e-podpis ożywi handel w sieci

W ostatnich latach, dzięki komputeryzacji i rozwojowi sieci Internet, nastąpił bardzo dynamiczny rozwój społeczeństw szczególnie Ameryki i Europy Zachodniej. W Polsce także możemy zauważyć gwałtowny rozwój (przynajmniej pod względem liczby świadczących te usługi firm) handlu elektronicznego, czy internetowej bankowości. W pewnym momencie jednak wzrost tempa rozwoju został zahamowany z powodu niskiego bezpieczeństwa kontaktów w sieci WWW (na co szczególną uwagę zwracają klienci i partnerzy biznesowi). Dlatego bezpieczeństwo usług w Internecie stanowi obecnie jeden z kluczowych problemów w rozwoju e-biznesu.

Niebezpieczne transakcje uderzają w e-biznes

Firmy informatyczne pracują nad rozwiązaniami, które pozwolą lepiej zabezpieczyć operacje w sieci. Bezpieczeństwo to ma dwa aspekty - klient musi wiedzieć, że jego dane dotrą tylko tam gdzie mają dotrzeć, a instytucja je otrzymująca ma mieć pewność, że ma do czynienia z tą konkretną osobą. Wyzwanie dla instytucji stanowi więc utrzymanie w tajemnicy poufności transakcji i danych użytkowników. Przed podaniem numeru karty kredytowej lub danych osobowych klient powinien upewnić się, że połączenie z witryną internetową jest chronione przed oglądaniem przez niepowołane osoby, a podane przez niego informacje będą przechowywane w warunkach uniemożliwiających ich kradzież. Choć większa część odpowiedzialności spada na razie na firmy (które zarabiają na usługach w Internecie, poza tym konkurencja wymusza walkę o klienta), użytkownicy indywidualni też powinni zwracać uwagę na zabezpieczenia komputerów osobistych.

PKI - klucz do bezpieczeństwa w sieci

Opracowano już koncepcję, która stała się ogólnoświatowym standardem w zakresie zapewnienia bezpieczeństwa kontaktów w Internecie, w oparciu o Infrastrukturę Klucza Publicznego (PKI - ang. Public Key Infrastructure). To kompleksowe rozwiązanie (architektura, organizacja, techniki, zasady oraz procedury), które pozwala na jednoznaczną identyfikację osoby wysyłającej informacje drogą elektroniczną. Identyfikacja taka jest możliwa dzięki współdziałaniu wszystkich elementów składowych (infrastruktury sprzętowej, programowej, baz danych, sieci, procedur bezpieczeństwa oraz zobowiązań prawnych) potwierdzonej w ramach określonych certyfikatów. PKI pozwala jednak nie tylko na samą identyfikację nadawcy (po to, by np. wyeliminować oszustwo), zapewnia też odpowiedni poziom bezpieczeństwa podczas transmisji danych. Ważne jest także to, że system certyfikacji stosowany w PKI, początkowo wprowadzany na rynek korporacyjny, był w stanie skutecznie zabezpieczyć komunikację również na poziomie użytkowników prywatnych.

W Polsce tego typu systemy jako jedna z pierwszych zaczęła wdrażać spółka TP Internet, należąca do TP SA. W tym roku założono Centrum Certyfikacji Signet. Pierwszym kontraktem Signetu stała się bezpieczna poczta korporacyjna wdrażana w niektórych jednostkach Grupy Kapitałowej TP SA (np. w Marketplanet.pl). Jednolita Platforma Bezpieczeństwa z własną infrastrukturą klucza publicznego jako całościowe rozwiązanie stanowi zasadniczy element bezpieczeństwa elektronicznej komunikacji wewnątrz całej grupy. W aplikacjach korzystających z infrastruktury PKI zastosowano uwierzytelnienie certyfikatem (pozwala to na identyfikację osób, aplikacji i serwisów oraz zapewnienia kontrolę dostępu) i podpisy elektroniczne (co daje weryfikację źródła pochodzenia danych). Certyfikaty są podpisywane przez Signet. Bazę informatyczną dostarczyła brytyjska firma Baltimore. Zastosowane rozwiązania mogą być udostępnione do prowadzenia bezpiecznej komunikacji innym firmom. W ramach platformy ten sam certyfikat wykorzystywany może być przez użytkownika zarówno do identyfikacji, uwierzytelniania, jak i podpisywania dokumentów w kontaktach z różnymi firmami lub przy internetowych zakupach. Plany usług związanych z systemem podpisu elektronicznego ma Telbank, spółka opracowująca rozwiązania dla bankowości elektronicznej. Ścisła współpraca Telbanku z Narodowym Bankiem Polskim daje tej spółce także sporo szans na rynku, który dopiero ma powstać.

Certyfikat uwiarygodni transakcje

Certyfikat cyfrowy to elektroniczne zaświadczenie jednoznacznie potwierdzające tożsamość osoby, za pomocą którego dane służące do weryfikacji jej podpisu elektronicznego są do niej przyporządkowywane. Fizycznie jest to ciąg danych zapisanych na odpowiednim nośniku - np. na karcie mikroprocesorowej, wkładanej do odpowiedniego czytnika w komputerze. Najpopularniejszym standardem certyfikatów jest X.509 składający się z pól takich jak: wersja, numer seryjny, wydawca certyfikatu, ważność, podmiot dla którego certyfikat został wystawiony, klucz publiczny oraz podpis organu wydającego certyfikat.

Certyfikaty mogą służyć jako umożliwiające kontrolowany dostęp do zasobów sieciowych (prywatnych czy firmowych), do różnego rodzaju usług świadczonych przez Internet, do systemów i ich wybranych opcji, także jako identyfikatory cyfrowe dla serwerów internetowych, serwerów dostępowych, hostów korporacyjnych www i wszelkich właścicieli serwerów chcących je uwiarygodnić i zabezpieczyć poufność komunikowania się z nimi. Firmy mogą je także zastosować jako identyfikatory zapewniające kontrolowany dostęp do budynków, poszczególnych pomieszczeń, sejfów (po zainstalowaniu zamków magnetoelektrycznych i czytników kart z oprogramowaniem).

Technologia ta, oprócz większego bezpieczeństwa, daje także wygodę. Przy wszystkich zastosowaniach posiadacz certyfikatu wykonuje wszystkie operacje za pomocą jednego narzędzia jednoznacznie identyfikującego zarówno daną osobę, jak i jej uprawnienia. Wobec tego nie trzeba pamiętać już wielu haseł używanych w zależności od doraźnej potrzeby, co jest szczególnie uciążliwe przy jednoczesnym korzystaniu np. z wielu serwisów www.

W przypadku certyfikatów istotne jest to, że autentyczność można sprawdzić tylko wtedy, gdy znany jest klucz publiczny organu certyfikującego. Klucz ten znajduje się na certyfikacie wystawionym dla organu certyfikującego przez organ wyższej instancji. Jeśli z kolei chodzi o kwestię szyfrowania informacji, to większość najważniejszych standardów w dziedzinie bezpieczeństwa teleinformatycznego jest zaprojektowanych tak, aby umożliwić współpracę z PKI. Do tych standardów należą: SSL (Secure Socket Layer), TLS (Transport Layer Security), SMIME (Secure Multipurpose Internet Mail Extensions), SEC (Secure Electronic Transactions), IPSec (IP Security).

Podpis elektroniczny oszczędzi czas i pieniądze

Druga podstawowa funkcja certyfikatów cyfrowych to podpis elektroniczny. Jest to cyfrowy odpowiednik tradycyjnego podpisu odręcznego. Jest to właściwie jedyne narzędzie uwierzytelniania wszelkiego rodzaju dokumentów przesyłanych drogą elektroniczną.

Praktyczne formy podpisów cyfrowych stały się dostępne właśnie dzięki rozwojowi technik szyfrowania połączonych z infrastrukturą klucza publicznego. PKI pozwala na bezpieczne stosowanie podpisu elektronicznego we współczesnej gospodarce. E-podpis gwarantuje otrzymanie dokumentu od właściwej osoby, zapewnia niezmienność treści otrzymanego dokumentu, uwalnia odbiorcę od potrzeby osobistej weryfikacji korespondenta (co może być szczególnie trudne przy komunikacji międzynarodowej). Jednocześnie jego moc prawna jest równa podpisowi własnoręcznemu dla celów umów. Więc pozwala na oszczędność zasobów materialnych i czasu wykwalifikowanego personelu, ograniczenie ryzyka zaistnienia pomyłek, brak konieczności weryfikacji obrabianych danych i wiarygodności nadawcy, skrócenie procedur i czasu realizacji powierzonych zleceń.

Asymetrycznie czyli bezpieczniej

Aby zapewnić poufność korespondencji oprócz podpisu elektronicznego stosuje się rozmaite metody szyfrowania. Dzielą się one generalnie na dwie grupy: szyfrowanie z jednym kluczem lub z parą kluczy. Pierwsza metoda nazywana jest również szyfrowaniem symetrycznym, gdyż ten sam tajny klucz jest wykorzystywany zarówno do szyfrowania jak i deszyfrowania wiadomości. Natomiast metoda szyfrowania z parą kluczy nazywana jest szyfrowaniem asymetrycznym lub szyfrowaniem z kluczem jawnym (publicznym). Polega to na posługiwaniu się dwoma oddzielnymi kluczami, z których jeden jest tajny (prywatny), a drugi jawny (publiczny). Klucz publiczny jest ogólnie dostępny w sieci, klucz prywatny jest natomiast znany tylko posiadaczowi i chroniony przed innymi osobami. Do szyfrowania lub deszyfrowania można użyć któregokolwiek ze związanych ze sobą kluczy. Dzięki temu każdy użytkownik może odszyfrować to, co zostało zaszyfrowane kluczem prywatnym. Jednocześnie tylko posiadacz klucza prywatnego może odszyfrować to, co ktokolwiek zaszyfrował jego kluczem publicznym. Przy obecnym stanie wiedzy, praktycznie nie jest możliwe na drodze obliczeń określenie klucza deszyfrującego przy znajomości jedynie algorytmu kryptograficznego (sposobu szyfrowania) i klucza szyfrującego. Jedynym zagrożeniem dla procesu bezpiecznej wymiany dokumentów z zastosowaniem szyfrowania asymetrycznego jest możliwość zastąpienia klucza publicznego jednej z korespondujących stron kluczem publicznym intruza. Druga strona, będąc przekonana o tym, że korzysta z klucza publicznego odbiorcy korespondencji, zaszyfruje ją niewłaściwym kluczem, przez co umożliwi odczytanie wiadomości intruzowi. Aby zapobiec takiej sytuacji, należy stosować certyfikację klucza, która potwierdzałaby autentyczność używanego klucza i prawo do korzystania z niego przez daną osobę, firmę czy instytucję.

Prawo akceptuje technikę

Przy ciągłym opracowaniu i rozwoju technologii identyfikujących i szyfrujących nadszedł czas na stworzenie prawnych warunków efektywnego wykorzystywania nowoczesnych technik. Po dwóch latach pracy w komisji sejmowej i odpowiednich ministerstwach (m.in. gospodarki oraz spraw wewnętrznych i administracji), ustawa o podpisie elektronicznym trafiła pod obrady parlamentu. W głosowaniu 27 lipca 330 posłów opowiedziało się za przyjęciem ustawy. Założeniem Sejmu było wprowadzenie ustawy w życie w pół roku po opublikowaniu. Tymczasem Senat postanowił wydłużyć vacatio legis o trzy miesiące. Praktycznie więc podpis elektroniczny zaistnieje w Polsce dopiero latem przyszłego roku. Powodem opóźnienia są wątpliwości parlamentarzystów co do zapewnienia przez istniejące infrastruktury teleinformatyczne odpowiedniego poziomu bezpieczeństwa przesyłanych danych.

Tymczasem na świecie podobne rozwiązania prawne coraz częściej wchodzą w życie, chociaż w różnych krajach mają swoją specyfikę i ograniczenia. Ustawa o podpisie elektronicznym obowiązuje od początku października ub.r. w USA. Do tej pory poszczególne stany miały własne uregulowania dotyczące tej kwestii. Wszelkie formalności, łącznie z zawarciem umowy mogą być obecnie dokonywane elektronicznie. Zgodnie z ustawą, podpis elektroniczny jest ciągiem zakodowanych znaków, które jednoznacznie identyfikują użytkownika. Aby uniknąć oszustw, w USA każdy podpis będzie weryfikowany, np. poprzez wpisanie numeru ubezpieczenia społecznego. Ustawa zrównuje w świetle prawa podpisy elektroniczne z podpisami odręcznymi, nie nakłada jednak na nikogo obowiązku posługiwania się takimi e-podpisami. Co więcej, nakłada obowiązek zagwarantowania możliwości korzystania wyłącznie z podpisu odręcznego. Według przedstawicieli Unii Europejskiej, amerykańska ustawa jest zgodna z unijną dyrektywą. W Wielkiej Brytanii podpis cyfrowy zalegalizowano w lipcu. Ustawa początkowo będzie miała wpływ wyłącznie na kontakty pomiędzy przedsiębiorstwami, dopiero później posługiwać się podpisem elektronicznym zaczną obywatele. Brytyjska ustawa o podpisie elektronicznym akceptuje jednocześnie certyfikaty wydawane w USA, co ma zwiększyć liczbę transakcji elektronicznych z tym krajem. Działa także czeska ustawa, a na jej mocy funkcjonuje kilka instytucji wydających certyfikaty (w większości firmy prywatne, wykorzystujące PKI, np. KPNQwest, TrustCERT i in.). Jeśli tylko obie strony transakcji uznają swoje certyfikaty (wydane przez to samo centrum certyfikacyjne), to mogą zgodnie z prawem korzystać z podpisu elektronicznego. Firmy natomiast nie mogą z niego korzystać przy komunikacji z instytucjami rządowymi.

E-podpis wyrwie e-commerce z letargu

Zdaniem ekspertów, podpis elektroniczny przyśpieszy rozwój handlu elektronicznego, który oparty będzie na podobnych zasadach regulujących transakcje w sieci na całym świecie. Będzie to szczególnie ważne teraz w czasie spowolnienia rozwoju gospodarczego. Nowe technologie mogą być motorem napędowym dla gospodarki, wzmacniając ją, aktywując handel i usługi finansowe. Podpis elektroniczny jest równocześnie nie mniej ważny w relacjach obywateli z administracją i urzędami państwowymi. Jest to szczególnie istotne wtedy gdy urząd jest oddalony od naszego domu, co jest częste kiedy coraz więcej ludzi pracuje w korporacjach z rozległą krajową (lub międzynarodową) strukturą placówek. W tej sytuacji przesłany dokument, sygnowany podpisem obywatela jest równie ważny jak ten na papierze, co zdecydowanie ułatwia np. przesyłanie rozliczeń skarbowych lub innej korespondencji do instytucji państwowych.

Zastosowanie wspomnianych wyżej rozwiązań sprawi, że w niedalekiej przyszłości użytkownicy PKI otrzymają jednolity i pewny sposób uwierzytelniania się. Da im to też dostęp do usług wprowadzanych na rynek (przy wprowadzaniu na rynek kolejnych produktów i usług klienci będą już posiadali sprawdzony i zaakceptowany mechanizm identyfikacji). Zapewni bezpieczne przesyłanie dokumentów elektronicznych (dzięki certyfikatowi dla poczty elektronicznej klient będzie mógł bezpiecznie przesyłać liczne dokumenty elektroniczne do różnych instytucji bez konieczności potwierdzania w inny sposób swej tożsamości) oraz da pewność co do tożsamości drugiej strony w kontaktach w Internecie. Z kolei przy wejściu w życie odpowiednich regulacji prawnych te rozwiązania dadzą bodziec stymulujący autentyczny rozwój mechanizmów gospodarczych w Internecie. Mechanizmy weryfikujące, oparte dotychczas w większej mierze na obiegu papierowym, powoli będą odchodziły w przeszłość. Z kolei zaoszczędzone za pomocą obiegu elektronicznego koszty (czas, zasoby ludzkie i pieniądze) będzie można wykorzystać do rozwoju podstawowych aspektów działalności każdej instytucji - wprowadzenia na rynek nowych produktów lub usług.

Komentuje dla PG Andrzej Piotrowski, Instytut e-gospodarki Centrum im. Adama Smitha

Co nam daje ustawa o podpisie elektronicznym a czego nie daje? Nie daje jasności, co która aranżacja oznacza. Nie daje też jasności co do zasad, na których administracja państwowa będzie weryfikować firmy certyfikujące - w tej kwestii pozostawiono zbyt dużo kryteriów uznaniowych. Np. na polskim rynku brak specjalistów ściśle od certyfikacji, więc kogo uznać za takiego specjalistę? Kryptologa? Na jakiej podstawie uznać, że centrum certyfikacji jest należycie zabezpieczone? Ale ustawa daje podstawę do dalszych prac nad lepszym prawem, daje podstawę, na której będziemy zdobywać doświadczenia, być może czasem bolesne. W przypadku tej ustawy przypomina się trochę przetarg na UMTS - urzędnicy zobaczyli tu żyłę złota, ale nikt tak naprawdę nie wie, jak ten rynek będzie wyglądał. Np. nasi prawnicy zauważyli, że podpis elektroniczny w Polsce nie będzie tak funkcjonalny jak tradycyjny odręczny. Tam gdzie będzie potrzebny podpis poświadczony notarialnie (w przypadkach zakupu firm czy ziemi) niezbędny będzie podpis tradycyjny, ponieważ firma certyfikująca nie jest notariuszem.