Ministerstwa odpowiadają w sprawie podpisu elektronicznego

Submitted by Paweł Krawczyk on pt., 2007-02-09 21:03

MSWiA i Ministerstwo Finansów odpowiedziały na zapytania zgłoszone w listopadzie i grudniu 2006 roku przez senatora Zbigniewa W. Rau. Dotyczą one m.in. faktur elektronicznych, nowelizacji ustawy o podpisie elektronicznym oraz "pieczątki elektronicznej".

W oświadczeniach Senator poruszył kilka istotnych barier w stosowaniu podpisu elektronicznego. Odpowiedź MSWiA jest zwięzła i rzeczowa. Jej główne tezy to potwierdzenie, że trwają obecnie prace nad nowelizacją ustawy o podpisie elektronicznym, które mają na celu "usunięcie dotychczasowych wątpliwości, nadanie przepisom brzmienia zgodnego z Dyrektywą [99/93/WE]". Zostaną wprowadzone nowe definicje podpisu elektronicznego, bezpiecznego podpisu elektronicznego i zaawansowanego podpisu elektronicznego. Ma zaostać wprowadzona "elektroniczna forma pieczęci urzędowej".

Obszerna dpowiedź Ministerstwa Finansów zawiera właściwie tylko stwierdzenie, że obecne prawo jest zgodne z dyrektywami unijnymi - bo o ile MSWiA odnosiło się do dyrektywy o podpisie elektronicznym o tyle MinFin powołuje się także na dyrektywę o VAT - i że wszystko jest w porządku. Trudno się z tym zgodzić, obserwując obecny stan rynku podpisu elektronicznego - od formalnej zgodności do używalności droga jest daleka. Ministerstwo w odpowiedzi właściwie nie odniosło się do podstawowych problemów wskazanych w oświadczeniu, przytaczając niezbyt trafny argument że większość Państw Członkowskich wymaga podpisywania faktur elektronicznych podpisem kwalifikowanym - zapominając jednak, że "podpis kwalifikowany" w Polsce to zupełnie co innego niż "podpis kwalifikowany" np. w Czechach, gdzie jego definicja jest o wiele bardziej liberalna.

Odpowiedzi

Opcje wyświetlania odpowiedzi

Wybierz preferowany sposób wyświetlania odpowiedzi i kliknij "Zapisz ustawienia" by wprowadzić zmiany.

"Chodzi tutaj o kwestię odpowiedzialności: kto ma odpowiadać za podpisy złożone przez automat"

Ale zauważ, że w przypadku e-faktur nie ma w ogóle podpisywania - jest tylko poświadczanie autentyczności pochodzenia i integralności. Główny cel, któremu to służy to - jak się wydaje - ochrona odbiorcy przed fałszywą fakturą z fałszywym numerem konta (taki przyszłościowy phishing), a nie zapewnienie mu "niezaprzeczalności wystawienia faktury".

"z drugiej zaś ma wymiar psychologiczny - podpis przypisany do osoby"

Zawsze twierdziłem, że certyfikat kwalifikowany należy trzymać w sejfie i wyciągać tylko od wielkiego święta :) I właśnie dlatego nie powinno się wykorzystywać go do masowego poświadczanie autentyczności faktur.

"Przykładowo można wprowadzić zapis, że podpis złożony przez osobę działającą w imieniu pewnego podmiotu jest nie tylko oświadczeniem woli, ale także odpowiednikiem pieczęci firmowej/urzędowej"

Na chłopski rozum, jeśli kwalifikowany podpis jest równoważby podpisowi odręcznemu to ie musi być zawsze oświadczeniem woli - podpis odręczny też nie zawsze jest oświadczeniem woli (uświadomił mi to w dyskusji po ubiegłorocznej Enigmie Piotr Popis). Do sprecyzowania celu podpisu można wykorzystać pole CommitmentTypeIdentifier (RFC 3125 i RFC 3126) oraz SignaturePolicy.

Ale i tak w niektórych rolach jego stosowanie jest utrudnione ze względu na wyśrubowane wymagania wobec bezpiecznego urządzenia (aplikacji). Są one w pełni uzasadnione w przypadku, gdy podpis stosuje się do podpisywania np. umowy, ale równoczesnie niepotrzebnie wysokie w przypadku poświadczania autentyczności faktur.

Submitted by pkrawczyk on pon., 2007-02-19 20:01.

Jeśli chodzi o oprogramowanie do składania podpisu, to samo oprogramowanie powinno być podpisywane z użyciem pary kluczy i certyfikatu NBP. Powinno również podlegać audytowaniu. Wtedy nie byłoby problemu z produkcją oprogramowania tego typu przez firmy trzecie. W tej chwili trzeba wystawić "deklarację zgodności", ale moim zdaniem jest to ryzykowne, ponieważ ustawa definiuje oprogramowanie do podpisu jako część "bezpiecznego urządzenia".

Jeśli zaś chodzi o standardy, to jednym z dużych problemów jest brak standardu definiującego integrację komponentów podpisu z aplikacjami firm trzecich. Z tego co wiem, to żaden z istniejących komponentów nie pozwala na profesjonalną integrację z systemami firm trzecich (np. web-service do pobierania dokumentów do podpisu i zapisywania podpisanych dokumentów na serwerze).

Następną kwestią jest brak standardów jeśli chodzi o szablony dokumentów (faktury, dokumenty urzędowe, itd.). To rodzi ogromne problemy jeśli chodzi o produkcję oprogramowania i integrację.

Submitted by MarcinC (niezweryfikowany) on pon., 2007-02-19 12:58.

Dziękuję za rzeczowy komentarz. Uwagi w oświadczeniu senatorskim siłą rzeczy były mocno ograniczone i ogólne.

Jeśli chodzi o przypisanie podpisu elektronicznego osobie fizycznej to jest to problem w sytuacji, kiedy podpisywanie ma się odbywać z automatu. Problem ten pojawił się w słynnym "rozporządzeniu o HSM" czyli tym o elektronicznej skrzynce podawczej. Ponieważ podpis miał być składany automatycznie i w urządzeniu HSM, więc siłą rzeczy musiał to być podpis niekwalifikowany.

W praktyce powoduje to szereg problemów. Po pierwsze, z jakiego drzewa certyfikacji będzie pochodzić ten certyfikat w ESP? Dlaczego petent ma mu zaufać i skąd ma wiedzieć że jest on autentyczny? Ilu certyfikatom petent będzie musiał zaufać ad hoc żeby przyjmować UPO i w jakim stopniu niweczy to ideę PKI? Widząc niezaufane certyfikaty na serwerach SSL MinFin (E-poltax, Cerber) mam wrażenie, że będzie to praktyka powszechna.

Ten sam problem dotyczy e-faktur, gdzie - jak wyjaśnił sam MinFin - podpis służy tylko poświadczeniu autentyczności pochodzenia i integralności, więc aż się prosi żeby podpisywać to certyfikatem wsadzonym do systemu F-K bez interwencji administratora. Oczywiście istnieje MultiSign, ale on raczej powoduje że w ogóle można to zrobić (np. podpisać 10 tys faktur) niż że jest to sensowne.

Systemy F-K w rzeczywistości już obsługują podpis elektroniczny - obecnie przygotowujemy z Arturem Kmieciakiem większe opracowanie na ten temat i jeśli chodzi o ogólny stan rynku to wygląda to obiecująco, ale w praktyce jest to obsługa dość toporna i na pewno nie nastawiona do naprawdę masowego i automatycznego wystawiania faktur.

Głównie dlatego, że wymagany jest podpis kwalifikowany czyli osoba fizyczna, PIN i "bezpieczne urządzenie" czyli soft z deklaracją zgodności. Istnieją aplikacje darmowe dostarczane przez centra - i właściwie tylko istnieją, bo pod względem wygody obsługi korzystanie z nich wymaga dużego samozaparcia.

Submitted by pkrawczyk on pon., 2007-02-12 16:59.

Jeśli chodzi o przypisanie podpisu elektronicznego osobie fizycznej to jest to problem w sytuacji, kiedy podpisywanie ma się odbywać z automatu.

Moim zdaniem podpis musi być przypisany do osoby fizycznej. Chodzi tutaj o kwestię odpowiedzialności: kto ma odpowiadać za podpisy złożone przez automat? W wersji "papierowej" podpis składa upoważniona do tego osoba i to ona odpowiada za wszystko, co podpisała (wespół z pracodawcą). Podobnie powinno być w systemie informatycznym - nie można dopuścić do sytuacji, w której komputer wykonuje pewne operacje i nie ma nikogo, kto mógł by zostać za to pociągnięty do odpowiedzialności (z wyjątkiem zarządu firmy).

Zauważmy też, że w każdym systemie informatycznym administrator jest w stanie tak zmodyfikować oprogramowanie, by podpisać dowolne wybrane przez siebie dane. Dlatego też moim zdaniem "punktem zaufania" masowego podpisu elektronicznego powinien być tenże administrator.

Zgadzam się, że niektóre zapisy naszego prawa w znacznym stopniu utrudniają masowe podpisywanie dokumentów, inne zaś są na tyle niejasne, że ich stosowanie jest niezwykle ryzykowne. Jednak moim zdaniem tworzenie nowego "bytu" o nazwie "podpisu zaawansowanego" jest niepotrzebne. Zamiast tego należałoby poprawić dotychczasowe regulacje tak, by podpis stał się bardziej używalny. Przykładowo można wprowadzić zapis, że podpis złożony przez osobę działającą w imieniu pewnego podmiotu jest nie tylko oświadczeniem woli, ale także odpowiednikiem pieczęci firmowej/urzędowej (otwiera to olbrzymie możliwości np. przed e-notariuszami). Z jednej strony zdyscyplinuje to podpisujących i zapobiegnie tworzeniu automatów typu "podpisz w imieniu firmy wszystko, co dostaniesz", z drugiej zaś ma wymiar psychologiczny - podpis przypisany do osoby powoduje, że czuje ona "wagę" złożonego oświadczenia i jest świadoma odpowiedzialności, która na niej ciąży.

Kolejną kwestią która wymaga doprecyzowania jest dopuszczalny format podpisu. Kwestia jest o tyle trudna, że np. XAdES kiepsko nadaje się do podpisywania dużych danych, a formaty binarne podpisu stosunkowo trudno jest przetwarzać (znaczna część systemów informatycznych łatwiej "zrozumie" XMLa niż ASN.1). Należałoby zatem skoncentrować się na ujednoliceniu formatu podpisu poprzez jednoznaczne określenie wszystkich wymaganych elementów (załącznik do rozporząðzenia w notacji ASN.1 / XMLSchema byłby moim zdaniem bardzo dobrym rozwiązaniem). Tak naprawdę główną barierą rozwoju PKI jest bowiem nie tyle konieczność korzystania z certyfikatów kwalifikowanych, co brak kompatybilności między formatami podpisu powodująca nadmierne skomplikowanie usług, które miałyby z niego korzystać. Rozwiązania są dwa: tworzenie dla każdej usługi bezpiecznego urządzenia do podpisywania w dedykowanym dla tej usługi formacie (może to rodzić problemy przy próbach integracji z innymi systemami) lub zaimplementowanie obsługi wszystkich obecnych na rynku formatów podpisu (a jest ich o wiele więcej niż 3...). Jeśli dodamy do tego wszystkiego bałagan, który powstaje z powodu stosowania przez każdego z producentów zupełnie odmiennego formatu dokumentów elektronicznych (jest rozporządzenie, które ukazało się tak 2 lata za późno i chyba nie w każdym z interesujących nas przypadków znajduje zastosowanie) to wychodzi nam rzeczywisty obraz rynku dokumentów elektronicznych w Polsce. Oczywiście, jeśli uda nam się zdefiniować, czym te "dokumenty elektroniczne" są (definicje pojawiające się w różnych aktach prawnych potrafią znacząco się różnić).

Submitted by lklimek on wt., 2007-02-13 01:14.

Bardzo dobrze, ze ktos sie tym interesuje. Trzeba sie jednak skupic na uslugach, a nie na podpisie. Dopoki nie bedzie uslug, dopoty podpis sie nie upowszechni.

Upowszechnienie sie praw jazdy, wymiana praw jazdy na nowe, dopasowanie do wzorow europejskich jakos nie sluzy poprawie jakosci drog i budowie autostrad.

Najwazniejszymi przeszkodami w stosowaniu podpisu elektronicznego wcale nie sa usterki w ustawie o podpisie elektronicznym.

Bariery wynikaja z faktu, ze ponad 3 lata trzeba bylo czekac na ustawe o informatyzacji i jeszcze dluzej na akty wykonawcze do niej. Jeszcze chyba nie ma wszystkich.

Formaty podpisu to CAdES, XAdES i PKCS#7. Czy sa niekompatybilne? CAdES to rozszerzenie PKCS#7, a CAdES i XAdES maja podobna strukture, bo sa rozwijane przez te sama ogranizacje - ETSI, tylko maja rozne kodowanie - jeden binarne, a drugi xmlowe.

W rozporzadzeniu o minimalnych wymaganiach dla systemow informatycznych tez sa wymienione rozne formaty plikow tekstowych i graficznych (wiecej niz 3), ktore maja inna strukture i a inaczej kodowane, a jednak sa tam wpisane rozne formaty a nie jeden.

Z oswiadczenia: "W praktyce każdy użytkownik podpisu powinien mieć wykupione kwalifikowane certyfikaty u każdego z podmiotów świadczących usługi certyfikacyjne". Wcale nie, bo opgrogramowanie do weryfikacji jest darmowe.

Poza tym centra certyfikacji nie maja monopolu na oprogramowanie. Np. Enigma i BSB produkuja oprogramowanie do podpisu, a to nie sa centra certyfikacji. Skoro istnieje oprogramowanie obslugujace rozne formaty graficzne i tekstowe, to dowolna firma moze stworzyc oprogramowanie, ktore bedzie obslugiwac rozne formaty podpisu.

Centra certyfikacji doszly do porozumienia, ale to od ustawodawcy zalezy uruchomienie uslug. XAdES jest do dokumentow xmlowych, a co z innymi dokumentami?

W upowszechnieniu faktur elektronicznych rodzaj podpisu nie jest najwieksza przeszkoda. Programy finansowo-ksiegowe nie obsluguja podpisu, a czy beda obslugiwac zwykly czy kwalifikowany podpis, to powinna byc kwestia konfiguracji ustawien.

Z oswiadczenia: "Pozostaje to w sprzeczności z rozwiązaniem przyjętym dla faktur tradycyjnych, gdzie podpis własnoręczny nie jest wymagany." Wcale nie o to chodzi w podpisie pod fakturami, tylko o autentycznosc i integralnosc.

Z oswiadczenia: "Przypisanie podpisu elektronicznego osobie fizycznej ma i ten skutek, iż podpis elektroniczny nie może być składany w imieniu osoby prawnej czy też podmiotu nieposiadającego osobowości prawnej." Wcale nie, bo w certyfikacie (i tym samym w podpisie) mozna zapisac, ze osoba nie dziala we wlasnym imieniu tylko jako przedstawiciel firmy albo instytucji, mozna tam wpisac nazwe firmy albo instytucji, a poza tym mozna wpisac zakres uzywania np. wylacznie do podpisywania faktur albo poswiadczania odbioru.

Submitted by Anonymous (niezweryfikowany) on ndz., 2007-02-11 18:16.