Po 10 latach e-podpis wciąż jest za mało znany i stosowany

Ustawa o podpisie elektronicznym właśnie ukończyła 10 lat, co w nowych technologiach odpowiada całej epoce. Jednak liczba użytkowników podpisu elektronicznego w Polsce może być liczona jedynie w setkach tysięcy. Jak na kraj z prawie 40 mln obywateli to nie jest imponujący wynik. Tym bardziej że większość użytkowników korzysta z e-podpisu pod wpływem przymusu prawnego - składanie deklaracji ZUS przez przedsiębiorców możliwe jest wyłącznie drogą elektroniczną przy wykorzystaniu podpisu elektronicznego.

Przyczyn jest wiele. Najważniejsze z nich to przyzwyczajenie do własnoręcznego podpisywania dokumentów, brak wiedzy o podpisie elektronicznym oraz wynikające stąd nieufność i niepewność. Nie bez znaczenia są wysokie koszty e-podpisu i brak dostatecznej liczby usług, w których ten podpis byłby przydatny. Brakuje też międzynarodowej interoperacyjności pomiędzy podpisami elektronicznymi. Oznacza to, że polski podpis można praktycznie stosować jedynie w Polsce. Na niektóre z wymienionych przyczyn nie mamy żadnego wpływu i istotnie stanowią one realną barierę w stosowaniu podpisu elektronicznego. Jednak znaczna część problemów wynika z niewystarczającej wiedzy użytkowników, co można zmienić, np. przez akcje edukacyjne, czy kampanię społeczną.

Pomimo istotnych różnic, taki jest zasadniczy sens koncepcji podpisu elektronicznego. Jednak problemem jest jego wiarygodność - podobnie jak w wypadku podpisu własnoręcznego. Nie bez powodu funkcjonuje instytucja notarialnego poświadczania podpisu czy potwierdzania podpisu przez upoważnione osoby w urzędach, bankach i innych instytucjach. Podpis własnoręczny nie jest w pełni wiarygodny sam z siebie. Podobnie jest w dziedzinie podpisu elektronicznego - istnieje kilka jego rodzajów dających różne poziomy zaufania. Użyteczne w biznesie rodzaje e-podpisu mają za podstawę technikę podpisu cyfrowego.

Podpis elektroniczny to bardzo szerokie pojęcie - najprostsze jego formy (podpis zwykły) dają ogólnie niski poziom wiarygodności. Może to być przykładowo informacja aplikacji pocztowej o nadawcy e-maila lub skan grafiki podpisu dołączony do dokumentu. Jest jasne, że możemy ufać takiej formie podpisu jedynie wtedy, gdy dobrze znamy nadawcę, jest on wiarygodny, a najlepiej, abyśmy byli w stanie w jakiś sposób potwierdzić fakt podpisania dokumentu przez nadawcę. Nie trzeba przekonywać, że użyteczność tego rodzaju podpisu w praktyce - także biznesowej - jest znikoma, chociaż istnieją przykłady jego przydatności. Ujmując sprawę inaczej, można powiedzieć, że podpis zwykły jest na tyle ważny, wiarygodny i skuteczny, na ile nadawca i odbiorca dokumentu umówią się w danej sytuacji, biorąc pod uwagę cały kontekst i potrzeby obu stron.

Te zbliżone terminy określają zupełnie różne pojęcia. Podpis elektroniczny jest pojęciem prawnym zdefiniowanym w ustawie z 18 września 2001 r. o podpisie elektronicznym (Dz.U. 2001 nr 130, poz. 1450 z późn. zm.) i dyrektywie o wspólnotowej infrastrukturze podpisów elektronicznych (1999/93/EC). Natomiast podpis cyfrowy to rozwiązanie techniczne mające za podstawę kryptografię asymetryczną tzw. klucza publicznego i certyfikaty cyfrowe. Dzięki zastosowaniu techniki podpisu cyfrowego do realizacji podpisu elektronicznego otrzymujemy narzędzie realnie przydatne w praktyce biznesowej. Dzięki temu, że do podpisu elektronicznego dołączony jest certyfikat cyfrowy, odbiorca dysponuje skuteczną metodą określenia tożsamości podpisującego. Jak wśród dokumentów papierowych mamy paszporty, dowody osobiste, legitymacje, tak w świecie cyfrowym funkcjonują dwa rodzaje certyfikatów: kwalifikowane i niekwalifikowane. Te pierwsze są wydawane przez kwalifikowane centra (urzędy) certyfikacji, które po przejściu odpowiednich procedur weryfikujących są z urzędu uznane za tzw. zaufane strony trzecie. Używanie certyfikatów niekwalifikowanych wymaga, aby zaufanie do takiego centrum certyfikacji zostało zbudowane w inny sposób i potwierdzone - np. w formie umowy.

Chodzi o stopień pewności, że posiadaczem certyfikatu rzeczywiście jest osoba, której dane są w nim umieszczone. W tym sensie certyfikat kwalifikowany odpowiada dokumentowi tożsamości takiemu jak paszport lub dowód osobisty. Z tą różnicą, że paszport czy dowód można podrobić domowymi sposobami na tyle skutecznie, że da się go używać w sytuacjach, w których osoba weryfikująca nie dysponuje profesjonalnymi technikami weryfikacji, czyli prawie zawsze. Certyfikatu - nie! Certyfikatu kwalifikowanego nie można sobie po prostu ściągnąć z sieci, ale należy się po niego udać osobiście do centrum w celu weryfikacji tożsamości. Ponadto, certyfikat taki może być przyznany wyłącznie osobie fizycznej i może być używany jedynie do podpisu elektronicznego. Pełna wiarygodność centrum kwalifikowanego wynika z tego, że musi ono bezwzględnie przestrzegać określonej polityki certyfikacji. Z certyfikatami niekwalifikowanymi jest podobnie, z tym że wiarygodność takiego centrum nie jest poświadczona urzędowo i jest ono wiarygodne na tyle, na ile ufamy jego polityce certyfikacji i zapewnieniu jej przestrzegania. W tym sensie certyfikaty niekwalifikowane odpowiadają np. legitymacjom służbowym czy kartom identyfikacyjnym. Analogicznie jak w świecie "papierowym": jeśli widzimy legitymację, jest ona dla nas wiarygodna oraz pozwala na stwierdzenie tożsamości i uprawnień posiadacza wyłącznie wtedy, gdy została wydana przez naszą instytucję lub inny zaufany podmiot.

Dokument podpisany elektronicznie może być przez odbiorcę uznany za wiarygodny dopiero po weryfikacji podpisu. Z samego e-podpisu nie wynika, czy jest on prawidłowy. Certyfikat związany z kluczem użytym do złożenia takiego podpisu mógł np. zostać unieważniony, a informację o tym ma jedynie jego wydawca - centrum certyfikacji. Potwierdzenie poprawności e-podpisu wymaga zatem dokonania jego weryfikacji - albo poprzez bezpośrednie połączenie się z centrum certyfikacji, albo przez przeszukanie list unieważnionych certyfikatów. Kwalifikowane centrum zapewnia w pełni wiarygodną obsługę wydanego certyfikatu - przede wszystkim jego rzetelną weryfikację. Centrum niekwalifikowane nie jest "z urzędu" aż tak wiarygodne, ale dla odbiorcy zaufanie do niego może być wystarczające, aby uznawać wydawane przezeń certyfikaty i używać w praktyce działalności gospodarczej takiego podpisu elektronicznego. Jeżeli centrum ma odpowiednią politykę certyfikacji i jej przestrzega, jego certyfikaty mogą służyć do realizacji zaawansowanego podpisu elektronicznego.

Do dokumentu podpisanego elektronicznie jest dołączony certyfikat cyfrowy podpisującego, czyli jego elektroniczny dokument tożsamości. Technologia zapewnia, że podpis i dołączony do niego dokument tożsamości stanowią parę. Nie jest technicznie możliwe złożenie podpisu i dołączenie innego certyfikatu, ani podmienienie certyfikatu na inny. W rezultacie, jako odbiorca mamy podpisany elektronicznie dokument, dokument tożsamości podpisującego oraz metodę weryfikacji tego dokumentu tożsamości przez zaufaną stronę trzecią. Jest to zatem o wiele więcej, niż to, czym dysponujemy w świecie "papierowym". Centrum certyfikacji może też świadczyć inne usługi związane z e-podpisem, np. znakowanie czasem. Dzięki tej usłudze mamy pewność co do czasu wykonania operacji znakowania (złożenia podpisu). W odpowiednich sytuacjach wywołuje to prawne skutki tzw. daty pewnej. Jest to zatem przydatna usługa, która daje dokładne i stuprocentowo wiarygodne datowanie dokumentu, niezależnie od prawidłowości ustawienia daty na jakimkolwiek komputerze. Przykładowe inne przydatne usługi to: poświadczenie przedłożenia, poświadczenie odbioru dokumentu, poświadczenie depozytowe, certyfikaty atrybutów, które pozwalają na umieszczenie w certyfikacie istotnych informacji, np. stanowiska, roli lub uprawnienia osoby.

Opisane usługi związane z certyfikatami cyfrowymi świadczone przez centra kwalifikowane są globalnie uznawane za wiarygodne. Podstawą ich wiarygodności jest przejście przez te centra wymagających procedur audytowych. Fakt ten jest poświadczony poprzez wpisanie ich na odpowiednią urzędową listę - w Polsce jest to "Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne związane z podpisem elektronicznym". Zapewnienie i stałe utrzymywanie warunków technicznych i organizacyjnych pozwalających znaleźć się na takiej liście, a także same procedury są kosztowne. Ponieważ centrami kwalifikowanymi są podmioty komercyjne, to muszą zarabiać na pokrycie tych kosztów. Certyfikaty kwalifikowane w obecnych warunkach muszą być zatem płatne. Kupując certyfikat kwalifikowany, zapewniamy sobie to, że złożony przy jego użyciu podpis będzie mógł być uznany przez każdego odbiorcę (obecnie - z racji problemów interoperacyjności - należałoby powiedzieć, że każdego odbiorcę w Polsce), w szczególności przez instytucje wymagające bezwzględnie używania podpisów kwalifikowanych.

Oczywiście nie. Z technicznego i organizacyjnego punktu widzenia te same usługi co centra kwalifikowane mogą świadczyć inne podmioty - przedsiębiorstwa, organizacje, urzędy. Jednak podmioty te nie podjęły skutecznych starań o wpis na urzędową listę. Wydawane i obsługiwane przez nie certyfikaty są niekwalifikowane. Certyfikaty niekwalifikowane są jak najbardziej przydatne do podpisu elektronicznego. Różnica polega na poziomie zaufania i aspektach prawnych. Centra kwalifikowane cieszą się globalnym zaufaniem, a certyfikaty kwalifikowane są uznawane z mocy ustawy o podpisie elektronicznym. Centra niekwalifikowane zdobywają zaufanie w inny sposób - np. na podstawie umowy, innych przepisów prawa czy przepisów wewnętrznych organizacji, np. firmy mogą zawrzeć pomiędzy sobą umowę dotyczącą wzajemnego uznawania certyfikatów. A zatem w wielu sytuacjach można stosować podpis elektroniczny bez konieczności posiadania certyfikatu kwalifikowanego - jeśli tylko jest do tego odpowiednia podstawa. Używając certyfikatu niekwalifikowanego, powinniśmy w jakiś sposób upewnić się, że funkcjonowanie centrum certyfikacji jest zgodne z zasadami.

Należy podkreślić, że podpisu kwalifikowanego musimy używać w konkretnych sytuacjach określonych prawem. W wielu wypadkach nie jest to jednak konieczne i możemy równie dobrze korzystać z zaawansowanego podpisu niekwalifikowanego, jeśli zainteresowane strony wyrażą na to zgodę.

@RY1@i02/2011/244/i02.2011.244.21400080p.802.jpg@RY2@

Fot. Rafał Siderski

Piotr Salata, Instytut Informatyki Politechniki Warszawskiej

Rozmawiał Krzysztof Polak