Polemika - Unizeto o podpisie elektronicznym

Poniżej publikuję w całości odpowiedź Tomasza Litarowicza z Unizeto na mój artykuł sprzed miesiąca, będący z kolei komentarzem do artykułu p. Litarowicza w Computerworldzie.

Artykuł dostałem w postaci pliku PDF, który jest załączony na końcu. Samą treść przekleiłem poniżej dla zwiększenia czytelności. Od razu odpowiem — panie Tomaszu, pisze Pan, że "dostępne rozwiązanie [czyli podpis kwalifikowany] gwarantuje proste zastosowanie o czym świadczyć może niniejszy, podpisany dokument PDF". Ja się nadal z tym nie zgadzam i mogę to pokazać używając pańskiego PDF — dlaczego mój Adobe Reader pokazuje podpis cyfrowy pod tym dokumentem jako "niezaufany"? I dlaczego analogiczne PDF, które otrzymuję od Multibanku weryfikują się poprawnie? Obaj wiemy dlaczego tak jest :)

Niemniej jednak bardzo się cieszę, że w ogóle ktoś jeszcze chce dyskutować na temat podpisu elektronicznego w Europie, bo wygląda na to, że rozpoczęcie prac nad eIDAS przez Komisję Europejską stało się doskonałym pretekstem dla nas wszystkich do przeniesienia dyskusji z forum publicznego na hermetyczne fora eksperckie. Co rokuje tym, że tak gdzieś ok. 2018, jak KE już skończy prace i konsultacje, zobaczymy to samo co w 1999 roku :)

W artykule pt. „Rosnąca popularność podpisu elektronicznego” wskazuje Pan w mojej wypowiedzi dla magazynu Computerworld na nadużycie semantyczne. Taka opinia wynika z błędnego odczytania komentarza. Nie próbuję w nim utożsamiać kwalifikowanego podpisu elektronicznego z całym rynkiem e-podpisu. Pokazuję jedynie liczbę wystawionych certyfikatów kwalifikowanych jako wskazanie konkretnych danych, które świadczą, że to minimum jeśli chodzi o wykorzystanie narzędzi e-identyfikacji w Polsce. Natomiast łącznie po zliczeniu certyfikatów niekwalifikowanych skala ta jest oczywiście większa („Obecnie wyłącznie z tzw. bezpiecznego e-podpisu korzysta ponad 260 tys. polskich podmiotów…”). Brak jednak konkretnych danych liczbowych, które można w tym zakresie podać. Stąd też jako minimum pokazuję właśnie liczbę certyfikatów kwalifikowanych.

W dalszej części tekstu wskazuje Pan na większą skalę wzrostu ilości profili zaufanych ePUAP, których od maja 2011 r. założono ok. 110 tys. Należy wspomnieć, że mówimy tutaj o rozwiązaniu całkowicie bezpłatnym i w tym przypadku liczba ta również nie wynika z dobrowolnej chęci jej użytkowników. Są to głównie pracownicy administracji publicznej, wykorzystujący ePUAP do wymiany wewnętrznych informacji oraz podmioty zewnętrzne, które również do tego zobowiązano na poziomie legislacyjnym.

Poza kwestią oceny wypowiedzi cieszę się, że podjął Pan temat popularności podpisu elektronicznego, ponieważ od lat powtarza się w naszym kraju wiele opinii, jak ta zaprezentowana przez Pana, że jest to narzędzie uciążliwe i nieskuteczne. Czy mamy obecnie rozwiązania skuteczniejsze i mniej uciążliwe? Jeżeli takie istnieją, to dlaczego z nich także nikt nie chce korzystać? Wciąż mała popularność podpisu elektronicznego w naszym kraju związana jest w dużej mierze z barierami przed cyfryzacją formalności w ogóle. Możemy to obserwować na wielu płaszczyznach, tak w biznesie, jak i w administracji. Nawet sądy administracyjne broniły się przed wprowadzeniem podpisu elektronicznego do kontaktów zewnętrznych, jednak ostatnie orzeczenie NSA wskazało na niepoprawność takiego podejścia. Tymczasem chociażby dyskusja tocząca się na szczeblu Unii Europejskiej wokół projektu nowej dyrektywy eIDAS pokazuje, że rozwiązania wykorzystywane w Polsce znajdują poparcie ekspertów i są kierunkiem, w którym chce podążać całe UE.

Bezpieczny podpis elektroniczny weryfikowany kwalifikowanym certyfikatem, zapewnia obecnie najwyższy poziom wiarygodności jeśli chodzi o technologie wykorzystywane w tym zakresie. Nie ma na rynku innego narzędzia, które
gwarantuje pełny poziom niezaprzeczalności i integralności na poziomie takim, jaki daje bezpieczny podpis elektroniczny. Infrastruktura klucza publicznego (PKI) jest cały czas rozwijana i chociażby samo Unizeto Technologies pracuje nad dalszym ułatwianiem jej wykorzystywania. Jednym z takich rozwiązań jest nasza aplikacja w chmurze, którą wymienił Pan w tekście – WebNotarius. Posiadamy także rozwiązania spełniające ideę podpisu zaawansowanego (certyfikaty ID), które są proste i intuicyjne w użytkowaniu. Współpraca z rozpoznawalnością podpisu elektronicznego w dokumentach PDF, o której Pan wspomina, jest także możliwa na poziomie kwalifikowanego podpisu elektronicznego. Dostępne rozwiązanie gwarantuje proste zastosowanie o czym świadczyć może niniejszy, podpisany dokument PDF.

Patrząc na powyższe fakty, należy również wskazać, że cały czas rozmawiamy o narzędziach. Zarówno bezpieczny podpis elektroniczny jak również zaufany profil (oraz inne rozwiązania, które się pojawiały na rynku w ostatnim czasie) to tylko narzędzia wymagające kompleksowego otoczenia. Bez pełnego workflow oraz zmian w procedurach i w podejściu do przetwarzania danych wspomniane instrumenty nie pomogą nam osiągnąć „cyfrowej rewolucji”, do której wszyscy dążymy. Unizeto Technologies oferuje pełny zestaw narzędzi od takich, które stawiają na prostotę działania po takie, które oferują najwyższy poziom wiarygodności i pełną ochronę interesów wszystkich stron uczestniczących w procesie obiegu podpisanego dokumentu (nie tylko strony administracji publicznej,
jak to ma miejsce w przypadku profilu zaufanego).

Bezpieczny podpis elektroniczny weryfikowany certyfikatem kwalifikowanym, na co wskazuje również Unia Europejska, jest narzędziem docelowym dla kontaktów z administracją publiczną, gwarantującym najwyższy poziom wiarygodności. Dlaczego w takim razie nadal skupiamy się na poszukiwaniu „nowego” rozwiązania, a nie rozmawiamy o tym, w jaki sposób spopularyzować wykorzystywanie e-podpisu wśród przedsiębiorców i instytucji?

AttachmentSize
2013-04-03_ipsec.pdf262.45 KB

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Hehe, FoxitReader widzi podpis pod plikiem, ale nie potrafi zweryfikować bo nie rozumie jakieś technologii Adobe-Super-Tajny-Format-Podpisu.

Cieszę, że opublikował Pan mój komentarz i miał Pan chwilę, aby się do niego odnieść. Zaskoczył mnie natomiast fakt, że wystąpił u Pana problem związany z weryfikacją mojego podpisu elektronicznego w oprogramowaniu Adobe Reader. Należące do Unizeto Technologies centrum certyfikacji CERTUM od drugiej połowy 2012 r. znajduje się wśród zaufanych dostawców certyfikatów dla oprogramowania firmy Adobe. Bardzo łatwo można to sprawdzić odwiedzając odpowiednią stronę poświęconą liście Adobe Approved Trust List - http://helpx.adobe.com/acrobat/kb/approved-trust-list1.html. Dzięki naszej współpracy od wersji oprogramowania Adobe Reader 10.x każdy podpis na podstawie certyfikatu CERTUM weryfikowany jest jako poprawny i w przypadku aktualnej wersji oprogramowania nie powinny występować jakiekolwiek problemy w tej kwestii (dotyczy to wersji aktualizowanych, jak również nowych instalacji na podstawie plików pobranych z serwisu Adobe). Wszyscy nasi klienci zaczynając od RCL i aktów prawnych, a kończąc na e-sklepach korzystają z opisanych rozwiązań i potwierdzają poprawność ich działania. Jeżeli u Pana sytuacja ta wygląda inaczej, to prosiłbym o kontakt celem wyjaśnienia sytuacji przez nasz dział wsparcia technicznego - jestem bardzo ciekawy co może być przyczyną.

To samo u mnie, Adobe Reader 10.1.3 na Windows XP i 9.4.7 na Linuksie (to jest najnowsza wersja dla Linuksa).

Jeśli podpis cyfrowy ma być łatwy w użyciu, to musi po prostu działać. Nie można wymagać od wszystkich użytkowników, żeby oprócz instalacji X jeszcze coś specjalnego wykonywali, zwłaszcza gdy nie mają takiej możliwości (nie ma nowszej wersji Adobe Readera pod Linuksa). I wcale nie musi to być wina Unizeto, że nie działa.

Tomasz Litarowicz, Unizeto Techologies: Dzięki naszej współpracy od wersji oprogramowania Adobe Reader 10.x każdy podpis na podstawie certyfikatu CERTUM weryfikowany jest jako poprawny i w przypadku aktualnej wersji oprogramowania nie powinny występować jakiekolwiek problemy w tej kwestii (dotyczy to wersji aktualizowanych, jak również nowych instalacji na podstawie plików pobranych z serwisu Adobe).

A tak reaguje mój Adobe Reader 10.1.6:

Signature validity is unknown:
Signer's identity is unknown because it has not been included in your list of trusted identities and none of its parent certificates are trusted identities

Rezultatem Check for updates jest No updates available.
System Windows 7 x64 - również w pełni aktualny (łącznie z listą certyfikatów root.)

Jasne, wrzucę wieczorem bo z firmy nie idzie.

Mozna objerzec zrodlowy PDF o ktorym Pan wspomnial na poczatku tekstu?