Podpis czy szyfr elektroniczny?

Podpis czy szyfr elektroniczny?

W odróżnieniu od tradycyjnego podpisu ręcznego jest zaszyfrowany, zamiast liter imienia czy nazwiska ma nierzadko długie sekwencje cyfr

Podpis elektroniczny, jak podaje encyklopedia internetowa WIEM, to ogólna nazwa rozmaitych technik potwierdzania autentyczności dokumentu i tożsamości jego nadawcy przy wymianie informacji drogą elektroniczną.
Podpis elektroniczny musi spełniać te same warunki, co podpis zwykły, tzn. powinien być trudny lub niemożliwy do podrobienia, stwarzać możliwość weryfikacji i na trwałe łączyć się z dokumentem.
Praktyczne formy podpisów cyfrowych stały się dostępne dzięki rozwojowi kryptografii, czyli umiejętności przekształcenia tekstu pisanego, zrozumiałego dla wszystkich w tekst szyfrowany (kryptogram), zrozumiały dla odbiorcy. Podpis elektroniczny, w odróżnieniu od tradycyjnego podpisu ręcznego, jest zaszyfrowany, zamiast liter imienia czy nazwiska osoby podpisującej się zawiera w tym wypadku cyfry, nierzadko ich długie sekwencje, które zastępują dane litery.

Klucze Oracle

Narzędzia Oracle, które służą tworzeniu baz danych, umożliwiają także kodowanie z użyciem np. 56-bitowego klucza. System zapewnia również stałą kontrolę procedury i wykrywa każdą próbę zafałszowania. Firma Wonlok z Łodzi, która na bazie systemów Oracle opracowała system “Bank Internetowy” do komunikacji między bankiem a klientem, zapewnia, iż nadchodzi koniec druczków, formularzy, kwitów, a także kolejek przed okienkami. Aby jednak zapewnić dokumentom bankowym integralność i poufność, można szyfrować informacje z użyciem klucza 512- lub 1024-bitowego. Klient zgłaszający się drogą internetową do banku także byłby sprawdzany przez bank. W pierwszym etapie podawałby hasło umożliwiające odczyt jego informacji. W drugim etapie, dla zatwierdzenia wybranych transakcji, musiałby się elektronicznie podpisać za pomocą specjalnego, szyfrującego urządzenia, podłączonego do jego komputera. Zabezpieczenie dokumentów i danych zakodowanymi podpisami jest więc technicznie możliwe, choć wymaga ciągłego doskonalenia.
Gdyby ustalić jednolity system szyfrowania nazwisk, to wówczas każdy mógłby łatwo podrobić dowolne nazwisko i cały pomysł z podpisem elektronicznym straciłby na znaczeniu. Jeśli jednak ów kod znają dwie osoby – nadawca i odbiorca, ryzyko podrobienia podpisu elektronicznego zwiększa się. To dlatego mówiąc o podpisie elektronicznym, przewiduje się istnienie klucza, czy też szyfru publicznego, a więc dostępnego i zrozumiałego dla wszystkich, a przynajmniej dla wybranej liczby osób, oraz klucza czy też szyfru prywatnego, który znany jest tylko właścicielowi. Dobrze skonstruowany podpis elektroniczny powinien zatem stanowić melanż klucza publicznego z prywatnym.
Aby jednak osoba (lub instytucja) odbierająca zaszyfrowany podpis osoby nadającej miała pewność, że nikt się pod nadawcę nie podszył, potrzebna jest jeszcze osoba trzecia – bezstronny i obdarzony bezwzględnym zaufaniem arbiter, np. urząd certyfikacyjny, który potwierdzi autentyczność podpisu, bowiem znać będzie, przynajmniej w ogólnym zarysie, wszystkie sposoby szyfrowania publicznego i prywatnego.
Z tego wynikają dwie podstawowe trudności wprowadzenia podpisu elektronicznego i jego usankcjonowania prawnego. Chodzi o problemy techniczne, jak i proceduralne.

Podpis na horyzoncie

6 lutego 2001 r. Rada Ministrów zaakceptowała projekt ustawy o podpisie elektronicznym. Problem ten wydaje się ważny z prawnego punktu widzenia, bowiem brak przepisu uznającego podpis cyfrowy, czyli elektroniczny, za równoważny podpisowi ręcznemu, blokuje możliwość posługiwania się Internetem w sprawach urzędowych i handlowych. Podpisywanie i przesyłanie łączami internetowymi wszelkich dokumentów kupna i sprzedaży, deklaracji podatkowych i ZUS, zleceń bankowych itd., choć od strony praktycznej jest możliwe, nie ma jednak wymaganej mocy prawnej bez stwierdzenia, iż złożony pod takim dokumentem podpis jest ważny i autentyczny.
W niektórych krajach wprowadzono już przepisy o podpisie elektronicznym, dano więc pewną swobodę różnym rozwiązaniom technicznym służącym do umiejętnego szyfrowania. Teraz, kiedy w Polsce też już istnieje projekt ustawy, można równocześnie prowadzić przymiarki do skonstruowania urządzenia, które będzie za nas wykonywać ten unikalny i niepodrabialny podpis w komputerze. Przewiduje się więc, że podpis ów będzie wpisany w specjalną kartę numeryczną, umieszczoną w czytniku (aplecie). Każdy właściciel komputera, który będzie chciał wysyłać poprzez Internet dokumenty ze swoim podpisem, zaopatrzy się w taki czytnik. Kiedy już sporządzi odpowiedni dokument, np. deklarację ZUS, to tuż przed wysłaniem go do Zakładu Ubezpieczeń Społecznych włoży kartę z podpisem do apletu; wtedy podpis danej transakcji zostanie w urządzeniu wygenerowany, “przepłynie” do dokumentu, a potem podpisany dokument “przepłynie” do odbiorcy.
Czy tak będzie w istocie, czy rzeczywiście każdy otrzyma dodatkowy, numeryczny i zaszyfrowany “dowód osobisty”, który będzie zastępował jego ręczny podpis albo tylko parafkę? Przekonamy się o tym niebawem. Ustawa o podpisie elektronicznym, którą za jakiś czas przyjmie Sejm, będzie kolejnym krokiem dostosowującym polskie prawodawstwo do prawa obowiązującego w Unii Europejskiej, a to jest wystarczający argument, żeby naciskać na przygotowujących przepisy i rozwiązania techniczne dotyczące podpisu elektronicznego.

Dodatkowy
dowód osobisty?

Czy rzeczywiście karta z podpisem elektronicznym ułatwi nam życie w nowoczesnym, zinformatyzowanym społeczeństwie, czy też będzie naszą udręką? Czyż bowiem nie mamy przypisanych sobie innych numerycznych, cyfrowych podpisów? Jest zaszyfrowany (chociaż nie szyfrem tajnym, lecz jawnym) numer każdego obywatela, zawierający pełną datę jego urodzenia – PESEL. Jest również składający się z 10 cyferek indywidualny kod każdego płatnika podatkowego, czyli NIP. Każda firma ma numer ewidencji statystycznej, czyli REGON. Dodatkowo każdy zmotoryzowany musi pamiętać numer rejestracyjny swojego auta, a niekiedy także numer prawa jazdy. Z tych wszystkich można by już ułożyć taki podpis elektroniczny, którego spamiętanie, a więc i podrobienie, nastręczałoby sporych trudności. Czy zatem konieczne jest trudzenie się nad wymyśleniem jeszcze jednego numeru, tym razem stanowiącego zaszyfrowany podpis?
Specjaliści przekonują nas, że tak.

Już za parę lat…

Badacze rynku komputerowego przewidują, że za dwa, trzy lata prawie połowa firm sektora finansowego i handlowego będzie dokonywać większości transakcji drogą elektroniczną, za pośrednictwem ogólnoświatowej sieci Internetu.
Już dziś trudno byłoby znaleźć biuro, gdzie nie używa się komputerów do tworzenia dokumentów. Do ich gromadzenia i przetwarzania wykorzystywane są komputerowe bazy danych, a skuteczną i szybką komunikację zapewnia Internet. Z dobrodziejstw komputeryzacji korzystają firmy, administracja państwowa i prywatni użytkownicy. A jednak “biuro bez papieru” pozostaje ciągle fikcją. Nawet każdy dokument musi być dla potwierdzenia wysłany także w formie papierowej, z ręcznym podpisem, bo jednak nie mamy zaufania do rozwiązań technicznych.
Dlaczego każdy dokument jest najpierw drukowany, a zaraz potem na powrót przetwarzany na postać elektroniczną i to w dodatku przy dużym nakładzie pracy i z użyciem kosztownego sprzętu?
Czynnikiem sprawiającym, że tak trudno rozstać się z papierem, jest właśnie podpis. Ten własnoręczny podpis ma podstawową wadę. Wymaga istnienia “fizycznego” dokumentu, czyli zadrukowanej kartki papieru. Staje się więc wąskim gardłem – spowalnia obrót i zmusza do ponoszenia kosztów wydruku, a potem “skanowania” dokumentu. Z jednej strony – elektronika i komputeryzacja podsuwa nam poważne przyspieszenie obrotu i istotne oszczędności, z drugiej – komplikuje i tak już niełatwe życie.

Potrzebny nowy urząd

Jak sporządzić podpis cyfrowy, aby było pewne, że pochodzi od określonej osoby i nie został sfałszowany? Obawy te powinny rozwiać systemy kryptograficzne opierające się na parze szyfrów-kluczy: publicznym i prywatnym. Szyfr publiczny jest dostępny dla innych, prywatny zaś nie powinien być znany większej liczbie osób.
Samo zastosowanie technik kryptograficznych to jednak dopiero połowa rozwiązania. Zaszyfrowanie nie daje bowiem gwarancji, że osoba, która użyła klucza, jest tą, za którą się podaje. Gwarancję taką ma dać system certyfikacji kluczy-szyfrów. Certyfikacji takiej dokonuje odpowiedni organ, będący instytucją zaufania publicznego, poświadczającą autentyczność danego klucza publicznego. Certyfikat byłby zatem kolejnym podpisem cyfrowym (jakbyśmy mieli ich mało).
Wiadomo już więc, co należy zrobić, aby umożliwić sprawne działanie systemu podpisów cyfrowych. Pozostaje kwestia, jak tego dokonać. Celowi temu służy wprowadzenie odpowiednich zmian do prawa cywilnego i postępowania cywilnego. Ze względu na międzynarodowy charakter Internetu istotnego znaczenia nabiera kwestia międzynarodowego unormowania przepisów o podpisie cyfrowym. Niestety, ustanowienie w pełni jednolitej regulacji prawnej podpisu elektronicznego nie jest możliwe, zbyt duże są bowiem różnice między lokalnymi systemami prawnymi.
Należy zatem poprzestać na przynajmniej częściowej standaryzacji rozwiązań. Podstawą są przede wszystkim: Prawo Modelowe UNICITRAL z 1996 roku, opracowane przez Komisję Narodów Zjednoczonych Prawa Handlu Międzynarodowego, analizy OECD i dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej z 13 grudnia 1999 r. w sprawie ramowych założeń Wspólnoty w stosunku do podpisów elektronicznych.

Świat podpisów
elektronicznych

Przepisy regulujące sprawy związane z podpisem cyfrowym istnieją już w kilku krajach. 30 czerwca prezydent Stanów Zjednoczonych podpisał The Electronic Signatures in Global and National Commerce Act – dokument normujący kwestie elektronicznych podpisów w handlu globalnym i narodowym, który wejdzie w życie 1 października br. Wspomniana dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej z 13 grudnia 1999 r. zobowiązuje państwa Unii do wprowadzenia stosownych przepisów do końca roku 2000. Z państw UE prawo regulujące posługiwanie się podpisem elektronicznym mają od 1997 r. Niemcy.
Polskie opóźnienie w stosunku do czołówki nie jest na razie zbyt wielkie – projekt ustawy o podpisie cyfrowym już opracowano. “Apetyt” na podpis elektroniczny mają już ZUS i urzędy skarbowe, licząc na znaczne obniżenie kosztów odbierania i weryfikacji deklaracji ubezpieczeniowych i podatkowych.
W Polsce niewątpliwe kontrowersje związane będą z organem certyfikującym. Instytucja taka powinna być niezależna i darzona zaufaniem, powinna też dysponować kosztowną infrastrukturą teleinformatyczną na odpowiednim poziomie. Nie wiadomo, jakie rozwiązanie zostanie przyjęte – czy urząd certyfikujący będzie funkcjonował w ramach administracji państwowej, czy też przez instytucje niezależne, działające na podstawie koncesji uzyskanej od władz administracyjnych (to drugie rozwiązanie przyjęto np. w Niemczech).
Nie tylko polską bolączką jest też brak jednolitych standardów, dotyczących kluczy szyfrujących. Na odpowiednie przepisy nie będziemy jednak prawdopodobnie zbyt długo czekać. Nad wszystkimi wisi bowiem imperatyw postępu. Brak regulacji prawnej podpisu elektronicznego oznacza dziś rezygnację z wyścigu o zyski z e-biznesu, a to już niedługo może się okazać barierą rozwoju całej gospodarki.

Opracował B.T.


Opis podpisu cyfrowego używanego w V@Banku (Bank Internetowy)

Używany jest algorytm DSA z kluczem o długości 1024 bitów. Po stronie banku procedury do weryfikacji zostały umieszczone w bazie Oracle. Do generacji par jest klucz prywatny, klucz publiczny klient otrzymuje na dyskietce. Klucze te zapisywane są na oddzielnych dyskietkach. Dyskietkę z kluczem publicznym klient dostarcza do banku, gdzie jest on wczytywany do bazy i używany do weryfikacji zleceń. Klucz prywatny jest zapisywany na dyskietce w postaci zakodowanej, klient musi podać hasło podczas odczytu klucza przez aplet podpisujący zlecenia. Do apletu przekazywane są dane do podpisu (kwota, dane adresowe, opis przelewu itp. wprowadzone przez klienta, a także unikalny identyfikator zlecenia i znacznik czasu). Klucz prywatny, używany do podpisu zlecenia, odczytywany jest przez aplet z dyskietki. Na koniec tej procedury otrzymywany jest podpis elektroniczny, wysyłany razem ze zleceniem do banku.
Klucz prywatny nie jest przesyłany przez sieć.
Bohdan Szymczak, WONLOK S.A.

Wydanie: 13/2001

Kategorie: Nauka

Napisz komentarz

Odpowiedz na treść artykułu lub innych komentarzy