PL|
Produkty i usługi
Wybierz stronę
Produkty i usługi O PWPW Nowe technologie Informacje i ogłoszenia Kontakt Newsletter top
Archiwum
Podpis elektroniczny Sigillum Sign 4 w Narodowym Teście Interoperacyjności

Sformułowanie „podpis elektroniczny” coraz powszechniej zaczyna funkcjonować w codziennym życiu. Podpis elektroniczny zaistniał w polskim prawie już ponad 10 lat temu. W roku 2001 została uchwalona USTAWA O PODPISIE ELEKTRONICZNYM zrównująca podpis odręczny z elektronicznym.

Aby jednak podpis elektroniczny miał jakąkolwiek wartość, musi być wykonany w odpowiedniej technologii, z wykorzystaniem narzędzi gwarantujących odpowiedni poziom bezpieczeństwa. Aby, poza wszelkimi wątpliwościami, podpis elektroniczny wywierał skutki prawne podpisu odręcznego, musi być to tzw. bezpieczny podpis elektroniczny weryfikowany kwalifikowanym certyfikatem. Oznacza to, że certyfikat do złożenia podpisu elektronicznego musi być wystawiony przez jedno z centr kwalifikowanych, których na polskim rynku jest pięć, w tym centrum certyfikacji elektronicznej, które jest prowadzone przez Polską Wytwórnię Papierów Wartościowych S.A.

Certyfikat wystawiany jest na karcie kryptograficznej, a dostęp do użycia klucza prywatnego powiązanego z certyfikatem zabezpieczony jest kodem PIN. Drugą częścią bezpiecznego urządzenia służącego do składania bezpiecznego podpisu elektronicznego jest aplikacja. W ramach naszego centrum certyfikacji funkcję takiej aplikacji pełni Sigillum Sign produkcji PWPW S.A. Pomimo niezmiennych, od momentu uchwalenia przepisów, wymagań prawnych dotyczących podpisu elektronicznego, zmieniają się oczekiwania użytkownika wobec ergonomii, technologii wykonania wsparcia dla nowych systemów operacyjnych. W odpowiedzi na te oczekiwania w roku 2010 aplikacja Sigillum Sign przeszła gruntowną przebudowę. Została całkowicie zmodyfikowana logika użytkowania aplikacji, w wyniku czego stała się łatwiejsza do korzystania dla zwykłego użytkownika. Rozwijając podpis elektroniczny, PWPW S.A. stale uczestnicy w konferencjach, warsztatach, seminariach dotyczących tego zagadnienia.

W dniach 26–27 października 2011 r. Instytut Maszyn Matematycznych zorganizował w Warszawie międzynarodową konferencję i warsztaty zatytułowane NARODOWY TEST INTEROPERACYJNOŚCI PODPISU ELEKTRONICZNEGO (NTIPE).

Celem przedsięwzięcia było zbudowanie mechanizmów interoperacyjności podpisu elektronicznego na poziomie wymiany informacji i współpracy pomiędzy zainteresowanymi podmiotami. W trakcie warsztatów przetestowano podpisywanie oraz weryfikację podstawowych formatów podpisu elektronicznego, także w zakresie współpracy z systemem ePUAP. W części konferencyjnej omówiono natomiast doświadczenia dostawców rozwiązań dla podpisu elektronicznego z kraju i zagranicy.

PWPW S.A., jako jeden z pięciu kwalifikowanych podmiotów świadczących usługi certyfikacyjne w Polsce, także była uczestnikiem zarówno warsztatów, jak i konferencji. Przedstawiliśmy nową wersję oprogramowania do składania i weryfikacji podpisu elektronicznego Sigillum Sign 4.

Jak już wspomniano, w 2010 r. aplikacja Sigillum Sign przeszła gruntowną przebudowę. Dotychczasową trzecią wersję opartą głównie na obsłudze przez menu kontekstowe plików zastąpiła wersja czwarta udostępniająca użytkownikom oprócz dostępu przez menu kontekstowe dostęp przez standardowe wywołanie aplikacji. W obydwu wersjach zachowano możliwość obsługi aplikacji z linii poleceń. Nowa wersja aplikacji została przygotowana z myślą o systemach z rodziny Windows z wykorzystaniem obowiązującego trendu w budowaniu aplikacji okienkowych na Windows, tj. Microsoft Framework.


Fot. 1. Okna aplikacji Sigillum Sign

Głównym celem zmiany było poprawienie ergonomii i atrakcyjności użytkowania aplikacji.

Pod względem zakresu obsługi podpisu elektronicznego i PKI zostały zachowane dotychczasowe funkcjonalności, tzn:

  • składanie i weryfikacja podpisów w formatach XAdES-BES i XAdES-T oraz podpisów w formacie CMS ze znacznikiem czasu,
  • szyfrowanie.

Aplikacja w wersji 4 posiada dwa wydania. Pełna wersja aplikacji z wszystkimi funkcjonalnościami występuje pod nazwą Sigillum Sign 4. Okrojona wersja aplikacji o nazwie Sigillum Sign 4 Weryfikator umożliwia jedynie weryfikacje podpisów w formatach: CMS/PKCS#7 , XAdES , CAdES , PAdES , SDOC , SMIME.

Pod koniec 2010 r. PWPW uczestniczyła w testach intereoperacyjności podpisu XAdES organizowanych przez ETSI. Wyniki tych testów zostały przez nas przeanalizowane i zaimplementowane, w rezultacie czego powstała kolejna aktualizacja aplikacji wydana w sierpniu bieżącego roku. Wersja została oznaczona numerem 4.1. Zmiany w wersji 4.1 obejmują głównie ustandaryzowanie i dodanie nowych funkcjonalności w zakresie podpisu elektronicznego. Główne zmiany to:

  • obsługa archiwalnych wariantów podpisu XAdES,
  • obsługa formatu CAdES ze znacznikiem czasu,
  • obsługa formatu PAdES ze znacznikiem czasu,

Właśnie aplikacja w wersji 4.1 została przedstawiona do Narodowego Testu Interoperacyjności Podpisu Elektronicznego.


Fot. 2. Okna aplikacji Sigillum Sign w wersji 4.1

Konferencja i warsztaty pokazały, że z podpisem elektronicznym pod względem informatycznym nie jest tak źle, jak czasami można usłyszeć w środkach masowego przekazu. Oczywiście, są miejsca do poprawy, jednak główne kwestie, które pozwolą na rozwinięcie rynku podpisu elektronicznego w Polsce, to możliwość jego masowego wykorzystania na co dzień, jak i spójne regulacje prawne, na bazie których budowane jest zaufanie do podpisu elektronicznego. Po tylu latach od wejścia w życie USTAWY O PODPISIE ELEKTRONICZNYM nadal trzeba mentalnie przekonywać ludzi, że podpis elektroniczny to oszczędność i czasu i pieniędzy. Aby podpis elektroniczny na dobre zawitał w naszych progach, trzeba wykorzystywać go masowo, bez obaw, że ktoś nam go zakwestionuje – a niestety obecnie taka obawa cały czas towarzyszy zwykłemu użytkownikowi.

Użytkownik podpisu musi wiedzieć dokładnie do czego służy podpis elektroniczny i jak może być wykorzystany w dokumencie elektronicznym. Z tej perspektywy warto zdać sobie sprawę, czym jest dokument elektroniczny. Dla przeciętnego użytkownika jest to po prostu dokument w postaci elektronicznej, który może być w sposób elektroniczny przetwarzany. Natomiast takie cechy dokumentu elektronicznego, jak poufność, uwierzytelnianie, integralność i niezaprzeczalność to podstawowe zagadnienia ochrony dokumentu elektronicznego z wykorzystaniem e-podpisu. Każda próba zmiany w dokumencie elektronicznym, który został opatrzony e-podpisem, jest zauważalna dla zwykłego użytkownika; próba jego sfałszowania jest wręcz niemożliwa. W przypadku dokumentu papierowego jest to znacznie prostsze, a wykrycie dobrze podrobionego podpisu wymaga specjalistycznej wiedzy grafologa. Jak widać z tego przykładu, dokument elektroniczny z podpisem elektronicznym ma bardzo dużą wartość, dodając do tego ogromną oszczędność czasu i kosztów w porównaniu do przetwarzania dokumentów papierowych.

Dużą rolę w promowaniu idei podpisu elektronicznego odgrywa bez wątpienia administracja publiczna. Ciekawym przykładem wykorzystania podpisu elektronicznego w administracji, jest system udostępniania dzienników urzędowych w ramach platformy e-PUAP. System ten wkrótce całkowicie zastąpi papierowe wersje dokumentów. Jednostką organizacyjną zapewniającą koordynację działalności legislacyjnej Rady Ministrów, Prezesa Rady Ministrów i innych organów administracji rządowej jest Rządowe Centrum Legislacji (RCL). To właśnie na stronach internetowych RCL można uzyskać w sposób wiarygodny dzienniki urzędowe w postaci elektronicznej, które od 1 stycznia 2012 roku zastąpiły wersje papierowe. Takie właśnie rozwiązanie dostarczyło PWPW S.A. w ramach popisanej umowy.

Reasumując, należy przede wszystkim zadbać o to, aby najpierw zapewnić interoperacyjność na poziomie własnych krajów, a dopiero w drugiej kolejności tak spójne rozwiązanie poddawać rygorom wolnego rynku w ramach UE. Krajowe rozwiązania w zakresie podpisu elektronicznego i narodowych rozwiązań eID powinny być spójne z wytycznymi UE w wyżej wymienionych zakresach. Należy ograniczać budowanie tzw. wysp, funkcjonujących tylko na określonym obszarze, bo wtedy o interoperacyjność będzie bardzo trudno. Administracja publiczna w sposób wyważony powinna czynnie uczestniczyć w rozwoju podpisu elektronicznego, począwszy od wprowadzania go do wszystkich otwartych systemów informatycznych dostępnych dla obywateli, a skończywszy na promocji takiego działania.

Ogromną rolę ma tutaj do spełnienia Unia Europejska, która powinna zobligować wszystkie Państwa członkowskie do przestrzegania określonych, wspólnie wypracowanych zasad w zakresie interoperacyjności podpisu elektronicznego, jego formatów, wykorzystywanych urządzeń, uznawalności w poszczególnych krajach i przypisanych skutkach prawnych złożenia podpisu elektronicznego.

Artur Miękina
Specjalista PKI, kierownik zespołu w Pionie Rozwiązań Informatycznych w PWPW S.A.

Konrad Taperek
Specjalista PKI, projektant programista w PWPW S.A.« powrót
Wydrukuj stronę Wersja do druku