W 2005 roku na łamach tygodnika Computerworld opisywałem potencjalne zamieszanie jakie może wywołać wybór czterech różnych formatów podpisu elektronicznego przez cztery polskie kwalifikowane centra certyfikacji (QCA). Były to formaty wybrane arbitralnie przez centra na podstawie rozporządzenia o warunkach technicznych i stosowane w dostarczanych klientom aplikacjach "do podpisu kwalifikowanego". W 2005 roku działały one (z jednym wyjątkiem) w ten sam sposób - to znaczy podpisywany dokument traktowały jako ciąg bitowy i enkapsulowały w przyjętym przez producenta formacie.
Wówczas były to trzy kontenery, stanowiąc bezpośrednio struktury w formatach dopuszczonych przez rozporządzenie - PKCS#7 (KIR), CMS (Certum) i XAdES (Signet). Aplikacje te były programami "do wszystkiego" czyli w praktyce o niewielkiej przydatności i dość topornymi, za to realizującymi dosłownie wymagania rozporządzenia.
Każde z centrów miało wówczas wcale racjonalne argumenty za wyborem swojego formatu, natomiast żadne z nich nie dostrzegło prostej prawdy - że konsumenta wcale nie interesują różnice między PKCS#7 i CMS, natomiast jak najbardziej interesuje go by plik podpisany "programem X" otwierał się w "programie Y" i tak dalej.
Niestety, tej interoperacyjności centra nie potrafiły - lub nie chciały - zapewnić, składając równocześnie wspólne deklaracje o niezwyklej łatwości stosowania podpisu kwalifikowanego.
Wina leży także po stronie administracji publicznej, która stworzyła mętne i niespójne regulacje w postaci ustawy o informatyzacji i rozporządzeń do niej, nie mówiąc już o dalszych rozporządzeniach Ministerstwa Sprawiedliwości czy Ministerstwa Zdrowia.
Jeśli ustawodawca nie powiedział urzędnikom konkretnie co mają zamawiać i czego mają po gotowym produkcie oczekiwać to trudno się dziwić praktyce pisania Specyfikacji Istotnych Warunków Zamówienia (SIWZ) przez integratorów i wciskaniu urzędom produktów kompletnie nie nadających się do użytku, ale formalnie spełniajacych wymagania którejś z ustaw.
W tym wszystkim kompletnie zignorowano interes końcowych użytkowników czyli tych, dla których cały ten interes formalnie działa. W ciągu trzech lat, jakie minęły od publikacji tamtego artykułu mieliśmy do czynienia z powolnym rozwojem usług skrzynek podawczych a co za tym idzie ponowną koniecznością wybrania formatów akceptowanych przez skrzynki - oraz formatów generowanych przez nie UPO.
Niestety, zamiast wykorzystać tę szansę do uporządkowania rynku producenci tych rozwiązań - głównie QCA - tylko pogłębili chaos w tym względzie, okopując się niejako w bastionach wzajemnej niekompatybilności. Jest to tym bardziej zaskakujące, że w 2006 roku trzy centra zgodnie ogłosiły że rozpoczynają współpracę nad unifikacją formatów z pożytkiem dla wszystkich.
Jaki jest obecnie stan faktyczny? Skrzynki podawcze oferowane przez polskie centra i producentów zewnętrznych, oraz oferowane przez nich aplikacje, nadal posługują się odmiennymi formatami, nawet w podobnych lub identycznych zastosowaniach. Ale już zupełnie niezrozumiałe jest to, że część aplikacji oferowanych przez centra nawet jeśli posługuje się tym samym formatem to używa... innych rozszerzeń! To posunięcie zamyka drogę do jakiejkolwiek kompatybilności i interoperacyjności z punktu widzenia konsumenta.
Jak daleko posunęliśmy się w absurdzie niech świadczy fakt, że z czterech formatów z 2005 roku do dzis wypączkowało około czternastu. Oczywiście, nie wszystkie z nich są równoważne. Część z nich - jak twierdzą centra - została wycofana "z obiegu". Niestety, aplikacje które wcisnęli urzędom w ciągu ostatnich lat nadal tam są, ponieważ urzędnicy uwierzyli w zapewnienia o ich przydatności i łatwości użycia.
Przykład skrzynki podawczej Urzędu Miasta Krakowa jest znamienny - urząd, który wysyła odpowiedzi w jednym formacie, ale tego samego formatu nie przyjmuje to żywy pomnik arogancji integratorów, którzy na "starą" skrzynkę sprzedali zapewne urzędowi "nowe" aplikacje z certyfikatami i zadowoleni zainkasowali pieniądze. Ale także ignorancji urzędu, który takie rozwiązanie zamówił, odebrał i za nie zapłacił.
Aktualna tabela stosowanych w Polsce formatów podpisu elektronicznego znajduje się poniżej:
Tabela jest zapewne niekompletna. Będzie rozbudowywana w miarę jak dostanę do rąk produkcyjne aplikacje QCA z zamówionymi certyfikatami.
Parę miesięcy temu łza mi się w oku zakręciła, kiedy austriackim programem trustDesk bez problemu otwarłem plik z rozszerzeniem P7M (PKCS#7) wygenerowany przez inny austriacki program (A-Trust). Ale moje zdumienie nie miało granic, kiedy taki podobny plik P7M znalazłem na stronie włoskiej agencji CNIPA i... obydwa programy też go otwarły.
Tymczasem w Polsce trafiajac na plik o rozszerzeniu SIG, trzeba praktycznie zgadywać (albo użyć hexedytora) czy jest to plik w formacie CMS (Sigillum, Certum), czy PKCS#7 ("stary" KIR) czy też może XAdES (itBCG/Sigillum). Kpiną ze zdrowego rozsądku jest oczekiwanie, że klient zainstaluje oddzielną aplikację tylko po to by odczytać format ZSI (zwykły XML) jaki był łaskaw wymyśleć sobie dla UPO producent skrzynki podawczej UMK (prawdopodobnie Zeto Białystok). Równie naiwne jest oczekiwanie, że klient otrzymujący fakturę od TPSA w postaci dwóch plików (PDF i XML.SIG) będzie otwierał ją dwoma aplikacjami.
Podsumowując, dostarczenie na rynek kompletnie nieużywalnych narzędzi, a następnie wylewanie krokodylich łez że nikt nie chce ich stosować zakrawa na ponury żart. Domaganie się w tej sytuacji przymusu administracyjnego dla "popularyzacji podpisu" to już cynizm i nieudolna próba maskowania własnej niekompetencji przez firmy, które o to lobbują.
Anarchia w zakresie interoperacyjności powinna być dla administacji sygnałem ostrzegawczym, że na centra nie można liczyć w zakresie dostarczenia produktów podpisu elektronicznego w formie nadającej się do użytku w skali państwa. A nie w skali salki w której potencjalny dostawca na slajdach pokazuje jak fajnie to działa.
Obecny stan kompromituje niestety polskie centra jako odpowiedzialnych i skutecznych kreatorów rynku podpisu elektronicznego i skłania do smutnego wniosku, że swoboda wyboru jaką ustawodawca pozostawił w kolejnych rozporządzeniach została nadużyta do nieodpowiedzialnego niszczenia rynku podpisu elektronicznego w Polsce, czego dowodzą wszystkie możliwe statystyki.
Nie można wciąż zwalać winy na rzekome "fobie przedsiębiorców przed nowymi technologiami". Przedsiębiorcy od dawna wysyłają sobie faktury w formie elektronicznej, ignorując te rozwiązania, które dla nich przygotowała administracja. Nie dlatego, że się ich "boją", tylko dlatego że są one nieużywalne.