Gdzie zapisać certyfikat kwalifikowany?

Oferta polskich centrów certyfikacji jest nastawiona na promowanie sprzedaży certyfikatów kwalifikowanych z całą masą nie zawsze potrzebnych dodatków. W rzeczywistości rezygnacja z nich może bardzo często radykalnie obniżyć koszt certyfikatów oraz zracjonalizować sposób ich zakupu i wykorzystania. Innymi słowy - czy można kupić sam certyfikat?

Czołową pozycję w cennikach centrów certyfikacji zajmują zestawy, składające się z karty kryptograficznej, czytnika tychże kart, samego certyfikatu, autorskiej aplikacji do podpisywania, sterowników itd. Takie zestawy z certyfikatem na rok kosztują odpowiednio 361 zł (Certum), 401 zł (KIR), 400 zł (Sigillum) - ceny brutto z 7 lutego 2008. Od niedawna centra zaczęły promować różne warianty tych rozwiązań, np. bez czytnika albo bez dodatkowego certyfikatu niekwalifikowanego.

Jest to oczywiście oferta skierowana do przeciętnego klienta "z ulicy", który wchodzi na stronę i chciałby "kupić podpis". Jednak specyfika tego rynku powoduje, że często zestawy te stają się podstawą do budowania dużych zamówień np. dla administracji publicznej. Niekiedy w sposób przeczący racjonalnemu wykorzystaniu już posiadanego sprzętu. Czasem wynika to z niewiedzy zamawiającego, czasem z podszeptu sprzedawcy.

Mało kto zdaje sobie sprawę z tego, że co najmniej jedno centrum certyfikacji może sprzedać klientowi sam certyfikat - to znaczy bez całego zbioru kosztownych dodatków, z kartą włącznie. Nasuwa się pytanie - jak to możliwe, skoro klucz prywatny musi być wygenerowany na karcie? Odpowiedź znajdziemy w polityce certyfikacji Sigillum. Poniżej cytat z polityki dla certyfikatów kwalifikowanych Sigillum (wersja 1.3 z 9 marca 2007):

6.1.1 Generowanie kluczy przez potencjalnego Subskrybenta

W przypadku generowania kluczy przez potencjalnego Subskrybenta, dostarcza on osobiście do Sigillum PCCE zgłoszenie certyfikacyjne w postaci pliku w formacie PKCS#10

Jak widać, nic nie stoi na przeszkodzie by samodzielnie wygenerować klucze prywatne na już posiadanych kartach i do centrów wysłać tylko CSR (Certificate Signing Request) w standardowym formacie PKCS#10. Oczywiście, posiadana karta kryptograficzna musi spełniać wymagania ustawy o podpisie elektronicznym i rozporządzenia o warunkach technicznych - w szczególności dotyczy to posiadania certyfikatu bezpieczeństwa.

Dzięki temu mało znanemu zapisowi instytucja mająca już karty kryptograficzne może załadować do nich certyfikaty kwalifikowane, nie wydając dwa razy pieniędzy na to samo.

Pytanie o zgodność z ustawą i rozporządzeniem należy zadać producentowi lub dostawcy kart. Centrum certyfikacji może zarządać dla własnej ochrony oświadczenia o tym, że przysłany klucz publiczny pochodzi z klucza prywatnego wygenerowanego na urządzeniu spełniającym te wymogi. Centrum nie poświadcza przecież bezpiecznego urządzenia, tylko klucz publiczny.

Scenariusz taki jest bardzo dogodny dla instytucji, które wcześniej zakupiły karty kryptograficzne używane do uwierzytelnienia do systemu i mające miejsce na wygenerowanie nowego klucza do certyfikatu kwalifikowanego. Mogą z niego skorzystać również użytkownicy zintegrowanych tokenów typu RSA SecurID 800 lub Aladdin eToken Pro, które posiadają zintegrowany generator haseł jednorazowych oraz procesor kryptograficzny, i w których do tej pory wykorzystywano tylko funkcje hasła.

Warto też pamiętać, że szereg instytucji już wcześniej dokonywał zakupów kart przeznaczonych m.in. właśnie pod certyfikaty kwalifikowane. Warto je teraz odkurzyć - należy do nich na przykład Elektroniczna Legitymacja Studencka, Poznańska Karta Wielofunkcyjna (PEKA) czy Elektroniczna Karta Miejska w Rybniku, których specyfikacje budowano właśnie z założeniem zgodności z ustawą o podpisie elektronicznym.

Pieśnią przyszłości są na razie elektroniczne dowody osobiste pl-ID, które mają być również przystosowane do podpisu kwalifikowanego. Część powszechnie wykorzystywanych kart kryptograficznych, jeśli były zamawiane według kryterium cenowego, niestety nie będzie mogła być stosowana w ten sposób - o ile mi wiadomo jest to np. przypadek kart śląskiej Kasy Chorych (obecnie NFZ).

Ceny certyfikatów kwalifikowanych zamawianych w ten sposób w KIR i Sigillum wynoszą dokładnie 190 zł netto (231,80 zł brutto). Do niedawna taka sama cena figurowała w ofercie Certum, obecnie jest jedynie zapis o indywidualnym ustaleniu ceny na produkty nie znajdujące się w cenniku.

Należy pamiętać, że zamawiając dużą transzę certyfikatów - czy to w zestawach czy na własne karty - można wynegocjować bardzo duży upust, w rezultacie płacąc za certyfikat kwalifikowany sumę rzędu kilkudziesięciu złotych. Dostawa certyfikatów kwalifikowanych jest również atrakcyjnym obiektem do przetargów, bo specyfikacja ich parametrów jest jednoznacznie ustalona przez ustawę i dostawcy mogą konkurować tylko ceną.

Jeszcze uwaga o dostępności - kilka lat temu podobne zapisy znajdowały się - jak mi się wydaje - w politykach certyfikacji wszystkich czterech centrów. Obecnie znalazłem go jedynie w polityce Sigillum, w polityce Certum i KIR jest wprost zapis że to centrum generuje certyfikat za klienta, zaś Signet zakończył działalność.

Brak takiego zapisu w polityce certyfikacji może być powodowany lękiem przed poświadczeniem klucza publicznego klienta, który nie wiadomo gdzie go wygenerował. Wydaje mi się jednak że ocena jakości "bezpiecznego urządzenia" stosowanego przez klienta nie należy do centrum certyfikacji. Klient może naruszyć ustawę i bezpieczeństwo podpisu kwalifikowanego na tysiąc innych sposobów, a zgodność z ustawą leży w jego interesie.

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Autor IMHO zbyt upraszcza problem. Niby ładnie byłoby samemu sobie wygenerować klucze i wysłać PKCS#10, ale:

0. Zgodnie z polskim prawem to centrum certyfikacji ponosi odpowiedzialność za całość procesu wystawiania certyfikatu, w tym również za dostarczenie użytkownikowi prawidłowo wygenerowanych kluczy. Jest nawet obowiązkowe ubezpieczenie na wypadek nieprawidłowości w tej dziedzinie i każde centrum kwalifikowane w PL takie ubezpieczenie musiało wykupić. Wobec takiego podejścia dlaczego centrum miałoby ryzykować, że użytkownik zrobi to nieprawidłowo a potem będzie dochodził roszczeń od centrum w razie problemów? Generalnie widać, że autor bardziej bazuje na zdrowym rozsądku niż na zapisach o odpowiedzialności umieszczonych w ustawie o podpisie elektronicznym. Niestety w wypadku tej ustawy (i wielu innych) te dwa podejścia są znacząco różne ;-)

1. Urządzenie powinno nie tylko posiadać formalny certyfikat bezpieczeństwa odpowiedniego poziomu, ale również być na liście bezpiecznych urządzeń. Zaproponowane urządzenia z tego, co wiem, raczej na żadnej liście nie są. Na dodatek wiele certyfikatów bezpieczeństwa wymaga również bezpiecznego dostarczenia do zamawiającego - centrum to realizuje dla własnych kart a z drugiej strony ma wystawiać certyfikaty dla kluczy wygenerowanych nie wiadomo gdzie, jak i jeśli nawet w jakimś urządzeniu mającym certyfikat, to nie wiadomo skąd pochodzącym (być może dostarczonym bez rygorów wymaganych przez ten certyfikat bezpieczeństwa).

2. No właśnie - według polskiego prawa urządzeniem jest karta+aplikacja, a sprzedawanie samego certyfikatu w wielu przypadkach oznaczać może dystrybucję samego certyfikatu bez zapewnienia użytkownikowi właściwego środowiska do używania podpisu. Oczywiście można zakładać dobrą wolę i wolność decyzji klienta, ale patrz punkt 0.

Także generalnie oczywiście dążenie do obniżania poziomu cenowego usług certyfikacyjnych to dobra tendencja, ale nie można tego robić tylko i wyłącznie bazując na jednym zdaniu w polityce jednego z centrów. Trzeba wziąć pod uwagę wszelkie uwarunkowania wynikające z przepisów prawa polskiego.

PS. A swoją z tego, co wiem, to Signet nie zbankrutował tylko władze spółki, w ramach której działał (TP Internet Sp. z o.o.) podjęły decyzję o zakończeniu tego rodzaju działalności. W efekcie tego Signet zakończył funkcjonowanie (o czym jest mowa na stronie www.signet.pl) a TP Internet Sp. z o.o. działa nadal, tyle że w innym obszarze rynku, w którym działała od kilku lat (telemarketing).

AA ma rację. W gąszczu niedoprecyzowanych, niejasnych, sprzecznych a czasem błędnych zapisów ustawy i rozporządzenia niesposób jest to wykonywać mając pewność zachowania działania CA zgodnie z prawem... Gdyby wszystko byo takie oczywiste, centra dawno zaproponowałyby takie rozwiązanie.
Lepiej jednak dmuchać na zimne niż narazić się np. Ministrowi Gospodarki albo przeczytać "sensacyjny" artykuł w prasie.
Łatwo jest coś pisać, jak się nie prowadzi CA kwalifikowanego...

Centrum certyfikacji ma obowiązek udostępnić listę "bezpiecznych urządzeń" (art. 10, ust. 1, pkt. 8 ustawy), ale nigdzie nie znalazłem przepisu dopuszczającego stosowanie tylko "bezpiecznego urządzenia" umieszczonego na jakiejś liście. Przecież w takim wypadku ani wiele aplikacji pisanych przez firmy nie będące centrami certyfikacji działałoby nielegalnie.

Podpis kwalifikowany zachowuje swoje cechy pod warunkiem, że jest weryfikowany certyfikatem kwalifikowanym (to jest odpowiedzialność centrum) i złożony przy pomocy "bezpiecznego urządzenia" - to jest odpowiedzialność producenta "urządzenia". Producent odpowiada za to by było ono zgodne z ustawą, ale sam nie musi być centrum ani nie musi być na żadnej liście. Jedyne co musi zapewnić to deklaracja zgodności na soft i certyfikat na komponent techniczny.

Kolejną wskazówką jest art. 10, ust. 1, pkt. 9-10, który pisząc o konieczności zapewnienia poufności przy generowania klucza prywatnego przez centrum używa trybu warunkowego: "zapewnić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, poufność procesu...". Czyli w ustawie generowanie klucza prywatnego przez centrum jest traktowane jako opcja, a nie oczywistość.

Art. 10, ust. 1, pkt. 4 mówi o ubezpieczeniach od "odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych". Dosłownie sugeruje to odpowiedzialność w sytuacji gdy pracownik centrum weźmie łapówkę albo z niedbalstwa nie zweryfikuje tożsamości osoby ubiegającej się o certyfikat.

Odpowiedzialność centrum certyfikacji określa dalej art. 11, który wyraźnie wskazuje na szkody wynikłe z niedopełnienia obowiązków centrum a nie np. niewłaściwego użycia klucza prywatnego (art. 11, ust. 1). Kolejne ustępy art. 11 w dalszym stopniu rozgraniczają odpowiedzialność centrum od odpowiedzialności właściciela klucza.

Obowiązek posiadacza certyfikatu (a nie centrum) w zakresie ochrony klucza prywatnego jasno określa art. 15, dodatkowym środkiem dyscyplinującym użytkownika jest wspomniany już art. 6, ust. 3 ("Nie można powoływać się...").

Dalsze wymagania wobec "bezpiecznego urządzenia" są określone w rozporządzeniu o warunkach technicznych. To co nas interesuje w kontekście tej dyskusji to komponent techniczny.

Największa lista wymagań wobec k.t. jest w par. 5, tam jest m.in. wymóg posiadania certyfikatu bezpieczeństwa. Jedyny, który - trochę na siłę - może budzić wątpliwości to pkt 6 czyli obowiązek dostarczenia k.t. z instrukcją obsługi ale nie napisane przez kogo ("są dostarczane").

Podsumowując, nie widzę żadnej podstawy prawnej by centrum certyfikacji miało się poczuwać do odpowiedzialności za klucz prywatny - ustawa ściśle ogranicza odpowiedzialność centrum do tego, co jest jego zadaniem. A jest nim poświadczanie tożsamości przypisanej do kluczy publicznych.

Co do Signetu to oczywiście ma Pan/Pani rację, poprawiłem w artykule.

jestem za tym by wszystkie certyfikaty kwalifikowane były generowane na tym samym typie kart - np. popularnych kartach MultiSign. Pisząc oprogramowanie (np. applet) w przypadku dużej różnorodności kart nie sposób jest je wszystkie obsłużyć. Przykładem może być sprzedawana przez Sigillum - karta JavaCard, która nie dziala z appletami obsługującymi karty MultiSign.

Ta wypowiedź świadczy o nieznajomości tematyki. Pozdrawiam

zaraz Sigillum poprawi regulamin i po jabłkach :)
w każdym razie świetny artykuł, dziękuje!