PTI krytycznie o procesie legislacyjnym ustawy o podpisach

Polskie Towarzystwo Informatyczne opublikowało listę uwag do projektu ustawy o podpisach Ministerstwa Gospodarki.

http://www.pti.org.pl/opinie/Porownanie_prop_PTI_z_projektem_ustawy_16%2...

Komentarz

Mamy obecnie sytuację podobną jak w latach 1999-2000, kiedy toczyła się wojna na argumenty pomiędzy zwolennikami projektu poselskiego i rządowego.

Środowiska zainteresowane utrzymaniem wyłącznej kontroli nad podpisem używają obecnie argumentów, które niewiele mają wspólnego z rzeczywistością - na przykład, że rodzajów podpisu będzie za dużo, albo że podpis kwalifikowany doskonale nadaje się do wszystkie, a szczególnie do podpisywania faktur elektronicznych.

Wynikiem wygranej restrykcyjnego projektu rządowego w 2001 roku, była siedmioletnia zapaść rynku podpisu elektronicznego. Oczywiście, miały tutaj swój udział zaniedbania ze strony ministerstw, ale podstawowym problemem w mojej ocenie było wymuszenie formy podpisu kwalifikowanego nie mającej wiele wspólnego z wymaganiami biznesu i administracji publicznej.

Dopiero w 2008 roku rynek jakby odżył, ale nie dzięki przydatności podpisu do czegokolwiek, tylko dzięki pozbawionemu moim zdaniem uzasadnienia przymusowi administracyjnemu wobec płatników ZUS. Można uznać, że skoro firmy nie chciały same kupować certyfikatów, to je do tego zmuszono.

Chciałbym również zwrócić uwagę na kuriozalny zapis, którego nie znalazłem w żadnym z publicznie dostępnych projektów, ale musiał się pojawić w którejś z wersji bo jest opisany w stanowisku PTI (z rekomendacją "bezwzględnie usunąć"):

"2a. Dokumenty elektroniczne (...) opatruje się kwalifikowanym podpisem elektronicznym osoby odpowiedzialnej za przekazanie tych dokumentów oraz wskazuje się w składanym kwalifikowanym podpisie elektronicznym certyfikat atrybutów wydany przez podmiot kwalifikowany, określający uprawnienia tej osoby do dostępu do danych osobowych lub innych danych podlegających ochronie, do których dostęp może mieć tylko płatnik, dla którego są przeznaczone."

Wiedząc, że niektóre centra certyfikacji znacznie wcześniej zarejestrowały swoją działalność na - nieistniejącym - rynku certyfikatów atrybutów próbę wprowadzenia wspomnianego zapisu do obowiązującego prawa można uznać za kolejny krok na drodze do wykreowania nowego rynku za pomocą przymusu administracyjnego.

Więcej na temat uwierzytelnienia i autoryzacji w ZUS:

http://ipsec.pl/podpis-elektroniczny/2008/co-poswiadcza-certyfikat-czyli...
http://ipsec.pl/podpis-elektroniczny/2008/realne-koszty-podpisu-kwalifik...
http://ipsec.pl/firmy/2008/potrzeba-roznych-polityk-uwierzytelnienia.html

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

A ja się pytam tych co twierdzą, że certyfikat atrybutów może posłużyć do dostępu do danych np. w ZUS niech będą tak mili i wskażą trzy rozwiązania oparte na tych mechanizmach z 5.000 użytkownikami.
W mojej opini jak się bliżej przyjrzeć temu co się kryje pod certyfikatami atrybutów to zostanie tylko X zł, które każdy zaniesie aby móc otrzymać ten twór na dyskietce. Przecież żadne API karty certyfikatów atrybutów nie wspiera, żadna przeglądarka, żaden protokół uwierzytelnienia. To jest coś zupełnie zapomnianego przez współczesne technologię dostępu do danych typu Cardspace/OpenID/ itd...
Jest tylko jedno martwe RFC 3281 (brak aktualizacji od 2002) i nic wiecej. Można oczywiście wstawiać certyfikat atrybutów jako niepodpisany atrybut do CMS/Cades (po rejestracji w KRIO identyfikatora) i potem weryfikować podczas weryfikacj podpisu. Można i coś takiego zrobić w Xadesie.
Ale ten mechanizm nadaje sie do uwierzytelniania dokumentu a nie użytkownika:)))