Elektroniczne gęsie pióro
- Sławomir J. Cieśliński,
- 01.04.2005
Jaką rolę odgrywa w elektronicznej gospodarce cyfrowy podpis, dlaczego mimo zapowiedzi upowszechnia się dość opieszale? CXO w rozmowie z Wiesławem Paluszyńskim, "ojcem chrzestnym" podpisu elektronicznego w Polsce.
Jaką rolę odgrywa w elektronicznej gospodarce cyfrowy podpis, dlaczego mimo zapowiedzi upowszechnia się dość opieszale? CXO w rozmowie z Wiesławem Paluszyńskim, "ojcem chrzestnym" podpisu elektronicznego w Polsce.
Wkrótce miną trzy lata od wejścia w życie ustawy o podpisie elektronicznym... O trudnych początkach elektronicznego podpisu w Polsce zadecydowało co najmniej kilka elementów. Małym pocieszeniem jest fakt, że problemy te nie są wyłącznie polską specjalnością.
Zobacz również:
- GenAI jednym z priorytetów inwestycyjnych w firmach
- Szef Intela określa zagrożenie ze strony Arm jako "nieistotne"
- International Data Group powołuje Genevieve Juillard na stanowisko CEO
Czy można zbudować e-gospodarkę bez podpisu elektronicznego?
- Stosunki, relacje gospodarcze pomiędzy wieloma podmiotami, firmami, instytucjami, klientami opierają się w istocie rzeczy na każdego dnia po wielokroć powtarzanych oświadczeniach woli co do sprzedawanych produktów lub usług, ich ceny, terminu dostawy lub realizacji. Transakcjom najprostszym towarzyszy sięgnięcie do portfela i dokonanie zapłaty za dokonywany przedmiot lub usługę. W niektórych przypadkach, jak np. na sławnym skaryszewskim targu końskim, o dokonaniu transakcji świadczy mocne przybicie rąk przez sprzedającego i kupującego... A w sprawach wielkiej wagi, jak np. zakup domu czy duży firmowy kontrakt, posiłkujemy się od stuleci notariuszem i tworzonymi przez niego dokumentami, które własnoręcznie w jego obecności podpisujemy. W gospodarce elektronicznej, opartej na dokonywaniu transakcji pomiędzy stronami na odległość i bez kontaktu twarzą w twarz, problem stwierdzania autentyczności i ważności składanych wówczas oświadczeń woli przez jej uczestników wymaga również odpowiedniego rozwiązania, a jest nim właśnie tzw. podpis elektroniczny, zwany czasem cyfrowym. Czyli - ujmując rzecz najbardziej lapidarnie i ogólnie - są to dane w postaci elektronicznej, które wraz z innymi również elektronicznymi danymi, do których zostały dołączone (np. do podpisywanego dokumentu), służą do identyfikacji osoby składającej ten elektroniczny podpis. Przy czym praktyczne funkcjonowanie podpisu elektronicznego w życiu gospodarczym i społecznym to wypadkowa trzech czynników: technologii informatycznej, regulacji prawnych oraz praw rynku. Z tych m.in. względów wyróżnia się dwie klasy podpisów elektronicznych: tzw. zwykły, do właściwie masowego stosowania, oraz bezpieczny - wydawany ściśle według zasad określonych w ustawie. I tylko ten drugi zgodnie z polskim prawem jest równoznaczny podpisowi odręcznemu.
Czy podpis elektroniczny jest rzeczywiście bezpieczny, skoro np. dopiero co poinformowano o złamaniu przez chińskich matematyków algorytmu SHA-1, używanego np. przez wszystkie polskie podmioty świadczące usługi certyfikacyjne?
- Co pewien czas obiegają media podobne rewelacje. Ale i w tym przypadku głoszone obawy są bezzasadne. SHA-1 to jeden z elementów technologii używanej na całym świecie, ale w żadnym przypadku nie przetwarza on nic jawnego na tajne lub odwrotnie. Ten algorytm to tzw. funkcja skrótu i służy tylko do przyspieszenia operacji składania podpisu elektronicznego poprzez przekształcenie całego podpisywanego dokumentu na mniejszy plik o ściśle określonej wielkości. Istotą tego przekształcenia jest to, że jakakolwiek zmiana w pliku przekształcanym daje inny wynik w pliku wynikowym. Właściwe podpisowi elektronicznemu przetworzenie następuje dopiero po zakończeniu tej operacji i jest wykonywane na pliku wynikowym. A zatem nadal mamy taką sytuację, że do dziś uzasadnione pozostaje stwierdzenie właściwe matematykom, iż podpis elektroniczny jest bezpieczny "z prawdopodobieństwem graniczącym z pewnością".
Trzeba też pamiętać, że w ramach struktury PKI (infrastruktury klucza publicznego) o bezpieczeństwie podpisu elektronicznego decyduje tak zwany klucz prywatny, czyli ten będący w wyłącznej dyspozycji konkretnej osoby. Klucz prywatny nigdy nie opuszcza karty z umieszczonym w niej procesorem kryptograficznym. A ponadto zazwyczaj jest tak, że już po 3 błędnych próbach użycia tej karty przez osobę niepowołaną dane do składania podpisu ulegają samodestrukcji.
Powróćmy do polskich realiów. Czy ustawa o podpisie z września 2001 r. to był bardziej efekt działań określonych kręgów osób dla uzyskania "politycznego sukcesu" czy załatwienia konkretnej ważnej sprawy?
- Ustawa rzeczywiście powstawała bardzo szybko u schyłku poprzedniej kadencji parlamentu. Ale w moim przekonaniu wszystkim osobom i instytucjom zaangażowanym wówczas w jej uchwalenie bardziej niż na sukcesie politycznym zależało na stworzeniu w Polsce tego narzędzia, tak niezbędnego dla modernizującej się polskiej gospodarki. Nie obyło się, rzecz jasna, bez dyskusji. Zasadnicza linia podziału, dostrzegalna też w konsekwencji w uchwalonym dokumencie, przebiegała między zwolennikami państwa policyjnego, którego orędownikiem był ówczesny wiceminister spraw wewnętrznych i administracji, a zwolennikami państwa demokratycznego, za czym opowiadali się przedstawiciele Polskiej Izby Informatyki i Telekomunikacji. Ostatecznie górę wśród posłów i senatorów wzięli raczej zwolennicy polityki reglamentacyjnej, zamiast tej opartej o rozwiązania otwarte, zgodne z przepisami UE i w miarę tanie. Rozporządzenia wykonawcze do ustawy, nad którą pieczę powierzono wówczas Ministerstwu Gospodarki, skutecznie usztywniły i praktycznie zamknęły przed kwalifikowanym podpisem elektronicznym w Polsce szansę na szybki rozwój. A późniejsze kilkakrotne starania PIIT o odkręcenie sprawy też nie przynosiły żadnych zmian...
... Upływał tylko czas! W efekcie jest tak, że od wejścia w życie ustawy miną wkrótce 3 lata, a za rok z kawałkiem powinniśmy osiągnąć jej powszechne stosowanie. Tymczasem stan posługiwania się kwalifikowanym podpisem elektronicznym w Polsce jest w istocie mizerny...
Efekt lat minionych to - zamiast upowszechniania się i zmniejszania kosztów posiadania podpisu elektronicznego - wywindowanie jego ceny do poziomu kilkuset złotych przy jednoczesnym znikomym zakresie możliwości jego używania. Gdyby podobnie sprawnie wdrażano w swoim czasie długopisy, to ciągle kosztowałyby one po np. 400 zł za sztukę, a większość ludzi i tak w tej sytuacji używałaby gęsich piór...