Doghouse: Uroki deklaracji zgodności na przykładzie skrzynki GIODO

Przy niedawnej próbie złożenia formularza do GIODO natrafiłem na problemy, które spowodowały że cała procedura zajęła prawie tydzień. Dodatkowo zaczynam mieć wątpliwości czy i na jakiej podstawie wystawiane są deklaracje zgodności dla różnych produktów podpisu elektronicznego.

Pierwszy problem pojawił się w momencie wejścia do formularza ESP na stronie GIODO. Aplikacja wymaga Internet Explorera działającego pod Windows z prawami administratora oraz doinstalowania (z prawami administratora) specjalnej aplikacji, która zmienia uprawnienia .NET w systemie. O ile instalację można uznać za rzecz dopuszczalną, o tyle żądanie by przeglądarka działała z prawami administratora jest zwyczajnym błędem projektowym (patrz punkt A.11.2.2 normy PN-ISO/IEC 27001:2007). Z punktu widzenia bezpieczeństwa systemu Windows jest to dość śmieszne w kontekście "wysokiego poziomu bezpieczeństwa" jaki ma zapewniać podpis elektroniczny.

Drugi problem pojawił się w momencie złożenia dokumentu z załącznikiem, którym był plik JPG zawierający potwierdzenie przelewu opłaty skarbowej. Po elektronicznym podpisaniu i wysłaniu formularza dostałem email, w którym skrzynka poinformowała mnie o ograniczonej liczbie rozszerzeń plików jakie akceptuje. Nie było wśród nich rozszerzenia JPG - było za to "jpg". Wniosek? Projektant aplikacji najwyraźniej nie wiedział, że w systemie Windows wielkość liter nie ma znaczenia w nazwach plików.

Trzeci problem - najpoważniejszy ujawnił się po kolejnej próbie wysłania formularza z rozszerzeniem pliku zmienionym na "jpg". Otrzymałem mailem Urzędowe Poświadczenie Odbioru i spocząłem na laurach. Po paru dniach otrzymałem kolejny email, tym razem od pracownika, który zwracał uwagę, że mój wniosek jest pozbawiony podpisu elektronicznego. Dalsze śledztwo i eksperymenty szybko doprowadziły do wniosku, że problem leżał po mojej stronie - nie miałem w świeżym systemie zainstalowanych certyfikatów NCC i QCA należących do ścieżki mojego certyfikatu kwalifikowanego. Z punktu widzenia Windows certyfikat był więc nieważny (niemożliwy do zweryfikowania), co widać było od razu po jego podejrzeniu. Nasuwa się jednak pytanie, w jakis sposób aplikacja podpisująca skrzynki podawczej (applet ActiveX) mogła złożyć bezpieczny podpis elektroniczny nie weryfikując ważności certyfikatu?

Komentarz na temat deklaracji zgodności

Deklaracja zgodności ma charakter dobrowolny i jak mi się wydaje w niektórych przypadkach fikcyjny. Nie jest to absolutnie nawoływanie do zastąpienia jej certyfikacją - to byłby dopiero gwóźdź do trumny podpisu. Być może sytuację poprawiłaby spójna, pisana z pozycji technicznej, checklista wymagań wobec aplikacji, udostępniona np. przez stowarzyszenie branżowe lub ministerstwo.

Próba uzyskania deklaracji zgodności dla Programu Płatnika zarówno w ZUS jak i Prokomie, którą podjąłem kilka miesięcy temu skończyła się w obu instytucjach łańcuszkiem spychotechniki ("to nie my, to oni"). Deklaracji nigdy nie otrzymałem. Czy widział ktoś deklarację zgodności dla skrzynki podawczej ZETO Białystok albo systemu e-Deklaracje?

Znam przypadek aplikacji do weryfikacji faktur elektronicznych udostępnianej za darmo przez jedno z kwalifikowanych centrów, która radośnie weryfikowała "bezpieczny podpis" złożony przy pomocy samopodpisanego certyfikatu EFS (Encrypted Filesystem) z Windows czy dowolnego.

Najwyraźniej nikt tego nie sprawdza ani nie kwestionuje. Taka strategia wydaje się być uzasadnione o tyle, że jeden taki precedens może spowodować łańcuszek publikacji kompromitujących dla części rodzimych producentów, którzy wyposażyli urzędy w nikomu niepotrzebne rozwiązania w ramach "przetargowej paniki" w latach 2006-2008.

Dla administracji publicznej oznaczałoby to konieczność wymyślania kabalistycznych interpretacji obecnego rozporządzenia tak, by dowieść że to co utrzymują (i z rzadka używają) jest jednak zgodne z prawem. Prawem, które całościowo rozumie zapewne kilkaset osób w Polsce.

http://ipsec.pl/podpis-elektroniczny/2008/ekscytujaco-prosta-w-uzyciu-sk...

Gdzie to "bezpieczeństwo" zapewniane przed "bezpieczny podpis", którym tak szermują zwolennicy stosowania podpisu kwalifikowanego wszędzie gdzie się da? I dlaczego do skorzystania ze skrzynki podawczej trzeba mieć doktorat z informatyki ze specjalizacją w PKI oraz platformach do budowy aplikacji webowych?

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Przecudny cytat z dzisiejszej prasy:

"A co do internetowej rejestracji firmy to kierowniczka nie ukrywa, że aby poprawnie wypełnić wniosek (dostępny na stronie www.bialystok.pl) trzeba być doskonale przygotowanym pod kątem ekonomicznym, ale i informatycznym."

http://miasta.gazeta.pl/bialystok/1,35235,6454919,Jedno_okienko_i_masa_p...

To że aplikacje nie mają deklaracji, można jeszcze próbować zrozumieć (bardzo trafne wyjaśnienie dlaczego nie jest to weryfikowane), ale to że aplikacja jest nieprzetestowana i sypie się na każdym kroku już ciężko.

Trudno powiedzieć co oznaczał komunikat zwrotny. Certyfikat na pewno był i jest ważny. Applet poprawnie składał podpis w sensie wybrania certyfikatu, wczytania PIN (!) i wyświetlenia komunikatu, że jest OK. Później przychodziło UPO potwierdzające poprawne otrzymanie wniosku.

Informacja o braku podpisu była przysłana później, wyglądało to na ręczną weryfikację. Co sugeruje, że UPO jest wystawiane bez weryfikacji podpisu (co wydaje mi się w porządku).

Dopiero później zauważyłem, że nie mam ścieżki w systemie. Po jej doinstalowaniu cała procedura wyglądała dokładnie tak samo.

Jeśli dostałeś informację o braku podpisu, to czy oznaczało to zupełny jego brak? Jak aplet podpisujący mógł tego nic zauważyć? Czy może podpisałeś przeterminowanym certyfikatem? Co zostało zinterpretowane przez system jako brak ważnego podpisu.