Teraz czas na podpis kwalifikowany …w chmurze
Robert Lidke – aleBank.pl: Jak mogą się rozwijać technologie identyfikacji obywateli i firm? Co jeszcze może się zmienić?
Elżbieta Włodarczyk – KIR: W kontekście zmian mówimy nie tylko o wymaganiach, czy ograniczeniach technologicznych, ale też o pewnych ograniczeniach prawnych. Do ubiegłego roku obowiązywała w Polsce ustawa o podpisie elektronicznym, która ograniczała sposób przechowywania pary kluczy, służących do składania podpisu, wyłącznie do nośników hardware’owych. Fizycznie para cyfrowych kluczy mogła być zapisana wyłącznie na karcie kryptograficznej.
Zobacz i posłuchaj rozmowy na naszym kanale aleBankTV na YouTube albo na końcu artykułu |
Rozporządzenia eIDAS, które weszło w miejsce ustawy o podpisie elektronicznym, obowiązujące na terenie całej UE, dopuściło rozwiązanie, w którym parą kluczy zarządza podmiot świadczący usługi zaufania – np. KIR. Przechowując klucze użytkownika i udostępniając mu je na czas złożenia podpisu elektronicznego jesteśmy zobowiązani do zapewnienia mechanizmów, które gwarantują użycie kluczy tylko i wyłącznie przez prawowitego właściciela.
Zatem kolejnym krokiem w rozwoju usługi, dokładającym alternatywną możliwość identyfikacji, będzie podpis elektroniczny w chmurze. Użytkownik zamiast karty kryptograficznej będzie miał swoje klucze przechowywane w centrum certyfikacji, do którego będzie miał zapewniony dostęp w sposób gwarantujący jego wyłączną kontrolę nad parą kluczy. Wyłącznie jemu udostępniona będzie możliwość składania danego podpisu elektronicznego.
To oznacza, że bezpieczeństwo użytkownika będzie jeszcze większe niż w tej chwili.
Na pewno musi być na porównywalnym poziomie. A z racji tego, że dzieje się to zdalnie, musimy zapewnić dodatkowe mechanizmy, które będą gwarantowały wyłączną kontrolę. Dziś wyłączna kontrola odbywa się poprzez wręczenie użytkownikowi jego pary kluczy, zapisanych na karcie kryptograficznej zabezpieczonej dodatkowo kodem PIN nadanym przez użytkownika. To użytkownik jest odpowiedzialny za to, aby karta nie wpadła w niepowołane ręce.
W momencie, gdy my zarządzamy kluczami musimy dać użytkownikowi mechanizmy, które pozwolą na autoryzację do jego pary kluczy. To duże wyzwanie – zapewnienie i zorganizowanie tego w taki sposób, by nie było możliwości złamania systemu i ryzyka użycia kluczy przez niewłaściwą osobę.
Po co planuje się zrobienie podpisu w chmurze? W rezultacie trzeba pracować nad nowymi systemami zabezpieczania.
Przede wszystkim wynika to z chęci udostępnienia możliwości składania podpisu przez kolejne grupy odbiorców. Dziś użytkownik, aby uzyskać certyfikat, musi mieć kartę. Certyfikat jest ważny rok lub dwa lata. W sytuacji gdy – jako klient indywidualny – chce pan ad hoc podpisać z kimś prawnie wiążącą umowę, nie jest to w pełni komfortowe rozwiązanie.
W momencie, gdy użytkownik chce np. zmienić dostawcę energii, operatora telefonii komórkowej, potrzebuje rozwiązania, które pozwoli na jednorazowe złożenie podpisu potrzebnego do zawarcia prawnie wiążącej umowy. Dostawca chce wyeliminować papier z obsługi klienta, a użytkownik chce bardzo szybko podjąć decyzję i ją sfinalizować. Karta kryptograficzna jest w tej sytuacji problemem, który wymaga od użytkownika osobistej wizyty w centrum certyfikacji, pobrania odpowiednich narzędzi i zainstalowania oprogramowania. Podpis elektroniczny w chmurze pozwoli załatwić sprawy elektroniczne on-line, szybko i bez wychodzenia z domu. Ale gwarantując przy tym sferze biznesowej prawnie wiążące umowy i prawnie wiążące oświadczenia woli.