Hardware Security Module (HSM) w elektronicznej skrzynce podawczej

Rozporządzenie w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym reguluje m.in. sposób w jaki petent składa dokument elektroniczny do urzędu. Obowiązkiem urzędu jest wydanie urzędowego poświadczenia odbioru, które dla petenta jest wiążącym prawnie dowodem, że dokument złożył.

Uwaga: ten artykuł pochodzi z 2006 roku i nie ma charakteru kompleksowej analizy, jest luźnym zbiorem różnych tez i różnych pomysłów zebranych z różnych źródeł. Na końcu artykułu można znaleźć kilka nowych spraw.

Rozporządzenie zawiera zapis o bardzo poważnych konsekwencjach dla jednostek administracji publicznej:

System teleinformatyczny (…) do wytworzenia urzędowego poświadczenia odbioru zawiera sprzętowy moduł bezpieczeństwa (Hardware Security Module) spełniający wymagania normy FIPS 140-2 (…) poziom 3 lub wyższy, wydanej przez National Institute of Standards and Technology (NIST) (załącznik, par. 1, pkt 1 - Rozporządzenie w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym)

Realia rynkowe są takie, że na świecie istnieją trzy serie urządzeń, noszących nazwę handlową Hardware Security Module i spełniających ten warunek (lista na stronie NIST). Ich ceny to minimum 14 tys. USD za sztukę, bez oprogramowania. W Polsce sprzedają je dwie-trzy firmy.

Wiele urzędów potraktowała ten zapis zupełnie poważnie i zaczęła zastanawiać się skąd wziąć na to środki[1].

MSWiA podeszło do problemu biznesowo rekomendując gminom zakup urządzeń na zasadzie zrzutki i uprzejmie informując, że kosztują 32 tys. za sztukę - patrz Wyjaśnienie MSWiA w kwesti HSM (kwiecień 2006).

Problemy

  • Napisanie w rozporządzeniu o "urządzeniach HSM spełniających normę taką i taką" z wymienieniem jednej z trzech stosowanych norm jest tym samym, co wskazanie egzaminy na prawo jazdy można robić na dowolnych samochodach, ale tylko marki Chevrolet.
  • Dlaczego w tym rozporządzeniu narzucono akurat normę wystawianą tylko w USA, skoro do ochrony informacji niejawnej w Polsce dopuszcza się urządzenia z ITSEC i Common Criteria, certyfikowane choćby przez DBTI ABW i inne ośrodki w NATO, a Rozporządzenie o warunkach technicznych wprost wskazuje na ITSEC, Common Criteria (par. 49, 1.4 i 2.2 Rozporządzenia), także wymieniając FIPS 140-2 ale na równi z innymi.
  • Po co urządzenie za 32 tys. zł w urzędzie gminy, który będzie przyjmować jeden dokument tygodniowo? Czy w tych urzędach, których będzie zapewne 90%, nie można wystawiać poświadczenia przy pomocy karty elektronicznej, która jest o wiele tańsza (100 zł vs 32 tys.)? Odpowiedzi i dyskusja poniżej.

Rozwiązania

  • Określenie "sprzętowy moduł bezpieczeństwa" nie musi z prawnego punktu widzenia oznaczać urządzeń, które w handlu sa określane jako Hardware Security Module. Jest to interpretacja prawników dużej instytucji, którą przedstawiono mi w rozmowie prywatnej na konferencji Enigma 2006.
  • Zgodnie z tą interpretacją i wbrew zaleceniom MSWiA można wykorzystywać zwykły zestaw do podpisu (karta+certyfikat) do składania poświadczenia, pod warunkiem że karta ma FIPS 140-2 (prawie wszystkie mają).
  • Niezależnie od tej interpretacji wiele osób skomentowało wymienienie tylko FIPS jako ewidentny błąd rzeczowy w samym rozporządzeniu, wymagający poprawienia. Właściwe byłoby wskazanie na urządzenia spełniające wymagania Rozporządzenia o warunkach technicznych, a nie tworzenie nowej definicji HSM w rozporządzeniu dotyczącym zupełnie czegoś innego.

<

p>

Nowelizacja?

Zapis o HSM i FIPS 140-2 zniknął z nowego projektu rozporządzenia dostępnego w BIP MSWiA: Projekt: Rozporządzenie MSWiA w sprawie struktury i sposobu sporządzania pism w formie dokumentów elektronicznych oraz warunków organizacyjno-technicznych ich doręczania (wystawione w marcu 2006).

Ale pojawił się tam inny ciekawy fragment:

  • Po podpisaniu bezpiecznym podpisem elektronicznym system teleinformatyczny służący do obsługi doręczeń pism bezzwłocznie, nie później niż w ciągu 5 sekund udostępnia do pobrania pismo wraz z urzędowym poświadczeniem odbioru. (§4, ustęp 4) Co ta wartość robi w rozporządzeniu i skąd się wzięła, i czy nie jest to próba wepchnięcia HSM tylnymi drzwiami?
  • Druga problematyczna kwestia w tym projekcie jest omówiona oddzielnie - Logowanie do systemu teleinformatycznego

<

p>

Dyskusja

Komentarza wymagają dwie wypowiedzi Polskiej Izby Informatyki i Telekomunikacji, które mogły mieć wpływ na cytowany wyżej zapis w Rozporządzeniu:

  • Polska Izba Informatyki i Telekomunikacji w stanowisku z czerwca 2005 roku uważa, że zwykłe karty nie nadają się do automatycznego i masowego podpisywania dokumentów, ponieważ są niedostatecznie trwałe: Karty są urządzeniami o stosunkowo niskiej trwałości. Nasze praktyczne doświadczenia z kartami wiodących producentów (GEMPLUS, Schlumberger) wskazują na niską żywotność kart w warunkach silnego użytkowania (przez studentów w trakcie prac programistycznych). (Opinia Polskiej Izby Informatyki i Telekomunikacji w sprawie projektu Rozporządzenia Ministerstwa Finansów dotyczącego elektronicznej faktury ze szczególnym uwzględnieniem problemu masowego podpisywania za pomocą bezpiecznego podpisu elektronicznego)
    • Jest to opinia nie mająca potwierdzenia w rzeczywistości. W odpowiedzi na tę opinię krakowska firma Cryptotech we wrześniu 2005 uruchomiła projekt Test1500, którego celem było empiryczne sprawdzenie ile podpisów jest w stanie wykonać zwykła seryjna karta CryptoCard multiSign. Od startu projektu do maja 2006 roku karta bezawaryjnie złożyła 16 mln podpisów (Szczegółowa dyskusja problemu awaryjności seryjnych kart elektronicznych). Eksperyment ten dowodzi to, że w środowiskach nie wymagających urządzeń o bardzo wysokiej dostępności i wydajności (co zapewniają klasyczne HSM, które są jednak drogie) zwykłe karty elektroniczne są w zupełności wystarczające.
  • Polska Izba Informatyki i Telekomunikacji w opinii z marca 2006 argumentuje, że do wystawiania poświadczeń powinny być używane HSM: 4. Dotyczy par 6 ust.1 Proponujemy aby doręczenia pism, których odbiorcami są organy administracji państwowej odbywały się zawsze na warunkach określonych w rozporządzeniu Prezesa Rady Ministrów z 29.09.2005 r. w oparciu o automatyczne generowanie poświadczeń w urządzeniach HSM. Pozwoli to na pełne wykorzystanie infrastruktury, która ma być zbudowana na podstawie tego rozporządzenia, uprości system i wyeliminuje możliwość manipulowania podaniami elektronicznym system oparty na podpisywaniu bezpiecznym podpisem zawsze daje możliwości manipulowania czasem odbioru, a tym samym zapobiega korupcji. Może być ważnym instrumentem w ustalaniu listy uprawnionych do deficytowych świadczeń, dóbr lub zezwoleń, koncesji etc. (Uwagi PIIT i PTI do projektu rozporządzenia MSWiA w sprawie struktury i sposobu sporządzania pism w formie dokumentów elektronicznych, marzec 2006).
    • Argumentacja ta jest słuszna w odniesieniu do części wyjątkowo obleganych urzędów, jednak jej uogólnienie na wszystkie jednostki administracji publicznej prowadzi do absurdu opisanego wyżej, czyli w obecnej wymowie rozporządzenia zmuszenia wszystkich urzędów do zakupu HSM.
  • W rozmowie prywatnej z przedstawicielem jednej z firm dowiedziałem się, że intencją tego zapisu nie było zmuszenie urzędów każdego szczebla do zakupu drogich HSM, lecz do wprowadzenia outsourcingu wystawiania urzędowych poświadczeń odbioru przez wyspecjalizowane firmy dysponujące odpowiednim zapleczem. To ma sens, jednak w rozporządzeniu nie znalazły miejsca zapisy, które moim zdaniem dawałyby podstawy prawne dla outsourcingu - wszędzie są sformułownaia w rodzaju "urząd wystawia", "urząd przyjmuje". Na brak możliwości dla outsourcing zwracał zresztą słusznie uwagę PIIT w odniesieniu do Ustawy o informatyzacji.

Aktualizacja 2007-2008

  • Na dzień dzisiejszy obsługa małych podmiotów przez duże jest już powszechną praktyką, więc problem "HSM w każdej gminie" został poniekąd rozwiązany. Szybko przybliża się też teoretyczna data ukończenia projektu e-PUAP.
  • Nadal aktualna jest kwestia "jakim certyfikatem podpisywać UPO", szerzej omówiona w artykule "Problemy związane z elektroniczną skrzynką podawczą".

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Nie zgadzam się z tezami tego artykułu i postaram się w najbliższych dniach przygotować odpowiedź.
Niecierpliwym polecam swój artykuł w Computerworld 4/751 z 23 stycznia 2007
jego bezpłatna wersja jest dostępna pod adresem: http://www.podpiselektroniczny.pl/artykul1.pdf.