych ze współpracą różnych aplikacji do składania i weryfikacji e-podpisów,
problemów związanych z uznawalnością
certyfikatów wydanych przez różne centra
certyfikacji, problemów związanych
z weryfikacją certyfikatów, niedostatkami
interfejsu użytkownika i zgodnością składanych podpisów z wymaganiami prawa.
W testach wzięło udział dziesięć aplikacji,
8
computerworld 20 marca 2012
sześć krajowych i cztery zagraniczne: z Węgier, Niemiec, Włoch i Japonii.
„Na początek należy obalić mit o problemach we współpracy pomiędzy aplikacjami do składania i weryfikacji
e-podpisu. Dodatkowo, dzięki uczestnictwu podmiotów z innych krajów mogliśmy
się przekonać, że również współpraca
z zagranicznymi aplikacjami nie sprawia
dużych problemów. Optymizmem napawa
też fakt, iż wykryte nieprawidłowości nie
mają poziomu krytycznego, a często są to
drobne i łatwe do usunięcia błędy” – czytamy w raporcie końcowym z testów.
Na podstawie przeprowadzonych
testów można stwierdzić, że w obszarze
obsługi kart kryptograficznych aplikacje nie
mają większych problemów. W obszarze
certyfikatu większość aplikacji wspiera
klucze kryptograficzne RSA i funkcje
skrótu SHA2. Większość aplikacji nie miała
również problemów z rozpoznaniem certyfikatu jako certyfikatu kwalifikowanego ani
z obsługą podpisu w wersji podstawowej.
Wiele zostało do zrobienia
Problemy rozpoczynają się w momencie
dołączenia rzadziej stosowanych rozszerzeń podpisu, takich jak CommitmentTypeIndication czy obsługa polityk podpisu.
Uczestnicy testu
W testach interoperacyjności podpisu
elektronicznego uczestniczyło sześć aplikacji
krajowych i cztery zagraniczne: z Węgier,
Niemiec, Włoch i Japonii, należących do firm:
• ENIGMA Systemy Ochrony Informacji,
• Krajowa Izba Rozliczeniowa,
• Unizeto Technologies,
• Polska Wytwórnia Papierów Wartościowych,
• Microsec,
• EC2,
• BIT4ID,
• Hitachi,
• OpenLimit SignCubes.
Polskie e-podpisy
czekają na dyrektywę
Co dalej z ustawą o podpisach elektronicznych,
nad którą obradował Sejm poprzedniej kadencji?
Ustaliliśmy, że rząd nie może ponownie przedłożyć
projektu, nad którym pracował poprzedni Sejm,
ze względu na zasadę dyskontynuacji. Projekt
musiałby zostać przepracowany i ponownie poddany uzgodnieniom międzyresortowym. Jednak
obecnie nie przewiduje się takich prac z uwagi na
rozpoczęty w 2011 r. proces nowelizacji dyrektywy
1999/93/WE w sprawie wspólnotowych ram
prawnych dla podpisów elektronicznych. Z kolei,
jak informuje Ministerstwo Gospodarki, w 2012 r.
przyjęta zostanie istotnie znowelizowana dyrektywa, która znacząco wpłynie na uregulowanie
obowiązującej w Polsce ustawy oraz wszelkie
projekty. Dlatego też przygotowanie nowelizacji
obowiązującej ustawy o e-podpisie zostało przełożone do czasu jej przyjęcia. Wynik konsultacji
w sprawie zmian dyrektywy był prezentowany
i dyskutowany na konferencji zorganizowanej przez Ministerstwo Gospodarki w trakcie
polskiej prezydencji, w listopadzie ub.r. Przebieg
konferencji wskazuje, że wiele narzędzi, takich jak
podpisy osób prawnych, znakowanie czasem czy
inne usługi otoczenia podpisu elektronicznego,
powinno zostać doregulowanych na poziomie
europejskim, w celu „uniknięcia partykularyzmów
technicznych i prawnych”. Projekt dyrektywy
prawdopodobnie ujrzy światło dzienne nie wcześniej niż po zakończeniu uzgodnień w Komisji
Europejskiej, czyli w maju 2012 r.
W wynikach można zauważyć, że im
bardziej zaawansowana jest wersja składanego podpisu, tym większe problemy z jej
obsługą w aplikacjach. Wiele aplikacji nie
radziło sobie z obsługą podpisów w wersji
archiwalnej, ignorując dołączone dane dotyczące odwołania i weryfikując certyfikat
na czas bieżący.
Kolejnym obszarem była obsługa
algorytmu podpisu opartego na krzywych
eliptycznych. Ze względu na brak obsługi
algorytmu w aplikacji referencyjnej test
został anulowany. „Pomimo dosyć wysokiego poziomu interoperacyjności aplikacji,
należy zauważyć, że przy narzędziu takim
jak podpis elektroniczny oczekiwania użytkowników są znacznie wyższe. Przeciętna
osoba będzie oczekiwać poprawności
działania na poziomie zbliżonym do 100%.
Porównując sytuację na rynku e-podpisu
do rynku telefonów komórkowych, użytkownik oczekuje, że będzie mógł dzwonić
na dowolny model telefonu, a nie tylko na
wybrane. Wynika z tego, że na rynku podpisu elektronicznego jest jeszcze sporo do
zrobienia” – czytamy w raporcie z testów.
Test był przeprowadzany przez osoby
doskonale znające aplikacje. Można przypuszczać, że niedoświadczony użytkownik
będzie mieć spore problemy z instalacją
karty kryptograficznej.