Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny (Art. 3 pkt 1. Ustawy o podpisie elektronicznym)
Problemy
- Na podstawie w/w podpis elektroniczny w Polsce jest tylko metodą identyfikacji osoby.
- Definicja ta różni się w stosunku do definicji unijnej, która definiuje podpis jako Metodę uwierzytelnienia.
- Według polskich prawników słowo "podpis" musi być związane z osobą fizyczną. Stąd w ustawie Poswiadczenie elektroniczne, które jest przecież technicznie podpisem ale nazwano je "poświadczeniem" ponieważ jest to podpis składany nie przez osobę fizyczną, a przez centrum certyfikacji.
- Identyfikacja osoby wymaga osoby. Jest to niepożądane kiedy dokumenty generuje automatycznie system informatyczny a główną funkcją podpisu jest zapewnienie ich autentyczności i bez identyfikacji osoby, a więc bez udziału człowieka. Koronny przykład to Faktura elektroniczna, gdzie wprost jest powiedziane że podpis gwarantuje autentyczność pochodzenia i integralność.
- W praktyce wszystkie certyfikaty kwalifikowane są wystawiane z bitem niezaprzeczalności (nonRepudiation). Certyfikaty te nie mogą być wykorzystane do uwierzytelnienia dostępu do systemu informatycznego, ponieważ do uwierzytelnienia właściwy jest bit digitalSignature. Nie jest to jednak wymóg prawny, tylko praktyka centrów certyfikacji wynikająca z charakteru wystawianych certyfikatów (patrz poniżej).
Możliwe rozwiazania
- W art. 3 pkt 1 nie jest powiedziane, że jest to identyfikacja osoby fizycznej. Teoretycznie może to być identyfikacja osoby prawnej. To dobrze bo nie wymaga zmiany ustawy dla zapewnienia autentyczności bez niezaprzeczalności.
- Rozporządzenie o warunkach technicznych mówi, że niezaprzeczalność (bit nonRepudiation) nie może występować w certyfikacie z innymi funkcjami, ale nie mówi że musi występować w ogóle w certyfikacie kwalifikowanym (Załącznik 2, pkt 1.2.3b Rozp. o war. tech.). To dobrze, bo nie wiąże to certyfikatu kwalifikowanego z niezaprzeczalnością.
- Jak widać po "poświadczeniu" technicznie jest możliwe stworzenie nowej kategorii podpisów, które będą zapewniać autentyczność bez niezaprzeczalności. To jak się będą nazywać ma drugorzędne znaczenie, grunt żeby nie nazywały się "podpisami" :)
- Można do tego celu wykorzystać certyfikaty infrastruktury.
- Kwestia uwierzytelnienia do systemów nie stoi moim zdaniem w sprzeczności z niezaprzeczalnością. Można również wykorzystać certyfikaty infrastruktury. Właściwa procedura powinna być tutaj taka, że użytkownik wysyła do instytucji wniosek o dostęp podpisany swoim certyfikatem kwalifikowanym (niezaprzeczalność jest tutaj w pełni uzasadniona), a w odpowiedzi instytucja wydaje mu dodatkowy certyfikat z keyUsage ustawionym na digitalSignature. Certyfikat ten może być przechowywany na tej samej karcie.