Mobilny Podpis Elektroniczny zapowiadany w połowie roku
Spółka MobiTrust należąca do grupy One-2-One, w połowie roku planuje wdrożyć Bezpieczny Mobilny Podpis Elektroniczny. Rozwiązanie przygotowane przez spółkę przeszło pozytywnie testy u dwóch operatorów komórkowych. BMPE będzie tańszą i bardziej dostępną alternatywą dla dotychczas oferowanego w Polsce podpisu elektronicznego.
Rozwiązanie przygotowane przez MobiTrust posiada certyfikaty bezpieczeństwa i może spełniać rolę podpisu kwalifikowanego zgodnie z zapisami ustawy o podpisie elektronicznym. Partnerem spółki w zakresie wydawania certyfikatów kwalifikowanych jest Krajowa Izba Rozliczeniowa.
Bezpieczny Mobilny Podpis Elektroniczny pozwala na przykład na bezpieczne, elektroniczne:
- dokonywanie rozliczeń z ZUS
- składanie wniosków do Krajowego Rejestru Sądowego
- wysyłanie deklaracji podatkowych do urzędów skarbowych
- kontakty z administrację publiczną
- wystawianie faktur elektronicznych
- autoryzowanie przelewów w bankowości elektronicznej
- uwierzytelnienie użytkownika w systemach aukcyjnych
"Dotychczas oferowane w Polsce rozwiązania wymagały od użytkowników wykupienia specjalnego czytnika i karty mikroprocesorowej. Bezpieczny Mobilny Podpis Elektroniczny to rozwiązanie, w którym rolę czytnika spełnia telefon komórkowy, a specjalna karta SIM daje gwarancję bezpieczeństwa. Prowadzimy zaawansowane rozmowy z operatorami komórkowymi, wdrożenie naszego rozwiązanie planowane jest w połowie tego roku" – mówi Mariusz Skiba Prezes MobiTrust
W styczniu tego roku spółka MobiTrust podpisała umowę z Ministerstwem Nauki i Szkolnictwa Wyższego na dofinansowanie projektu „Bezpieczny Mobilny Podpis Elektroniczny”.
Źródło: informacja prasowa Mobistrust
- Zaloguj się lub zarejestruj by odpowiadać
- Generate PDF file
- Wersja do wydruku
Nawigacja
Popularne strony
Ostatnio:
Logowanie
Odpowiedzi
"Rozwiązanie przygotowane przez MobiTrust posiada certyfikaty bezpieczeństwa" - czy wiadomo jakie certyfikaty bezpieczeństwa posiada ten system ? To dość intrygujące biorąc pod uwagę, że system nie spełnia podstawowych założeń bezpieczeństwa kryptograficznego.
Nie znam dokładnie działania tego systemu od strony technicznej, gdyż na stronach tej firmy jest mało informacji, więc proszę mnie sprostować jeśli się mylę, lub potwierdzić jeżeli mam rację.
Klucz prywatny systemu jest generowany na zewnątrz karty a dopiero później wgrywany na karte SIM użytkownika. W ten sposób łamana jest podstawowa zasada, wedle której klucz prywatny nigdy nie powinien opuszczać urządzenia (powinien być również generowany w urządzeniu!), tak aby ograniczyć do minimum niebezpieczeństwo wypłynięcia klucza na zewnątrz. Przecież dlatego właśnie używa się SmardCard-ów zamiast przechowywać klucz na dysku! Nie mamy pewności czy klucz, który jest wgrywany na karte, nie jest gdzieś jeszcze przechowywany. W praktyce to wygląda jak zostawienie czeku in-blanco u operatora systemu.
Na telefon komórkowy, podczas podpisu, przesyłana jest skondensowana informacja o tym co podpisujemy. Na małym wyświetlaczu telefonu komórkowego niepraktycznym jest czytanie całej informaji. Moje wątpliwości dotyczą tego gdzie dokonywany jest skrót (obliczany jest wynik funkcji skrótu) widomości, którą mamy podpisać. Jeżeli skrót jest obliczany na tel. kom. to znaczy, że podpisujemy tylko tę skondensowaną informację. Jeżeli natomiast skrót jest tylko przesyłany wraz ze skondensowaną informacją na telefon to oznacza, że użytkownik systemu nie ma żadnej kontroli nad tym co podpisuje. To co widzi na telefonie komórkowym (tę skondensowaną informację) to wcale nie musi być to co podpiszę, gdyż skrót może pochodzić od zupełnie innej informacji. W praktyce to wygląda mniej więcej tak, jakbyśmy podpisywali coś z zamkniętymi oczyma, wierząc na słowo operatorowi systemu, że informacja pod którą składamy podpis jest tą o której on mówi. Znowu jesteśmy na łasce operatora.
Jeżeli moje powyższe wątpliwości są słuszne to ten system pod względem bezpieczeństwa nie różni się znacząco od powszechnie stosowanych haseł jednorazowych przesyłanych na telefon komórkowy w celu potwierdzenia dyspozycji. Bezpieczeństwo tego systemu opiera się nie na kryptografii asymetrycznej i podpisie cyfrowym, tylko na wykorzystaniu drugiego kanału komunikacyjnego jakim jest telefon komórkowy, a umieszczenie słowa "bezpieczny" w nazwie systemu jest czystą hipokryzją.