 Trochę historii...
Pierwszym aktem prawnym, który wziął się za bary z tym zagadnieniem, była ustawa stanu Utah uchwalona już 11 lat temu. Zatem opowieści o tym, jacy to zatem jesteśmy nowocześni, włożyć można między bajki. Pierwszym postępowym krajem europejskim okazały się Niemcy, które odpowiednie rozwiązania prawne wprowadziły w roku 1997, by później – w 2000 – dostosować je do prawa unijnego. Obecną podstawą do rozważań na ten temat jest wzorcowa ustawa przyjęta przez Komisję do spraw Międzynarodowego Prawa Handlowego ONZ (UNCITRAL). Kraje członkowskie UE zobligowane zostały odpowiednią dyrektywą do uregulowania tej kwestii do 19 lipca 2001 roku, zatem Polska – jako pretendująca do członkostwa – też musiała w końcu się ruszyć (by w końcu dołączyć do grona takiej elity jak Rosja, którą dobrodziejstwami podpisu cyfrowego cieszy się już od jakiegoś czasu). Dlatego też uśmiechnięte, dumne miny polityków kreujących się na cyberkowbojów nowych technologii budzić powinny raczej politowanie i podsuwać na myśl pytanie – gdyby nie UE, ile jeszcze musielibyśmy czekać?
Trochę prawa...
Polska norma PN-I-02000 definiuje podpis cyfrowy następująco: Przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę. Pomimo, że podpis elektroniczny różni się od tradycyjnego sposobu uwierzytelniania dokumentów, spełniać musi te same funkcje, co podpis odręczny: uniemożliwienie podszywanie się innych pod daną osobę (uwierzytelnienie osoby, autentyfikacja), zapewnienie wykrywalności wszelkiej zmiany w danych transakcji (integralność transakcji), zapewnienie niemożliwości wyparcia się podpisu przez autora i umożliwienie weryfikacji podpisu przez osobę niezależną.
Trochę matematyki...
Dokument elektroniczny, jak i dołączony do niego podpis cyfrowy, są ciągiem bitów (czyli zer i jedynek). Podpis elektroniczny może mieć formę podpisu cyfrowego (w którym, do nierozerwalnego związania dokumentu i podpisu używa się tzw. zestawu kluczy) lub formę algorytmu wiążącego dokumenty elektroniczne z cechami biometrycznymi (np. długość nosa) składającego podpis. Niestety obecnie jedynym dającym się skutecznie zastosować algorytmem tego typu jest nagranie dokumentu głosem człowieka i jego późniejsza transmisja cyfrowa (odciski palców lub obraz tęczówki oka nie poddane zostały jeszcze odpowiedniej algorytmizacji umożliwiającej wykorzystanie tych cech dla potrzeb podpisu elektronicznego). Co zatem zostaje? Podpis cyfrowy, czyli syn kryptografii (gałąź matematyki stosowanej). Opiera się on na tzw. funkcji skrótu i szyfrze asymetrycznym. Funkcja skrótu tworzy unikalną dla danej wiadomości sumę kontrolną (ciąg cyfr) o długości niezależnej od wielkości wiadomości. Jest to jakby streszczenie dokumentu, które cechuje się jednokierunkowością (niemożliwe jest odtworzenie oryginalnej wiadomości na podstawie jej skrótu), bezkolizyjnością (nie da się dla dwóch różnych wiadomości wygenerować identycznej wartości funkcji skrótu) oraz faktem, że każda zmiana w wiadomości (nawet jednego bitu) spowoduje nieprzewidywalną zmianę skrótu (czyli można łatwo sprawdzić, czy podpisany dokument nie był później przez nikogo zmieniony). Cyfrowy podpis wyznacza się właśnie dla skrótu dokumentu wykorzystując wspomnianą wcześniej technikę szyfrowania asymetrycznego opierającą się na kluczach publicznych i prywatnych. Szyfrowanie dokumentu przez podpisującego dokonywane jest tajnym kluczem prywatnym, odczyt i weryfikacja dokonywana jest natomiast ogólnodostępnym kluczem publicznym. Ciekawostką jest, że generowanie kluczy to zabawa z tzw. liczbami pierwszymi (czyli podzielnymi jedynie przez 1 i samych siebie). Im większe liczby pierwsze, tym dłuższy klucz, trudniejszy do złamania. Dlatego też największe liczby pierwsze są utajnione i wykorzystywane dla potrzeb wojskowych.
Trochę techniki...
Nośnikiem podpisu jest karta chipowa. Posiada własną pamięć, zabezpieczona jest PIN’em i komunikuje się z komputerem za pomocą terminala. Wyglądem przypomina zwykłą kartę kredytową. Zawiera zakodowane dane właściciela podpisu, jego charakter prawny (osoba, instytucja, pełnomocnik itp.), elektroniczny certyfikat wraz z kluczami publicznym i prywatnym. Niebezpieczeństwem związanym z posługiwaniem się podpisem cyfrowym jest zatem zgubienie lub kradzież takiej karty, którą w takim wypadku trzeba niezwłocznie zastrzec.
Trochę praktyki...
Jak to wszystko zatem działa? Nadawca tworzy dokument elektroniczny, dla którego odpowiednim programem generowany jest jego skrót gwarantujący integralność danych. Podpis cyfrowy generowany jest w procesie szyfrowania skrótu wiadomości przy wykorzystaniu klucza prywatnego zapisanego na karcie (wtedy poproszeni zostaniemy o wprowadzenie karty do terminalu i o podanie PIN’u). Wiadomość wraz z podpisem możemy swobodnie przesłać publicznymi środkami, np. pocztą czy przez Internet. Odbiorca przesyłki rozszyfruje podpis za pomocą klucza publicznego nadawcy i uzyska w wyniku tego procesu skrót wiadomości wygenerowany przez nadawcę. Odbiorca oblicza także na własną rękę (jednak tym samym algorytmem, co nadawca) skrót wiadomości. Dopiero gdy wszystkie uzyskane w ten sposób informacje są ze sobą zgodne, znaczyć to będzie że dokument jest autentyczny, bez modyfikacji wprowadzonych przez osoby trzecie, podpisane faktycznie przez osobą dającą się skutecznie zidentyfikować.
Trochę polskiej rzeczywistości...
Największym beneficjentem nowych możliwości będzie bez wątpienia sektor prywatny. Podpis cyfrowy umożliwi uproszczenie procedur i zmniejszenie czasu postępowania, pozwoli też zaoszczędzić wymierne złotówki na kosztach dokumentacji obrotu. W pierwszej kolejności należy oczekiwać wykorzystania go przez banki i firmy opierające swoją działalność na transakcjach internetowych – wszystko to głównie w relacjach z klientami. Niestety, polska administracja sektora publicznego nie jest przygotowana do wdrożenia tak nowych technologii. Brakuje odpowiedniego zaplecza technologicznego, poważnym problemem jest też brak ustawy o elektronicznych formularzach urzędowych czy archaiczne metody opłat skarbowych, które nadal dokonane być mogą jedynie przez zakup znaczka skarbowego lub przelew. Jeśli do tego doliczyć kwestię archiwizacji elektronicznych dokumentów, polskie urzędy leżą w całej rozciągłości. Dlatego też, zanim do złożenia PIT’u lub rejestracji samochodu będziemy mogli posłużyć się podpisem na karcie chipowej, upłynie jeszcze sporo czasu. Zdecydowanie prędzej będziemy mogli podpisać w ten sposób bankowe zlecenie przelewu pieniędzy, które przy rozliczaniu się z fiskusem przekazujemy między innymi na wprowadzenie kraju w wiek cyfrowej informacji.
Polecane źródła: Bity Twojego podpisu autorstwa Marka Bartosiewicza i Ustawa o podpisie elektronicznym (...) autorstwa Anny Kamińskiej.
Dla Jamy Mastaha: giskard
Data ostatniej modyfikacji: 12 sierpnia 2002 |
|