Oferta polskich centrów certyfikacji jest nastawiona na promowanie sprzedaży certyfikatów kwalifikowanych z całą masą nie zawsze potrzebnych dodatków. W rzeczywistości rezygnacja z nich może bardzo często radykalnie obniżyć koszt certyfikatów oraz zracjonalizować sposób ich zakupu i wykorzystania. Innymi słowy - czy można kupić sam certyfikat?
Czołową pozycję w cennikach centrów certyfikacji zajmują zestawy, składające się z karty kryptograficznej, czytnika tychże kart, samego certyfikatu, autorskiej aplikacji do podpisywania, sterowników itd. Takie zestawy z certyfikatem na rok kosztują odpowiednio 361 zł (Certum), 401 zł (KIR), 400 zł (Sigillum) - ceny brutto z 7 lutego 2008. Od niedawna centra zaczęły promować różne warianty tych rozwiązań, np. bez czytnika albo bez dodatkowego certyfikatu niekwalifikowanego.Jest to oczywiście oferta skierowana do przeciętnego klienta "z ulicy", który wchodzi na stronę i chciałby "kupić podpis". Jednak specyfika tego rynku powoduje, że często zestawy te stają się podstawą do budowania dużych zamówień np. dla administracji publicznej. Niekiedy w sposób przeczący racjonalnemu wykorzystaniu już posiadanego sprzętu. Czasem wynika to z niewiedzy zamawiającego, czasem z podszeptu sprzedawcy.
Mało kto zdaje sobie sprawę z tego, że co najmniej jedno centrum certyfikacji może sprzedać klientowi sam certyfikat - to znaczy bez całego zbioru kosztownych dodatków, z kartą włącznie. Nasuwa się pytanie - jak to możliwe, skoro klucz prywatny musi być wygenerowany na karcie? Odpowiedź znajdziemy w polityce certyfikacji Sigillum. Poniżej cytat z polityki dla certyfikatów kwalifikowanych Sigillum (wersja 1.3 z 9 marca 2007):
6.1.1 Generowanie kluczy przez potencjalnego Subskrybenta
W przypadku generowania kluczy przez potencjalnego Subskrybenta, dostarcza on osobiście do Sigillum PCCE zgłoszenie certyfikacyjne w postaci pliku w formacie PKCS#10
Jak widać, nic nie stoi na przeszkodzie by samodzielnie wygenerować klucze prywatne na już posiadanych kartach i do centrów wysłać tylko CSR (Certificate Signing Request) w standardowym formacie PKCS#10. Oczywiście, posiadana karta kryptograficzna musi spełniać wymagania ustawy o podpisie elektronicznym i rozporządzenia o warunkach technicznych - w szczególności dotyczy to posiadania certyfikatu bezpieczeństwa.Dzięki temu mało znanemu zapisowi instytucja mająca już karty kryptograficzne może załadować do nich certyfikaty kwalifikowane, nie wydając dwa razy pieniędzy na to samo. Pytanie o zgodność z ustawą i rozporządzeniem należy zadać producentowi lub dostawcy kart. Centrum certyfikacji może zarządać dla własnej ochrony oświadczenia o tym, że przysłany klucz publiczny pochodzi z klucza prywatnego wygenerowanego na urządzeniu spełniającym te wymogi. Centrum nie poświadcza przecież bezpiecznego urządzenia, tylko klucz publiczny.Scenariusz taki jest bardzo dogodny dla instytucji, które wcześniej zakupiły karty kryptograficzne używane do uwierzytelnienia do systemu i mające miejsce na wygenerowanie nowego klucza do certyfikatu kwalifikowanego. Mogą z niego skorzystać również użytkownicy zintegrowanych tokenów typu RSA SecurID 800 lub Aladdin eToken Pro, które posiadają zintegrowany generator haseł jednorazowych oraz procesor kryptograficzny, i w których do tej pory wykorzystywano tylko funkcje hasła.Warto też pamiętać, że szereg instytucji już wcześniej dokonywał zakupów kart przeznaczonych m.in. właśnie pod certyfikaty kwalifikowane. Warto je teraz odkurzyć - należy do nich na przykład Elektroniczna Legitymacja Studencka, Poznańska Karta Wielofunkcyjna (PEKA) czy Elektroniczna Karta Miejska w Rybniku, których specyfikacje budowano właśnie z założeniem zgodności z ustawą o podpisie elektronicznym. Pieśnią przyszłości są na razie elektroniczne dowody osobiste pl-ID, które mają być również przystosowane do podpisu kwalifikowanego. Część powszechnie wykorzystywanych kart kryptograficznych, jeśli były zamawiane według kryterium cenowego, niestety nie będzie mogła być stosowana w ten sposób - o ile mi wiadomo jest to np. przypadek kart śląskiej Kasy Chorych (obecnie NFZ).Ceny certyfikatów kwalifikowanych zamawianych w ten sposób w KIR i Sigillum wynoszą dokładnie 190 zł netto (231,80 zł brutto). Do niedawna taka sama cena figurowała w ofercie Certum, obecnie jest jedynie zapis o indywidualnym ustaleniu ceny na produkty nie znajdujące się w cenniku. Należy pamiętać, że zamawiając dużą transzę certyfikatów - czy to w zestawach czy na własne karty - można wynegocjować bardzo duży upust, w rezultacie płacąc za certyfikat kwalifikowany sumę rzędu kilkudziesięciu złotych. Dostawa certyfikatów kwalifikowanych jest również atrakcyjnym obiektem do przetargów, bo specyfikacja ich parametrów jest jednoznacznie ustalona przez ustawę i dostawcy mogą konkurować tylko ceną.Jeszcze uwaga o dostępności - kilka lat temu podobne zapisy znajdowały się - jak mi się wydaje - w politykach certyfikacji wszystkich czterech centrów. Obecnie znalazłem go jedynie w polityce Sigillum, w polityce Certum i KIR jest wprost zapis że to centrum generuje certyfikat za klienta, zaś Signet zakończył działalność.Brak takiego zapisu w polityce certyfikacji może być powodowany lękiem przed poświadczeniem klucza publicznego klienta, który nie wiadomo gdzie go wygenerował. Wydaje mi się jednak że ocena jakości "bezpiecznego urządzenia" stosowanego przez klienta nie należy do centrum certyfikacji. Klient może naruszyć ustawę i bezpieczeństwo podpisu kwalifikowanego na tysiąc innych sposobów, a zgodność z ustawą leży w jego interesie.