Niełatwo wyprzeć się e-podpisu
Treść
Z Elżbietą Włodarczyk, dyrektorem Działu Usług Certyfikacyjnych Krajowej Izby Rozliczeniowej SA, rozmawia Małgorzata Goss Czy według przepisów Unii Europejskiej do złożenia "bezpiecznego podpisu elektronicznego" wystarczy sama karta kryptograficzna? - Karta kryptograficzna jest wyłącznie nośnikiem pary kluczy, może być też na niej zapisany certyfikat, natomiast nie jest komputerem, który gwarantowałby, że dane, które chcemy podpisać, są tymi, które widzimy na ekranie komputera. W praktyce więc karta wykona nam operację podpisywania przy użyciu klucza prywatnego zapisanego na niej, ale nie zapewni kontroli nad tym, co dokładnie podpisujemy. To jest rola aplikacji, która prezentuje dokument i zapewnia bezpieczną komunikację z kartą, spełniającą określone wymogi bezpieczeństwa. Wspomniana aplikacja powinna zabezpieczyć nas przed niepożądanymi ingerencjami osób trzecich w treść dokumentu. Użycie samej tylko karty kryptograficznej, bez powiązania jej działania z odpowiednią aplikacją, byłoby po prostu niebezpieczne. Nigdy nie mielibyśmy gwarancji, że przeglądarka lub program pocztowy nie zmienił w międzyczasie dokumentu bez naszej wiedzy, np. nie podmienił numeru konta, na które realizujemy przelew. Proszę pamiętać, że podpisanego dokumentu nie możemy zakwestionować. A więc nie mogłabym się wyprzeć tego, że to ja podpisałam, chociaż pieniądze z przelewu trafiły na zupełnie inne konto? - Tak. Dlatego właśnie w Polsce "bezpiecznym urządzeniem" do składania e-podpisu jest całość: karta kryptograficzna wraz z certyfikatem kwalifikowanym. W rozporządzeniu towarzyszącym ustawie o podpisie elektronicznym zostało nałożonych szereg wymagań po to, by składając bezpieczny podpis, użytkownik miał pewność, że podpisuje dokładnie ten dokument, który widzi. Sama karta, jak już wspomniałam, tego nie zagwarantuje, bo karta to tylko mikroprocesor, który przechowuje pewne dane i wykonuje pewne operacje. Sam mikroprocesor nie zaprezentuje treści podpisywanego dokumentu. To musi zrobić aplikacja. Stąd m.in. wymóg, by aplikacja prezentowała treść podpisywanego dokumentu w wiarygodny sposób. Czy oprócz karty z oprogramowaniem klient chcący zakupić zestaw do składania bezpiecznego e-podpisu musi też nabyć czytnik? - To zależy tylko od jego woli i potrzeb. Klient korzystający z laptopa posiada już często czytnik wbudowany w komputer przenośny. Użytkownik kupuje więc wtedy tylko kartę i certyfikat. Mamy też w swojej ofercie - od co najmniej roku - nowoczesne rozwiązanie, które zastępuje czytnik ze zwykłym kablem. Z karty kryptograficznej wyłamuje się mały fragment i wkłada do małego czytnika komunikującego się z komputerem poprzez łącze USB. Bezpieczne oprogramowanie do składania podpisu sprawdza stronę internetową, na której coś podpisujemy? - Nie, nie sprawdza, ale na stronie internetowej jest umieszczony pewien kawałek oprogramowania, który jest odpowiedzialny za podpisanie dokumentu. Dostawca oprogramowania gwarantuje, że to, co pani widzi na ekranie, trafi do karty, zostanie podpisane i umieszczone we właściwym miejscu. Oprogramowanie gwarantuje, że dokument od momentu zaprezentowania na ekranie do chwili podpisania nie zostanie zmieniony. Jeżeli sprowadzimy definicję bezpiecznego urządzenia tylko do karty, nie zapewniając bezpieczeństwa aplikacji, to będzie tak, jak pani zauważyła: podpisze pani dokument i nie będzie się pani mogła wyprzeć, że to pani go podpisała. Nawet gdy okaże się, że podpisała pani w rzeczywistości nie ten dokument, który zamierzała pani podpisać. Nie można dopuścić do takiej luki w bezpieczeństwie systemu. Jako odbiorca dokumentu jak mam się zorientować, czy podpis jest bezpieczny? - O to musi zadbać nadawca, który generuje e-podpis. Zgodnie z ustawą bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego certyfikatu kwalifikowanego stanowi dowód tego, że został złożony przez osobę określoną w certyfikacie. Wywołuje skutki prawne określone ustawą, jeżeli jest to podpis, który jest przyporządkowany do osoby składającej podpis. Nadawca musi być świadomy, że posługuje się bezpiecznym urządzeniem, bo ustawa mówi, że jeżeli podpisał dokument za pomocą oprogramowania, za które nikt nie wziął odpowiedzialności, to odpowiedzialność spada na niego jako nadawcę. Nie można się wyprzeć złożenia podpisu tylko na tej podstawie, że nie został złożony w bezpiecznym urządzeniu. Jeżeli chcę zabezpieczyć mieszkanie, to powinnam sama móc wybrać zamek do drzwi. Albo kupuję ten najwyższej klasy skarbiec, albo najprostszy, wszystko zależy od zawartości mieszkania, którą chcę chronić. Ustawa tymczasem każe pod każdym dokumentem stosować zamek najwyższej klasy, sugerując, że inne zamki są niebezpieczne. - Można decydować, jaki się zamek wykorzystuje, gdy chodzi o czyjeś prywatne dobra. Natomiast jeżeli wysyłamy istotny dokument do urzędu i podpisujemy się jakimś niekwalifikowanym certyfikatem, to skąd ten urząd będzie miał pewność, że to pani wysłała elektroniczny PIT, a nie zrobił tego ktoś za panią? Konsekwencje ewentualnej pomyłki w rozliczeniu podatkowym są poważne, np. kontrola skarbowa. Natomiast jest możliwe stosowanie prostszej wersji e-podpisu, nieopatrzonej certyfikatem kwalifikowanym, w systemach zamkniętych. Chociażby system Cerber w Ministerstwie Finansów, w ramach którego wszystkie banki raportują o założonych rachunkach (co jest związane z ustawą o przeciwdziałaniu praniu brudnych pieniędzy). Ministerstwo Finansów dopuściło certyfikaty niekwalifikowane, wskazując, że powinny to być certyfikaty wydane według konkretnych polityk albo przez określone centra, które gwarantują, że odbiorca, który dostał certyfikat, jest dla nich identyfikowalny. Ale jest to system zamknięty, więc można się umówić na jakieś ograniczenia co do rodzaju certyfikatów. Jeżeli natomiast mówimy o uniwersalności certyfikatu, o tym, żeby każdy urząd go honorował, to musimy się zgodzić na pewne ramy, bo inaczej będzie pani musiała stawić się z kartą osobiście w urzędzie, aby pokazać, że to właśnie pani ją posiada. A to przecież kłóci się z ideą e-urzędu. Polskie Towarzystwo Informatyczne alarmuje, że centra certyfikacji wymuszają na użytkownikach zakup bezpiecznego urządzenia do składania e-podpisu... - W ustawie nie jest zapisane, że kwalifikowane centra certyfikacji mają obowiązek dostarczać oprogramowanie podpisujące, stanowiące element bezpiecznego urządzenia do składania podpisów. Ustawa pozwala, aby każdy, kto chce dostarczać oprogramowanie podpisujące czy też całe bezpieczne urządzenie, mógł je, z zachowaniem wymagań ustawowych, przygotować. Nie wymaga to uzyskania koncesji. Wystarczy, aby ten, kto produkuje takie rozwiązanie, udostępnił je użytkownikowi, zapewnił, że karta ma odpowiedni certyfikat bezpieczeństwa, a aplikacja posiada deklarację zgodności przedstawioną przez producenta bądź dostawcę oprogramowania. Najlepszym dowodem jest program Płatnik. Nie jest on programem stworzonym przez którekolwiek z centrów certyfikacji. To program przygotowany przez ZUS, który jest do tego zobowiązany ustawowo. W ramach tego programu została zawarta część służąca do składania podpisu. A więc aplikację można kupić w innej firmie? - Tak, ale bardzo często użytkownicy dostają ją w ramach jakiegoś rozwiązania. Na przykład przy programie Płatnik użytkownik nic nie dokupuje, wystarczy, że kupił sobie kartę, czytnik i certyfikat. Oprogramowanie do składania e-podpisu jest już zawarte w Płatniku. Innym przykładem jest system e-deklaracje uruchomiony przez Ministerstwo Finansów, gdzie na stronie internetowej ma pani udostępnione bezpłatnie oprogramowanie do składania e-podpisu. Użytkownik nic nie musi kupować ponad kartę i certyfikat, by wysłać rozliczenie podatkowe. Informatycy mają jednak zastrzeżenia co do definicji "bezpiecznego urządzenia" zawartej w ustawie. Polska Izba Informatyki i Telekomunikacji przedstawiła w jednym z dokumentów różnice pomiędzy definicją polską i unijną. Zdaniem PIIT, uregulowania rozporządzeń do polskiej ustawy naruszają ponadto neutralność technologiczną. Twierdzą, że specyfikacja tych urządzeń jest tak zawężona, że utrudnia poszukiwanie rozwiązań przez innych twórców aplikacji. - Chyba żadna z firm, które tworzą oprogramowanie dla ZUS czy MF, nie zgłaszała, że polskie przepisy są dla nich ograniczeniem. Ale po wejściu do UE obowiązuje nas bezpośrednio rozporządzenie Komisji Europejskiej, które nie pozwala na stawianie jakichkolwiek dodatkowych wymagań technicznych temu oprogramowaniu. - Tak nie jest. Jeśli mówimy o neutralności technologicznej, i każdy będzie mógł wybrać dowolny algorytm składania podpisu, dowolną funkcję skrótu, to trudno sobie to wyobrazić w praktyce. Załóżmy, że jeden użytkownik będzie stosował algorytm RSA, drugi algorytm na krzywych eliptycznych. Tylko w jaki sposób urząd to zweryfikuje? Musiałby posiadać oprogramowanie obsługujące wszystkie wykorzystywane algorytmy. Polska ustawa i rozporządzenia regulują, bez sprzeczności z dyrektywą, jak dane rozwiązania mają być zaimplementowane. Nie jest powiedziane, że to oprogramowanie ma działać w systemie LINUX czy Windows, ograniczenia polegają tylko na podaniu, jakie mają być stosowane bezpieczne algorytmy, co nie stoi na przeszkodzie w rozwoju tych rozwiązań. To dlaczego PIIT i PTI naciskają od lat na zmianę ustawy z 2002 roku? Do Izby należą wszystkie podmioty certyfikujące, ale zostały w niej przegłosowane, co oznacza, że reszta rynku się buntuje. - KIR SA nie jest członkiem PIIT i PTI. O powody nowelizacji należy zapytać wskazane przez panią podmioty. Każdy może wykonać oprogramowanie podpisujące, ale - zdaniem informatyków - żaden podmiot nie może tego dokonać bez współpracy z podmiotami "wielkiej trójki", bo nie da się napisać oświadczenia o zgodności... - To nie jest prawda. Deklarację zgodności może wydać producent lub dostawca. Ustawa ani rozporządzenia nie wymagają autoryzacji rozwiązań przez kwalifikowane podmioty świadczące usługi certyfikacyjne. Dyrektywa mówi, że musi być niezależny organ wyznaczony do wydawania oceny zgodności. Nasza ustawa nie określa takiego organu, który by bezstronnie badał bezpieczne urządzenie pod kątem oceny zgodności. - Deklarację zgodności wystawia się zgodnie z polską normą, która odnosi się do normy ISO. Może ją wystawić producent, dostawca lub trzecia niezależna strona. Co do karty - w rozporządzeniu wyraźnie wskazano, że musi posiadać jeden z trzech certyfikatów bezpieczeństwa wystawianych przez międzynarodowe jednostki. Plik dokumentów z PIIT wyraźnie jednak świadczy o tym, że coś jest na rzeczy. Dlaczego informatycy mówią, że ustawa zablokowała rynek na rzecz trzech podmiotów? Co sprawia, że na rynku funkcjonują zaledwie trzy firmy certyfikacyjne? - Na rynku certyfikatów kwalifikowanych jest tak, jak na każdym innym rynku. Każdy sobie kalkuluje, jaką działalność opłaca mu się podjąć, jakie będzie miał zyski, jakie musi ponieść nakłady. Ustawa w żaden sposób nie ogranicza możliwości świadczenia tego typu usług. Wystarczy spełnić wymagania określone w ustawie i rozporządzeniach oraz złożyć wniosek do ministra gospodarki. Najważniejszą rzeczą, jaka odróżnia certyfikat zwykły e-podpisu od kwalifikowanego, jest dokładne sprawdzenie danych osobowych przed jego wydaniem. Przy dowodzie osobistym robi to machina państwa. A w centrach certyfikacji? - Tutaj robią to pracownicy urzędu certyfikacji. Każde centrum posiada taką służbę, np. KIR posiada taką służbę w każdym z 17 terenowych oddziałów. Gdy klient występuje o wydanie kwalifikowanego certyfikatu e-podpisu - uprawniony pracownik legitymuje go, sprawdza dowód osobisty lub paszport. Procedura jest opisana w ustawie. To jest część usługi, każda firma certyfikująca wykonuje ją oddzielnie. Opłata za certyfikat obejmuje sprawdzenie tożsamości, wydanie certyfikatu, konserwowanie go przez określony czas (listy CRL muszą być publikowane co godzinę on-line dla wszystkich, którzy chcieliby sprawdzić, czy nic się z certyfikatem w okresie ważności nie stało). Czy w przyszłości usługa potwierdzenia tożsamości zostanie przekazana na rzecz osobnego podmiotu? - Nie słyszałam o takich planach. Dziękuję za rozmowę. "Nasz Dziennik" 2008-03-21
Autor: wa