Wykupienie dostępu pozwoli Ci czytać artykuły wysokiej jakości i wspierać niezależne dziennikarstwo w wymagających dla wydawców czasach. Rośnij z nami! Pełna oferta →
Wielu z tych Polaków, którzy do ostatniej chwili odłożyli wymianę dowodu osobistego, mogło się przez internet umówić na konkretny termin w urzędzie. Wielu z nich marzyło zapewne, żeby tak dało się na tej samej stronie internetowej podać odpowiednie dane, zeskanowane zdjęcie, a całość podpisać cyfrowo. A jednak w erze informacji kolejki do urzędów tak szybko nie znikną.
Szyfrowane klucze
Szybkość i bezpieczeństwo przesyłania informacji to dziś klucz do sukcesu zarówno dla wielkiego przedsiębiorstwa, jak i zwykłego obywatela. Pierwszemu pozwala uzyskać przewagę nad konkurencją, drugiemu - zaoszczędzić czas i pieniądze. Aż trudno uwierzyć, że dopiero w 1991 r. zniesiono zakaz użytkowania sieci do celów komercyjnych. Internet stał się szybko nieodłącznym składnikiem życia prywatnego, ale też wprowadził na nowe tory obrót gospodarczy. A możliwe to było nie tylko dzięki powstaniu nowej platformy dla funkcjonowania rynku, ale też dzięki metodom identyfikacji koniecznym, by przeciwdziałać oszustwom.
Taką metodą stał się podpis cyfrowy (digital signature), w Polsce znany częściej jako elektroniczny - bo taką właśnie nazwę wprowadziła ustawa z 18 września 2001 r. o podpisie elektronicznym, która była implementacją unijnej dyrektywy (1999/93/WE). Stanowi ona, że "komunikacja elektroniczna i handel elektroniczny wymagają podpisów elektronicznych i odpowiednich usług umożliwiających uwierzytelnianie danych".
Z technicznego punktu widzenia stosowanie podpisu elektronicznego stało się możliwe dzięki zaawansowanym technikom kryptograficznym. A ściśle - kryptografii asymetrycznej. To metoda szyfrowania, która wykorzystuje dwa tzw. klucze: prywatny i publiczny. Jej założenia w 1976 r. przedstawili Whitfield Diffie oraz Martin E. Hellman. Klucze składają się z ciągów znaków o określonej długości. Im dłuższy, tym trudniej złamać szyfr.
Pierwszy z kluczy znany jest tylko właścicielowi podpisu i służy do jego składania (szyfrowania dokumentu). Drugi z kolei, umieszczony w tzw. Certyfikacie Klucza Publicznego, umożliwia odszyfrowanie i weryfikację podpisu.
By móc składać podpis elektroniczny, należy udać się do centrum certyfikacji (w Polsce są to PCC Certum, Sigillum oraz Krajowa Izba Rozliczeniowa S.A.), gdzie po zawarciu umowy otrzymuje się certyfikat na karcie kryptograficznej będącej także nośnikiem podpisu elektronicznego. Przypomina ona kartę kredytową. Ponadto w skład zestawu wchodzi specjalny czytnik, poprzez który możliwe jest odczytanie karty przez komputer oraz program umożliwiający generowanie podpisu elektronicznego. Całość to wydatek rzędu kilkuset (zazwyczaj około 300) złotych.
Po co to wszystko? Po pierwsze, bezpieczny podpis elektroniczny musi należeć wyłącznie do osoby, która go składa. Po drugie, trzeba go sporządzić za pomocą urządzeń, nad którymi wyłączną kontrolę sprawuje składający podpis. Po trzecie, podpis jest powiązany z danymi, do których został dołączony. To najwyraźniejsza różnica między podpisem elektronicznym a zwykłym: na treść podpisu składa się skrócona wersja podpisywanego dokumentu - jej ekstrakt (tzw. hash), który powstaje za pomocą specjalnych algorytmów. Szyfruje się go kluczem i dołącza do podpisywanego dokumentu. Samo składanie podpisu elektronicznego sprowadza się do włożenia swojej karty do czytnika i wprowadzenia numeru PIN. Wtedy podpis zostaje faktycznie złożony pod konkretnym dokumentem lub e-mailem. Oprogramowanie odbiorcy za pomocą klucza publicznego odszyfrowuje ów skrót i porównuje z treścią podpisanego dokumentu. Jeśli po podpisaniu pojawiły się w nim zmiany - podpis nie będzie się zgadzał.
Każdy świadomy użytkownik internetu wie, jak ważne jest bezpieczeństwo przesyłania danych i dokonywanych transakcji. Sfałszowanie podpisu elektronicznego jest niemal niemożliwe. Przede wszystkim dlatego, że za każdym razem zawiera inną treść (ekstrakt dokumentu). Ponadto odtworzenie klucza, którym wiadomość została zaszyfrowana, nie jest możliwe w rozsądnym dla oszusta czasie, bo byłyby to co najmniej... dziesiątki lat, i to dla prostszych kluczy. Algorytmy szyfrujące opierają się na skomplikowanych problemach matematycznych: tzw. logarytmu dyskretnego i faktoryzacji. Ta ostatnia polega na rozkładzie na czynniki iloczynu dwóch wielkich liczb pierwszych (powyżej 120 cyfr każda). Przy obecnym stanie wiedzy i wydajności komputerów dokonanie tego w przypadku liczby 250-cyfrowej mogłoby zająć wiele setek lat, zaś czas takiej operacji na liczbie 300-cyfrowej wyniósłby tyle, ile wynosi wiek Wszechświata.
Największym niebezpieczeństwem dla podpisu elektronicznego zdaje się zatem nie technologia, lecz ludzka niefrasobliwość - np. nieodpowiednie zabezpieczenie komputera lub dopuszczenie osoby trzeciej do użytkowania karty kryptograficznej.
Podpis po polsku
Wydawałoby się, że stosowanie podpisu elektronicznego to idealna metoda na funkcjonowanie w społeczeństwie informacyjnym - dla przedsiębiorców, klientów, urzędów i petentów. Co więcej, wydawałoby się też, że administracja publiczna nie mogła długo się opierać zachodzącym pod wpływem rozwoju technologicznego zmianom. A jednak. Choć wspomniana dyrektywa unijna tworzy wizję tego, jak być powinno, to jednak według autorów raportu "The Legal and Market Aspects of Electronic Signatures" sporządzonego dla Komisji Europejskiej, państwa członkowskie z różną starannością wcielają tę wizję w życie. W Irlandii zarejestrowano jedno akredytowane centrum certyfikacji, mimo że nie przyjęto jeszcze przepisów regulujących ten proces. W Estonii wydaje się niezwykle dużo certyfikatów umożliwiających składanie cyfrowego podpisu (jedno centrum wydało ich aż 200 tys.) - a to dlatego, że używa się tam elektronicznych dowodów osobistych, stosowanych m.in. do głosowania przez internet. W Słowenii i Niemczech przez sieć można np. składać rozliczenia podatkowe. W tych ostatnich - jako jedynym kraju UE - podano do publicznej wiadomości informacje dotyczące problemów bezpieczeństwa podpisu elektronicznego.
Poza e-administracją e-podpisów używa się najczęściej w bankowości internetowej. Do tego nie trzeba podpisów kwalifikowanych, czyli spełniających ustawowe kryteria i mających skutki prawne takie jak podpis odręczny. W tym wypadku podpis jest ważny wtedy, gdy klient i bank zawarli wcześniej umowę, która to zakłada. W Polsce podpis elektroniczny stosuje się głównie tutaj, mimo że od 16 sierpnia 2006 r. administracja publiczna jest zobligowana do przyjmowania od obywateli dokumentów w postaci elektronicznej.
Największy praktyczny problem wynika z tego, że rozporządzenie wykonawcze do ustawy dopuściło stosowanie różnych formatów tychże podpisów, gdzie programy służące do ich weryfikacji są ze sobą nie tylko niekompatybilne, ale i nie da się ich użytkować na standardowo skonfigurowanym komputerze. Dość powiedzieć, że to sprzeczne z wynikającymi ze wspomnianej dyrektywy zasadami ergonomii i kompatybilności systemów, na co zwracała uwagę organizacja Internet Society Poland.
Brak jednolitych standardów nie tylko nie zmniejsza kosztów administracji, ale może je zwiększać. Co więcej - o czym także mowa w dokumencie tej organizacji - polski ustawodawca niezgodnie z dyrektywą ujmuje pojęcie "bezpiecznego urządzenia". Miało to być albo oprogramowanie, albo urządzenie (chodzi głównie o czytnik kart). W polskiej ustawie oprogramowanie zostało połączone z urządzeniem. W efekcie firmy oferujące podpisy elektroniczne mogą narzucać swoje oprogramowanie.
Do używania podpisu elektronicznego zniechęcać mogą nie tylko koszty, lecz przede wszystkim niewielka ilość spraw, które przeciętny obywatel może załatwić przy jego pomocy. Przedsiębiorcy mogą np. wystawiać e-faktury, co często robią duże firmy i nakłaniają do tego swoich mniejszych kontrahentów, natomiast zwykli podatnicy chętniej zapewne pójdą do urzędu skarbowego osobiście, niż wydadzą kilkaset złotych na podpis elektroniczny, z którego skorzystają raz w roku, wysyłając PIT.
Sytuacja wyglądałaby zapewne inaczej, gdyby oferta e-urzędów obejmowała przede wszystkim sprawy, które narażają ich na stanie w uciążliwych kolejkach. Od zarejestrowania samochodu po - no właśnie: wymianę dowodu osobistego. Do tego jednak potrzeba lepszego, spójnego prawa, które pozwoliłoby efektywnie wykorzystać dostępną technologię.
