o serwisie | redakcja | reklama | kontakt
szukaj w serwisie
Spis treści

Indeks działów

6 marca 2006
Ernest Frankowski
 

Definicje ustawowe

E-podpis funkcjonuje dzięki zastosowaniu pary kluczy kryptograficznych, tzw. klucza prywatnego i publicznego oraz kryptograficznych funkcji skrótu. Pomijając złożoność zagadnień związanych z matematyczną stroną funkcjonowania e-podpisu, dodatkowe komplikacje przynosi sama ustawa o podpisie elektronicznym, która posługuje się szeregiem skomplikowanych pojęć.

Pierwszym, zwracającym uwagę rozwiązaniem omawianej ustawy jest podział podpisu elektronicznego na podpis elektroniczny i bezpieczny podpis elektroniczny. Jak łatwo się domyślić, ten drugi jest bardziej zaawansowaną wersją „zwykłego” podpisu elektronicznego ("zwykły" nie jest oczywiście określeniem użytym w ustawie). Niestety, nazwa ta nie jest zbyt szczęśliwa, ponieważ sugeruje, że „zwykły” podpis bezpieczny nie jest…

Zgodnie z omawianą ustawą podpis elektroniczny to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub, z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny (art. 3 ust. 1).

Powstaje pytanie, jakiego rodzaju mają być dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub, z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Takimi danymi w przypadku większości implementacji podpisu elektronicznego jest skrót podpisywanej wiadomości obliczany za pomocą jednokierunkowej funkcji skrótu (skrót ten jest szyfrowany kluczem prywatnym, dopiero tak zaszyfrowany skrót można nazwać podpisem cyfrowym).

Z drugiej strony widać także, że definicja „zwykłego” podpisu jest tak skonstruowana, że przedmiotowe dane nie muszą koniecznie i wyłącznie powstać na skutek zastosowania jednokierunkowej funkcji skrótu. Można więc sobie wyobrazić inne techniki składania podpisu. Innymi słowy, podpisem elektronicznym mogą być każde dane umożliwiające identyfikację osoby składającej podpis. Może być to np. unikalny kod, e-mail, PIN, identyfikator itd.

Z uwagi na powyższą i zdaje się założoną dowolność technologiczną „zwykłego” podpisu, ustawodawca nie związał z nim automatycznych skutków prawnych tożsamych ze złożeniem własnoręcznego podpisu. W toku procesu ustawodawczego uznano prymat zasady bezpieczeństwa i skonstruowaną o wiele bardziej szczegółową definicję tzw. bezpiecznego podpisu elektronicznego, który to dopiero jest ekwiwalentem odręcznego podpisu w rozumieniu cywilnoprawnym.

Ilość wymagań prawnych i technicznych związanych z bezpiecznym podpisem, między innymi, spowodowała, że mimo 4 lat obowiązywania ustawy, jego zastosowanie jest niszowe. A oto jak w porównaniu z definicją podpisu elektronicznego została skonstruowana definicja bezpiecznego podpisu.

Bezpiecznym podpisem jest podpis elektroniczny, który jest:

  1. przyporządkowany wyłącznie do osoby składającej ten podpis,
  2. jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
  3. powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna (art. 3 ust. 2).

W definicji bezpiecznego podpisu elektronicznego istotne jest przyporządkowanie podpisu z konkretną osobą. Takie powiązanie zapewnia tzw. zaufana trzecia strona. Trzecią zaufaną stroną jest spółka prawa handlowego, która po spełnieniu szeregu warunków określonych w ustawie o podpisie elektronicznym nabywa uprawnienie do poświadczania tożsamości osób składających bezpieczny podpis elektroniczny (staje się kwalifikowanym wydawcą bezpiecznych podpisów oraz kwalifikowanych certyfikatów).

Do tego momentu polska ustawa o podpisie elektronicznym jest w miarę podobna do innych ustaw tego typu obowiązujących na świecie (może poza liczbą wymagań stawianych potencjalnym wystawcom podpisów i certyfikatów).

Polska ustawa wprowadza jednak dodatkowo bardzo restryktywne wymagania dotyczące „otoczenia” bezpiecznego podpisu elektronicznego. Mianowicie, ustawa wprowadza pojęcie tzw. bezpiecznego urządzenia służącego do składania e-podpisu oraz bezpiecznego urządzenia służącego do weryfikacji e-podpisu. Urządzenia takie same w sobie muszą spełniać szereg wymagań technicznych określonych w odpowiednim rozporządzeniu wykonawczym do ustawy o e-podpisie. Spełnienie tych wymagań przekłada się automatycznie na koszt stosowania bezpiecznego podpisu. Dotyczy to zwłaszcza użytkowników będących osobami fizycznymi. Jednak z punktu widzenia przedsiębiorcy, koszty końcowe stosowania bezpiecznego e-podpisu nie powinny być zbyt duże, zwłaszcza biorąc pod uwagę potencjalne korzyści wynikające ze stosowania go.

Warto raz jeszcze podkreślić, że dopiero bezpieczny podpis elektroniczny wywołuje określone skutki prawne. To jest, zgodnie z art. 5 ust. 2 ustawy o e-podpisie dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.

Powyższy przepis wprowadza pojęcie ważnego i kwalifikowanego certyfikatu. Jak można się domyślić, taki certyfikat jest wystawiany przez wspomnianą zaufaną trzecią stronę i ma zadanie poświadczyć tożsamość osoby składającej e-podpis. Wyrazem takiej funkcji certyfikatu jest inny artykuł ustawy, wedle którego bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód tego, że został złożony przez osobę określoną w tym certyfikacie, jako składającą podpis elektroniczny (art. 6 ust. 1).

Pozostaje jeszcze oczywiste pytanie, co oznacza, iż certyfikat powinien być ważny oraz kwalifikowany.

Należy pamiętać, że certyfikat wydawany jest na określony okres czasu (zazwyczaj na rok). Dlatego określenie ważny oznacza, iż podpis musi zostać złożony (jeśli ma wywoływać określone skutki prawne) w dacie ważności certyfikatu. Ta cecha certyfikatów i co za tym idzie e-podpisów jest poniekąd dość „kłopotliwa” w kraju stosunkowa biednym, jakim jest Polska. Mianowicie, oznacza ona konieczność cyklicznego odnawiania certyfikatu przez użytkownika, co oczywiście kosztuje. Ponieważ certyfikat może być wystawiony maksymalnie na okres dwóch lat, każdy zainteresowany e-podpisem musi liczyć się ze stałymi wydatkami. Wyrazem czasowości certyfikatu jest w ustawie odpowiedni zapis mówiący, iż skutek w postaci poświadczenia tożsamości osoby składającej e-podpis jest wyłączony, jeśli e-podpis został złożony po upływie terminu ważności certyfikatu, po dniu jego unieważnienia oraz w okresie jego zawieszenia.

Oczywiście powstaje w takim razie pytanie co się stanie, jeśli dokument zostanie opatrzony bezpiecznym e-podpisem w okresie ważności certyfikatu, ale weryfikacja nastąpi już poza tym okresem. W celu zabezpieczenia się przed tego typu sytuacjami ustawa wprowadza mechanizm tzw. znakowania czasem. Znacznik czasu umożliwia weryfikację ważności e-podpisu po skończonym okresie ważności związanego z nim certyfikatu. Co ciekawe, ten tak oczywisty element infrastruktury związanej z bezpiecznym e-podpisem jest elementem nieobowiązkowym całej konstrukcji.

Drugą, wymagającą wyjaśnienia, kwestią związaną z certyfikatem jest jego kwalifikowany charakter. Zacząć należy od tego, iż skoro istnieje certyfikat kwalifikowany, musi istnieć także certyfikat „zwykły”. Funkcje obu są oczywiście takie same (certyfikat to elektroniczne poświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej e-podpis i które umożliwiają identyfikację tej osoby).

Różnica polega na tym, że kwalifikowane certyfikaty mogą wystawiać tylko tzw. kwalifikowane centra certyfikacji, to jest te, które spełniają określone wymogi prawne (o takich podmiotach byłą już mowa w kontekście ich roli zaufanej trzeciej strony).

Dodatkową różnicą między oboma typami certyfikatów jest ta występująca w sferze prawnej. Mianowicie, tylko bezpieczny podpis weryfikowany za pomocą kwalifikowanego certyfikatu wywołuje skutki prawne podpisu odręcznego. Żeby podobne skutki wywoływał „zwykły” podpis opatrzony „zwykłym” certyfikatem, konieczne jest wcześniejsze zawarcie umowy między podmiotami chcącymi tak podpisane dokumenty wymieniać. Taka umowa oczywiście musi zostać podpisana manualnie.

Kolejną różnicą między certyfikatami jest miejsce ich przechowywania. Certyfikat kwalifikowany może być przechowywany wyłącznie na tzw. urządzeniu kryptograficznym, które musi spełniać określone normy bezpieczeństwa. Może być to np. karta mikroprocesorowa. W przypadku zwykłych certyfikatów nośnikiem może być np. pamięć komputera lub dyskietka.

To nie koniec różnic między obiema formami certyfikatów. Kolejną, niestety podwyższająca cenę bezpiecznego e-podpisu, jest to, iż kwalifikowanego certyfikatu można używać wyłącznie w połączeniu z tzw. bezpiecznymi urządzeniami (już zresztą wspomnianymi). Jak już wiemy, prawo przewiduje dwa takie urządzenia. Pierwszym jest bezpieczne urządzenia służące do składania podpisu, które zgodnie z ustawą jest sprzętem i oprogramowaniem skonfigurowanym w sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy wykorzystaniu danych do składania podpisu lub poświadczenia elektronicznego (art. 3 pkt 6).

Drugim bezpiecznym urządzeniem jest urządzenie służące do weryfikacji e-podpisu. Takim urządzeniem jest sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający identyfikację osoby fizycznej, która złożyła podpis elektroniczny przy wykorzystaniu danych służących do weryfikacji podpisu elektronicznego lub w sposób umożliwiający identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne przy wykorzystaniu danych służących do weryfikacji poświadczenia elektronicznego (art. 3 pkt 8 ustawy). Oczywiście, oba urządzenia, aby mogły zostać uznane za bezpieczne, muszą spełnić określone wymagania techniczne, określone szczegółowo w odpowiednim rozporządzeniu.

Perspektywy bezpiecznego podpisu elektronicznego

Jak widać, ilość wymagań prawnych wobec bezpiecznego podpisu elektronicznego i związanej z nim infrastruktury jest znaczna. Wszystko to oczywiście służy naszemu bezpieczeństwu, ale jednocześnie jest pewną przeszkodą dla upowszechnienia się tej technologii. Twórcy ustawy mieli nadzieję, że wehikułem, który wyniesie e-podpis na szczyty popularności będzie bankowość internetowa. Niestety, banki już przed wejściem w życie ustawy o e-podpisie zainwestowały wiele we własne technologie bezpieczeństwa (np. oparte na „zwykłym” podpisie) i nie zdecydowały się na wprowadzenia kanałów dystrybucji swoich produktów opartych na bezpiecznym e-podpisie. Co więcej, od roku 2002, kiedy to ustawa weszła w życie, nie wypromowano właściwie ani jednego obszaru życia społecznego i gospodarczego, w którym bezpieczny e-podpis miałby szersze zastosowanie. Na szczęście jednak, ta sama ustawa o podpisie elektronicznym zawiera przepis stwierdzający, iż w terminie 4 lat od wejścia w życie ustawy organy władzy publicznej umożliwią odbiorcom usług certyfikacyjnych wnoszenie podań, wniosków oraz innych czynności w postaci elektronicznej, w przypadkach gdy przepisy prawa wymagają składania ich w określonej formie lub według określonego wzoru (art. 58 ust. 2 ustawy). Oznacza to, iż już od 16 sierpnia 2006 r. (ustawa weszła w życie 16 sierpnia 2002 r.) urzędy powinny mieć możliwość obsługiwania nas elektroniczne przy zastosowaniu bezpiecznego e-podpisu.

Szesnasty sierpnia to data bardzo bliska. Należy więc sceptycznie podchodzić do zdolności naszej administracji do przygotowania się na nią, zwłaszcza, że przez ostatnie 4 lata nie zrobiono wiele w tym kierunku. Niemniej jednak, faktem jest, iż 16 sierpnia nadchodzi. Tym samym, drugim celem tego tekstu (oprócz przybliżenia przepisów samej ustawy) jest przedstawienie, w jakich obszarach życia społecznego i gospodarczego można lub można będzie stosować bezpieczny podpis elektroniczny.


Następna strona »


Zobacz komentarze do artykułu / 0
Wersja do druku

Przeczytaj również...

Zaloguj się, by dodać komentarz. Nie masz konta? Zarejestruj się.

Login
Hasło
Zarejestruj się
Zapomniałem hasła
  Ostatnio komentowane
  Ostatnio na forum
więcej »
strona główna | o serwisie | redakcja | reklama | kontakt