Gdzie jest uzasadnienie do mediatora w MSWiA?

in

Wiadomo już, że w "sporze" o ustawę o podpisach chodzi o podpis osobisty z mediatorem. Nie wiadomo niestety nadal dlaczego MSWiA chce podpis osobisty zaimplementować właśnie w ten sposób.

Jednym z głównych punktów spornych w komisji sejmowej, gdzie utknęła na razie ustawa o podpisach, jest sposób implementacji podpisu osobistego.

Wygląda na to, że MSWiA - które jest "sponsorem" podpisu osobistego wprowadzanego wraz z ustawą o dowodach osobistych - chce dodać do ustawy o podpisach definicję tego podpisu. Definicję, która przewiduje instytucję "mediatora", w której to roli miałoby występować MSWiA.

Jak to się mówi, "wszyscy wiedzą", że merytoryczne wsparcie do koncepcji podpisu z mediatorem zapewnia firma Trusted Information Consulting (TICons) — na jej stronie pki2.pl można znaleźć sporo szczegółów technicznych, w tym artykuł opisujący korzyści ze stosowania mediatora w sektorze publicznym.

Koncepcja podpisu osobistego promowanego przez MSWiA nie odwołuje się w żaden jawny sposób do PKI2. Do niedawna w ogóle nie było wiadomo na czym ten podpis osobisty ma polegać i ta wiedza opierała się głównie na plotkach lub domysłach dystrybuowanych w środowisku.

15 lutego MSWiA opublikowało jednak projekt rozporządzenia. Rozdział 9 zawiera opis procedury składania podpisu osobistego, która przypomina właśnie mediatora (nazywa się to "finalizacją").

Podpis jak podpis — to jest opis pewnej procedury. Czy ona jest dobra czy zła?Tego nie wiadomo, odpowiedzi można udzielić wyłącznie porównując tę procedurę do założeń. Ale jakie są założenia?

No i tu proszę spojrzeć na zamieszczone w projekcie uzasadnienie i ocenę skutków regulacji. Jeśli MSWiA mogło znaleźć gorszy sposób na premierę technologii to właśnie im się udało — uzasadnienie stosowania tej nowatorskiej jednak techniki podpisu jest dosłownie zerowe!

Jak pisałem parę dni temu, w PIIT istnieją podzielone opinie co do podpisu z mediatorem. Dlaczego tak jest łatwo się domyślić – członkiem Izby jest zarówno Unizeto, jak i TICons. Wydaje mi się, że interesy obu podmiotów stoją w tym przypadku w bezpośredniej sprzeczności.

Od kilku osób dostałem maile, w których przystępnie, w kilku zdaniach wyjaśniły mi jakie – ich zdaniem – zalety ma podpis z mediatorem. Widziałem też uwagi PIIT krytyczne wobec tej formy podpisu, podobne rozważania opublikował też niedawno Łukasz Klimek (na prywatnym blogu, ale uczciwym będzie odnotowanie, że Łukasz pracuje w Unizeto). MSWiA nie wysiliło się nawet na tych parę zdań, wykazując się pewną arogancją w materii budzącej duże kontrowersje.

Nie mam zamiaru przytaczać argumentów żadnej ze stron bo uważam, że jest to obowiązek ustawodawcy a nie mój. To ustawodawca powinien przede wszystkim wyjaśnić jakie są jego potrzeby (założenia) i dlaczego uważa, że podpis osobisty spełnia te wymagania najlepiej. Oraz wyjaśnić precyzyjnie na czym on polega (to nowy mechanizm), jakie są ryzyka i jak się przed nimi zabezpiecza.

W tym przypadku ustawodawca się z tego obowiązku nie wywiązał kompletnie, sprowadzając dyskusję na temat mediatora do konspiracyjnych przepychanek i "decyzji, z którymi się nie polemizuje". Przepychanki są anonimowe ("i niniejszym uważa się iż"), można więc sobie używać do woli.

Żadna ze stron nie czuje się specjalnie zobowiązana do publicznej obrony swojego stanowiska bo uważa, że jest to obowiązek kogoś innego. A ustawodawca najwyraźniej uważa, że nic nie musi bo nie. Proces legislacyjny został zamotany do granic absurdu. I co gorsza, nie widać żadnych innych powodów poza prywatnymi ambicjami i przyzwyczajeniami z poprzedniej epoki.

Dokładnie taka sama arogancja ze strony wszystkich zainteresowanych doprowadziła dekadę temu do sparaliżowania polskich elektronicznych usług publicznych na długie lata. Życzę zatem powodzenia!

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Oceniając zalety i wady podpisu osobistego nie zapominajmy, iż jest to mechanizm niejako "sponsorowany" przez administrację i wydawany celem ułatwienia/optymalizacji wszelkich relacji C2A i C2G. Możliwość (podkreślam – MOŻLIWOŚĆ, czyli opcjonalność) używania go w relacjach C2C i C2B jest niejako "wisienką na torcie" i nie powinniśmy problemów tego obszaru stosowania podpisu osobistego przenosić na pole pierwotnego jego stosowania i z tej perspektywy wskazywać kolejnych "wad" rozwiązania.
Przykładowo - Jednym z fundamentalnych założeń dla podpisu osobistego było to iż ma on usprawnić relacje C2A/C2G a te relacje (z niezależnych zupełnie powodów) będą stopniowo w większości relacjami online i dlatego podpis z mediatorem nie wnosi znaczących ograniczeń dla jego stosowania. Ale jeśli byśmy rozważali jakiś use case gdzie podpis składany jest offline i model działania mRSA miałby ogromną wadę :)

Jestem pewien, że można wskazać wiele wad podpisu osobistego w modelu podpisu z finalizacją gdy jest on używany zgodnie z podstawowym przeznaczeniem i jeszcze więcej wad można by wymyślać gdy jako założenie przyjmiemy używanie tego rodzaju podpisu w zupełnie innych kontekstach niż zakładano. Ale chyba nie tędy droga.
Jeśli w jakimś kontekście innym niż kontakt obywatela z administracją (gdzie i tak kontakt ten ma miejsce po to by "jakieś zapisy pozostawić na serwerach administracji") używanie podpisu osobistego generuje problemy np. z anonimowością to… nic prostszego jak go tam… nie używać! :) Nie chciałbym też rozpoczynać niepotrzebne wątku offtopic lekko, ale ta łatwa analizowalność danych chyba jest lekko przesadzona. „Państwo” będzie miało skrót dokumentu, czas podpisu i sam podpis wraz (być może) z danymi IP inicjatora podpisu.
Nie bardzo wiem do czego („niecnego”) miało by to być użyte ;), ale zgadzam się z ogólną tezą, iż każdy system może mieć wiele wad – tylko nie róbmy na siłę dyskusyjnych założeń (używanie podpisu osobistego poza kontaktem z administracją) i pod te założenia nie generujmy litanii zastrzeżeń, bo żadne rozwiązanie nie oprze się tego rodzaju zarzutom gdy umiejscowimy je poza zamierzonym obszarem stosowania.

Dla zaadresowania problemów z anonimowością ma służyć inny mechanizm dowodu (Restricted ID) JESLI (!) uda się wybrnąć ustawodawcy ze ślepej uliczki błędów definicyjnych i szkieletu funkcjonowania tego mechanizmu, który jest niekompletny i w wielu miejscach może zawierać poważne błędy, ale to już inny temat niż podpis mRSA w pl.id :)

Podpis osobisty może w wielu kontekstach zadziałać całkiem nieźle, ale na pewno nie sprawdzi się w każdym przypadku użycia i trzeba mieć tego świadomość, w tym oczywiście dobrze przemyśleć zagadnienia ważności/unieważniania, które faktycznie nie są oczywiste i trywialne oraz zagadnienia wysokiej dostępności, ale ten ostatni temat dotyczy bardzo wielu systemów centralnych w administracji (np. PESEL, ePUAP i inne) i nie jest jakimś wyjątkiem. W przyszłości będzie coraz więcej sprawa załatwianych w trybie online w ramach usług szeroko korzystających z innych systemów i usług online więc problem dostępności jest czymś oczywistym dla całej e-administracji a nie tylko dla podpisu osobistego z finalizacją :)

Na stronie MSWiA wisi prezentacja Mariusza Madejczyka na temat m.in. podpisu osobistego, PZ itd.

http://www.mswia.gov.pl/download.php?s=1&id=9689

Podpis osobisty jest tam opisany jako przewidziany do stosowania w kontaktach z administracją publiczną i wtedy informacja o adresie klienta i tak zostaje na serwerze.

Natomiast istotnie w tym co udostępniło MSWiA nie ma ani słowa o tym:

* jakie konkretnie dane są gromadzone przez organ finalizujący w momencie składania podpisu osobistego (ja też nie wiem - czy tylko IP klienta? czy może URL usługi jak w protokołach typu SAML?)
* że jakieś dane są w ogóle gromadzone - tak, my się domyślamy, bo wiemy jak działa np. TSP i inne podobne - ale w legislacji nie chodzi o to, żeby się domyślać, tylko żeby było napisane wprost

Tak jak napisałem w poprzednim artykule, to co robi MSWiA ma szansę skończyć się podobnie jak "afera" G DATA z 2005 roku, kiedy centra też nie powiedziały wszystkiego, a potem musiały się głupio tłumaczyć :)

http://www.securitystandard.pl/news/368045/Jak.bezpieczny.jest.bezpieczn...

Tu jest więcej prezentacji z tej konferencji, m.in. prezentacja Mirosława Kutyłowskiego:

http://www.mswia.gov.pl/portal/pl/256/7754/

Podpis osobisty jest tam opisany jako przewidziany do stosowania w kontaktach z administracją publiczną i wtedy informacja o adresie klienta i tak zostaje na serwerze.


USTAWA z dnia 6 sierpnia 2010 r. o dowodach osobistych
, art. 16 ust. 2:

2. Skutek, o którym mowa w ust. 1, wywołuje opatrzenie podpisem osobistym weryfikowanym za pomocą certyfikatu podpisu osobistego dokumentu w postaci elektronicznej dla podmiotu innego niż podmiot publiczny, jeżeli obie strony wyrażą na to zgodę.

Wniosek: nie tylko w administracji.

Uściślając: ja się nie wypowiadam ani za, ani przeciw mediatorowi. Mój wpis to tylko merytoryczna analiza jednego z podnoszonych argumentów - raczej ku przestrodze, z intencją "robiąc mediatora pamiętajcie o weryfikacji", a nie "mediator jest brzydki/ładny'. To drugie oceni szeroko rozumiany rynek.

Tradycyjnie muszę też zaznaczyć, że mój blog zawiera prywatne opinie, a mój pracodawca ma prawo się z nimi nie zgadzać :).

Ja też odczytuję wypowiedź Łukasza jako niezależną - czyli taką, która nie określa, czy mediator realizuje wszystkie funkcje.
Myślę, że razem z Łukaszem zgodzimy się, że podpis powstający w kontakcie z systemem obsługi tego podpisu (ang. Signature Authority - SA) ma szereg zalet zwiazanych z bezpieczeństwem -> możliwość kontroli uprawnień w momencie podpisywania, sprawdznia ważności certyfikatów, potwierdzenia czasu złożenia podpisu itp. (polecam lekturę artykułu)

Każda technka kryptograficzna jest obarczona ryzykiem i o tym wskazuje Łukasz w swoim opisie, teraz zadaniem implementacji jest minimalizacja tego ryzyka. Podpis z mediatorem jest pewną implementacją (w tym momencie wydajacą się najlepszą) podpisu powstającego w kontakcie z SA, która daje pełną kontrolę nad procesem podpisującemu.
Warto zauważyć, że stosowanie podpisu z mediatorem nie zabrania stosowania dodatkowych mechanizmów zabezpieczeń - Tokenów SA, OCSP i TSA dla tych, którzy potrzebują dodatkowego bezpieczeństwa, ale ten model bardzo dobrze odzwierciedla typowy mechanizm zaufania do podpisu: Widzę podpis jest to mu ufam, jak stanowi dla mnie duże znaczenie, to staram sie dodatkowo sprawdzić. Jak łatwo sprawdić 90% podpisów ufamy tylko dlatego że one są. W przypadku podpisu z mediatorem mamy dodaktowe zabezpieczenie - jak dojdzie do sprawy sądowej to mamy możliwość zapytania mediatora - Czy znasz ten podpis? - a informacja o podpisie i skrót podpisywanego dokumentu będą zachowane w rejestrze - i chronione innymi technikami. .
Podpis realizowany z SA ma jeszcze jedna zasadniczą różnicę w zakresie bezpieczeństwa - przenosi ryzyko kryptograficzne podpisu na SA. To SA ubezpiecza sie od problemów ew. wycieku klucza, faktoryzacji itp. A strony korespondencji są pod tym wzlędem zabezpieczone.

Na koniec zapraszam wszystkich do dyskusji w sprawie tych technologii - na tym portalu, na liście PKI 2.0. Osobiście uważam, że dyskusja jest tu bardzo potrzebna - bezpośredni kontakt ze mną to michal . tabor [@] pki2 . eu

Zapraszam też na konferencję, na której będę mówił o ryzku w PKI 2.0 - Analiza ryzyka w biznesie kartowym.

myślę, że razem z Łukaszem zgodzimy się, że podpis powstający w kontakcie z systemem obsługi tego podpisu (ang. Signature Authority - SA) ma szereg zalet zwiazanych z bezpieczeństwem

Owszem; ale ma też wiele wad. Na przykład może mi się nie podobać, że Państwo będzie dysponować (łatwo analizowalnymi) danymi o każdym złożonym przeze mnie podpisie osobistym. Rodzi się też wiele pytań, np. o dostępność usługi (kto zapłaci mi, jeśli nie będę mógł wykonać przelewu w banku z powodu niedziałającego mediatora obsługiwanego przez podmiot trzeci?). Najgorsze zaś są te wady, o których jeszcze nie pomyśleliśmy:). Po prostu - każdy kij ma dwa końce.