CryptoTech - Strona głównaGazele Biznesu 2014 
Fundusze UE
Fundusze UE
 
Certyfikat ISO 9001: 2008
ISO 9001:2008
 
KRAJOWA IZBA GOSPODARCZA ELEKTRONIKI I TELEKOMUNIKACJI
KIGEiT
 
Certyfikacja CSCIP
CSCIP
Strona główna : Informacje : Wiadomości : Uwagi CryptoTech do projektu ustawy o podpisach elektronicznych z dnia 4 listopada 2008r.
Wiadomości
Dla Prasy

Uwagi CryptoTech do projektu ustawy o podpisach elektronicznych z dnia 4 listopada 2008r.

2008-12-08

Ministerstwo Gospodarki zaprosiło Prezesa Cryptotech Dariusza Lewickiego do konsultacji projektowanej ustawy o podpisach elektronicznych. Poniżej zamieszczamy skróconą wersję stanowiska CT, koncentrując się na przedstawieniu nowych rozwiązań wprowadzających chaos terminologiczny i pojęciowy.

Uwagi ogólne.

1. Celem nowelizacji ustawy o podpisie elektronicznym miało być "ułatwienie stosowania podpisu elektronicznego, jako występującego w różnych postaciach i na różnych poziomach bezpieczeństwa mechanizmu uwierzytelniania w elektronicznym obrocie prawnym" przez wprowadzenie jedynie niezbędnych zmian w odniesieniu do narzędzi dotychczas istniejących.

Jednak sposób jej przygotowania wskazuje na próbę pracowitej korekty poprzedniej ustawy, w efekcie czego zamiast postulowanych uproszczeń otrzymujemy jeszcze większą ilość, często niepotrzebnych, nowych elementów systemu podpisu elektronicznego oraz wiele nowych, niezdefiniowanych lub źle zdefiniowanych relacji pomiędzy nimi.

2. Niezbyt przejrzyście udało się zdefiniować zadanie, rolę i odpowiedzialność "zaufanej Trzeciej Strony" świadczącej JAKIEKOLWIEK usługi certyfikacyjne, gdzie usługa certyfikacyjne TO NIE TYLKO zarządzanie certyfikatami, ale raczej jakiekolwiek usługi oznaczające wydawanie i zarządzanie elektronicznie poświadczonych informacji, za które odpowiada ich wydawca.

Nawet tak szerokie zdefiniowanie ZTS może nie wystarczyć w świetle bogactwa rozwiązań technologicznych i logicznych w zakresie usług ZTS, gdyż można sobie wyobrazić usługi tego typu nie posługujące się instytucją podpisu elektronicznego, chociaż będą to usługi wspierające system podpisu.

W projekcie ustawy jest jednak znacznie gorzej zdefiniowana instytucja ZTS, która miejscami niepotrzebnie jest wprost powiązana z certyfikatami kluczy oraz źle zorganizowany podział pomiędzy zadaniami i regulacjami dotyczącymi podmiotów/usług kwalifikowanych i pozostałych usług certyfikacyjnych. Np. w niektórych regulacjach szczegółowych dotyczących usług kwalifikowanych wprost pojawia się odwołanie do certyfikatu, co automatycznie wyklucza zastosowanie danej regulacji dla podmiotów świadczących inne usługi certyfikacyjne (np. walidację), pomimo, że wcześniej próbuje się włączyć wszystkie te podmioty do ogólnej grupy podmiotów certyfikacyjnych.

3. Zupełnie nie udało się w ramach ustawy odwzorowanie i uregulowanie dwóch zasadniczo innych zastosowań podpisu cyfrowego, jakim jest użycie go dla celów niezaprzeczalności/oświadczenie woli oraz jako techniczny składnik protokołów uwierzytelniania strony, co nie ma nic wspólnego z niezaprzeczalnością.

Chodzi o bardzo wyraźne rozgraniczenie zasad stosowania i skutków użycia mechanizmu podpisu wobec dokumentu oraz wobec losowych danych przetwarzanych w trakcie realizacji protokołu uwierzytelniającego kanał/dostęp online lub uwierzytelnianego ŹRÓDŁO przysyłanego dokumentu a nie jego AUTORA.

Wyraźnie widać jaki nasze prawodawstwo ma z tym problem w przypadku faktury elektronicznej gdzie oryginalna regulacja EU przewiduje stosowanie podpisu dla uwierzytelnienia ŻRÓDŁA ale JEDNOCZEŚNIE zabrania nakładania prawodawstwem krajowym obowiązku podpisywania faktury. Tutaj właśnie pojawia się dość dobrze ograniczana rola podpisu w wielu regulacjach EU i zawiłe rozgraniczenie (lub jego brak) w przypadku starej ustawy o podpisie elektronicznym jak i jej nowelizacji.

Dalej nie udało się wyraźnie i jednoznacznie rozgraniczyć te dwa użycia technicznego mechanizmu podpisu, co generuje ogromną ilość nieporozumień, błędów w stosowaniu podpisu (patrz faktura elektroniczna) w innych regulacjach prawnych i mocno ogranicza zaufanie to samej instytucji podpisu skoro tak trudno jest zinterpretować zakres i skutki jego stosowania.

4. Niepotrzebnie w nowelizacji ustawy pojawiły się szczegóły implementacyjne, techniczne, organizacyjne, które zdecydowanie powinny zostać przeniesione do rozporządzeń, pozostawiając ustawę maksymalnie ogólną i elastyczną na modyfikacje technologiczne, które są nieuchronne w systemie opartym na standardach i technologiach informatycznych.

5. Projekt ustawy w zbyt małym stopniu (jeśli wcale) uwzględnił rozwinięcie pojęciowe systemu podpisu elektronicznego, które EU opracowała w postaci dokumentów CWA. W świetle wprowadzenia pojęcia bezpiecznego urządzenia do składania podpisu wyraźnie brakuje pojęcia Systemu do składania podpisu definiującego środowisko stosowania bezpiecznego urządzenia i zadania dla poszczególnych składników tego Systemu. Niewystarczalność pojęcia samego "urządzenia do składania podpisu" do opisania stawianych wymagań i cech składników systemu podpisu jest powszechnie znana praktykom tej dziedziny i stąd szereg uzgodnień technicznych w postaci dokumentów CWA lub norm EU. Jeśli ustawa o podpisie ma w ramach rozporządzeń wprowadzić czy powołać się na te regulacje to należy usunąć w samej ustawy wszelkie regulacja implementacyjne i przenieść je do rozporządzeń. W obecnej postaci w wymaganiach dla urządzeń i systemów wprowadzono więcej szczegółów niż przewidywała ogólna Dyrektywa EU ale jednocześnie nie wprowadzono tych dodatkowych składników Systemu podpisu elektronicznego by łatwo było im przypisać stosowane role i wymagania a zdjąć je z przyjętych praktycznie implementacji np. bezpiecznych urządzeń do składania podpisu.

Np. wymagania Art. 26.1 powinny znaleźć się w rozporządzeniu gdzie pojawi się też definicja aplikacji podpisującej i zadania dla niej by nie popełnić takiego błędu jak wymagania by bezpieczne urządzenie cokolwiek "komunikowało" dla jego posiadacza gdyż w 99% przypadków nie jest w stanie tego robić i za to odpowiadają inne składniki Systemu składania podpisu elektronicznego. Wprowadzanie od początku zapisów implementacyjnych w ustawie budzi spore zastrzeżenia ale wprowadzenia wymagań, których nie da się w ramach obecnie dostępnej technologii zrealizować stawia pod wielkim znakiem zapytania sens istnienia takiego dokumentu, którego nie można w praktyce zaimplementować.

6. Ustawa powinna być niezależne technologicznie i taką próbuje w wybranych miejscach być, unikając nawet odnoszenia się wprost to podpisu cyfrowego opartego na certyfikatach kluczy publicznych, by w innych miejscach wprost do certyfikatów się odnosić i nakładać różne wymagania na ich zawartość, sposób zarządzania i dystrybucji.

O ile odwołanie do systemu podpisu cyfrowego opartego na kryptografii asymetrycznej i instytucji certyfikatu klucza publicznego można jeszcze uznać za uzasadnione gdyż nie ma innego liczącego się obecnie systemu alternatywnego, to już definiowanie na poziomie ustawy detali implementacji certyfikatów i metod zarządzana certyfikatami przynosi bardzo niekorzystne skutki praktyczne.

Np. odwołanie się wprost do instytucji listy certyfikatów unieważnionych i wprowadzenie obowiązku jej generowania i posługiwania się nią, marginalizuje zalety innych, alternatywnych sposobów dystrybucji informacji o unieważnieniu certyfikatów, które powstały w ostatnich latach jako praktyczna odpowiedź na niepraktyczne listy CRL w realnych systemach podpisu cyfrowego.

Szczególnie dobitnie widać to w ramach projektów dużej skali gdzie zarządza się setkami tysięcy czy milionami certyfikatów i listy CRL rosną do zupełnie nieużywalnych rozmiarów. Istniejące alternatywne metody obsługi usług dystrybucji informacji o unieważnieniach mogły by te problemy zmniejszać ale w tym celu ustawa musi pozostawić w tym zakresie realną a nie deklarowaną wyłącznie niezależność technologiczną i nie opierać wprost modelu działania podpisu na istnieniu i używaniu list CRL jako obowiązkowego sposoby realizacji określonych zadań związanych z zarządzaniem certyfikatami. Usługa generowania list CRL powinna mieć status taki sam jak każdy inny sposób osiągnięcia wymaganego celu formalnego jakim jest wiążące informowania o ważności certyfikatów wydanych przez dany podmiot świadczący usługi certyfikacyjne. Wybór konkretnych metod i warunki ich realizacji powinna określać polityka certyfikacji a jeśli istniały by poważne powody by uregulować również tą materię to właściwym miejscem są Rozporządzenia a nie sama ustawa.

Przykłady uwag szczegółowych.

Zdaniem Prezesa CryptoTech projekt ustawy powinien być GRUNTOWNIE zmieniony (napisany od początku, na fundamentach dobrych i ogólnych definicji, neutralnie technologicznie przez cały dokument a nie tylko w wybranych artykułach, uwagi poniższe należy są raczej przykładami charakteru niespójności i problemów interpretacyjnych w dokumencie a nie skończonym katalogiem wad, których usunięcie wystarczy dla osiągnięcia akceptowalnej nowelizacji ustawy o podpisie elektronicznym.

Poniższa lista nie obejmuje wszystkich uwag szczegółowych do projektu ustawy gdyż jest ich zbyt wiele i są one ze sobą mocno powiązane lub wynikają z ogólnych wad podejścia zawartego w projekcie, którego zmiana może zneutralizować od razu pokaźną część tych uwag. Dalsze korygowanie przedstawionego projektu wydaje się znacznie trudniejszym wariantem niż zasadnicza przebudowa dokumentu budującego najważniejsze i ogólne regulacje systemowe na solidnym fundamencie dobrych definicji i optymalnego zakresu dla ustawy, z wyraźnym przesunięciem środka ciężkości zapisów technologicznych do rozporządzeń do ustawy.

Przykład wielu subtelnych wad rozumienia technologii oraz błędów tłumaczenia uzgodnień i standardów międzynarodowych sugeruje też konieczność rozszerzenia zespołu przygotowującego ustawę o praktyków lepiej rozumiejących te różnice znaczeniowe terminów angielskojęzycznych w konkretnej dziedzinie bezpieczeństwa informacji opartego na modelu PKI i podpisu elektronicznego.

Art 2.2

Zaawansowany podpis elektroniczny jest to podpis elektroniczny przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za pomocą środków, które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi, w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna


Art 2.4

Łączny podpis elektroniczny jest to podpis elektroniczny przyporządkowany grupie podpisujących i umożliwiający ich identyfikację, utworzony za pomocą środków, które podpisujący mają pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna.


Art 2.6 vs. Art 2.18


Art 2.8

Weryfikacja podpisu elektronicznego umożliwia identyfikację podpisującego i stwierdzenie, że podpis został złożony za pomocą danych, o których mowa w ust. 7 oraz że dane te nie uległy zmianie po jego złożeniu.


Art 2.9

Dane do weryfikacji podpisu elektronicznego są to niepowtarzalne i przyporządkowane podpisującemu dane, które są wykorzystywane do weryfikacji podpisu elektronicznego.


Art. 2.10

Potwierdzenie ważności certyfikatu jest to pieczęć elektroniczna składana przez podmiot świadczący usługi certyfikacyjne, zawierająca informacje o ważności certyfikatu i czasie jego wystawienia, zgodnym z czasem urzędowym lub czasem UTC (PL).


Art. 2.11

Datownik elektroniczny jest to opatrzony pieczęcią elektroniczną czas potwierdzenia danych zgodny z czasem urzędowym lub czasem UTC (PL). Oznaczanie datownikiem elektronicznym wymaga stosowania środków technicznych i procedur zapewniających poprawność i autentyczność oznaczenia czasem zgodnym z czasem urzędowym lub czasem UTC(PL).


Art 2.15

Bezpieczne urządzenie do składania podpisu elektronicznego jest to urządzenie do składania podpisu elektronicznego, spełniające wymogi dyrektywy 1999/93/WE i ogólnie uznane normy ustalone na podstawie art. 10 tej dyrektywy oraz uznane za takie przez Agencję Bezpieczeństwa Wewnętrznego lub właściwy podmiot w państwie obowiązanym do stosowania tej dyrektywy (bezpieczne urządzenie).


Art 2.17

Produkt podpisu elektronicznego jest to oprogramowanie, sprzęt lub ich istotne składniki, które są używane przez podmioty świadczące usługi certyfikacyjne do udostępnienia usług podpisu elektronicznego lub do składania lub weryfikacji podpisów elektronicznych, spełniające wymogi dyrektywy 1999/93/WE i ogólnie uznane normy ustalone na podstawie art. 10 tej dyrektywy.


Art. 5.1

Zaawansowany podpis elektroniczny (podpis zaawansowany) weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu. W przypadku złożenia podpisu elektronicznego w okresie zawieszenia certyfikatu skutek prawny następuje z chwilą uchylenia zawieszenia.


Art. 5.5

Ilekroć przepisy przewidują złożenie podpisu elektronicznego innego niż podpis kwalifikowany, złożenie przez podpisującego podpisu kwalifikowanego jest równoznaczne ze złożeniem podpisu elektronicznego, o których mowa w tych przepisach.


Art. 6.1

Jeżeli podpis zaawansowany jest weryfikowany przy pomocy ważnego certyfikatu uznaje się, że został złożony przez podpisującego wskazanego w tym certyfikacie i w okresie jego ważności.


Art. 6.2

Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba ta, w celu 6 dokonania czynności, która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.


Art. 11.2

Podmiot kwalifikowany jest obowiązany publicznie udostępniać aktualne informacje o stosowanych bezpiecznych urządzeniach do składania podpisu elektronicznego oraz o warunkach prawidłowej i bezpiecznej weryfikacji podpisów elektronicznych.


Art. 11.3

Podmiot, o którym mowa w ust. 1, jest obowiązany stosować produkty podpisu elektronicznego.


Art. 13.1 i 13.2


Art. 15.

1. W przypadku złożenia wniosku o wydanie certyfikatu, podmiot kwalifikowany obowiązany jest dokonać potwierdzenia tożsamości osoby ubiegającej się o certyfikat, w sposób przewidziany w polityce certyfikacji. 2. Potwierdzenie tożsamości może nastąpić w szczególności z wykorzystaniem danych biometrycznych osoby ubiegającej się o certyfikat.


Art. 20.2

Podmiot kwalifikowany może świadczyć inne usługi związane z podpisem elektronicznym, jeżeli uwzględnia właściwe normy i standardy wspólnotowe lub międzynarodowe


Art. 22

Potwierdzenie ważności certyfikatu jest to usługa, która stwierdza w szczególności ważność lub zawieszenie certyfikatu w czasie jej wykonania oraz datę i czas potwierdzenia.


Art. 25.1

Podmiot kwalifikowany świadczy usługi certyfikacyjne w oparciu o polityki certyfikacji.


Art. 26.1 ppkt 3.

Bezpieczne urządzenie do składania podpisu elektronicznego powinno, w szczególności zapewniać by złożenie podpisu poprzedzało ostrzeżenie, że kontynuacja operacji jest równoznaczna ze złożeniem podpisu elektronicznego.


Art. 31.2

Informacje o zawieszeniu albo unieważnieniu certyfikatu umieszcza się na każdej liście zawieszonych i unieważnionych certyfikatów publikowanej przed dniem upływu okresu ważności certyfikatu oraz na pierwszej liście publikowanej po upływie tego okresu.