Problemy związane z elektroniczną skrzynką podawczą

Rozporządzenie w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym określa sposób w jaki ma być wydawane Urzędowe Poświadczenie Odbioru (UPO), czyli elektroniczny kwitek potwierdzający fakt złożenia dokumentu do urzędu w określonym terminie. Z rozporządzeniem tym wiążą się co najmniej trzy wątpliwości natury techniczno prawnej.

Rozporządzenie definiuje UPO w sposób następujący:

§ 2. Użyte w rozporządzeniu określenia oznaczają: (...)

4) urzędowe poświadczenie odbioru - dane elektroniczne dołączone do dokumentu elektronicznego doręczonego podmiotowi publicznemu lub połączone z tym dokumentem w taki sposób, że jakakolwiek późniejsza zmiana dokonana w tym dokumencie jest rozpoznawalna, określające:

a) pełną nazwę podmiotu publicznego, któremu doręczono dokument elektroniczny,
b) datę i czas doręczenia dokumentu elektronicznego rozumiane jako data i czas wprowadzenia albo przeniesienia dokumentu elektronicznego do systemu teleinformatycznego podmiotu publicznego,
c) datę i czas wytworzenia urzędowego poświadczenia odbioru
Warto zwrócić uwagę, że początek tej definicji ("dane elektroniczne...") bardzo przypominają definicję podpisu elektronicznego w ustawie o podpisie elektronicznym. W istocie jest to właśnie definicja podpisu elektronicznego pozostawiająca sporą swobodę jeśli chodzi o sposób jej implementacji (certyfikat, format, standard).

Jakim certyfikatem podpisywać UPO?

Jak wynika z tekstu rozporządzenia UPO może być podpisane praktycznie dowolną formą podpisu elektronicznego (PGP?), pod warunkiem że będzie ona spełniać wymagania w punktach a-c. Skąd taki liberalizm w polskim prawie, w którym zwykle gdzie tylko się da wciska się "i musi być podpisane bezpiecznym podpisem elektronicznym zgodnym z ustawą..."?

Zgodnie z polską definicują podpisu kwalifikowanego musi być on przypisany do osoby fizycznej, zaś sposób jego składania powinien umożliwiać m.in. prezentację podpisywanej treści oraz zawierać ostrzeżenie o skutkach prawnych złożenia podpisu. Kto miałby być osobą fizyczną w przypadku automatycznego podpisywania przez HSM? Jak miałby być realizowany proces prezentacji? Wymagania te nijak nie pasują do profilu zastosowań ESP.

Konsekwentnie należy więc uznać, że do podpisywania UPO, które są wystawiane ad hoc przez automat (HSM) nie można stosować certyfikatu kwalifikowanego.

Być może są to wnioski oczywiste, ale proszę mi uwierzyć że nie były one oczywiste dla szeregowych pracowników administracji publicznej, którym polecono przygotować wdrożenie takiego systemu. Interpretacje z jakimi się stykałem zahaczały o absurd - np. rozważano czy w razie wsadzenia do HSM certyfikatu osobowego nie będzie problemów z inspekcją pracy, skoro podpis jest równoważny podpisowi odręcznemu a HSM podpisuje 24h na dobę. Jest to połowicznie wina nowości tej technologii, a połowicznie niespójności i oderwania od rzeczywistości tworzonego nieraz ad hoc prawa (dlaczego np. rozporządzenie nie odwołuje się do definicji podpisu z ustawy tylko tworzy własną?).

Nasuwa się pytanie - jakiego certyfikatu użyć? Pracownicy administracji publicznej, z którymi rozmawiałem interpretowali to jako możliwość stosowania dowolnego certyfikatu niekwalifikowanego, co nie stoi w sprzeczności z literą rozporządzenia. Z drugiej strony stwarza to ryzyko powstania chaosu jeśli każda jednostka zacznie tworzyć własne drzewo certyfikacji. Wiele instytucji publicznych takimi drzewami już dysponuje - funkcjonują one w oparciu o lokalne, prywatne centra certyfikacji i spełniają swoje zadanie w zakresie np. uwierzytelnienia pracowników tam, gdzie zakup certyfikatów w komercyjnych CA byłby nieopłacalny.

Drugie ryzyko to chłonność pojęcia "podpis niekwalifikowany", co oznacza w Polsce wszystko co nie jest podpisem kwalifikowanym - czyli poczynając od PGP a skończywszy na prywatnych drzewach X.509. Jaka będzie po kilku latach wartość dowodowa UPO podpisanego takim certyfikatem?

Na każdym kroku wychodzi tutaj przepaść pomiędzy precyzyjnie zdefiniowanym, ale nieużywalnym w tym zastosowaniu podpisem kwalifikowanym i resztą, czyli każdym innym. Prowadzi to do powstawania takich właśnie lokalnych definicji podpisu elektronicznego, wprowadzanych w sytuacjach kiedy nie da się już po prostu nic zrobić, żeby po raz kolejny upchnąć w rozporządzeniu podpis kwalifikowany.

UPO w praktyce

Jak to wygląda w praktyce? Jedyną ESP jaką udało mi się przetestować w praktyce była Elektroniczna Skrzynka Podawcza ZUS postawiona w technologii opracowanej przez Certum.

W rozwiązaniu Certum UPO jest podpisywane zaświadczeniem certyfikacyjnym z drzewa Centrast, wystawionym na "Certum QDA". Jest to rozsądny sposób na ułatwienie weryfikacji podpisu pod UPO, ale budzi moje wątpliwości z jednego powodu - zaświadczenia certyfikacyjne są przez ustawę o podpisie zastrzeżone dla centrów certyfikacji.

Innymi słowy, tylko centrum może otrzymać od Centrastu "certyfikat" w drzewie kwalifikowanym nadający się do załadowania do HSM. Równocześnie certyfikatów w drzewie kwalifikowanym, które może uzyskać każdy nie można wsadzić do HSM (osoba fizyczna). Kto ma więc wyłączność na podpisywanie naszych UPO w drzewie Centrastu...?

Inne informacje praktyczne o ESP ZUS, które mogą kogoś zainteresować:

  • UPO jest zapisywane w formacie S/MIME, co jest zręcznym połączeniem interoperacyjności (plikowi wystarczy dodać rozszerzenie .eml żeby zweryfikować go w Thunderbirdze lub Outlooku) ze zgodnością z rozporządzeniem o minimalnych wymaganiach wobec systemów teleinformatycznych, wskazanym przez §3 omawianego tutaj "rozporządzenia w sprawie warunków..."
  • UPO zostało zaimplementowane za pomocą zgrabnych formularzy XML/XSL, które sprawiają wrażenie że powinny działać w każdej przeglądarce. Moduł podpisu elektronicznego ze zrozumiałych względów (dostęp do karty) jest zaimplementowany w Javie i w Firefoxie całość działa gładko.

Kiedy można wystawić UPO?

Podczas implementacji ESP nieuchronnie pojawia się problem czasu wystawienia UPO w stosunku do momentu przysłania dokumentu. Problem bierze się stąd, że w momencie gdy przysyłam dokument podpisany z pomocą certyfikatu kwalifikowanego do ESP skrzynka powinna zweryfikować mój podpis pod tym dokumentem. Ale zgodnie z prawem nie może tego zrobić - pełna weryfikacja podpisu kwalifikowanego nie jest możliwa aż nie zostanie wydany kolejny CRL, co oznacza zwłokę od 1 do 12 godzin (patrz serwis "Dla praktyków").

Nie jest to problem trywialny. Pełna weryfikacja podpisu kwalifikowanego musi dokładnie zająć tyle czasu, chyba że zostanie wykorzystane OCSP, które jednak ze strony centrów nie jest obowiązkowe. Z punktu widzenia osoby składającej dokument pożądane jest jak najszybsze otrzymanie UPO.

Warto zauważyć, że w projekcie rozporządzenia zastępującego to omawiane tutaj z 2006 roku wprowadzono wręcz klauzulę następującą: "po podpisaniu bezpiecznym podpisem elektronicznym system teleinformatyczny służący do obsługi doręczeń pism bezzwłocznie, nie później niż w ciągu 5 sekund udostępnia do pobrania pismo wraz z urzędowym poświadczeniem odbioru".Projekt rozporządzenie jednak nie wszedł w życie, być może z powodu opisanych tutaj wątpliwości.

Wydaje mi się, że praktyczne rozwiązanie tego problemu jest stosunkowo proste jeśli przeanalizuje się cel tak długiego oczekiwania na weryfikację podpisu - ma to zabezpieczyć przed sytuacją, kiedy podpis zostanie złożony skradzioną kartą i kodem PIN już po jej odwołaniu, ale przed wydaniem kolejnego CRL. Pytanie tylko, czy taka sytuacja stanowi jakieś zagrożenie dla urzędu?

Otóż zadaniem skrzynki podawczej jest tylko przyjęcie dokumentu i wprowadzenie go do systemu teleinformatycznego urzędu. Skrzynka nie ocenia wartości merytorycznej dokumentu ani jego zasadności. Skrzynka powinna zatem przeprowadzić weryfikację autentyczności i integralności ("weryfikacja matematyczna") podpisanego dokumentu, wprowadzić go do systemu i niezwłocznie wydać UPO. Pełna weryfikacja następuje po zakończeniu "okienka niepewności" i dopiero po jej pomyślnym zakończeniu dokument może być skierowany do dalszego przetwarzania.

Byłby to więc pewien etap pośredni pomiędzy przyjęciem dokumentu przez skrzynkę, a wprowadzeniem jej w proces biznesowy w urzędzie. W tym okresie dokument pozostawałby w stanie zawieszenia. Po kompletnym zweryfikowaniu podpisu nabierałby on wszystkich cech z tego wynikających czyli głównie dotyczących autorstwa oraz daty pewnej. W razie negatywnej weryfikacji dokument byłby odrzucany, zaś UPO potwierdzałoby tylko złożenie nieważnego dokumentu.

Jeśli wyślemy do Urzędu Skarbowego listem poleconym pustą kartkę to potwierdzenie nadania nie dowodzi wcale złożenia wymaganego dokumentu.

Jakie normy musi spełniać HSM?

Rozporządzenie w sprawie warunków techniczno-organizacyjnych wymienia również precyzyjnie wymagania, jakie ma spełniać HSM stosowany w ESP:

System teleinformatyczny (...) do wytworzenia urzędowego poświadczenia odbioru zawiera sprzętowy moduł bezpieczeństwa (Hardware Security Module) spełniający wymagania normy FIPS 140-2 (...) poziom 3 lub wyższy, wydanej przez National Institute of Standards and Technology (NIST).

Zapis ten budzi dwojakie kontrowersje.

Po pierwsze, narzucająca się z lektury rozporządzenia interpretacja jest taka że oto każdy urząd musi zaopatrzyć się w ESP wyposażoną w HSM. Koszt samego HSM to 15-30 tysięcy złotych. Argumentacja przemawiająca za stosowaniem HSM - wydajność, bezpieczeństwo, niezaprzeczalność -jest słuszna (Michał Tabor, "Uczciwość i problem techniczny", Computerworld) ale w zderzeniu z sytuacją finansową wielu instytucji publicznych w Polsce oraz przewidywaną liczbą dokumentów elektronicznych oscylującą na początku w okolicach zera forsowanie modelu "HSM w każdym urzędzie" jest całkowicie nieracjonalne.

Zwracam uwagę - jest to interpretacja narzucająca się z lektury rozporządzenia i była ona tak odbierana przez wielu pracowników administracji, z którymi rozmawiałem. W chwili obecnej powszechne jest że "duże" urzędy macierzyste stawiają ESP i obsługują w ten sposób wiele "małych" urzędów potomnych. Nadal jednak jest to specyficzna interpretacja nie wynikająca za bardzo z litery rozporządzenia.

Po drugie, dziwi wskazanie w rozporządzeniu tylko jednej normy dotyczącej bezpieczeństwa jaką jest FIPS 140-2 certyfikowanej przez amerykański instytut NIST.

Realia rynku są takie, że wiele tych urządzeń istotnie posiada certyfikaty FIPS 140-2, która jest normą ukierunkowaną stricte na rozwiązania kryptograficzne. Ale rozporządzenie do ustawy o podpisie elektronicznym mówiąc o kartach kryptograficznych wymienia trzy standardy oceny bezpieczeństwa - FIPS, ITSEC oraz Common Criteria. Ustawa o informacji niejawnej powołuje się z kolei na normę ITSEC.

Ocenę według Common Criteria oraz ITSEC prowadzi wiele laboratoriów europejskich, w tym także polski Departament Bezpieczeństwa Teleinformatycznego ABW, który wystawia na podstawie tej oceny certyfikat ochrony kryptograficznej. Dlaczego zatem HSM może mieć tylko certyfikat wydany przez amerykański NIST?

 

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Witam

Jakim certyfikatem podpisywać UPO?

Moim zdaniem z formalnego punktu widzenia - całkowicie dowolnym. Praktycznie zalecałbym jednak certyfikat znajdujący się w jakimś drzewie certyfikacji (polskim lub światowym), rozpoznawany przez "standardowo" skonfigurowane Windowsy - z powodów czysto praktycznych.

Zwróćmy też uwagę na to, że sam podpis (bez sensownej polityki/zabezpieczeń/znakowania czasem) wcale nie zapewnia integralności UPO - nie spełnia więc wymogów rozporządzenia.

zaświadczenia certyfikacyjne są przez ustawę o podpisie zastrzeżone dla centrów certyfikacji

Moim zdaniem nie jest to prawdą, o czym szerzej w odpowiedzi na komentarz Pana Michała Tabora - chyba, że chodzi o kwalifikowane zaświadczenia certyfikacyjne.

Nie widzę natomiast przeciwwskazań (choć musiałbym to dokładniej przeanalizować), by któreś z kwalifikowanych CC nie utworzyło dedykowanego drzewa dla certyfikatów do podpisywania UPO i roota takiego drzewa zgłosiło w Centraście.

Warto zauważyć, że w projekcie rozporządzenia zastępującego to omawiane tutaj z 2006 roku wprowadzono wręcz klauzulę następującą: "po podpisaniu bezpiecznym podpisem elektronicznym system teleinformatyczny służący do obsługi doręczeń pism bezzwłocznie, nie później niż w ciągu 5 sekund udostępnia do pobrania pismo wraz z urzędowym poświadczeniem odbioru".

O ile dobrze pamiętam, w tej chwili w rozporządzeniu z 2006 roku znalazł się zapis o dostarczeniu pisma jego adresatowi (bo tego dotyczy to rozporządzenie) w kilka sekund od zakończenia weryfikacji podpisu pod wystawionym przez niego UPO.

Witam,
ponieważ jestem przywoływany w tym artykule to pozwolę udzielić kilku odpowiedzi.
Najpierw się odniosę do ostatnich komentarzy i stwierdzeń. Nadal stoję na stanowisku, że do realizacji skrzynki podawczej i przyjmowania wniosków w trybie automatycznym nie nadaje się karta kryptograficzna!!!. Powód najprostszy - karta kryptograficzna jest chroniona PIN (Personal Identyfication Number) - czyli kodem osobistym. Czyli służy do tego aby chronić dane kontretnej jednej osoby fizycznej i nie ma łatwego sposobu współposiadania karty przez więcej osób. Oczywiście jest to powód najprostszy. Znaczenie UPO (w trybie przedkładania - ja nazywam to UPP - urzędowe podtwierdzenie przedłożenia) w administacji jest ogromne - bo wskazuje na "termin" i "dowód".

Zastosowanie urzadzeń, które nie spełniają wymagań prawa będzie skutkowało tym, że potwierdzenia nie będą miały mocy prawnej - czyli mogą zostać odrzucone przez sąd.
We wspomnianym artykule piszę dlaczego należy stosować urządzenia spełniające wymagania FIPS 140-2 level 3 i dlaczego karta standardowo nie spełnia tych wymagań -musi być zastosowana w środowisku identycznym z testowanym - a zazwyczaj tego już wykonawca systemu nie robi :-(. Tutaj oczywiście można wskazać inne normy dla urządzeń - w szczególności normy CEN-CWA 14167 lub CEN-CWA 14169 z zachowaniem zarządzania rolami.

Prawdą jest, że rozporządanie nie zawiera schematu podpisu - i to jest istotny błąd. Oczywiście jako orędownik XMLdSIG i ETSI TS 101.903 (XAdES) - jestem 100% za tym aby te poświadczenia były relizowane w tych strukturach - i mam nadzieję, że prace standaryzacyjne ralizowane w ramach projekut ePUAP (polecam zakładkę z dokumentami) - do takiej unifikacji doprowadzą.

Teraz kilka słów o podpisie elektronicznym - ustawa o podpisie elektonicznym na dzień dzisiejszy na wydawanie certyfikatów osobom fizycznym!!! Certyfikat dla osoby prawnej to zaświadczenie certyfikacyjne - ale ustawa mówi tylko o wydawaniu zaświadczeń certyfikacyjnych dla podmiotów świadczących usługi certyfiacyjne. A UPO (UPP) miało być wydawane przez automat - przecież to byłoby oszustwo, gdyby tam był certyfikat osoby fizycznej! Dlatego przyjęto założenie, że do czasu nowelizacji ustawy trzeba obejść ten problem - powiedzieć, że jest to zastosowanie technologii podpisu elektronicznego - ale podpisywanie hsm nie jest podpisem elektronicznym zgodnie z ustawą o podpisie elektronicznym. Miejmy nadzieję, że w najbliższym czasie naspi nowelizacja ustawy, która wprowadzi podpis zawansowany, gdzie podpisującym będzie mogła być osoba prawna - a certyfikat nie będzie wskazywał osoby fizycznej. Wtedy będę jedną z pierwszych osób, która zaproponuje aby UPO było zaawansowanym podpisem urzędu generowanym przez system teleifnormatyczny urzędu oraz oznaczane czasem przez zaufaną trzecią stronę.
Niezależnie od tego uważam z całą stanowczością, że wpisanie usługi kwalifikowanego UPO przez Centrum jest poważnym wykroczeniem i nadużyciem uprawnień służbowych urzędników Miniserstwa Gospodarki i powinno być z całą stanowczością sprawdzone.

Paweł wspomina w artykule rozporządzenie (projekt) z 2006 roku - to rozporządzenie weszło w życie a zostało opublikowane 27 listopada 2006 (Dz.U. 06.227.1664) - i to rozporządzenie mówi m.in. o tym jak powinien być realizowany proces doręczania od urzędu do osoby fizycznej lub prawnej. Tutaj też wysępuje UPO - ale w trybie doręczeń (ja nazywam to UPD). Warto wspomnieć, że jest to pierwsze rozporządzenie które narzuca standard podpisu elektornicznego -XAdES.

Reasumując - jest dużo do zrobienia w zakresie informatyzacji i urzędnicy potrzebują w tym celu wiedzy fachowej z zakresu prawa, elektronicznej administracji i podpisu elektronicznego - oraz nowelizacja przepisów. Ale nie wolno dla własnej wygody i sprzedania swoich produktów wciskać rzeczy, które "niby" spełniają normy i potrzeby bezpieczeństwa. Mam nadzieję, że projekt ePUAP będzie po pierwsze referencyjny dla administacji publicznej po drugie jego usługi pomogą realizować zadania gminom i powiatom znacznie taniej, bez inwestowania w drogie hsmy i zabezpieczenia.

"Nadal stoję na stanowisku, że do realizacji skrzynki podawczej i przyjmowania wniosków w trybie automatycznym nie nadaje się karta kryptograficzna!!!. Powód najprostszy - karta kryptograficzna jest chroniona PIN (Personal Identyfication Number) - czyli kodem osobistym. Czyli służy do tego aby chronić dane kontretnej jednej osoby fizycznej i nie ma łatwego sposobu współposiadania karty przez więcej osób. Oczywiście jest to powód najprostszy."

A jaka jest różnica w stosunku do HSM? Co za różnica co wgramy na kartę? To tylko urządzenie-nośnik. Głównym zabezpieczeniem certyfikatu i tak (zgodnie z rozporządzeniem) jest posiadanie odpowiedniego certyfikaty, pomieszczenia, zgodnego z odpowiednią normą bezpieczeństwa. Wg mojej opinii karta to taki sam nośnik kluczy jak HSM tylko wolniejszy (oczywiście zakładam, że mają identyczne
certyfikaty bezpieczeństwa.

Pan Tabor przedstawił konkretne argumenty techniczne, uzasadniające stosowanie wyspecjalizowanych urządzeń HSM w urzędach zasypywanych elektronicznymi wnioskami o dużym poziomie ryzyka prawnego. Osobiście zgadzam się z nimi w pełni, ale widzę również głęboki bezsens wsadzania takich HSM gdzie się tylko da tylko w celu zapewnienia zgodności ze źle napisaną i jeszcze gorzej interpretowaną ustawa. Stąd próby obejścia przepisu przez jego odpowiednie interpretowanie i takie możliwości widzę.

Rozporządzenie mówi dokładnie tak:

zawiera sprzętowy moduł bezpieczeństwa (Hardware Security Module), zwany dalej "HSM", spełniający wymagania normy FIPS 140-2 (Security Requirements for Cryptographic Modules) poziom 3 lub wyższy, wydanej przez National Institute of Standards and Technology (NIST)

Nasuwają się pytania:

1) gdzie w polskim prawie zdefiniowane jest pojęcie "sprzętowego modułu bezpieczeństwa"; jeśli odwoływać się do literalnego brzmienia przepisu w języku polskim to karta kryptograficzna niewątpliwie jest i "sprzętowym" i "modułem bezpieczeństwa"

2) co to dokładnie znaczy "spełniający wymagania normy" normy FIPS 140-2? A konkretnie, jaki jest poziom pewności że produkt spełnia?

Bo na przykład RWT mówi wprost:

"Komponenty techniczne powinny posiadać certyfikaty zgodności, zaświadczające spełnienie wymagań określonych w Polskich Normach, a w przypadku braku takich norm, spełnienie wymagań określonych w dokumentach, o których mowa w § 49"

I dalej następuje wylicznie ITSEC, FIPS i CC. Mamy tu do czynienia z precyzyjnym wskazaniem poziomu pewności jakim jest "certyfikat zgodności". W innym miejscu RWT wymaga dla komponentu programowego innego poziomu pewności jakim jest "deklaracja zgodności".

Deklaracja zgodności i certyfikat są obydwa formami "spełnienia normy", tylko że o różnym poziomie pewności.

Mamy tutaj do czynienia z wzorcowym przykładem niekompetencji twórcy prawa, który po pierwsze powołuje się na nieosadzone w prawie pojęcia, a po drugie nie potrafi powołać się na normę.

Dziś w rozmowie w jednym urzędów zwrócono mi jeszcze uwagę na następujące problemy związane z ESP: 1) Nadchodzi maj 2008, czyli termin wynikający z KPA i przesunięty z 2006 roku. Urzędy muszą decydować w jaki sposób zapewnić sobie zgodność z wynikającymi z tego wymogami. Teoretycznie nie muszą, bo ma to za nie zrobić e-PUAP. Ale czy e-PUAP będzie gotowy do maja to jest wielka niewiadoma. Ale jeśli chcą to zrobić samodzielnie to powinny skompletować kosztorys i całą dokumentację projektu najpóźniej do marca: Jeśli chcą złożyć wniosek o dofinansowanie projektu ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Działania 2.2 Rozwój elektronicznych usług publicznych Priorytet II. Społeczeństwo informacyjne Regionalnego Programu Operacyjnego Województwa Śląskiego na lata 2007 - 2013. To muszą przygotować do 3.3.2008r. (termin składania wniosków) Studium Wykonalności i dołączyć je do wniosku. Studium Wykonalności musi zawierać analizę techniczną (koncepcje rozwiązania) i ekonomiczną (kosztorys) planowanego projektu. Z tego wynika, że w studium wykonalności należy zawrzeć taką koncepcję rozwiązania, która będzie uzasadniona technicznie i ekonomicznie przez kolejne 5 lat trwałości projektu. 2) Powszechną praktyką wydaje się zaniżanie kosztu samego urządzenia HSM - z którym dostawcy potrafią zejść poniżej 10 tys. zł - przez pominięcie kosztu dodatkowego oprogramowania, bibliotek, SDL i licencji, który to koszt może sięgnąć kilkudziesięciu tysięcy złotych. 3) Pomysły z dzierżawą urządzeń lub usługi ESP również mogą być obarczone usterką prawną, bo w projekcie finansowanym z funduszy strukturalnych koszty takiej dzierżawy nie są kosztami kwalifikowanymi i nie podlegają refundacji. Równocześnie istnieje wymóg by projekt taki trwał minimum pięć lat, więc sumarycznie może okazać się opłaty za dzierżawę (nierefundowane) obciążą urząd bardziej niż jego zakup i potraktowanie jako koszt kwalifikowany.

ustawa mówi tylko o wydawaniu zaświadczeń certyfikacyjnych dla podmiotów świadczących usługi certyfiacyjne

Zauważmy, co zostało napisane w ustawie o podpisie elektronicznym, w definicji podmiotów świadczących usługi certyfikacyjne:

11) zaświadczenie certyfikacyjne - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji poświadczenia elektronicznego są przyporządkowane do podmiotu świadczącego usługi certyfikacyjne lub organu, o którym mowa w art. 30 ust. 1, i które umożliwiają identyfikację tego podmiotu lub organu,
13) usługi certyfikacyjne - wydawanie certyfikatów, znakowanie czasem lub inne usługi związane z podpisem elektronicznym,
14) podmiot świadczący usługi certyfikacyjne - przedsiębiorcę w rozumieniu przepisów ustawy z dnia 19 listopada 1999 r. - Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178, z 2000 r. Nr 86, poz. 958 i Nr 114, poz. 1193 oraz z 2001 r. Nr 49, poz. 509, Nr 67, poz. 679 i Nr 102, poz. 1115), Narodowy Bank Polski albo organ władzy publicznej, świadczący co najmniej jedną z usług, o których mowa w pkt 13,

Moim zdaniem z tego wynika, że niemal każdy podmiot wykorzystujący PKI jest podmiotem świadczącym usługi certyfikacyjne. Chyba, ze ograniczenia, o którym Pan wspomina, wynika z dalszych zapisów Ustawy - jeśli tak, to czy mógłby Pan mi je wskazać?

Niezależnie od tego uważam z całą stanowczością, że wpisanie usługi kwalifikowanego UPO przez Centrum jest poważnym wykroczeniem i nadużyciem uprawnień służbowych urzędników Miniserstwa Gospodarki i powinno być z całą stanowczością sprawdzone.

W swoim czasie interesowałem się tą sprawą, próbowałem znaleźć podstawę prawną dla przedstawionego przez Pana stanowiska, ale niestety nie udało mi się. Czy mógłby Pan przytoczyć przepisy, zabraniające dokonania takiego wpisu?

Mam nadzieję, że projekt ePUAP będzie po pierwsze referencyjny dla administacji publicznej

Zgadzam się, choć w chwili obecnej jest o około 2 lata zbyt późno, by wdrożyć to rozwiązanie.

1) Wydaje mi się że kluczowe jest słowo "świadczący", wskazujący wyraźnie na podmioty będące dawcami usług wydawania certyfikatów i znakowania czasem. Urząd tylko wystawiający UPO mógłby być podciągnięty pod ust. 13 tylko na podstawie świadczenia "innych usług związanych z podpisem elektronicznym", ale wydaje mi się to mocno naciągane. Konieczne byłoby bowiem zignorowanie stojących tam jak byk słów "usługi certyfikacyjne" (a nie: "usługi podpisywania").

2) Na oko też nie wydaje mi się by było to naruszenie prawa. Autorytatywnym źródłem byłoby Rozporzadzenie Ministra Gospodarki z dnia 9 sierpnia 2002 r. w sprawie okreslenia szczegółowego trybu tworzenia i wydawania zaswiadczenia certyfikacyjnego zwiazanego z podpisem elektronicznym (Dz. U. Nr 128, poz. 1101) oraz Polityka Certyfikacji Centrast, która - jak wynika z historii - była uzgadniana z innymi centrami.

3) Nic oczywiście nie stoi na przeszkodzie by KIR i Sigillum również uzyskały takie zaświadczenia certyfikacyjne. Obecna sytuacja daje Certym przewagę rynkową, ale nie monopol. Cóż jednak z tego, że inne centra uzyskają takie zaświadczenia? Nie wydaje mi się by można było mówić o realnej konkurencji przy cenach certyfikatów sprawiajacych wrażenie ewidentnej zmowy cenowej (199 zł netto).

4) Zdrowsza byłaby sytuacja, w której do ESP można byłoby wsadzić certyfikat ZAKUPIONY w CA, a nie NALEŻĄCY do CA. Tylko że tego IMHO przy obecnej definicji "zaświadczenia certyfikacyjnego" zrobić się nie da.

Witaj,

jak zwykle wszystko rozbija się o definicje.

Nie jestem prawnikiem, ale dla mnie "świadczący" wskazuje na podmioty świadczące przynajmniej jedną z usług:
- wydawanie certyfikatów
- znakowanie czasem
- inne usługi związane z podpisem elektronicznym.

Nie widzę przeciwwskazań, by jedną z tych "innych" usług było elektroniczne poświadczenie przedłożenia - czyli zwykłe UPO. Moim zdaniem nie ma podstaw, by uznać ustawowe określenie "inne usługi" za "naciąganie". Te słowa nie 'stoją obok' określenia "usługi certyfikacyjne" - one są definicją ustawową określenia "usługi certyfikacyjne".

Przy tej interpretacji każdy podmiot może dysponować zaświadczeniem certyfikacyjnym. Oczywiście wymaga to dokładniejszej analizy ustawy, przydałaby się tutaj zatem opinia jakiegoś prawnika.

Pozdrawiam

Najprościej byłoby gdyby jakiś urząd wystąpił do Centrastu o zaświadczenie powołując się na ten punkt UOPE, wtedy ktoś musiałby dokonać interpretacji :)

A czy nie jest czasem tak, że centrast robi wpisy tylko dla kwalifikowanych podmiotów? Aby być kwalifikowanym CC, trzeba spełnić nieco większe wymagania... Więc dla urzędu nie będzie to takie proste.

Z polityki Centrastu:

Narodowe Centrum Certyfikacji, jako podmiot upowaniony, w imieniu ministra własciwego do spraw gospodarki: 1. Wytwarza i wydaje zaswiadczenia certyfikacyjne podmiotom wpisanym do rejestru kwalifikowanych podmiotów swiadczacych usługi certyfikacyjne, o których mowa w art. 23 ust. 2 Ustawy o podpisie elektronicznym;

W przypadku małych urzędów nie ma potrzeby stosowania drogiego HSM. Wystarczy karta kryptograficzna zgodna z FIPS 140-2 level 3. Dla większości urzędów 1 podpis na sekundę powinien wystarczyć.

Doszliśmy do tych samych wniosków projektując ESP - www.epodpis.mav.pl. Co do samego HSM to prawdopodobnie ktoś miał na nim nieźle zarobić. Co do sytuacji prawnej to sprawa wygląda tak, że po wielu miesiącach analiz i prac projektowych wycofaliśmy się z rynku administracji - niestety zbyt szybko się on zmienia (pod konkretne rozwiązania dużych firm) a prawo jest jak widać nieprecyzyjne. Jeżeli coś się nie zmieni i nie zostanie uproszczone to nie ma szans na wprowadzenie w życie podpisu elektronicznego w Polsce.