Elektroniczne gęsie pióro

Jaką rolę odgrywa w elektronicznej gospodarce cyfrowy podpis, dlaczego mimo zapowiedzi upowszechnia się dość opieszale? CXO w rozmowie z Wiesławem Paluszyńskim, "ojcem chrzestnym" podpisu elektronicznego w Polsce.

Jaką rolę odgrywa w elektronicznej gospodarce cyfrowy podpis, dlaczego mimo zapowiedzi upowszechnia się dość opieszale? CXO w rozmowie z Wiesławem Paluszyńskim, "ojcem chrzestnym" podpisu elektronicznego w Polsce.

Wkrótce miną trzy lata od wejścia w życie ustawy o podpisie elektronicznym... O trudnych początkach elektronicznego podpisu w Polsce zadecydowało co najmniej kilka elementów. Małym pocieszeniem jest fakt, że problemy te nie są wyłącznie polską specjalnością.

Zobacz również:



Czy można zbudować e-gospodarkę bez podpisu elektronicznego?

Wiesław PaluszyńskiWiesław Paluszyński- Stosunki, relacje gospodarcze pomiędzy wieloma podmiotami, firmami, instytucjami, klientami opierają się w istocie rzeczy na każdego dnia po wielokroć powtarzanych oświadczeniach woli co do sprzedawanych produktów lub usług, ich ceny, terminu dostawy lub realizacji. Transakcjom najprostszym towarzyszy sięgnięcie do portfela i dokonanie zapłaty za dokonywany przedmiot lub usługę. W niektórych przypadkach, jak np. na sławnym skaryszewskim targu końskim, o dokonaniu transakcji świadczy mocne przybicie rąk przez sprzedającego i kupującego... A w sprawach wielkiej wagi, jak np. zakup domu czy duży firmowy kontrakt, posiłkujemy się od stuleci notariuszem i tworzonymi przez niego dokumentami, które własnoręcznie w jego obecności podpisujemy. W gospodarce elektronicznej, opartej na dokonywaniu transakcji pomiędzy stronami na odległość i bez kontaktu twarzą w twarz, problem stwierdzania autentyczności i ważności składanych wówczas oświadczeń woli przez jej uczestników wymaga również odpowiedniego rozwiązania, a jest nim właśnie tzw. podpis elektroniczny, zwany czasem cyfrowym. Czyli - ujmując rzecz najbardziej lapidarnie i ogólnie - są to dane w postaci elektronicznej, które wraz z innymi również elektronicznymi danymi, do których zostały dołączone (np. do podpisywanego dokumentu), służą do identyfikacji osoby składającej ten elektroniczny podpis. Przy czym praktyczne funkcjonowanie podpisu elektronicznego w życiu gospodarczym i społecznym to wypadkowa trzech czynników: technologii informatycznej, regulacji prawnych oraz praw rynku. Z tych m.in. względów wyróżnia się dwie klasy podpisów elektronicznych: tzw. zwykły, do właściwie masowego stosowania, oraz bezpieczny - wydawany ściśle według zasad określonych w ustawie. I tylko ten drugi zgodnie z polskim prawem jest równoznaczny podpisowi odręcznemu.

Czy podpis elektroniczny jest rzeczywiście bezpieczny, skoro np. dopiero co poinformowano o złamaniu przez chińskich matematyków algorytmu SHA-1, używanego np. przez wszystkie polskie podmioty świadczące usługi certyfikacyjne?

- Co pewien czas obiegają media podobne rewelacje. Ale i w tym przypadku głoszone obawy są bezzasadne. SHA-1 to jeden z elementów technologii używanej na całym świecie, ale w żadnym przypadku nie przetwarza on nic jawnego na tajne lub odwrotnie. Ten algorytm to tzw. funkcja skrótu i służy tylko do przyspieszenia operacji składania podpisu elektronicznego poprzez przekształcenie całego podpisywanego dokumentu na mniejszy plik o ściśle określonej wielkości. Istotą tego przekształcenia jest to, że jakakolwiek zmiana w pliku przekształcanym daje inny wynik w pliku wynikowym. Właściwe podpisowi elektronicznemu przetworzenie następuje dopiero po zakończeniu tej operacji i jest wykonywane na pliku wynikowym. A zatem nadal mamy taką sytuację, że do dziś uzasadnione pozostaje stwierdzenie właściwe matematykom, iż podpis elektroniczny jest bezpieczny "z prawdopodobieństwem graniczącym z pewnością".

Trzeba też pamiętać, że w ramach struktury PKI (infrastruktury klucza publicznego) o bezpieczeństwie podpisu elektronicznego decyduje tak zwany klucz prywatny, czyli ten będący w wyłącznej dyspozycji konkretnej osoby. Klucz prywatny nigdy nie opuszcza karty z umieszczonym w niej procesorem kryptograficznym. A ponadto zazwyczaj jest tak, że już po 3 błędnych próbach użycia tej karty przez osobę niepowołaną dane do składania podpisu ulegają samodestrukcji.

Powróćmy do polskich realiów. Czy ustawa o podpisie z września 2001 r. to był bardziej efekt działań określonych kręgów osób dla uzyskania "politycznego sukcesu" czy załatwienia konkretnej ważnej sprawy?

- Ustawa rzeczywiście powstawała bardzo szybko u schyłku poprzedniej kadencji parlamentu. Ale w moim przekonaniu wszystkim osobom i instytucjom zaangażowanym wówczas w jej uchwalenie bardziej niż na sukcesie politycznym zależało na stworzeniu w Polsce tego narzędzia, tak niezbędnego dla modernizującej się polskiej gospodarki. Nie obyło się, rzecz jasna, bez dyskusji. Zasadnicza linia podziału, dostrzegalna też w konsekwencji w uchwalonym dokumencie, przebiegała między zwolennikami państwa policyjnego, którego orędownikiem był ówczesny wiceminister spraw wewnętrznych i administracji, a zwolennikami państwa demokratycznego, za czym opowiadali się przedstawiciele Polskiej Izby Informatyki i Telekomunikacji. Ostatecznie górę wśród posłów i senatorów wzięli raczej zwolennicy polityki reglamentacyjnej, zamiast tej opartej o rozwiązania otwarte, zgodne z przepisami UE i w miarę tanie. Rozporządzenia wykonawcze do ustawy, nad którą pieczę powierzono wówczas Ministerstwu Gospodarki, skutecznie usztywniły i praktycznie zamknęły przed kwalifikowanym podpisem elektronicznym w Polsce szansę na szybki rozwój. A późniejsze kilkakrotne starania PIIT o odkręcenie sprawy też nie przynosiły żadnych zmian...

... Upływał tylko czas! W efekcie jest tak, że od wejścia w życie ustawy miną wkrótce 3 lata, a za rok z kawałkiem powinniśmy osiągnąć jej powszechne stosowanie. Tymczasem stan posługiwania się kwalifikowanym podpisem elektronicznym w Polsce jest w istocie mizerny...

Rysunek 1. E-podpis krok po krokuKliknij, aby powiększyćRysunek 1. E-podpis krok po kroku- Podstawowy błąd ustawy, wynikający ze wspomnianych ideologicznych rozbieżności poglądów jej autorów, to stworzenie instytucji tzw. centralnego roota, czyli w rzeczy samej powołanie do życia państwowego centrum certyfikacji, nadrzędnego nad centrami komercyjnymi. I jakkolwiek spółka Centrast niezbyt chlubnie zakończyła już swą działalność z końcem 2004 r., to ciągle jeszcze trwa ustawowy zapis dotyczący bezpiecznego urządzenia do weryfikacji podpisu elektronicznego, którego to urządzenia nikt dotychczas nie stworzył w formie akceptowanej przez rynek i zgodny z ustawą. Podobnie jest z bezpiecznym urządzeniem do składania podpisu, którego kolejne tworzone przez różne podmioty wersje nie są przyjazne dla użytkowników i nadal pozostają relatywnie bardzo drogie. Jednocześnie wymogi ustawy i wydanych do nich przez Ministerstwo Gospodarki rozporządzeń wykonawczych narzuciły w praktyce wszystkim firmom zainteresowanym obsługą podpisów elektronicznych tak wysokie wymogi, iż w istocie czy to dla potrzeb podpisu zwykłego, czy kwalifikowanego posłużyły się one drogimi rozwiązaniami technologicznymi, co znacznie podniosło koszty ich usług.

Efekt lat minionych to - zamiast upowszechniania się i zmniejszania kosztów posiadania podpisu elektronicznego - wywindowanie jego ceny do poziomu kilkuset złotych przy jednoczesnym znikomym zakresie możliwości jego używania. Gdyby podobnie sprawnie wdrażano w swoim czasie długopisy, to ciągle kosztowałyby one po np. 400 zł za sztukę, a większość ludzi i tak w tej sytuacji używałaby gęsich piór...