podpis

[ Pobierz całość w formacie PDF ]
22
AKTUALNOŚCI
>>
TEMAT NUMERU
>>
HARDWARE
>>
SOFTWARE
>>
INTERNET
>>
PORADY
>>
MAGAZYN
Bity zamiast pióra
Komputer i specjalna karta chipowa – tego będziemy potrzebowali
już za osiem miesięcy. Właśnie od tego momentu m.in. na PIT-ach
i drukach ZUS-u będziemy mogli składać swój podpis... elektronicznie.
I to nie ruszając się z domu. Przynajmniej w teorii.
wszystkie państwa członkowskie musiały
uwzględnić podpis elektroniczny w swoich
przepisach wewnętrznych. Polska nie jest
pionierem wśród krajów-kandydatów. Usta-
wy tego rodzaju przyjęły już do tej pory
wszystkie państwa ubiegające się o wejście
do Unii Europejskiej. Nic dziwnego – e-pod-
pis postrzegany jest przez ekspertów z Bruk-
seli jako podstawa przy tworzeniu nowocze-
snej gospodarki elektronicznej, stanowi więc
dobrą kartę przetargową przy negocjacjach
o członkostwie w UE.
Marek Staniewicz, Wiesław Buszman
torowie nad ustawą o podpisie elek-
tronicznym. Miesiąc temu, dokładnie
11 października tego roku, prezydent RP
Aleksander Kwaśniewski podpisał stosowny
dokument i po raz pierwszy w historii Polski
złożył podpis pod ustawą nie tylko w trady-
cyjny sposób (piórem), ale również wyko-
rzystując podpis elektroniczny. Dane nie-
zbędne do jego złożenia oraz certyfikat
elektroniczny dla głowy państwa wygenero-
wało Centrum Certyfikacji Signet – jedna
z trzech krajowych instytucji czuwających
nad wprowadzaniem w życie e-podpisu.
w Polsce, w tym m.in. profesor matematyki
Marian Srebrny z Polskiej Akademii Nauk.
Dla Polski, jako kraju związanego na
razie umową stowarzyszeniową z Unią Euro-
pejską, a w niedalekiej przyszłości jej człon-
ka, przyjęcie ustawy o podpisie elektronicz-
nym to konieczność. Według prawa
zjednoczeniowego do lipca 2001 roku
Trochę historii
Pomysł stworzenia podpisu elektroniczne-
go wcale nie jest nowością. Idea pojawiła
się już na przełomie lat 60. i 70., gdy możli-
we stało się przesyłanie danych przez sieć.
Problemem było jednak zapewnienie bez-
piecznego transferu poufnych wiadomości
z jednego miejsca w drugie – to znaczy ta-
kiego, który wykluczyłby możliwość podej-
rzenia i przechwycenia danych lub ich
zmiany przez niepowołane osoby.
Najpopularniejszą metodą obrony przed
takimi wypadkami stało się szyfrowanie sy-
metryczne. Polegało ono na współdzieleniu
kodu szyfrującego przez nadawców i od-
biorców wiadomości. Słabością tego roz-
wiązania była możliwość stosunkowo ła-
twego złamania szyfru – wystarczyło wejść
w posiadanie kodu, aby bez przeszkód od-
czytać poufne wiadomości, i to nie tylko
jednej osoby, ale również pozostałych użyt-
kowników. Wszyscy korzystali bowiem
z tego samego klucza chroniącego dane.
%
cyfrowy podpis
Stan wiedzy na temat
podpisu elektronicznego
nie wiem
praktycznie nic
nie interesuję się tym
Bliżej Unii
Podpisanie ustawy przez prezydenta ozna-
cza prawne zrównanie podpisu elektronicz-
nego i odręcznego. Według ekspertów Pol-
skiego Towarzystwa Informatycznego oraz
Polskiej Izby Informatyki i Telekomunikacji
nowy podpis jest nawet bardziej wiarygod-
ny niż jego tradycyjny odpowiednik – tutaj
każdą zmianę można znakować i bez pro-
blemu wykryć. Na temat samego algorytmu
szyfrowania z uznaniem wypowiadają się
również specjaliści biorący udział w deba-
tach nad kształtem podpisu elektronicznego
6%
11 %
45%
38%
znam ideę podpisu
tylko w zarysach
wiem do czego służy
i jak funkcjonuje
Głosowały 763 osoby
Większość czytelników CHIP-a
jest
dobrze zorientowana w zagadnieniach
dotyczących podpisu elektronicznego.
25
»
CHIP
| GRUDZIEŃ 2001
Wchodzi w życie ustawa o podpisie elektronicznym
P
rawie rok pracowali posłowie i sena-
AKTUALNOŚCI
>>
TEMAT NUMERU
>>
HARDWARE
>>
SOFTWARE
>>
INTERNET
>>
PORADY
>>
MAGAZYN
25
Na gorąco: podpis elektroniczny
Szyfrowanie asymetryczne
Sytuacja zmieniła się w momencie wprowa-
dzenia szyfrowania asymetrycznego pod ko-
niec lat 70. XX wieku. Polegało ono na zasto-
sowaniu dwóch kluczy: publicznego
i prywatnego. Ten pierwszy służy do zako-
dowania danych, drugi zaś – do ich odkodo-
wania przez odbiorcę. W ten sposób każdy
mógł posługiwać się swoim indywidualnym
kluczem – jego utrata (na przykład wskutek
kradzieży) nie oznaczała odczytania danych
innych użytkowników – oni dysponowali
wszak własnymi, unikatowymi kluczami
prywatnymi.
Wciąż jednak problemem pozostawała
właściwa identyfikacja nadawcy, to znaczy
jego wiarygodność. Jak bowiem stwierdzić,
czy nadawca publikujący swój klucz pu-
bliczny jest rzeczywiście tą osobą, za którą
się podaje? Stąd właśnie pomysł na stworze-
nie tak zwanych centrów certyfikacji. Są to
instytucje, które – jak sama nazwa wskazuje
– wystawiają specjalne certyfikaty potwier-
dzające tożsamość nadawcy. Aby otrzymać
taki dokument i klucz publiczny, należy za-
rejestrować się w centrum, które następnie
podpisuje nasz dokument. W tym celu
powinniśmy wysłać kserokopię dowodu oso-
bistego w liście poleconym lub faksem. Wy-
magane są strony ze zdjęciem oraz z adre-
sem zamieszkania. Na tej podstawie
wygenerowany zostanie unikatowy podpis
elektroniczny (para kluczy kryptograficz-
nych) i przesłany do klienta. Jeśli nadawca
będzie miał wątpliwości co do naszej tożsa-
mości, dzięki dołączonemu do przesyłki
podpisowi skontaktuje się z centrum certyfi-
kacji i zweryfikuje nasze dane.
Klucz do tożsamości
W Polsce funkcjonują na razie trzy centra
certyfikacyjne: Certum, PolCert oraz Signet.
Wywiad
E-podpis tańszy i bezpieczniejszy
Wiesław
Paluszyński,
Dyrektor Pionu
Technologii i Bez-
pieczeństwa TP
Internet.
i w niezaprzeczalny sposób pozwala iden-
tyfikować strony transakcji, co ma zasadni-
cze znaczenie w przypadku konieczności
dochodzenia swoich racji przed sądami.
Jednym słowem – nasze czynności wyko-
nywane przez Internet mogą być tańsze
i bezpieczniejsze niż wykonywane w trady-
cyjnej papierowej formie.
CHIP: Jakie zagrożenia widzi Pan dla przy-
szłości handlu elektronicznego w Polsce?
Wiesław Paluszyński: Mówienie o zagro-
żeniach dla handlu elektronicznego w Pol-
sce jest chyba niewspółmierne do obecnej
skali tego zjawiska. Największym zagroże-
niem może być bowiem... brak elementów
koniecznych dla rozwoju handlu elektro-
nicznego w Polsce. W większości przypad-
ków mamy do czynienia z handlem z wy-
korzystaniem Internetu. Płatności i trans-
akcje w wielu przypadkach wymagają in-
nej formy potwierdzenia tożsamości zama-
wiającego lub płatności za zaliczeniem
pocztowym, co nie jest pełnym handlem
elektronicznym.
Niewątpliwie zagrożeniem byłoby
opóźnienie we wprowadzaniu ustawy
o podpisie elektronicznym. Akt ten daje
szansę na zapewnienie elektronicznemu
handlowi niezbędnego bezpieczeństwa
poprzez uwierzytelnienie stron transakcji,
prawną skuteczność wyrażonej woli i nie-
zaprzeczalność dokonywanej przy jej wy-
korzystaniu transakcji. To są niezbędne
warunki, bez których handel elektroniczny
ciągle nie będzie pełnoprawny na rynku
biznesowym.
Prezydent RP
Aleksander kwaśniewski
podpisał ustawę na dwa sposoby: trady-
cyjnie (piórem) oraz elektronicznie –
z wykorzystaniem specjalnej karty
z mikroprocesorem.
Odpowiadają one za szczelność całego sys-
temu. Zdaniem Elżbiety Andrukiewicz
z PolCertu szyfrowanie asymetryczne jest
rzeczywiście bardzo skuteczną metodą
ochrony danych, ale pamiętać należy też
o właściwej implementacji tego algorytmu.
Za poprawne funkcjonowanie systemu
w PolCercie odpowiada specjalny moduł
kryptograficzny, instalowany na kompute-
rze użytkownika.
Sam klucz może być przechowywany
przez klienta na dyskietce lub karcie z mi-
kroprocesorem, przypominającej nieco
bankową kartę płatniczą. W tym drugim
przypadku, aby wprowadzić swój kod, na-
leży włożyć kartę do czytnika połączonego
z komputerem złączem USB. Zaszyfrowany
klucz nie jest więc przechowywany na dys-
ku twardym, czyli tam, gdzie haker teore-
tycznie mógłby się włamać, a na kawałku
plastiku usuwanego z systemu zaraz po wy-
słaniu naszych poufnych danych.
Według Dariusza Gaconia, prezesa
zarządu E-Telbanku (właściciela PolCertu),
dodatkowym atutem związanym z podpisem
elektronicznym jest łatwość jego obsługi. „W
systemie nie trzeba instalować dodatkowych
programów – zarówno Microsoft Explorer,
jak i Windows 2000 oraz Office 2000 mają
wbudowane moduły certyfikacyjne”.
CHIP: Jakie korzyści odniosą klienci
z ustawy o podpisie elektronicznym?
Wiesław Paluszyński: Ustawa o podpisie
elektronicznym to przede wszystkim pra-
wo zrównujące skutki wyrażenia woli
w formie elektronicznej i za pomocą pod-
pisu odręcznego. Tylko tyle i aż tyle. Po jej
wejściu w życie za 9 miesięcy będziemy
mogli, stosując bezpieczny podpis elektro-
niczny, zawierać umowy na odległość,
składać dyspozycje bankowe, zamówienia,
a także podania w urzędach czy zeznania
podatkowe. Oczywiście do tego wymaga-
na jest odpowiednia infrastruktura tech-
niczna po stronie urzędów czy banków,
a ustawa nakazuje stworzyć taką infra-
strukturę w ciągu 2 lat.
Stosowanie podpisu elektronicznego
stwarza szansę na obniżenie kosztów
funkcjonowania firmy (listy, przejazdy,
czas), ułatwienie kontaktów z urzędami
bez konieczności wystawania w kolejkach
i dojazdów do siedziby urzędów. Jest to
też zwiększenie bezpieczeństwa dla obu
stron transakcji zawieranych na odległość,
gdyż stosowany w technologii podpisu
elektronicznego certyfikat jednoznacznie
26
»
CHIP
| GRUDZIEŃ 2001
26
AKTUALNOŚCI
>>
TEMAT NUMERU
>>
HARDWARE
>>
SOFTWARE
>>
INTERNET
>>
PORADY
>>
MAGAZYN
Na gorąco: podpis elektroniczny
Po co nam ten podpis?
Odpowiedź jest prosta – praktycznie może-
my go użyć do tego wszystkiego, do czego
potrzebowaliśmy naszego tradycyjnego
podpisu. Dzięki niemu nadawca naszej wia-
domości będzie pewny, że to my jesteśmy
jej autorem. Zastosowanie protokołu SSL
(Secure Socket Layer, CHIP 11/2000,
212),
zapewniającego bardzo wysoki poziom za-
bezpieczeń, sprawia, że o podpisie elektro-
nicznym myśli się przede wszystkim
w kontekście operacji finansowych. E-pod-
pis znacznie ułatwia dokonywanie transak-
cji online, przekazywanie dokumentów
drogą elektroniczną w systemie ZUS czy
wysyłanie rocznych oświadczeń podatko-
wych (PIT-ów).
„W Zakładzie Ubezpieczeń Społecznych
już trzy lata temu – wraz z wprowadzeniem
reformy systemu ubezpieczeń społecznych –
wdrożyliśmy system certyfikatów opartych
na kluczach asymetrycznych” – mówi Alek-
sandra Bełkowska z Biura Prasowego ZUS.
„Od 18 września tego roku wszyscy praco-
dawcy zatrudniający ponad 20 osób zobo-
wiązani są do przesyłania dokumentów
właśnie drogą elektroniczną.”
Banki również zaczynają uwzględniać
wymogi ustawy o podpisie elektronicznym.
Na razie z cyfrowej sygnatury uwierzytelnia-
jącej transakcje skorzystać mogą klienci Ban-
ku Śląskiego, BPH oraz Fortis Banku. Nieste-
ty, w przypadku dwóch pierwszych
instytucji klucz prywatny przechowywany
jest nie u użytkownika, a w samym banku,
co stawia pod znakiem zapytania sens stoso-
wania szyfrowania asymetrycznego. Jedynie
Fortis Bank przekazuje klientowi klucz pry-
watny na dyskietce. Dzięki takiemu rozwią-
zaniu użytkownik może
być pewien bezpie-
czeństwa swoich
danych.
Wywiad
Kilka spraw wciąż niejasnych
Paweł Marciniak,
prezes firmy Left-
Hand zajmującej
się tworzeniem
oprogramowania
bankowego.
mówi się tylko o liście prowadzonej przez
ministra gospodarki. Czyli wciąż nie wie-
my, jak na taką listę się dostać. Co więcej,
bezpieczny podpis musi być złożony za
pomocą bezpiecznych urządzeń, czyli ta-
kich, które mają stosowny certyfikat.
I znowu nie wiemy, co to w praktyce ozna-
cza. Czekamy na konkretne rozporządze-
nia stosownych ministrów.
Podpisy, które nie są bezpieczne w myśl
ustawy, zostały całkowicie zepchnięte na
margines. W praktyce, jeżeli firma będzie
chciała podpisywać elektronicznie np. fak-
tury, to wszystkie upoważnione do tego
osoby będą musiały nabyć certyfikat
u akredytowanego dostawcy. Taki certyfi-
kat trzeba będzie na przykład odnawiać
każdego roku. W rezultacie powstaje
ogromny rynek, a my nie znamy zasad je-
go funkcjonowania.
Nie wiadomo, jak dostać się na listę
akredytowanych dostawców. Nie wiado-
mo, co to jest „bezpieczne urządzenie”
i kto będzie o tym decydował. Czy to jest
wolny rynek?
CHIP: Przyjęcie ustawy uznaje się za
wielki sukces polityków, środowiska in-
formatycznego i przemysłu. Czy faktycz-
nie jest tak różowo?
Paweł Marciniak: Kilka spraw jest jeszcze
niejasnych. Pierwsza dotyczy tak zwanej
trzeciej strony, czyli firmy wystawiającej
certyfikat. Unia Europejska przyjęła
w swojej dyrektywie, że firmy-centra
usług certyfikujących będą komercyjne,
niekoncesjonowane. W naszej ustawie jest
wprowadzone bardzo wyraźnie pojęcie
bezpiecznego podpisu. Taki podpis wy-
maga od wystawcy certyfikatu, aby miał
stosowną akredytację. Ustawa nie regulu-
je sposobu przyznawania akredytacji,
Sama ustawa nie wystarczy
Ustawa została już podpisana, jednak jak
ogon ciągną się za nią sprawy do tej pory nie
rozwiązane. Na przykład brak regulacji do-
tyczących formatu dokumentów elektro-
nicznych. Widać to szczególnie wyraźnie na
przykładzie ZUS-owskiego programu Płat-
nik. „Powinna powstać jak najszybciej usta-
wa, która nakazywałaby instytucjom rządo-
wym korzystanie wyłącznie z publicznie
opisanych formatów i standardów dokumen-
tów, które nie są obciążone patentami ani ni-
czym innym. Przy okazji rozwiązalibyśmy
problem polskich liter. Poza tym trudno so-
bie wyobrazić sprawne działanie rynku, je-
żeli nie będzie można wymieniać uwierzy-
telnionych dokumentów. Jeżeli nie chcemy
się uzależnić od jednego dostawcy oprogra-
mowania, to musimy postawić na stan-
dardy” – mówi Paweł Marciniak
z firmy LeftHand, dostawcy
oprogramowania bankowego.
Jego zdaniem skutecznym roz-
wiązaniem tego problemu jest
zastosowanie dobrego oprogramo-
wania z kategorii Open Source do za-
rządzania firmą, finansami i rachunkowo-
ścią. „Obecny stan preferuje systemy
zamknięte, za co wszyscy kiedyś zapłaci-
my” – dodaje Marciniak.
2002, a może 2004?
Ustawa o podpisie elektronicznym wchodzi
w życie dziewięć miesięcy po jej podpisaniu
przez prezydenta Rzeczypospolitej, czyli
w lipcu 2002 roku. Nie oznacza to jednak,
że już wtedy bez przeszkód będziemy mogli
korzystać z jej dobrodziejstwa. Rozporzą-
dzenie Ministerstwa Finansów nakazuje
wdrożenie cyfrowej sygnatury w bankach do
końca 2002 roku, ale pozostałe instytucje
państwowe mogą skorzystać z dwuletniego
okresu adaptacyjnego na wprowadzenie sys-
temu w życie. Może się więc okazać, że jesz-
cze przez dłuższy czas ustawa będzie obo-
wiązywała jedynie na papierze.
INFO
Tekst ustawy o e-podpisie
podpis_elektroniczny.htm
centra certyfikacji
Najbezpieczniejszą
metodą przechowywania
klucza prywatnego dane-
go użytkownika jest
karta z mikroprocesorem
.
Na CHIP-CD w katalogu
Aktualności | Podpis
elektroniczny znajduje
się artykuł o e-sygnaturze z CHIP-a
7/2001 (plik PDF).
12
2001
CHIP
| GRUDZIEŃ 2001
[ Pobierz całość w formacie PDF ]

zanotowane.pl

doc.pisz.pl

pdf.pisz.pl

fotocafe.xlx.pl