podpis elektroniczny

Ostatnio dość intensywnie promuje się schemat podpisu elektronicznego z mediatorem. Niedawno na przykład opublikowany został dokument, w którym wysławiane jego zalety w środowisku administracji publicznej. Zwolennicy mediatora twierdzą między innymi, że raz złożony podpis w tym modelu jest zawsze ważny i nie wymaga weryfikacji.

IPSec.pl poinformował, że Narodowe Centrum Certyfikacji wystawiło listy TSL (Trust-service status list). Ostatnio zaś Komisja Europejska poinformowała o uruchomieniu podobnej listy na poziomie europejskim.

Pod koniec listopada został przekazany do konsultacji społecznych projekt nowej ustawy o podpisie elektronicznym (wraz z uzasadnieniem i oceną jej skutków).

Opinię na temat ustawy przygotowały między innymi:

Tytuł: Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego

Rozporządzenie zawiera szczegółowe wytyczne dotyczące tzw. bezpiecznego urządzenia, certyfikatów kwalifikowanych i procedur bezpieczeństwa w Centrach Certyfikacji.

Obecnie stosowane mechanizmy PKI sprowadzają się zazwyczaj do wystawienia pracownikom odpowiednich certyfikatów. Zazwyczaj wykorzystuje się taki certyfikat do logowania do firmowych systemów; dużo rzadziej - do składania podpisu lub szyfrowania.

Ze względu na ograniczoną popularność elektronicznego podpisywania dokumentów na rynku podpisu elektronicznego do niedawna panowała stagnacja. Wraz z wprowadzeniem ustawy o podpisie elektronicznym i możliwości przesyłania podpisanych elektronicznie dokumentów do polskich urzędów sytuacja ulega jednak powoli zmianie. Dodatkowo na uproszczenie i upowszechnienie e-podpisu może pozytywnie wpłynąć, zapowiadana już od kilku lat, nowelizacja tej ustawy. W tej sytuacji coraz częściej biznes zaczyna interesować się tym zagadnieniem.

Stanąłem kiedyś przed zadaniem podpisania (z wykorzystaniem bezpiecznego podpisu elektronicznego w formacie XAdES) prostego pliku XML. Wyglądał mniej-więcej tak:

<?xml version="1.0" encoding="UTF-8"?>
<?xml-stylesheet type="text/xsl" href="https://www.klimek.ws/test/test.xsl"?>
<dokument>
<aaa>fdgsdfgs</aaa>
</dokument>

Zadanie na pierwszy rzut oka wydaje się banalne. Wystarczy bowiem wykorzystać jedną z dostępnych powszechnie bibliotek, służących do obsługi tego formatu podpisu, zbudować odpowiednią strukturę podpisu i wydać polecenie "Podpisz".

Po wykonaniu prostego podpisu, dumny z (pozornie) szybkiego załatwienia sprawy, spojrzałem do wymagań polskiej ustawy o podpisie elektronicznym i wydanych do niej rozporządzeń. Znalazłem tam między innymi zapis: Bezpieczne urządzenia do składania podpisów elektronicznych zapewniają możliwość prezentacji przeznaczonych do podpisania danych... Podobne zapisy pojawiają się też w kontekście weryfikacji podpisu.