Europejska Agenda Cyfrowa - Działanie nr 3 w podpisach transgranicznych

Światło dzienne ujrzało polskie stanowisko (?) do Działania nr 3 w zakresie podpisu elektronicznego opisanego w Europejskiej Agendzie Cyfrowej. Sama agenda opublikowana została w czerwcu.

Działanie numer 3 to, według dokumentu przewodniego EAC:

Główne działanie 3: W 2011 r. zaproponowanie przeglądu dyrektywy w sprawie podpisów elektronicznych w celu stworzenia ram prawnych dla transgranicznego uznawania i interoperacyjności bezpiecznych systemów e-uwierzytelniania;

Dokument opublikowany niedawno przez Certum wydaje się być stanowiskiem Polski na temat transgranicznego podpisu elektronicznego i rozwinięciem konkretnych działań, jakie Polska ma zamiar podjąć.

W dokumencie wspomniano m.in. o ePUAP, o PL.ID, o zmianach legislacyjnych (ustawa o podpisach), o publikacji list TSL przez NCCERT.

Oprócz publikacji krajowej listy TSL niezbędne jest podjęcie działań związanych z zapewnieniem akceptacji podpisów weryfikowanych kwalifikowanym certyfikatem z zagranicy. Wskazane jest, aby implementacja usług walidacyjnych uwzględniała europejską listę list oraz krajowe listy TSL.

Wśród konkretnych działań ostatnie z wymienionych wydaje się szczególnie istotne nie tylko w kontekście wymiany transgranicznej, ale przede wszystkim z punktu widzenia dostępu własnych obywateli do elektronicznych usług administracji:

ograniczenie barier administracyjnych poprzez usunięcie wymogu stosowania na wyłączność bezpiecznego podpisu elektronicznego w tych procedurach administracyjnych, w których tak wysoki poziom bezpieczeństwa nie znajduje uzasadnienia. Ze względu na konieczność analizy ryzyka poszczególnych procedur prace w tym zakresie powinien przeprowadzić każdy resort.

O zmianach w zakresie metod uwierzytelnienia dużo się mówi, mówi się od dawna i dobrze, że mówi się coraz więcej. Pierwszą udaną rewolucją były tutaj e-Deklaracje, które jako pierwsze zerwały z fetyszem podpisu kwalifikowanego, za co zresztą odsądzano je początkowo od czci i wiary ("teraz sąsiedzi dla żartu będą wysyłać za mnie deklarację"). Już w 2008 roku to samo próbował robić SEKAP, ale nie miał on tej swobody co Ministerstwo Finansów - KPA nie pozostawiało miejsca na uwierzytelnienie bez podpisu kwalifikowanego. Skutki zbyt powolnego tempa wprowadzania zmian po dziś dzień widać w życiu i w rankingu OECD.

W dokumencie MSWiA (?) jest też trochę rozważań ogólnych na temat różnych rodzajów podpisu i nie mogę się powstrzymać by się do nich nie ustosunkować:

Podpis zaawansowany odmiennie, od podpisu opartego o kwalifikowany certyfikat, nie posiadał dotychczas wystandaryzowanego formatu i profilu w skali Unii Europejskiej. Usługi certyfikacyjne dla podpisów zaawansowanych realizowane są w ponad dwudziestu różnych modelach implementacji, a państwa członkowskie mają swobodę wyboru technologii zaawansowanych podpisów elektronicznych dla potrzeb krajowych zastosowań.

Tu trzeba sprostować, że podpis kwalifikowany też właściwie - w skali całej Unii - nie ma żadnego wystandardyzowanego formatu. A ściślej tych wystandardyzowanych formatów jest tak dużo, że nie można mówić o paneuropejskiej interoperacyjności na poziomie formatów - ba, nie można o niej mówić nawet w samej Polsce.

Nie jest zatem prawdziwe przeciwstawienie sobie rzekomo w pełni ustandardyzowanego podpisu kwalifikowanego i zaawansowanego, czy nawet zwykłego. Wszystkie podpisy w skali europejskiej są prawie tak samo niekompatybilne - a ściślej, wysiłek jaki należy podjąć w celu ich ustandardyzowania jest w przypadku każdego z nich podobny.

Piszę to przede wszystkim po to by fałszywe wrażenie, że podpis kwalifikowany jest znacząco lepiej ustandardyzowany od innych nie przysłoniło przypadkiem zdrowych trendów reformatorskich ("usunięcie wymogu stosowania na wyłączność bezpiecznego podpisu elektronicznego" tam gdzie nie jest on niezbędny).

Drugi fragment w tym tonie, poruszający kwestię zaufania oraz rozwiązań technicznych:

zaawansowany e-podpis może być w teorii akceptowany w innym państwie członkowskim, ale w praktyce akceptacja taka nastręcza trudności ze względu na różnorodne rozwiązania techniczne, które są stosowane. W związku z tym walidacja zaawansowanego epodpisu przez odbiorcę oraz ocena skuteczności prawnej czy poziomu bezpieczeństwa tego podpisu, w kontekście danego zastosowania, stanowią obecnie bardzo trudne zadania, które wymagają często szczegółowego badania każdego otrzymanego podpisu.

O tym, że bałagan techniczny jest i tu i tam już pisałem powyżej. Ciekawa jest natomiast kwestia zaufania. Oczywiste jest, że podpis kwalifikowany - na mocy art. 4 ustawy o podpisie - łatwiej uznać za zaufany "z automatu". Innymi słowy fakt, że wystawca danego certyfikatu został uznany przez inne Państwo Członkowskie za "kwalifikowanego" oznacza, że jakiś organ dokonał weryfikacji jego polityki i praktyki certyfikacji z minimalnymi wymaganiami określonymi przez Dyrektywę. Koszt tej kompatybilności prawnej to jednak dość wysoki poziom tych wymagań, a co za tym idzie koszt.

Nie jest natomiast prawdą, że uznanie certyfikatu niekwalifikowanego za zaufany wymaga "zczegółowego badania każdego otrzymanego podpisu". Wymaga to jedynie jednorazowego zbadania polityki certyfikacji danego wystawcy i wciągnięcia jej identyfikatora (OID) na jakąś listę polityk uznanych za wystarczające do danego zastosowania (po to właśnie wymyślono TSL). Łatwo sobie można zresztą wyobrazić taką listę (lub wiele list) prowadzoną na poziomie paneuropejskim, a nie lokalnym, i na wielu poziomach zaufania równocześnie.

Na marginesie, ciekawa jest foma udostępnienia dokumentu Europejska Agenda Cyfrowa - Działanie 3. Dokument ten publikuje Certum (Unizeto), wygląda on na dokument stworzony przez administrację publiczną ("Rząd Rzeczpospolitej Polskiej popiera działania") i na końcu jest informacja "Źródło: MSWiA". Chwała Certum za publikację, ale zastanawiam się dlaczego ten dokument nie jest po prostu dostępny na stronie MSWiA?