W niedawnym artykule opublikowanym w Computerworld przedstawiciel Unizeto mówi, że “zainteresowanie e-podpisem rozwija się na całym świecie”. Czy faktycznie? Kluczowy fragment tej wypowiedzi (Tożsamość w czasach internetu) wygląda tak:
Zainteresowanie e-podpisem rozwija się na całym świecie. Jak wynika z raportu Gartner, rynek ten urósł w 2011 r. o 48% w porównaniu do roku poprzedniego i osiągnął odpowiednią dojrzałość do dynamicznego rozwoju na całym świecie. Obecnie wyłącznie z tzw. bezpiecznego e-podpisu korzysta ponad 260 tys. polskich podmiotów, a liczba ta będzie rosnąć w kolejnych latach.
Pierwsza część zdania może być jak najbardziej prawdziwa — rynek podpisu cyfrowego faktycznie w ostatnich latach ruszył do przodu. Tyle, że nie za sprawą europejskiego podpisu kwalifikowanego, który jest tak samo martwy jak 5 czy 10 lat temu, a za sprawą usług takich jak EchoSign czy DigiSign. Obie te usługi nie mają jednak nic wspólnego z bezpiecznym (kwalifikowanym) podpisem elektronicznym w rozumieniu europejskiej dyrektywy ani polskiego prawa.
Nie chcę przez to powiedzieć, że nie są przydatne czy bezpieczne — wprost przeciwnie, EchoSign jest wbudowany w Adobe Reader i jest po prostu wygodny w użyciu. Techniki te są z pewnością wystarczająco bezpieczne do większości zastosowań, do których są stosowane i równocześnie wygodne — stąd właśnie wynika ich popularność. A “bezpieczny podpis elektroniczny” to zupełnie odrębny twór, czy raczej fetysz prawny, związany ze ściśle uregulowanym środowiskiem aplikacyjnym i kartą kryptograficzną. Tymczasem wymienione rozwiązania są oparte najczęściej o następujące technologie:
- Faksymile (zeskanowany obrazek) podpisu odręcznego wklejany w dokumencie PDF. Tak działa DocuSign i EchoSign (obecnie część Adobe). Ten ostatni dodatkowo umożliwia narysowanie swojego podpisu w postaci graficznej (np. na tablecie) albo wręcz wpisanie go jako tekst, zamieniany później na "pisaną" czcionkę!
- Podpis cyfrowy składany po stronie serwera, czyli coś w stylu naszego ePUAP. Usługa ta często połączona jest z podpisem cyfrowym opisanym w pierwszym kroku — wypadkowa wartość dowodowa takiego dokumentu to suma wszystkich użytych w nim mechanizmów.
- Podpis cyfrowy składany przy pomocy certyfikatu X.509 na komputerze klienta, za pośrednictwem appletu Java uruchamianego ze strony WWW (tak działa WebNotarius Certum czy Xyzmu). Czasem może to być również podpis kwalifikowany.
</ul>
Dlaczego w ogóle o tym piszę? Dlatego, że przytoczona w CW opinia to w mojej opinii drobne nadużycie semantyczne, oparte o zamieszanie panujący w sferze pojęć związanych z podpisem cyfrowym. W pierwszej części zdania (tej o Gartnerze) mowa o wszystkich wyżej wymienionych usługach, w szczególności jednak tych "prostych" — w ogóle nie mówi o podpisie kwalifikowanym! Druga część zdania płynnie przechodzi do polskiego podpisu kwalifikowanego co stwarza wrażenie, że w tej właśnie branży odbywa się jakiś gwałtowny rozwój. A co w rzeczywistości mówi raport Garnera o podpisie kwalifikowanym?
These laws may require that qualified certificates from specific certificate authorities be used and that the private keys associated with these certificates be stored on "secure signature creation devices" (SSCDs), usually smart cards. Despite advances by some countries with national ID rollouts (IDs that can support digital signatures), lack of reader infrastructure, costs and inconvenience have severely inhibited this approach to conducting transactions requiring signatures. "Soft certificate" approaches that store keys on endpoint devices, but don't require SSCDs, also provide an inconvenient and often untenable solution, because the signing keys are often not available on the devices users are using to conduct transactions. The increase in mobility requirements and the need or desire to sign anywhere from any device are further inhibiting digital signatures for consumer transaction signing
Jak by nie patrzeć, trudno się tutaj doszukać czegokolwiek innego jak potwierdzenia, że rynek podpisu kwalifikowanego jest martwy. I faktycznie, jedyny znaczący wzrost rynku podpisu kwalifikowanego w Polsce miał miejsce wyłącznie w jednym roku — 2008, kiedy liczba aktywnych certyfikatów wzrosła skokowo z kilkunastu do ponad 250 tys. Co więcej, jedynym powodem takiego skokowego wzrostu było nałożenie na płatników ZUS obowiązku korzystania z podpisu kwalifikowanego (co było kompletnie bez sensu i nie miało żadnego uzasadnienia biznesowego czy technicznego). Jeśli więc pod koniec 2012 roku chwalimy się tym, że jest ich "ponad 260 tys." to mamy tutaj wzrost o 4% na przestrzeni 4 lat, czyli 1% rocznie. Co więcej, nie ma żadnych podstaw do prognozowania, że "liczba ta będzie rosnąć w kolejnych latach", tym bardziej że o wiele szybciej rośnie liczba darmowych Profili Zaufanych ePUAP. No chyba, że toczą się jakieś zakulisowe działania legislacyjne, o których jeszcze nie wiemy i które nakażą np. zakup certyfikatów kwalifikowanych po 300 zł w celu złożenia wniosku o zasiłek dla bezrobotnych. Jestem tutaj złośliwy, ale w ostatniej dekadzie obserwowaliśmy wiele tego typu przejawów specyficznej "innowacyjności po polsku", czyli wykorzystywania nieudolności ustawodawcy do forsowania rozwiązań głupich i przeciwskutecznych. A cena 300 zł cytowana w artykule utrzymuje się prawie na niezmiennym poziomie od 2002 roku, pomimo że w międzyczasie przedstawiciele centrów zaklinali się na wszelkie świętości, że jej spadek jest wyłącznie kwestią czasu i efektu skali. Zarówno centra certyfikacji, jak i Poczta Polska mogły w tym czasie mogły stworzyć i wypromować mnóstwo naprawdę nowoczesnych usług wiarygodnego przesyłania dokumentów elektronicznych i doskonale na tym zarabiać. Zamiast tego pierwsze z typowo inżynierskim oderwaniem od rzeczywistości przeforsowały, a następnie zażarcie broniły przed każdą zmianą usługę kompletnie nieużywalną. Poczta Polska dla odmiany z powodzeniem zwalczała faktury elektroniczne i utrzymywała sektor publiczny w przekonaniu, że przez kolejne 20 lat nic się nie zmieni i nadal trzeba będzie lizać papierki z rysunkami i naklejać je na inne papierki, które potem ktoś niespiesznie zaniesie do adresata. Przykro mi , ale sami żeście ten rynek oddali bez walki.