Problemy związane z elektroniczną skrzynką podawczą

2008-01-17 00:00:00 +0000


Rozporządzenie w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym określa sposób w jaki ma być wydawane Urzędowe Poświadczenie Odbioru (UPO), czyli elektroniczny kwitek potwierdzający fakt złożenia dokumentu do urzędu w określonym terminie. Z rozporządzeniem tym wiążą się co najmniej trzy wątpliwości natury techniczno prawnej.

Rozporządzenie definiuje UPO w sposób następujący:

§ 2. Użyte w rozporządzeniu określenia oznaczają: (...)

4) urzędowe poświadczenie odbioru - dane elektroniczne dołączone do dokumentu elektronicznego doręczonego podmiotowi publicznemu lub połączone z tym dokumentem w taki sposób, że jakakolwiek późniejsza zmiana dokonana w tym dokumencie jest rozpoznawalna, określające:

a) pełną nazwę podmiotu publicznego, któremu doręczono dokument elektroniczny,
b) datę i czas doręczenia dokumentu elektronicznego rozumiane jako data i czas wprowadzenia albo przeniesienia dokumentu elektronicznego do systemu teleinformatycznego podmiotu publicznego,
c) datę i czas wytworzenia urzędowego poświadczenia odbioru
Warto zwrócić uwagę, że początek tej definicji ("dane elektroniczne...") bardzo przypominają definicję podpisu elektronicznego w ustawie o podpisie elektronicznym. W istocie jest to właśnie definicja podpisu elektronicznego pozostawiająca sporą swobodę jeśli chodzi o sposób jej implementacji (certyfikat, format, standard).

Jakim certyfikatem podpisywać UPO?

Jak wynika z tekstu rozporządzenia UPO może być podpisane praktycznie dowolną formą podpisu elektronicznego (PGP?), pod warunkiem że będzie ona spełniać wymagania w punktach a-c. Skąd taki liberalizm w polskim prawie, w którym zwykle gdzie tylko się da wciska się "i musi być podpisane bezpiecznym podpisem elektronicznym zgodnym z ustawą..."?

Zgodnie z polską definicują podpisu kwalifikowanego musi być on przypisany do osoby fizycznej, zaś sposób jego składania powinien umożliwiać m.in. prezentację podpisywanej treści oraz zawierać ostrzeżenie o skutkach prawnych złożenia podpisu. Kto miałby być osobą fizyczną w przypadku automatycznego podpisywania przez HSM? Jak miałby być realizowany proces prezentacji? Wymagania te nijak nie pasują do profilu zastosowań ESP.

Konsekwentnie należy więc uznać, że do podpisywania UPO, które są wystawiane ad hoc przez automat (HSM) nie można stosować certyfikatu kwalifikowanego.

Być może są to wnioski oczywiste, ale proszę mi uwierzyć że nie były one oczywiste dla szeregowych pracowników administracji publicznej, którym polecono przygotować wdrożenie takiego systemu. Interpretacje z jakimi się stykałem zahaczały o absurd - np. rozważano czy w razie wsadzenia do HSM certyfikatu osobowego nie będzie problemów z inspekcją pracy, skoro podpis jest równoważny podpisowi odręcznemu a HSM podpisuje 24h na dobę. Jest to połowicznie wina nowości tej technologii, a połowicznie niespójności i oderwania od rzeczywistości tworzonego nieraz ad hoc prawa (dlaczego np. rozporządzenie nie odwołuje się do definicji podpisu z ustawy tylko tworzy własną?).

Nasuwa się pytanie - jakiego certyfikatu użyć? Pracownicy administracji publicznej, z którymi rozmawiałem interpretowali to jako możliwość stosowania dowolnego certyfikatu niekwalifikowanego, co nie stoi w sprzeczności z literą rozporządzenia. Z drugiej strony stwarza to ryzyko powstania chaosu jeśli każda jednostka zacznie tworzyć własne drzewo certyfikacji. Wiele instytucji publicznych takimi drzewami już dysponuje - funkcjonują one w oparciu o lokalne, prywatne centra certyfikacji i spełniają swoje zadanie w zakresie np. uwierzytelnienia pracowników tam, gdzie zakup certyfikatów w komercyjnych CA byłby nieopłacalny.

Drugie ryzyko to chłonność pojęcia "podpis niekwalifikowany", co oznacza w Polsce wszystko co nie jest podpisem kwalifikowanym - czyli poczynając od PGP a skończywszy na prywatnych drzewach X.509. Jaka będzie po kilku latach wartość dowodowa UPO podpisanego takim certyfikatem?

Na każdym kroku wychodzi tutaj przepaść pomiędzy precyzyjnie zdefiniowanym, ale nieużywalnym w tym zastosowaniu podpisem kwalifikowanym i resztą, czyli każdym innym. Prowadzi to do powstawania takich właśnie lokalnych definicji podpisu elektronicznego, wprowadzanych w sytuacjach kiedy nie da się już po prostu nic zrobić, żeby po raz kolejny upchnąć w rozporządzeniu podpis kwalifikowany.

UPO w praktyce

Jak to wygląda w praktyce? Jedyną ESP jaką udało mi się przetestować w praktyce była Elektroniczna Skrzynka Podawcza ZUS postawiona w technologii opracowanej przez Certum.

W rozwiązaniu Certum UPO jest podpisywane zaświadczeniem certyfikacyjnym z drzewa Centrast, wystawionym na "Certum QDA". Jest to rozsądny sposób na ułatwienie weryfikacji podpisu pod UPO, ale budzi moje wątpliwości z jednego powodu - zaświadczenia certyfikacyjne są przez ustawę o podpisie zastrzeżone dla centrów certyfikacji.

Innymi słowy, tylko centrum może otrzymać od Centrastu "certyfikat" w drzewie kwalifikowanym nadający się do załadowania do HSM. Równocześnie certyfikatów w drzewie kwalifikowanym, które może uzyskać każdy nie można wsadzić do HSM (osoba fizyczna). Kto ma więc wyłączność na podpisywanie naszych UPO w drzewie Centrastu...?

Inne informacje praktyczne o ESP ZUS, które mogą kogoś zainteresować:

Kiedy można wystawić UPO?

Podczas implementacji ESP nieuchronnie pojawia się problem czasu wystawienia UPO w stosunku do momentu przysłania dokumentu. Problem bierze się stąd, że w momencie gdy przysyłam dokument podpisany z pomocą certyfikatu kwalifikowanego do ESP skrzynka powinna zweryfikować mój podpis pod tym dokumentem. Ale zgodnie z prawem nie może tego zrobić - pełna weryfikacja podpisu kwalifikowanego nie jest możliwa aż nie zostanie wydany kolejny CRL, co oznacza zwłokę od 1 do 12 godzin (patrz serwis "Dla praktyków").

Nie jest to problem trywialny. Pełna weryfikacja podpisu kwalifikowanego musi dokładnie zająć tyle czasu, chyba że zostanie wykorzystane OCSP, które jednak ze strony centrów nie jest obowiązkowe. Z punktu widzenia osoby składającej dokument pożądane jest jak najszybsze otrzymanie UPO.

Warto zauważyć, że w projekcie rozporządzenia zastępującego to omawiane tutaj z 2006 roku wprowadzono wręcz klauzulę następującą: "po podpisaniu bezpiecznym podpisem elektronicznym system teleinformatyczny służący do obsługi doręczeń pism bezzwłocznie, nie później niż w ciągu 5 sekund udostępnia do pobrania pismo wraz z urzędowym poświadczeniem odbioru".Projekt rozporządzenie jednak nie wszedł w życie, być może z powodu opisanych tutaj wątpliwości.

Wydaje mi się, że praktyczne rozwiązanie tego problemu jest stosunkowo proste jeśli przeanalizuje się cel tak długiego oczekiwania na weryfikację podpisu - ma to zabezpieczyć przed sytuacją, kiedy podpis zostanie złożony skradzioną kartą i kodem PIN już po jej odwołaniu, ale przed wydaniem kolejnego CRL. Pytanie tylko, czy taka sytuacja stanowi jakieś zagrożenie dla urzędu?

Otóż zadaniem skrzynki podawczej jest tylko przyjęcie dokumentu i wprowadzenie go do systemu teleinformatycznego urzędu. Skrzynka nie ocenia wartości merytorycznej dokumentu ani jego zasadności. Skrzynka powinna zatem przeprowadzić weryfikację autentyczności i integralności ("weryfikacja matematyczna") podpisanego dokumentu, wprowadzić go do systemu i niezwłocznie wydać UPO. Pełna weryfikacja następuje po zakończeniu "okienka niepewności" i dopiero po jej pomyślnym zakończeniu dokument może być skierowany do dalszego przetwarzania.

Byłby to więc pewien etap pośredni pomiędzy przyjęciem dokumentu przez skrzynkę, a wprowadzeniem jej w proces biznesowy w urzędzie. W tym okresie dokument pozostawałby w stanie zawieszenia. Po kompletnym zweryfikowaniu podpisu nabierałby on wszystkich cech z tego wynikających czyli głównie dotyczących autorstwa oraz daty pewnej. W razie negatywnej weryfikacji dokument byłby odrzucany, zaś UPO potwierdzałoby tylko złożenie nieważnego dokumentu.

Jeśli wyślemy do Urzędu Skarbowego listem poleconym pustą kartkę to potwierdzenie nadania nie dowodzi wcale złożenia wymaganego dokumentu.

Jakie normy musi spełniać HSM?

Rozporządzenie w sprawie warunków techniczno-organizacyjnych wymienia również precyzyjnie wymagania, jakie ma spełniać HSM stosowany w ESP:

System teleinformatyczny (...) do wytworzenia urzędowego poświadczenia odbioru zawiera sprzętowy moduł bezpieczeństwa (Hardware Security Module) spełniający wymagania normy FIPS 140-2 (...) poziom 3 lub wyższy, wydanej przez National Institute of Standards and Technology (NIST).

Zapis ten budzi dwojakie kontrowersje.

Po pierwsze, narzucająca się z lektury rozporządzenia interpretacja jest taka że oto każdy urząd musi zaopatrzyć się w ESP wyposażoną w HSM. Koszt samego HSM to 15-30 tysięcy złotych. Argumentacja przemawiająca za stosowaniem HSM - wydajność, bezpieczeństwo, niezaprzeczalność -jest słuszna (Michał Tabor, "Uczciwość i problem techniczny", Computerworld) ale w zderzeniu z sytuacją finansową wielu instytucji publicznych w Polsce oraz przewidywaną liczbą dokumentów elektronicznych oscylującą na początku w okolicach zera forsowanie modelu "HSM w każdym urzędzie" jest całkowicie nieracjonalne.

Zwracam uwagę - jest to interpretacja narzucająca się z lektury rozporządzenia i była ona tak odbierana przez wielu pracowników administracji, z którymi rozmawiałem. W chwili obecnej powszechne jest że "duże" urzędy macierzyste stawiają ESP i obsługują w ten sposób wiele "małych" urzędów potomnych. Nadal jednak jest to specyficzna interpretacja nie wynikająca za bardzo z litery rozporządzenia.

Po drugie, dziwi wskazanie w rozporządzeniu tylko jednej normy dotyczącej bezpieczeństwa jaką jest FIPS 140-2 certyfikowanej przez amerykański instytut NIST.

Realia rynku są takie, że wiele tych urządzeń istotnie posiada certyfikaty FIPS 140-2, która jest normą ukierunkowaną stricte na rozwiązania kryptograficzne. Ale rozporządzenie do ustawy o podpisie elektronicznym mówiąc o kartach kryptograficznych wymienia trzy standardy oceny bezpieczeństwa - FIPS, ITSEC oraz Common Criteria. Ustawa o informacji niejawnej powołuje się z kolei na normę ITSEC.

Ocenę według Common Criteria oraz ITSEC prowadzi wiele laboratoriów europejskich, w tym także polski Departament Bezpieczeństwa Teleinformatycznego ABW, który wystawia na podstawie tej oceny certyfikat ochrony kryptograficznej. Dlaczego zatem HSM może mieć tylko certyfikat wydany przez amerykański NIST?