Debata o nowelizacji ustawy o podpisie

Submitted by Paweł Krawczyk on śr., 2008-04-23 14:23

Sygnały o planowanej nowelizacji ustawy o podpisie elektronicznym są coraz liczniejsze i bieżący rok będzie w tej kwesti rozstrzygający. Ważne jest wiec by przejść od dyskusji nad tym co nie działa do dyskusji o tym jak powinno działać.

Prace nad nowelizacją będą prowadzone przez MSWiA oraz Ministerstwo Gospodarki, i zapewne konsultowane z wieloma innymi resortami oraz organizacjami branżowymi. Wielu czytelników tego serwisu będzie miało zapewne możliwość wypowiedzenia się w ramach swoich organizacji (lub resortów), ale zwykle będzie już wtedy za późno na obszerną dyskusję nad kształtem nowelizacji.

Dlatego zapraszam do merytorycznej dyskusji nad kwestiami poruszonymi poniżej, za punkt wyjścia przyjmując projekt nowelizacji ustawy opublikowany w marcu. Dyskusja na łamach tego serwisu ma tę zaletę, że zobowiązuje do zachowania ścisłej formy języka urzędowego oraz - dzięki anonimowości - pozwala na wyrażanie opinii niekoniecznie zbieżnych ze stanowiskiem instytucji. Czytają nas ministerstwa, które tworzą regulacje, urzędy niższego szczebla, które muszą je potem wdrażać, oraz liczne firmy i doradcy stykający się z tematyką podpisu elektronicznego.

Zapraszamy do wyrażenia opinii na przedstawione poniżej kwestie merytoryczne, które muszą być rozstrzygnięte w przyszłej nowelizacji. Proszę pamiętać, że kierunki nowelizacji zostały wyrażone w podlinkowanym powyżej projekcie, ale w podlinkowanej również wypowiedzi wiceministra można wywnioskować, że zmiany będą miały charakter uzupełnienia, a nie rewolucji - dotychczasowy podpis kwalifikowany pozostanie zapewne w obecnym kształcie. Innymi słowy proponowane są następujące rodzaje podpisu:

  • bezpieczny podpis, podpis kwalifikowany - certyfikat osoby fizycznej, klucz prywatny na karcie, prawdopodobnie specjalna aplikacja tak jak obecnie
  • zaawansowany podpis - certyfikat osoby fizycznej, klucz prywatny - nie wiadomo, dowolna aplikacja do składania podpisu
  • pieczątka elektroniczna, potwierdzenie elektroniczne - certyfikat osoby prawnej, podpis składany automatycznie

Mając to na uwadze proszę rozważyć następujące kwestie:

  1. Czy podpis zaawansowany ma być oparty o kwalifikowany certyfikat? Certyfikat kwalifikowany oznacza w tym przypadku jednoznaczny, wysoki standard potwierdzenia tożsamości osoby oraz silne konsekwencje prawne - zarówno dla centrum, jak i podpisującego.
  2. Czy podpis zaawansowany powinien być składany przy pomocy klucza prywatnego przechowywanego na karcie kryptograficznej?
  3. Czy oprogramowanie lub formaty wykorzystywane do składania podpisu zaawansowanego powinno być w jakiś sposób określone ustawowo? Jeśli nie, będzie go można złożyć przy pomocy dowolnej aplikacji implementującej podpis elektroniczny zgodny z X.509 lub innym standardem tego typu (np. OpenPGP). Proszę pamiętać, że jeśli podpis zaawansowany będzie związany z certyfikatami kwalifikowanymi, to narzuca to stosowanie normy X.509. Z drugiej strony, dopuszczenie wszystkiego jak leci spowoduje że podpis zaawansowany będzie właściwie niezdefiniowany.
  4. Jakie standardy powinny znaleźć zastosowanie w zakresie pieczęci elektronicznej, jakie skutki prawne powinna wywoływać? Czym ma się różnić od podpisu elektronicznego (poza tym, że nie będzie powiązana z osobą fizyczną tylko osobą prawną)?
  5. Czy znakowanie czasem w obecnej postaci jest wystarczające, czy potrzebujemy nowego narzędzia, co by to miało być, powiązane z jakim skutkiem i oparte o jakie standardy ....
  6. Jak powinien wyglądać model systemu akredytacji w Polsce, czy jest sens jego tworzenia jeśli żadna instytucja nie jest zainteresowana tego rodzaju działalnością ? Jaka powinna być wartość dodana tworzona przez taki system, inna niż konkurencyjność do państw gdzie istnieją już systemy akredytacji w zakresie e-podpisu.

Odpowiedzi

Opcje wyświetlania odpowiedzi

Wybierz preferowany sposób wyświetlania odpowiedzi i kliknij "Zapisz ustawienia" by wprowadzić zmiany.

hmmm... trochę wiedzy z zakresu x.509 przy takich rozmowach by nie zaszkodziło...

Submitted by Super_Heros (niezweryfikowany) on sob., 2008-05-03 21:39.

A czemu przechowywać klucz na karcie? Ja odpowiadam za swój klucz więc mogę trzymać go choćby na dyskietce.

Submitted by e (niezweryfikowany) on sob., 2008-05-03 19:55.

Użycie certyfikatu kwalifikowanego (i powiązanego z nim klucza prywatnego) powinno być świadome, tak, by użytkownik nie mógł się tłumaczyć że "nie wiedział". Jeśli już wkładasz kartę - to robisz to świadomie i ponosisz konsekwencje. Jeśli masz klucze na dyskietce (a więc w praktyce na dysku), to możesz się bronić, że ktoś inny go użył korzystając z Twojego komputera.

Submitted by Anonymous (niezweryfikowany) on ndz., 2008-05-04 12:15.

Rzeczywiście, wszystko co jest sensowne to w naszym kraju zawsze będzie tylko science fiction...

Submitted by Anonymous (niezweryfikowany) on sob., 2008-05-03 17:22.

Witam

Przede wszystkim: konstrukcja ustawy powinna opierać się na założeniu, że obywatel nie jest idiotą ;). Jeśli jest idiotą, to ma problem - jako, że "nieznajomość prawa nie zwalnia od odpowiedzialności" proponuję przyjąć, że nieznajomość zasad bezpieczeństwa też nie zwalnia od odpowiedzialności. Do tego żadna ustawa nie zwalnia od samodzielnego myślenia. Inaczej żadna nowelizacja nic nie da.

To teraz kilka (mocno nieformalnych) definicji.

Podpis - gotowość poniesienia odpowiedzialności za to, co się podpisało. Poświadczenie wiedzy (zaistnienia faktu) lub woli. Także poświadczenie wypowiadanych słów - np. podpis pod mailem.

Bezpieczny podpis elektroniczny - wtedy i tylko wtedy, gdy złożony z użyciem certyfikatu kwalifikowanego. Inne wymagania - niepotrzebne, złożenie podpisu to odpowiedzialność podpisującego - niech się sam martwi, by było bezpiecznie. Bezpieczne urządzenia i deklaracje zgodności mogą zostać - ale jako opcja, a nie wymóg (obywatel ma prawo ŚWIADOMIE zrezygnować z deklaracji zgodności - wtedy sam odpowiada za cały proces składania podpisu).

Certyfikat kwalifikowany - przechowywany na karcie, zawiera link do CRLi, buduje się ścieżka do roota krajowego (Centrast). Może dotyczyć zarówno osoby, jak i instytucji. Zawiera prawdziwe dane umożliwiające jednoznaczną identyfikację właściciela. Jest poświadczeniem tożsamości w Internecie (elektronicznym dowodem osobistym).

Centrum Certyfikacji - wykupuje DROGIE ubezpieczenie i obiecuje, że nie będzie kłamać. Do wystawiania certyfikatów kwalifikowanych dla użytkowników końcowych wykorzystujemy własny certyfikat kwalifikowany (podpisany przez root'a krajowego za odpowiednią opłatą, by liczba chętnych była ograniczona) - podpisem kwalifikowanym potwierdzamy tożsamość: "ja Jan Kowalski i moja firma X, w pełni świadomie i dobrowolnie, potwierdzam, że Zenek to Zenek". Ot, takie PGP tylko X.509 i z koniecznością załatwienia jakichś papierków (żeby było trudniej, ale nie za trudno) - i sensowną odpowiedzialnością (30 lat w kamieniołomach).

Podpis zaawansowany - wskutek obniżenia wymagań dla bezpiecznego podpisu jest niepotrzebny.

Pieczęć elektroniczna - wskutek zmiany definicji bezpiecznego podpisu i certyfikatu kwalifikowanego niepotrzebna. Za podpis "firmowy" odpowiada prezes, chyba, że statut spółki zakłada inaczej.

Znacznik czasu - wystarczający, choć nie podoba mi się model biznesowy (powinien być darmowy).

Tak, wiem - zbudowanie ustawy na powyższych założeniach w polskich warunkach to science fiction.

Submitted by Anonymous (niezweryfikowany) on pt., 2008-05-02 20:32.