Wtajemniczony?
Podpis elektroniczny
Ustawa o podpisie elektronicznym właśnie skończyła dziesięć lat. Można powiedzieć, że w dziedzinie „nowych technologii” w dzisiejszych czasach to cała epoka. Przykładowo – technika telefonii cyfrowej GSM ma niecałe 20 lat, tymczasem jej powszechność jest taka, że bez niej nie sposób wyobrazić sobie współczesnego świata – liczba używanych telefonów przekroczyła niedawno 5 miliardów. A jak na tym tle wygląda rozwój podpisu elektronicznego? Otóż, w Polsce liczba użytkowników podpisu elektronicznego może być liczona w setkach tysięcy. Jak na prawie 40-milionowy kraj, nie jest to imponujący wynik. Tym bardziej, że większość z tych, którzy korzystają z e-podpisu została w istocie zmuszona do tego przez rząd. Składanie deklaracji ZUS przez przedsiębiorców możliwe jest wyłącznie drogą elektroniczną przy wykorzystaniu podpisu elektronicznego.
Co jest przyczyną tak niewielkiego zainteresowania podpisem elektronicznym? Przyczyn tego stanu rzeczy można podawać wiele. Jako najważniejsze z nich (z pewnością nie jedyne) można wymienić:
Istota koncepcji e-podpisu jest prosta. Podpis elektroniczny, którym opatruje się dokumenty elektroniczne, odpowiada podpisowi odręcznemu składanemu na dokumentach papierowych. Pełni on tę samą zasadniczą funkcję – potwierdzenie autentyczności dokumentu po stronie odbiorcy. Analogicznie do podpisu odręcznego, wiarygodność podpisu elektronicznego i zaufanie, jakim możemy go obdarzyć, może być różna. Nie bez powodu funkcjonuje instytucja notarialnego poświadczania podpisu czy potwierdzania podpisu przez upoważnione osoby w urzędach, bankach lub innych instytucjach. Podpis własnoręczny nie jest w pełni wiarygodny sam z siebie. Podobnie jest w dziedzinie podpisu elektronicznego istnieje kilka jego rodzajów dających różne poziomy zaufania.
Podpisane
Podpis elektroniczny to szerokie pojęcie – najprostsze jego formy (tzw. podpis zwykły) dają ogólnie niski poziom wiarygodności. Może to być przykładowo informacja aplikacji pocztowej o nadawcy e-maila lub skan grafiki podpisu dołączony do dokumentu. Jasne jest, że możemy ufać takiej formie podpisu jedynie wtedy, gdy dobrze znamy nadawcę, jest on wiarygodny, a najlepiej, abyśmy byli w stanie potwierdzić fakt podpisania dokumentu przez nadawcę. Nie trzeba przekonywać, że użyteczność tego rodzaju podpisu w praktyce – także biznesowej – jest znikoma, chociaż istnieją przykłady jego przydatności. Ujmując sprawę inaczej, można powiedzieć, że podpis zwykły jest na tyle ważny, wiarygodny i skuteczny, na ile nadawca i odbiorca dokumentu umówią się w danej sytuacji, biorąc pod uwagę cały kontekst i potrzeby obu stron.
Użyteczne biznesowo rodzaje podpisu elektronicznego oparte są na technice podpisu cyfrowego. Należy podkreślić, że pozornie zbliżone terminy: podpis elektroniczny i podpis cyfrowy odnoszą się do całkowicie różnych pojęć: podpis elektroniczny jest pojęciem prawnym, uregulowanym odpowiednimi ustawami (obecnie w Polsce: ustawa z 18 września 2001 r. o podpisie elektronicznym z późniejszymi zmianami) i rozporządzeniami oraz Dyrektywą Europejską (Dyrektywa o Wspólnotowej Infrastrukturze Podpisów Elektronicznych 1999/93/EC). Podpis cyfrowy odnosi się z kolei do technologii opartej na kryptografii asymetrycznej (tzw. kryptografii klucza publicznego) i certyfikatach cyfrowych. Dzięki zastosowaniu techniki podpisu cyfrowego w realizacji podpisu elektronicznego otrzymujemy narzędzie realnie przydatne w praktyce biznesowej. Dalej będziemy się zajmować głownie taką postacią podpisu elektronicznego.
Podstawą podpisu cyfrowego są certyfikaty cyfrowe. Dysponując odpowiednim certyfikatem możemy m.in. składać podpis elektroniczny. Istnieją także certyfikaty o innym przeznaczeniu, np. do szyfrowania informacji, do podpisywania kodu czy znane świadomym użytkownikom Internetu certyfikaty potwierdzające tożsamość serwerów, np. WWW lub poczty.
Dokument tożsamości
Dla celów podpisu elektronicznego możemy powiedzieć, że certyfikat jest elektronicznym odpowiednikiem dokumentem tożsamości posiadacza. Tak jak w świecie dokumentów papierowych mamy różnorodne dokumenty – paszporty, dowody osobiste, legitymacje, tak w świecie cyfrowym można wyróżnić dwa rodzaje certyfikatów: kwalifikowane i niekwalifikowane. Certyfikaty kwalifikowane wydawane są przez kwalifikowane centra (urzędy) certyfikacji, które po przejściu odpowiednich procedur weryfikujących uznano za tzw. zaufane strony trzecie. Zaufanie zagwarantowane jest przez państwo, dlatego każdy certyfikat wydany przez takie centrum jest zaufany globalnie. Jak jednak należy rozumieć „zaufanie” w tym kontekście?
To po pierwsze pewność, że posiadaczem certyfikatu rzeczywiście jest osoba, której dane są w nim umieszczone. W tym sensie certyfikat kwalifikowany odpowiada dokumentowi tożsamości takiemu jak paszport lub dowód osobisty. Z tą różnicą, że paszport czy dowód można podrobić domowymi sposobami (na tyle skutecznie, że da się go używać w sytuacjach, w których osoba weryfikująca nie dysponuje profesjonalnymi technikami weryfikacji, czyli prawie zawsze). Certyfikatu – nie! Wyjaśnia to, dlaczego certyfikatu kwalifikowanego nie można sobie po prostu ściągnąć z Sieci, ale należy się po niego udać osobiście do centrum w celu weryfikacji tożsamości. Ponadto, certyfikat może być przyznany wyłącznie osobie fizycznej i może być używany jedynie do podpisu elektronicznego.
Po drugie, kwalifikowane centrum zapewnia wiarygodną obsługę wydanego certyfikatu – przede wszystkim jego rzetelną weryfikację, czyli czynność niezbędną dla uznania złożonego podpisu elektronicznego za prawidłowy. Dokument podpisany elektronicznie może być przez odbiorcę uznany za wiarygodny dopiero po weryfikacji podpisu. Z samego podpisu nie wynika bowiem, czy jest on prawidłowy. Certyfikat związany z kluczem użytym do złożenia podpisu mógł np. zostać unieważniony, a informację o tym ma jedynie jego wydawca – centrum certyfikacji. Potwierdzenie poprawności podpisu wymaga zatem dokonania jego weryfikacji – albo poprzez bezpośrednie połączenie z centrum (wykorzystanie tzw. OCSP – Online Certificate Status Protocol) albo przez przeszukanie list unieważnionych certyfikatów (CRL – Certificate Revocation List). Usługa weryfikacji świadczona przez centrum kwalifikowane może być uznana za w pełni wiarygodną, dzięki czemu mamy pewność, że jeśli da wynik pozytywny, to podpis jest prawidłowy.
Gdybyśmy chcieli znaleźć precyzyjniejszą analogię między światem „papierowym” a podpisem elektronicznym, możemy powiedzieć, że do dokumentu podpisanego elektronicznie dołączony jest dokument tożsamości osoby składającej podpis. Technologia zapewnia, że podpis i dołączony do niego dokument tożsamości stanowią parę. Nie jest bowiem technicznie możliwe złożenie podpisu i dołączenie innego certyfikatu, ani „podmienienie” certyfikatu na inny. Z kolei autentyczność i ważność dokumentu oraz jego powiązanie z konkretną osobą fizyczną jest potwierdzana przez centrum certyfikacji w procesie weryfikacji podpisu. W rezultacie, jako odbiorca mamy podpisany elektronicznie dokument, dokument tożsamości podpisującego i metodę weryfikacji tego dokumentu tożsamości przez zaufana stronę trzecią. Jest to zatem o wiele więcej, niż to, czym dysponujemy w świecie „papierowym”.
Po trzecie – kwalifikowane centrum może świadczyć inne wiarygodne i użyteczne usługi związane z podpisem elektronicznym, np. znakowanie czasem. Dzięki tej usłudze mamy pewność co do czasu wykonania operacji znakowania (złożenia podpisu). W odpowiednich sytuacjach wywołuje to prawne skutki daty pewnej. Jest to zatem przydatna usługa, dająca stuprocentowo wiarygodne i dokładne datowanie dokumentu, niezależnie od prawidłowości ustawienia daty na komputerze autora czy jakimkolwiek innym. Inne przydatne usługi to: poświadczenie przedłożenia, poświadczenie odbioru dokumentu, poświadczenie depozytowe, certyfikaty atrybutów (pozwalające na umieszczenie w certyfikacie istotnych informacji, np. stanowiska, roli lub uprawnienia osoby).
Bezpieczeństwo w zestawie
Opisane usługi związane z certyfikatami cyfrowymi świadczone przez centra kwalifikowane są globalnie uznawane za wiarygodne na podstawie przejścia przez te centra wymagających procedur audytowych. Fakt ten jest poświadczony poprzez wpisanie ich na odpowiednią urzędową listę – w Polsce jest to „Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne związane z podpisem elektronicznym”. Zapewnienie i stałe utrzymywanie warunków technicznych i organizacyjnych pozwalających znaleźć się na takiej liście, a także same procedury są kosztowne. Ponieważ centrami kwalifikowanymi są podmioty komercyjne, muszą zarabiać na pokrycie tych kosztów. Certyfikaty kwalifikowane w obecnych warunkach muszą być zatem płatne. Kupując certyfikat kwalifikowany zapewniamy sobie to, że złożony przy jego użyciu podpis będzie mógł być uznany przez każdego odbiorcę (obecnie – z racji problemów interoperacyjności – należałoby powiedzieć: każdego odbiorcę w Polsce), szczególnie przez instytucje wymagające bezwzględnie używania podpisów kwalifikowanych.
Przy okazji należy sprostować pewien powszechny błąd: nie kupujemy podpisu elektronicznego, ale zestaw do składania podpisu – certyfikat cyfrowy z parą kluczy, zestaw urządzeń i oprogramowanie (sprzęt z oprogramowaniem zwany bezpiecznym urządzeniem do składania podpisu elektronicznego). Jest to zasadnicza różnica: podpis elektroniczny dopiero powstaje poprzez zastosowanie zestawu przez jego posiadacza do konkretnego dokumentu. Sam podpis elektroniczny dla każdego dokumentu jest inny. Ma to istotne implikacje, o których będzie mowa dalej.
Powstaje dość zasadnicze pytanie: wiemy już, że certyfikaty kwalifikowane używane są jedynie do składania/weryfikacji podpisów elektronicznych. Ale czy tylko certyfikaty kwalifikowane się do tego nadają? Oczywiście nie. Z technicznego i organizacyjnego punktu widzenia te same usługi, co centra kwalifikowane, mogą świadczyć inne podmioty – przedsiębiorstwa, organizacje, urzędy. Na czym polega różnica? Podmioty te nie podjęły skutecznych starań o wpis na urzędową listę. Wydawane i obsługiwane przez nie certyfikaty są niekwalifikowane. Czy przez to nie mogą być używane do składania i weryfikowania podpisów elektronicznych? I znów odpowiedź brzmi: nie. Certyfikaty niekwalifikowane są jak najbardziej przydatne do podpisu elektronicznego. Różnica polega na poziomie zaufania i aspektach prawnych. Centra kwalifikowane są zaufane globalnie, a certyfikaty kwalifikowane uznawane są z mocy ustawy o podpisie elektronicznym. Centra niekwalifikowane stają się zaufane w inny sposób, np. na podstawie umowy, innych przepisów prawa czy przepisów wewnętrznych organizacji. Przykładowo: firmy mogą zawrzeć między sobą umowę dotyczącą wzajemnego uznawania certyfikatów; dzięki odpowiedniej uchwale jednostka administracji może uznawać dokumenty podpisane przy użyciu wystawionych przez nią certyfikatów; dokumenty w ramach przedsiębiorstwa mogą być skutecznie podpisywane certyfikatami wydawanymi przez wewnętrzne centrum certyfikacji. A zatem, w wielu sytuacjach można stosować podpis elektroniczny bez konieczności posiadania certyfikatu kwalifikowanego – jeśli tylko jest do tego odpowiednia podstawa. Mamy wówczas do czynienia z tzw. podpisem zaawansowanym. Tak jak certyfikaty kwalifikowane porównywaliśmy do dowodów osobistych, tak analogią do niekwalifikowanych mogą być np. legitymacje służbowe. Aby zapewnić odpowiedni poziom zaufania, także takie certyfikaty muszą być wydawane w odpowiedniej procedurze weryfikacji tożsamości osoby. Używając certyfikatu niekwalifikowanego powinniśmy upewnić się, że funkcjonowanie centrum certyfikacji jest zgodne z zasadami.
Używając podpisu elektronicznego powinniśmy wiedzieć o jego najistotniejszych cechach. W czym jest on równorzędny, w czym lepszy, a w czym gorszy od podpisu odręcznego?
Analogicznie do podpisu odręcznego, podpis elektroniczny uwierzytelnia stronę podpisującą – potwierdza jej tożsamość i jej prawo do składania podpisu. W ogólnym sensie mamy zatem do czynienia z równoważnością obu metod. Jednak podpis elektroniczny jest lepszy pod względem dokładności i jednoznaczności danych identyfikujących. Jeśli dysponujemy papierowym dokumentem podpisanym odręcznie, o osobie, która złożyła ten podpis możemy co najwyżej wnioskować z treści samego dokumentu (np. wydrukowane nazwisko lub pieczątka), a o autentyczności podpisu – z porównania z innymi dokumentami, o których wiadomo, że są podpisane przez tę samą osobę (chociaż i tak pozostaje możliwość podrobienia). Autentyczność podpisu może być potwierdzona, ale jest to rozwiązanie problematyczne. W wypadku podpisu elektronicznego certyfikat z pełnymi danymi podpisującego jest dołączony do dokumentu, zatem odbiorca zna jego tożsamość niezależnie od treści dokumentu, nie wymaga to porównywania z innymi dokumentami czy odrębnego potwierdzania. Ostatecznym potwierdzeniem jest poprawna weryfikacja certyfikatu przez centrum certyfikacji. Można zatem powiedzieć, że dokument z podpisem elektronicznym jest automatycznie potwierdzony na autentyczność podpisu przez zaufaną stronę trzecią, a jeśli jest to ważny certyfikat kwalifikowany – można to w pewnym sensie porównać z potwierdzeniem notarialnym (zapewne prawnicy oburzyliby się w tym momencie, ale nie chcemy tu wnikać w niuanse prawne).
Podpis elektroniczny zapewnia automatycznie niezaprzeczalność autorstwa podpisu. Przy podpisie własnoręcznym można to uzyskać wyłącznie poprzez złożenie podpisu w obecności odbiorcy lub zaufanej osoby trzeciej. W wielu sytuacjach żadna z tych opcji nie jest możliwa, co jest rzecz jasna mocno kłopotliwe. W większości sytuacji biznesowych dokumenty popisane odręcznie nie mają waloru niezaprzeczalności. W tym aspekcie podpis elektroniczny wykazuje zdecydowaną wyższość.
Elektroniczny a odręczny
Pewna cecha podpisu elektronicznego odróżnia go od podpisu własnoręcznego. Podpis odręczny może być łatwo sfałszowany. Można go skopiować, nauczyć się go składać, przenieść, itp. Jeśli chodzi o podpis elektroniczny, powstaje on poprzez połączenie informacji z klucza podpisującego i dokumentu. Wskutek tego za każdym razem jest on inny. Nie ma możliwości, aby go skopiować czy przenieść do innego dokumentu. W tym sensie jest zatem niepodrabialny.
W tym kontekście nie można zapominać o jednym problemie – możliwości utraty przez posiadacza zestawu do składania podpisu elektronicznego. Jeśli mówimy o podpisie zaawansowanym i kwalifikowanym, to zestaw taki jest oczywiście zabezpieczony. Poziom zabezpieczeń jest taki sam, jak np. dla kart płatniczych – jest to kod PIN do karty kryptograficznej. A zatem właściciel powinien stosować do tej karty te same zasady bezpieczeństwa, co do swoich kart płatniczych. Jest to w wyłącznym interesie posiadacza. W ustawie o podpisie elektronicznym mówi się w istocie o bezpiecznym podpisie elektronicznym, czyli takim, który jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego. Czyli zakłada się, że właściciel ma stałą i wyłączną kontrolę nad swoim zestawem. Jeśli inna osoba przejmie tę kontrolę, tzn. uzyska dostęp do urządzenia i pozna PIN, będzie mogła wykonać czynność analogiczną do podrobienia podpisu własnoręcznego. Podsumowując – można powiedzieć, że w świecie podpisu elektronicznego złożenie podpisu za kogoś jest dużo trudniejsze, ale jeśli się to uda, podpis taki trudno zakwestionować. W świecie papierowym jest odwrotnie – łatwo sfałszować czyjś podpis, ale fałszerstwo jest praktycznie zawsze wykrywalne.
Kolejną korzyścią użycia podpisu elektronicznego jest zapewnienie integralności dokumentu – absolutna pewność, że nie został on zmodyfikowany od momentu podpisania. Wynika to z zastosowanych mechanizmów kryptograficznych będących podstawą podpisu. Przy dokumentach papierowych funkcję tę spełnia parafowanie stron, ale jest ono wysoce kłopotliwe – szczególnie przy obszernych dokumentach, a także nie całkiem wiarygodne. Dopisanie czegoś na podpisanym i parafowanym dokumencie jest bardzo łatwe, a nietrudno sobie także wyobrazić wymianę parafowanych stron. Zatem tu także podpis elektroniczny daje zdecydowanie więcej.
Czy są zatem jakieś wady podpisu elektronicznego?
Podstawową jest to, że do jego weryfikacji niezbędna jest działająca infrastruktura PKI zapewniona przez dostawcę podpisu. Nie ma gwarancji, że po latach będzie ona dostępna. W wypadku podpisanych odręcznie dokumentów papierowych jesteśmy w stanie sprawdzić ich autentyczność nawet po latach. Można podejrzewać, że dla dokumentów podpisanych elektronicznie nie będzie to możliwe (o ile w ogóle będzie wtedy możliwe ich odczytanie). Problem ten nie jest natomiast istotny przy szybkim obrocie dokumentami w biznesie czy kontaktach z administracją.
Kolejną dość oczywistą wadą jest to, że samo złożenie podpisu elektronicznego jest kłopotliwe. Do podpisu tradycyjnego potrzebujemy wyłącznie pióra lub długopisu i kawałka twardej powierzchni. Do elektronicznego, jeśli mówimy o podpisie zaawansowanym – urządzenia do jego składania: odpowiedniego sprzętu i oprogramowania. Sprzęt to karta kryptograficzna (albo w formacie karty kredytowej albo w formie tokena USB) kodująca klucz prywatny i zawierająca certyfikat cyfrowy oraz aplikacja podpisująca. Wiemy już, że w interesie posiadacza jest, aby urządzenie pozostawało zawsze pod jego wyłączną kontrolą. W wypadku podpisu zwykłego, kiedy certyfikat instalowany jest w systemie lub aplikacji, musimy dbać o to, aby inny użytkownik nie miał do niego dostępu, a zatem powinniśmy stosować takie same środki bezpieczeństwa, jak dla wrażliwych danych na komputerze (niepozostawianie komputera bez dozoru, ochrona hasłem, itp.).
Jak widać, wszystko to nie jest proste i może być potencjalnie niebezpieczne, jeśli nie zachowamy odpowiednich zasad bezpieczeństwa.
Następny problem, jaki możemy napotkać przy składaniu podpisu elektronicznego, to akceptacja odbiorcy. Do akceptacji podpisu niekwalifikowanego konieczna jest zgoda obu stron na stosowanie takiej formy podpisywania dokumentów. Jeśli odbiorca nie chce uznać tej formy, nie możemy jej w tym wypadku zastosować. Przy podpisie kwalifikowanym jest inaczej – bezpieczny kwalifikowany podpis elektroniczny jest teoretycznie prawnie równoważny podpisowi własnoręcznemu, ale także w tej sytuacji możemy napotkać problemy – odbiorca może nie dysponować środkami technicznymi niezbędnymi do weryfikacji podpisu elektronicznego. Ba, może nie mieć możliwości odczytania dokumentu elektronicznego. W tej sytuacji może być konieczne użycie form tradycyjnych. Kolejnym problemem są kontakty międzynarodowe – brak pełnej interoperacyjności uniemożliwia w praktyce skuteczne weryfikowanie certyfikatów kwalifikowanych wydawanych w innych krajach, co uniemożliwia ich stosowanie w sposób taki, jak w obrocie krajowym. Ewentualną radą na to jest potraktowanie podpisu kwalifikowanego jak zaawansowanego i uznanie go przez odbiorcę poprzez odpowiednią umowę – zależy to od dobrej woli odbiorcy i nie można tego od niego wymagać. Jeszcze inna problematyczna sytuacja polega na niezrozumiałym w świetle prawa nieuznawaniu dokumentów z kwalifikowanym podpisem elektronicznym przez niektóre instytucje. Teoretycznie rzecz taka nie powinna mieć miejsca, ale praktyka pokazuje, że niestety jest inaczej. Ostatecznie można powiedzieć jedno – podpisu tradycyjnego możemy użyć zawsze i nikt tej formy nie może zakwestionować. Podpis elektroniczny wymaga natomiast istnienia technicznych możliwości i woli po obu stronach.
Ostatnia, choć wcale nie najmniej ważna, sprawa, to koszty. Podpis elektroniczny nie jest darmowy. Jeśli mamy do czynienia z podpisem kwalifikowanym, konieczne jest wykupienie certyfikatu kwalifikowanego. Są to koszty rzędu 100-200 zł rocznie plus jednorazowy koszt zestawu, ponoszone przez właściciela certyfikatu. Certyfikaty niekwalifikowane są pozornie darmowe. Oznacza to, że osoba otrzymująca taki certyfikat nie musi za niego płacić, ale przecież wystawca certyfikatu – firma lub instytucja – musi ponosić koszty funkcjonowania organizacji oraz infrastruktury PKI niezbędnej do wydawania i weryfikacji certyfikatów. Są one wcale niebagatelne, jeśli mówimy o podpisie zaawansowanym. Zatem – mówiąc najogólniej – używanie podpisu elektronicznego, jeśli nie jest to podpis zwykły, kosztuje. Co gorsza, koszty ponosi praktycznie tylko jedna strona – składająca podpis. Można zatem powiedzieć, że sam „model biznesowy” podpisu elektronicznego jest niedoskonały. W większości sytuacji to odbiorcy zależy bowiem, co najmniej tak samo na wiarygodności podpisanego dokumentu, co nadawcy, a przeważnie znacznie bardziej. On jednak nie musi za to płacić. Wydaje się, że jest to jeden z większych hamulców postępu w rozwoju podpisu elektronicznego w ogóle. Bez istotnej zmiany tego modelu nie należy spodziewać się, że forma tradycyjna w najbliższym czasie zostanie wyparta przez podpis elektroniczny. Pomimo wszystko jednak forma elektroniczna powinna być szerzej używana. Praktyczne zastosowanie podpisu elektronicznego omówimy w następnej części naszego cyklu.
Piotr Salata, Wiceprezes Zarządu Pentacomp są
Pentacomp Systemy Informatyczne SA
www.pentacomp.pl
- po prostu: przyzwyczajenie do własnoręcznego podpisywania dokumentów,
- brak rzetelnej wiedzy o podpisie elektronicznym i wiara w rozpowszechnione błędne przekonania i mity;
- nieufność i niepewność wynikające z braku wiedzy;
- wysokie koszty podpisu elektronicznego, a także obawę o wysokie koszty, nawet jeśli nie ma konieczności ich ponoszenia;
- brak w świecie cyfrowym, który powinien być naturalnym środowiskiem dla podpisu elektronicznego, dostatecznej liczby usług, w których podpis ten wykazywałby swą użyteczność, w porównaniu do olbrzymiej liczby usług, które go nie wymagają;
- brak interoperacyjności pomiędzy podpisami elektronicznymi różnych krajów.
Istota koncepcji e-podpisu jest prosta. Podpis elektroniczny, którym opatruje się dokumenty elektroniczne, odpowiada podpisowi odręcznemu składanemu na dokumentach papierowych. Pełni on tę samą zasadniczą funkcję – potwierdzenie autentyczności dokumentu po stronie odbiorcy. Analogicznie do podpisu odręcznego, wiarygodność podpisu elektronicznego i zaufanie, jakim możemy go obdarzyć, może być różna. Nie bez powodu funkcjonuje instytucja notarialnego poświadczania podpisu czy potwierdzania podpisu przez upoważnione osoby w urzędach, bankach lub innych instytucjach. Podpis własnoręczny nie jest w pełni wiarygodny sam z siebie. Podobnie jest w dziedzinie podpisu elektronicznego istnieje kilka jego rodzajów dających różne poziomy zaufania.
Podpisane
Podpis elektroniczny to szerokie pojęcie – najprostsze jego formy (tzw. podpis zwykły) dają ogólnie niski poziom wiarygodności. Może to być przykładowo informacja aplikacji pocztowej o nadawcy e-maila lub skan grafiki podpisu dołączony do dokumentu. Jasne jest, że możemy ufać takiej formie podpisu jedynie wtedy, gdy dobrze znamy nadawcę, jest on wiarygodny, a najlepiej, abyśmy byli w stanie potwierdzić fakt podpisania dokumentu przez nadawcę. Nie trzeba przekonywać, że użyteczność tego rodzaju podpisu w praktyce – także biznesowej – jest znikoma, chociaż istnieją przykłady jego przydatności. Ujmując sprawę inaczej, można powiedzieć, że podpis zwykły jest na tyle ważny, wiarygodny i skuteczny, na ile nadawca i odbiorca dokumentu umówią się w danej sytuacji, biorąc pod uwagę cały kontekst i potrzeby obu stron.
Użyteczne biznesowo rodzaje podpisu elektronicznego oparte są na technice podpisu cyfrowego. Należy podkreślić, że pozornie zbliżone terminy: podpis elektroniczny i podpis cyfrowy odnoszą się do całkowicie różnych pojęć: podpis elektroniczny jest pojęciem prawnym, uregulowanym odpowiednimi ustawami (obecnie w Polsce: ustawa z 18 września 2001 r. o podpisie elektronicznym z późniejszymi zmianami) i rozporządzeniami oraz Dyrektywą Europejską (Dyrektywa o Wspólnotowej Infrastrukturze Podpisów Elektronicznych 1999/93/EC). Podpis cyfrowy odnosi się z kolei do technologii opartej na kryptografii asymetrycznej (tzw. kryptografii klucza publicznego) i certyfikatach cyfrowych. Dzięki zastosowaniu techniki podpisu cyfrowego w realizacji podpisu elektronicznego otrzymujemy narzędzie realnie przydatne w praktyce biznesowej. Dalej będziemy się zajmować głownie taką postacią podpisu elektronicznego.
Podstawą podpisu cyfrowego są certyfikaty cyfrowe. Dysponując odpowiednim certyfikatem możemy m.in. składać podpis elektroniczny. Istnieją także certyfikaty o innym przeznaczeniu, np. do szyfrowania informacji, do podpisywania kodu czy znane świadomym użytkownikom Internetu certyfikaty potwierdzające tożsamość serwerów, np. WWW lub poczty.
Dokument tożsamości
Dla celów podpisu elektronicznego możemy powiedzieć, że certyfikat jest elektronicznym odpowiednikiem dokumentem tożsamości posiadacza. Tak jak w świecie dokumentów papierowych mamy różnorodne dokumenty – paszporty, dowody osobiste, legitymacje, tak w świecie cyfrowym można wyróżnić dwa rodzaje certyfikatów: kwalifikowane i niekwalifikowane. Certyfikaty kwalifikowane wydawane są przez kwalifikowane centra (urzędy) certyfikacji, które po przejściu odpowiednich procedur weryfikujących uznano za tzw. zaufane strony trzecie. Zaufanie zagwarantowane jest przez państwo, dlatego każdy certyfikat wydany przez takie centrum jest zaufany globalnie. Jak jednak należy rozumieć „zaufanie” w tym kontekście?
To po pierwsze pewność, że posiadaczem certyfikatu rzeczywiście jest osoba, której dane są w nim umieszczone. W tym sensie certyfikat kwalifikowany odpowiada dokumentowi tożsamości takiemu jak paszport lub dowód osobisty. Z tą różnicą, że paszport czy dowód można podrobić domowymi sposobami (na tyle skutecznie, że da się go używać w sytuacjach, w których osoba weryfikująca nie dysponuje profesjonalnymi technikami weryfikacji, czyli prawie zawsze). Certyfikatu – nie! Wyjaśnia to, dlaczego certyfikatu kwalifikowanego nie można sobie po prostu ściągnąć z Sieci, ale należy się po niego udać osobiście do centrum w celu weryfikacji tożsamości. Ponadto, certyfikat może być przyznany wyłącznie osobie fizycznej i może być używany jedynie do podpisu elektronicznego.
Po drugie, kwalifikowane centrum zapewnia wiarygodną obsługę wydanego certyfikatu – przede wszystkim jego rzetelną weryfikację, czyli czynność niezbędną dla uznania złożonego podpisu elektronicznego za prawidłowy. Dokument podpisany elektronicznie może być przez odbiorcę uznany za wiarygodny dopiero po weryfikacji podpisu. Z samego podpisu nie wynika bowiem, czy jest on prawidłowy. Certyfikat związany z kluczem użytym do złożenia podpisu mógł np. zostać unieważniony, a informację o tym ma jedynie jego wydawca – centrum certyfikacji. Potwierdzenie poprawności podpisu wymaga zatem dokonania jego weryfikacji – albo poprzez bezpośrednie połączenie z centrum (wykorzystanie tzw. OCSP – Online Certificate Status Protocol) albo przez przeszukanie list unieważnionych certyfikatów (CRL – Certificate Revocation List). Usługa weryfikacji świadczona przez centrum kwalifikowane może być uznana za w pełni wiarygodną, dzięki czemu mamy pewność, że jeśli da wynik pozytywny, to podpis jest prawidłowy.
Gdybyśmy chcieli znaleźć precyzyjniejszą analogię między światem „papierowym” a podpisem elektronicznym, możemy powiedzieć, że do dokumentu podpisanego elektronicznie dołączony jest dokument tożsamości osoby składającej podpis. Technologia zapewnia, że podpis i dołączony do niego dokument tożsamości stanowią parę. Nie jest bowiem technicznie możliwe złożenie podpisu i dołączenie innego certyfikatu, ani „podmienienie” certyfikatu na inny. Z kolei autentyczność i ważność dokumentu oraz jego powiązanie z konkretną osobą fizyczną jest potwierdzana przez centrum certyfikacji w procesie weryfikacji podpisu. W rezultacie, jako odbiorca mamy podpisany elektronicznie dokument, dokument tożsamości podpisującego i metodę weryfikacji tego dokumentu tożsamości przez zaufana stronę trzecią. Jest to zatem o wiele więcej, niż to, czym dysponujemy w świecie „papierowym”.
Po trzecie – kwalifikowane centrum może świadczyć inne wiarygodne i użyteczne usługi związane z podpisem elektronicznym, np. znakowanie czasem. Dzięki tej usłudze mamy pewność co do czasu wykonania operacji znakowania (złożenia podpisu). W odpowiednich sytuacjach wywołuje to prawne skutki daty pewnej. Jest to zatem przydatna usługa, dająca stuprocentowo wiarygodne i dokładne datowanie dokumentu, niezależnie od prawidłowości ustawienia daty na komputerze autora czy jakimkolwiek innym. Inne przydatne usługi to: poświadczenie przedłożenia, poświadczenie odbioru dokumentu, poświadczenie depozytowe, certyfikaty atrybutów (pozwalające na umieszczenie w certyfikacie istotnych informacji, np. stanowiska, roli lub uprawnienia osoby).
Bezpieczeństwo w zestawie
Opisane usługi związane z certyfikatami cyfrowymi świadczone przez centra kwalifikowane są globalnie uznawane za wiarygodne na podstawie przejścia przez te centra wymagających procedur audytowych. Fakt ten jest poświadczony poprzez wpisanie ich na odpowiednią urzędową listę – w Polsce jest to „Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne związane z podpisem elektronicznym”. Zapewnienie i stałe utrzymywanie warunków technicznych i organizacyjnych pozwalających znaleźć się na takiej liście, a także same procedury są kosztowne. Ponieważ centrami kwalifikowanymi są podmioty komercyjne, muszą zarabiać na pokrycie tych kosztów. Certyfikaty kwalifikowane w obecnych warunkach muszą być zatem płatne. Kupując certyfikat kwalifikowany zapewniamy sobie to, że złożony przy jego użyciu podpis będzie mógł być uznany przez każdego odbiorcę (obecnie – z racji problemów interoperacyjności – należałoby powiedzieć: każdego odbiorcę w Polsce), szczególnie przez instytucje wymagające bezwzględnie używania podpisów kwalifikowanych.
Przy okazji należy sprostować pewien powszechny błąd: nie kupujemy podpisu elektronicznego, ale zestaw do składania podpisu – certyfikat cyfrowy z parą kluczy, zestaw urządzeń i oprogramowanie (sprzęt z oprogramowaniem zwany bezpiecznym urządzeniem do składania podpisu elektronicznego). Jest to zasadnicza różnica: podpis elektroniczny dopiero powstaje poprzez zastosowanie zestawu przez jego posiadacza do konkretnego dokumentu. Sam podpis elektroniczny dla każdego dokumentu jest inny. Ma to istotne implikacje, o których będzie mowa dalej.
Powstaje dość zasadnicze pytanie: wiemy już, że certyfikaty kwalifikowane używane są jedynie do składania/weryfikacji podpisów elektronicznych. Ale czy tylko certyfikaty kwalifikowane się do tego nadają? Oczywiście nie. Z technicznego i organizacyjnego punktu widzenia te same usługi, co centra kwalifikowane, mogą świadczyć inne podmioty – przedsiębiorstwa, organizacje, urzędy. Na czym polega różnica? Podmioty te nie podjęły skutecznych starań o wpis na urzędową listę. Wydawane i obsługiwane przez nie certyfikaty są niekwalifikowane. Czy przez to nie mogą być używane do składania i weryfikowania podpisów elektronicznych? I znów odpowiedź brzmi: nie. Certyfikaty niekwalifikowane są jak najbardziej przydatne do podpisu elektronicznego. Różnica polega na poziomie zaufania i aspektach prawnych. Centra kwalifikowane są zaufane globalnie, a certyfikaty kwalifikowane uznawane są z mocy ustawy o podpisie elektronicznym. Centra niekwalifikowane stają się zaufane w inny sposób, np. na podstawie umowy, innych przepisów prawa czy przepisów wewnętrznych organizacji. Przykładowo: firmy mogą zawrzeć między sobą umowę dotyczącą wzajemnego uznawania certyfikatów; dzięki odpowiedniej uchwale jednostka administracji może uznawać dokumenty podpisane przy użyciu wystawionych przez nią certyfikatów; dokumenty w ramach przedsiębiorstwa mogą być skutecznie podpisywane certyfikatami wydawanymi przez wewnętrzne centrum certyfikacji. A zatem, w wielu sytuacjach można stosować podpis elektroniczny bez konieczności posiadania certyfikatu kwalifikowanego – jeśli tylko jest do tego odpowiednia podstawa. Mamy wówczas do czynienia z tzw. podpisem zaawansowanym. Tak jak certyfikaty kwalifikowane porównywaliśmy do dowodów osobistych, tak analogią do niekwalifikowanych mogą być np. legitymacje służbowe. Aby zapewnić odpowiedni poziom zaufania, także takie certyfikaty muszą być wydawane w odpowiedniej procedurze weryfikacji tożsamości osoby. Używając certyfikatu niekwalifikowanego powinniśmy upewnić się, że funkcjonowanie centrum certyfikacji jest zgodne z zasadami.
Używając podpisu elektronicznego powinniśmy wiedzieć o jego najistotniejszych cechach. W czym jest on równorzędny, w czym lepszy, a w czym gorszy od podpisu odręcznego?
Analogicznie do podpisu odręcznego, podpis elektroniczny uwierzytelnia stronę podpisującą – potwierdza jej tożsamość i jej prawo do składania podpisu. W ogólnym sensie mamy zatem do czynienia z równoważnością obu metod. Jednak podpis elektroniczny jest lepszy pod względem dokładności i jednoznaczności danych identyfikujących. Jeśli dysponujemy papierowym dokumentem podpisanym odręcznie, o osobie, która złożyła ten podpis możemy co najwyżej wnioskować z treści samego dokumentu (np. wydrukowane nazwisko lub pieczątka), a o autentyczności podpisu – z porównania z innymi dokumentami, o których wiadomo, że są podpisane przez tę samą osobę (chociaż i tak pozostaje możliwość podrobienia). Autentyczność podpisu może być potwierdzona, ale jest to rozwiązanie problematyczne. W wypadku podpisu elektronicznego certyfikat z pełnymi danymi podpisującego jest dołączony do dokumentu, zatem odbiorca zna jego tożsamość niezależnie od treści dokumentu, nie wymaga to porównywania z innymi dokumentami czy odrębnego potwierdzania. Ostatecznym potwierdzeniem jest poprawna weryfikacja certyfikatu przez centrum certyfikacji. Można zatem powiedzieć, że dokument z podpisem elektronicznym jest automatycznie potwierdzony na autentyczność podpisu przez zaufaną stronę trzecią, a jeśli jest to ważny certyfikat kwalifikowany – można to w pewnym sensie porównać z potwierdzeniem notarialnym (zapewne prawnicy oburzyliby się w tym momencie, ale nie chcemy tu wnikać w niuanse prawne).
Podpis elektroniczny zapewnia automatycznie niezaprzeczalność autorstwa podpisu. Przy podpisie własnoręcznym można to uzyskać wyłącznie poprzez złożenie podpisu w obecności odbiorcy lub zaufanej osoby trzeciej. W wielu sytuacjach żadna z tych opcji nie jest możliwa, co jest rzecz jasna mocno kłopotliwe. W większości sytuacji biznesowych dokumenty popisane odręcznie nie mają waloru niezaprzeczalności. W tym aspekcie podpis elektroniczny wykazuje zdecydowaną wyższość.
Elektroniczny a odręczny
Pewna cecha podpisu elektronicznego odróżnia go od podpisu własnoręcznego. Podpis odręczny może być łatwo sfałszowany. Można go skopiować, nauczyć się go składać, przenieść, itp. Jeśli chodzi o podpis elektroniczny, powstaje on poprzez połączenie informacji z klucza podpisującego i dokumentu. Wskutek tego za każdym razem jest on inny. Nie ma możliwości, aby go skopiować czy przenieść do innego dokumentu. W tym sensie jest zatem niepodrabialny.
W tym kontekście nie można zapominać o jednym problemie – możliwości utraty przez posiadacza zestawu do składania podpisu elektronicznego. Jeśli mówimy o podpisie zaawansowanym i kwalifikowanym, to zestaw taki jest oczywiście zabezpieczony. Poziom zabezpieczeń jest taki sam, jak np. dla kart płatniczych – jest to kod PIN do karty kryptograficznej. A zatem właściciel powinien stosować do tej karty te same zasady bezpieczeństwa, co do swoich kart płatniczych. Jest to w wyłącznym interesie posiadacza. W ustawie o podpisie elektronicznym mówi się w istocie o bezpiecznym podpisie elektronicznym, czyli takim, który jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego. Czyli zakłada się, że właściciel ma stałą i wyłączną kontrolę nad swoim zestawem. Jeśli inna osoba przejmie tę kontrolę, tzn. uzyska dostęp do urządzenia i pozna PIN, będzie mogła wykonać czynność analogiczną do podrobienia podpisu własnoręcznego. Podsumowując – można powiedzieć, że w świecie podpisu elektronicznego złożenie podpisu za kogoś jest dużo trudniejsze, ale jeśli się to uda, podpis taki trudno zakwestionować. W świecie papierowym jest odwrotnie – łatwo sfałszować czyjś podpis, ale fałszerstwo jest praktycznie zawsze wykrywalne.
Kolejną korzyścią użycia podpisu elektronicznego jest zapewnienie integralności dokumentu – absolutna pewność, że nie został on zmodyfikowany od momentu podpisania. Wynika to z zastosowanych mechanizmów kryptograficznych będących podstawą podpisu. Przy dokumentach papierowych funkcję tę spełnia parafowanie stron, ale jest ono wysoce kłopotliwe – szczególnie przy obszernych dokumentach, a także nie całkiem wiarygodne. Dopisanie czegoś na podpisanym i parafowanym dokumencie jest bardzo łatwe, a nietrudno sobie także wyobrazić wymianę parafowanych stron. Zatem tu także podpis elektroniczny daje zdecydowanie więcej.
Czy są zatem jakieś wady podpisu elektronicznego?
Podstawową jest to, że do jego weryfikacji niezbędna jest działająca infrastruktura PKI zapewniona przez dostawcę podpisu. Nie ma gwarancji, że po latach będzie ona dostępna. W wypadku podpisanych odręcznie dokumentów papierowych jesteśmy w stanie sprawdzić ich autentyczność nawet po latach. Można podejrzewać, że dla dokumentów podpisanych elektronicznie nie będzie to możliwe (o ile w ogóle będzie wtedy możliwe ich odczytanie). Problem ten nie jest natomiast istotny przy szybkim obrocie dokumentami w biznesie czy kontaktach z administracją.
Kolejną dość oczywistą wadą jest to, że samo złożenie podpisu elektronicznego jest kłopotliwe. Do podpisu tradycyjnego potrzebujemy wyłącznie pióra lub długopisu i kawałka twardej powierzchni. Do elektronicznego, jeśli mówimy o podpisie zaawansowanym – urządzenia do jego składania: odpowiedniego sprzętu i oprogramowania. Sprzęt to karta kryptograficzna (albo w formacie karty kredytowej albo w formie tokena USB) kodująca klucz prywatny i zawierająca certyfikat cyfrowy oraz aplikacja podpisująca. Wiemy już, że w interesie posiadacza jest, aby urządzenie pozostawało zawsze pod jego wyłączną kontrolą. W wypadku podpisu zwykłego, kiedy certyfikat instalowany jest w systemie lub aplikacji, musimy dbać o to, aby inny użytkownik nie miał do niego dostępu, a zatem powinniśmy stosować takie same środki bezpieczeństwa, jak dla wrażliwych danych na komputerze (niepozostawianie komputera bez dozoru, ochrona hasłem, itp.).
Jak widać, wszystko to nie jest proste i może być potencjalnie niebezpieczne, jeśli nie zachowamy odpowiednich zasad bezpieczeństwa.
Następny problem, jaki możemy napotkać przy składaniu podpisu elektronicznego, to akceptacja odbiorcy. Do akceptacji podpisu niekwalifikowanego konieczna jest zgoda obu stron na stosowanie takiej formy podpisywania dokumentów. Jeśli odbiorca nie chce uznać tej formy, nie możemy jej w tym wypadku zastosować. Przy podpisie kwalifikowanym jest inaczej – bezpieczny kwalifikowany podpis elektroniczny jest teoretycznie prawnie równoważny podpisowi własnoręcznemu, ale także w tej sytuacji możemy napotkać problemy – odbiorca może nie dysponować środkami technicznymi niezbędnymi do weryfikacji podpisu elektronicznego. Ba, może nie mieć możliwości odczytania dokumentu elektronicznego. W tej sytuacji może być konieczne użycie form tradycyjnych. Kolejnym problemem są kontakty międzynarodowe – brak pełnej interoperacyjności uniemożliwia w praktyce skuteczne weryfikowanie certyfikatów kwalifikowanych wydawanych w innych krajach, co uniemożliwia ich stosowanie w sposób taki, jak w obrocie krajowym. Ewentualną radą na to jest potraktowanie podpisu kwalifikowanego jak zaawansowanego i uznanie go przez odbiorcę poprzez odpowiednią umowę – zależy to od dobrej woli odbiorcy i nie można tego od niego wymagać. Jeszcze inna problematyczna sytuacja polega na niezrozumiałym w świetle prawa nieuznawaniu dokumentów z kwalifikowanym podpisem elektronicznym przez niektóre instytucje. Teoretycznie rzecz taka nie powinna mieć miejsca, ale praktyka pokazuje, że niestety jest inaczej. Ostatecznie można powiedzieć jedno – podpisu tradycyjnego możemy użyć zawsze i nikt tej formy nie może zakwestionować. Podpis elektroniczny wymaga natomiast istnienia technicznych możliwości i woli po obu stronach.
Ostatnia, choć wcale nie najmniej ważna, sprawa, to koszty. Podpis elektroniczny nie jest darmowy. Jeśli mamy do czynienia z podpisem kwalifikowanym, konieczne jest wykupienie certyfikatu kwalifikowanego. Są to koszty rzędu 100-200 zł rocznie plus jednorazowy koszt zestawu, ponoszone przez właściciela certyfikatu. Certyfikaty niekwalifikowane są pozornie darmowe. Oznacza to, że osoba otrzymująca taki certyfikat nie musi za niego płacić, ale przecież wystawca certyfikatu – firma lub instytucja – musi ponosić koszty funkcjonowania organizacji oraz infrastruktury PKI niezbędnej do wydawania i weryfikacji certyfikatów. Są one wcale niebagatelne, jeśli mówimy o podpisie zaawansowanym. Zatem – mówiąc najogólniej – używanie podpisu elektronicznego, jeśli nie jest to podpis zwykły, kosztuje. Co gorsza, koszty ponosi praktycznie tylko jedna strona – składająca podpis. Można zatem powiedzieć, że sam „model biznesowy” podpisu elektronicznego jest niedoskonały. W większości sytuacji to odbiorcy zależy bowiem, co najmniej tak samo na wiarygodności podpisanego dokumentu, co nadawcy, a przeważnie znacznie bardziej. On jednak nie musi za to płacić. Wydaje się, że jest to jeden z większych hamulców postępu w rozwoju podpisu elektronicznego w ogóle. Bez istotnej zmiany tego modelu nie należy spodziewać się, że forma tradycyjna w najbliższym czasie zostanie wyparta przez podpis elektroniczny. Pomimo wszystko jednak forma elektroniczna powinna być szerzej używana. Praktyczne zastosowanie podpisu elektronicznego omówimy w następnej części naszego cyklu.
Piotr Salata, Wiceprezes Zarządu Pentacomp są
Pentacomp Systemy Informatyczne SA
www.pentacomp.pl
|
nr 2(118)2012  Zobacz więcej na temat: podpis elektroniczny |
|
