Infrastruktura Polski
Dodatek reklamowy do RZECZPOSPOLITEJ.
nr 255 (6028) 31 października 2001 r.

Bezpieczny podpis elektroniczny

Wszyscy zgodni są co do tego, że nowe technologie są motorem napędowym dla gospodarki. Zwłaszcza w branży teleinformatycznej, gdzie przeciętny okres życia produktu wynosi 18 miesięcy, a zarazem każda z nowości może przyczynić się do całkowitej zmiany na rynku „starej” gospodarki. Taką rolę spełnił już Internet, jednak rozwój komercyjnego zastosowania napotyka podstawowe bariery. Jak zapewnić bezpieczeństwo transakcji elektronicznych, jak stworzyć jednolity system jej autoryzacji, jak stworzyć standardy dokumentu elektronicznego – tak aby był on łatwiejszy do sporządzenia, a zarazem trudniejszy do sfałszowania i docelowo… powszechniejszy niż dokument papierowy.

Elektronicznie szybciej i łatwiej

Aby rozpowszechnienie takich rozwiązań było możliwe, niezmiernie istotne jest stworzenie prawnych warunków efektywnego ich wykorzystywania w handlu elektronicznym czy oferowaniu np. internetowych usług finansowych. Unia Europejska przyjęła już takie standardy. Obecnie także w Polsce, po dwóch latach pracy w Komisji Sejmowej i ministerstwach: Gospodarki oraz Spraw Wewnętrznych i Administracji, ustawa o podpisie elektronicznym została przyjęta przez parlament. Wprowadzenie jej przepisów w życie nie tylko przyspieszy rozwój handlu elektronicznego, ale z czasem odmieni naszą codzienność. Poprzez możliwości, jakie daje podpis elektroniczny, wykorzystany w relacjach obywatel – urzędy administracji, przyda się nie tylko internautom, ale także klientom urzędów czy instytucji, przyda się nam wszystkim.

Wejście w życie ustawy o podpisie elektronicznym da bowiem podstawy do honorowania tego podpisu w kontaktach drogą elektroniczną, na równi z podpisem złożonym na piśmie. Firmy i instytucje, także banki czy urzędy administracji, w tym momencie mogą zaoferować swoim klientom i partnerom kontakt drogą elektroniczną przy zawieraniu umów handlowych i przeprowadzaniu transakcji, składaniu wniosków czy formularzy, ze świadomością, że dokonują tzw. prawnie skutecznej operacji, tak samo jak takiej operacji dokonują podpisując dokument na papierze, stawiając się osobiście w urzędzie. Dla użytkowników to wygoda, szybszy kontakt, oszczędność czasu i pieniędzy, a i czasem większa wiarygodność osoby podpisującej się, niż w przypadku składania odręcznego podpisu.

Elektronicznie wiarygodniej

Co trzeba mieć, aby móc podpisywać się swoim własnym podpisem elektronicznym?

Posiadać certyfikat cyfrowy. Jedną z najważniejszych jego funkcji jest weryfikowanie podpisu elektronicznego. Podpis elektroniczny jest dołączonym do dokumentu skrótem wiadomości, zaszyfrowanym kluczem prywatnym użytkownika. Skrót ten zawiera także dane osobowe właściciela klucza. To cyfrowy odpowiednik tradycyjnego podpisu odręcznego, spełniający dokładnie takie same warunki, jak podpis zwykły (jest trudny lub niemożliwy do podrobienia, stwarza możliwość weryfikacji i na trwałe łączy się z podpisanym dokumentem).

To właśnie dzięki rozwojowi technik szyfrowania, połączonych z Infrastrukturą Klucza Publicznego, stało się możliwe praktyczne zastosowanie mechanizmu podpisu cyfrowego. Zwany e-podpisem, jest jednym z najlepszych narzędzi uwierzytelniania wszelkiego rodzaju dokumentów przesyłanych drogą elektroniczną. Dzieje się tak dlatego, że infrastruktura PKI pozwala na bezpieczne stosowanie podpisu elektronicznego w transakcjach elektronicznych i działaniach realizowanych we współczesnym obiegu gospodarczym. Wykorzystanie tego typu rozwiązania daje wymierne korzyści, m.in. zapewnia ochronę przed ingerencją w treść otrzymanego dokumentu, nie wymaga od odbiorcy osobistej weryfikacji korespondenta (co może być szczególnie trudne przy komunikacji międzynarodowej). Ponadto ograniczając ryzyko pomyłek, eliminuje konieczność weryfikacji przetwarzanych danych, tym samym pozwalając na oszczędność nakładów liczonych w czasie i pieniądzu.

Certyfikat cyfrowy jest rodzajem elektronicznego zaświadczenia. Za jego pomocą dane służące do weryfikacji podpisu elektronicznego są przyporządkowywane do określonej osoby, potwierdzając jej tożsamość. Elastyczność tego rozwiązania sprawia, iż certyfikaty można stosować praktycznie wszędzie tam, gdzie niezbędne jest uwierzytelnianie w sieci. I tak mogą one pełnić rolę identyfikatorów cyfrowych dla osób chcących się uwiarygodnić podczas przeprowadzania operacji elektronicznych. Zapewniają także kontrolowany dostęp do zasobów sieciowych (prywatnych czy firmowych) oraz do systemów i ich wybranych opcji. Można dzięki nim uzyskiwać dostęp do aplikacji firmowych oraz ewidencji wykonywanych operacji. Stosowane są także jako identyfikatory cyfrowe dla serwerów internetowych, serwerów dostępowych, etc. Możliwe jest także używanie ich jako identyfikatorów zapewniających kontrolowany dostęp do budynków, poszczególnych pomieszczeń, sejfów (po zainstalowaniu zamków magnetoelektrycznych i czytników kart z oprogramowaniem).

Spektrum zastosowań jest szerokie, a przy tym posiadacz certyfikatu uzyskuje dostęp np. do zasobów sieciowych, serwisów internetowych, za pomocą jednego narzędzia identyfikującego zarówno daną osobę, jak i jej uprawnienia. Widać więc, że stosowanie innych metod uwierzytelnienia, w tym tradycyjnych haseł, jest o wiele mniej bezpieczne oraz bardziej kłopotliwe.

Zastosowanie certyfikatów elektronicznych w działalności firmy pozwoli na bezpieczne kontakty w jej relacjach zarówno wewnętrznych, jak i zewnętrznych. Ich implementacja przy stosowanych obecnie systemach jest prosta, ze względu na fakt, że większość najważniejszych standardów w dziedzinie bezpieczeństwa teleinformatycznego jest zaprojektowanych tak, aby umożliwić współpracę z PKI.

Elektronicznie bezpieczniej

Jednym z najważniejszych graczy na tym rynku jest w naszym kraju Centrum Certyfikacji SIGNET, działające w ramach TP Internet – spółki należącej do Grupy Kapitałowej Telekomunikacji Polskiej S.A. Centrum Certyfikacji SIGNET rozpoczęło już świadczenie usług autoryzacyjnych, niezbędnych dla stworzenia sprawnie działającej infrastruktury klucza publicznego. Zgodnie ze standardami jej kreowania, uruchomienie Centrum Certyfikacji zostało poprzedzone procesem wygenerowania klucza kryptograficznego Głównego Urzędu Certyfikacji (RootCA) CC SIGNET.

Procedury tworzenia Głównego Urzędu zostały zrealizowane pod bezpośrednim nadzorem przedstawicieli Rady Naukowej Signetu, sprawdzających poprawność budowania go pod względem formalnym. Urząd RootCA jest kluczowym elementem w infrastrukturze PKI i musi spełniać warunki absolutnego zaufania. Stąd też prawidłowość przeprowadzenia instalacji i pierwszego uruchomienia Urzędu RootCA, połączonego z wygenerowaniem pary kluczy (prywatnego i publicznego) oraz Certyfikatu RootCA, determinuje dalsze prawidłowe funkcjonowanie podległych urzędów oraz całego Centrum.

Należące do TP Internet, Centrum Certyfikacji SIGNET jest odpowiedzialne za wydawanie i pełną obsługę danych oraz certyfikatów elektronicznych, służących do składania oraz weryfikacji elektronicznego podpisu. Świadczone przez CC SIGNET usługi bezpieczeństwa, zgodne są z wymaganiami Dyrektywy Unii Europejskiej dotyczącej podpisu elektronicznego, a samo centrum spełnia wszystkie wymogi ustawy o podpisie elektronicznym.

Wszystkie elementy, od których zależy bezpieczeństwo systemu, zainstalowano i wdrożono zgodnie z wymaganiami wynikającymi z zaleceń Europejskiego Komitetu ds. Standaryzacji Podpisu Elektronicznego (EESSI – The European Electronic Signature Standardization Initiative), w którego pracach od kilku miesięcy uczestniczą przedstawiciele CC SIGNET. W celu zapewnienia wzajemnego uznawania certyfikatów w ramach krajów Unii Europejskiej, mimo że polska ustawa o podpisie elektronicznym do tej pory nie przewidywała takich wymagań, Centrum zostanie poddane procesowi dobrowolnej akredytacji, zgodnie z wymogami unijnymi określanymi przez EESSI. Oprogramowanie użyte do budowy CC SIGNET spełnia wymogi Unii Europejskiej i zachowuje standardy krajów NATO, a ponadto zostało poddane procedurze certyfikacji prowadzonej przez krajowe władze bezpieczeństwa.

Umieszczenie CC SIGNET w Polsce daje gwarancję, że wszystkie dane są przetwarzane w kraju, zgodnie z wymaganiami Ustawy o ochronie danych osobowych. Ponadto wygenerowanie kluczy Głównego Urzędu CC i podlegających mu urzędów operacyjnych odbywało się także w Polsce. Centrum zostało zbudowane w sposób uniemożliwiający jego zniszczenie za pomocą ataku elektromagnetycznego, co gwarantuje jego klientom pełną ochronę zarówno informacji, jak i zawieranych transakcji.

„Bezpieczeństwo zawsze jest nierozerwalnie związane z zaufaniem. Zaufaniem do stosowanych technik, technologii, organizacji, ludzi i systemu prawa. Budujemy je wspólnie z naszymi potencjalnymi klientami, stosując w sposób jawny procedury i standardy wynikające z zasad dobrej praktyki i solidności oraz lokalizując tzw. początek ścieżki zaufania – jakim jest Główny Urząd Certyfikacji – na terenie Polski. Kolejne rozwiązania będziemy uruchamiać zgodnie z wytycznymi europejskimi oraz procedurą stosowaną we wszystkich profesjonalnych światowych zastosowaniach Klucza Publicznego” – twierdzi Wiesław Paluszyński, dyrektor Pionu Bezpieczeństwa i Technologii w TP Internet.

Elektronicznie praktyczniej

Pierwszą usługę centrum, polegającą na zabezpieczeniu poczty elektronicznej, można testować pobierając bezpłatny certyfikat ze strony www.signet.pl. Jej wersja testowa pozwala na zapoznanie się z jedną z najnowocześniejszych metod zabezpieczania komunikacji elektronicznej w oparciu o certyfikaty. Usługa pozwala na zaimplementowanie we własnej poczcie elektronicznej funkcji oferowanych przez certyfikat – uwierzytelnienia stron i przesyłanych danych, integralności danych oraz ich poufności. Uruchamiając usługę w wersji testowej, zapewniającej pierwszą najniższą klasę bezpieczeństwa, można zaznajomić się z obsługą certyfikatu.

„Usługa umożliwi zapoznanie się z narzędziem bezpiecznego przesyłania danych i dokumentów drogą elektroniczną, z zachowaniem nowoczesnych standardów bezpieczeństwa, zarówno w komunikacji między użytkownikami indywidualnymi, jak i pracownikami firm czy instytucji” – mówi Wiesław Paluszyński.

SIGNET realizuje projekty dla pierwszych korporacyjnych klientów. Jednym z pierwszych jest Otwarty Rynek Elektroniczny „Marketplanet”, dla którego centrum będzie dostarczać certyfikaty dystrybuowane na karcie mikroprocesorowej i wydawane według specjalnej polityki certyfikacji, uwzględniającej szczególne wymogi bezpieczeństwa dla transakcji na rynku B2B. Kolejnym z kluczowych projektów realizowanych w oparciu o infrastrukturę Centrum Certyfikacji jest wdrażanie bezpiecznej poczty korporacyjnej w TP S.A. Firma będzie także świadczyła usługi dla klientów zewnętrznych – zwłaszcza dla sektora bankowego – oraz dla klientów indywidualnych, który to rynek będzie się tworzył, kiedy certyfikaty staną się częścią gospodarczej rzeczywistości. n

• Informacje o podpisie elektronicznym