Jump to content

E-Podpis W Komórce


Renoirdaniel
 Share

Recommended Posts

E-podpis w komórce

Arkadiusz Antoniak, specjalista ds. Kierowania Projektem Polskiej Telefonii Cyfrowej

(artykułu z E-Fakty nr2)

 

Wielu ludzi zastanawia się, dlaczego technologia PKI, o bardzo dobrze dopracowanym modelu biznesowym w postaci podpisu elektronicznego, nie może odnieść sukcesu rynkowego. Pomimo dużych nakładów inwestycyjnych na infrastrukturę providerów, którymi są Centra Certyfikacji (CA) i zbudowania narzędzi prawnych wraz z surowym systemem nakazowym (zapisy w Ustawie wymuszające korzystanie z podpisu elektronicznego), wciąż nie widać oznak ruchu nawet w sektorze odbiorców indywidualnych. Nieskuteczna okazała się pomoc Unii Europejskiej - tam też podpis elektroniczny jest problemem. Cały świat popełnił ten sam błąd - w pogoni za ultranowoczesnością przegonił sam siebie. Zaczęto "budować dom od dachu, który co prawda ładny i mocny, ale w powietrzu się nie utrzyma". Podstawowym błędem było opracowanie modelu dla zastosowań, które są dopiero planowane i oczekiwanie, że wprowadzone rozwiązanie zapoczątkuje elektroniczną rewolucję w gospodarce, mającą na celu całkowite zastąpienie dokumentów papierowych przez elektroniczne. Oczywisty, wydawałoby się, fakt nie nastąpił. Koszty, brak standardów, niezrozumienie kwestii bezpieczeństwa, ułomna legislacja i wreszcie tanie i nieskomplikowane technologie zastępcze - skutecznie utrudniają wprowadzenie w życie podpisu elektronicznego.

 

Gadżetowy podpis

 

Najpoważniejsze wady podpisu elektronicznego w Polsce, to między innymi brak tzw. drugiej strony - osoby czy instytucji akceptującej nasz dokument w wersji elektronicznej. Poza nielicznymi wyjątkami, żadna instytucja administracji publicznej ani firma nie jest przystosowana do przyjmowania w pełni elektronicznej korespondencji. Dzieje się tak dlatego, że choć podpis elektroniczny jest w Polsce usankcjonowany, to wciąż nie ma dobrze opisanego prawem elektronicznego dokumentu. W takiej sytuacji podpis elektroniczny pozostaje jedynie interesującym gadżetem, który - i to również poważna wada - jest dość drogi. Kilkadziesiąt czy kilkaset złotych rocznie za świadomość biernego uczestnictwa w transformacji cywilizacyjnej, to zdecydowanie za dużo dla masowego klienta. Kolejny problem - czysto techniczny polega na tym, że podpis elektroniczny wymaga posiadania pary kluczy i certyfikatu. Są to ciągi bitów, które gdzieś muszą być przechowywane i w jakiś sposób odczytywane. Może to być twardy dysk komputera, płyta CD, serwer firmy bądź karta mikroprocesorowa. Ta ostatnia uznawana jest za najbezpieczniejszy nośnik, który wraz z czytnikiem podłączanym do komputera tworzy zestaw, w jaki musi wyposażyć się każdy entuzjasta PKI. Aby PKI zajęło należne mu miejsce w gospodarce, należy uprościć korzystanie z podpisu elektronicznego dla końcowego użytkownika oraz obniżyć koszty. Można to realizować na wiele sposobów, choćby poprzez wbudowywanie czytników kart do komputerów lub laptopów. Niestety byłyby to kolejne czytniki w komputerach i tak już przeciążonych gniazdami i kieszeniami o różnorakich zastosowaniach.

 

Tańsza alternatywa

 

Mobilny Podpis Elektroniczny (MPE) jest prostszy i tańszy w użyciu. Do posługiwania się MPE, tak jak każdym e-podpisem, potrzeba dwóch urządzeń: nośnika Klucza Prywatnego i certyfikatu oraz urządzenia do składania podpisu. Nośnikiem Klucza Prywatnego może być albo telefon komórkowy, albo znacznie lepiej nadająca się do tego celu karta SIM. Dla telefonu pozostaje rola czytnika karty. Część chipa zostaje wydzielona na potrzeby PKI i nazywana jest kryptoprocesorem (koprocesorem kryptograficznym). Pełni on rolę magazynu dla Klucza Prywatnego oraz procesora, w którym szyfrowany jest skrót wiadomości (czyli de facto składany jest podpis elektroniczny). Aby postąpić zgodnie z zasadami sztuki, należałoby jeszcze na karcie SIM przechowywać certyfikat. Jest to jednak stosunkowo obszerny plik, a używane obecnie karty SIM nie mają zbyt dużo pamięci. Najlepszym rozwiązaniem jest przechowywanie certyfikatów w systemach zarządzających wireless PKI (wPKI) operatora GSM. Nie stanowi to żadnego zagrożenia dla bezpieczeństwa, gdyż certyfikaty i tak są ogólnie dostępne poprzez serwisy CA. Oczywiście, jeśli operator sam zdecyduje się pełnić rolę CA, to powyższy problem znika. Czym różnią się modele podpisu elektronicznego: tradycyjny oraz mobilny dokument przygotowywany jest w ten sam sposób, przy użyciu tego samego oprogramowania. To samo oprogramowanie po stronie komputera służy też do złożenia podpisu, dokładnie w taki sam sposób funkcja hashująca (jednokierunkowa funkcja przygotowująca skrót dokumentu o pewnych właściwościach - stała długość, niezmienność, wrażliwość na zmiany w dokumencie wejściowym) wylicza skrót. Identyczny też jest sam proces złożenia podpisu: przy użyciu czytnika i karty wyposażonej w mikroprocesor. Zmienia się tylko ich wygląd: czytnikiem jest telefon komórkowy, a karta to karta SIM. Inny jest też sposób przesyłania skrótu - do i z czytnika. Normalnie odbywa się to po kablach. Tutaj komputer, wykorzystując sieć Internet, przesyła skrót do systemów informatycznych operatora komórkowego, który następnie formatuje odpowiednią wiadomość i, przy użyciu np. STK Push lub WAP Push, przekazuje skrót dokumentu do telefonu komórkowego użytkownika. Tam odbywa się podpisanie dokumentu (szyfrowanie skrótu). Tą samą drogą podpis wraca do komputer użytkownika. W powyższym opisie użyłem pojęcia "wiadomości typu Push". Jest to tak zwane wymuszenie działania na użytkowniku. Aplikacja, np. STK lub WAP, wysyłana na telefon komórkowy użytkownika, wymusza na nim wykonanie podpisu lub odrzucenie żądania. Odbywa się to poprzez wybór odpowiednich opcji w menu aplikacji i potwierdzenie dostępu do klucza poprzez podanie odpowiedniego hasła PIN. Działanie przeciwne, czyli "Pull", to oczekiwanie na inwencję ze strony użytkownika. Operatorzy zgodnie decydując się na Push, wykorzystują najbardziej dogodną dla siebie formę komunikacji. Oczywiście każda z nich ma swoje wady i zalety: do WAPa trzeba mieć odpowiednio skonfigurowany telefon, do STK natomiast wspierającą tę technologię kartę SIM. Skoro jednak posiadanie Mobilnego Podpisu Elektronicznego i tak wiąże się z wymianą SIMa (kryptoprocesor oraz zapis Klucza Prywatnego), to oczywiście taka karta od razu może być typu STK - co rozwiązuje problem. Proces składania podpisu jest tylko pozornie skomplikowany. Poprzez rozbudowaną komunikację otwiera przed nami bogactwo nowych funkcji. Po pierwsze komputer nie musi już być wyposażony w czytnik kart chipowych. Nie musimy też martwić się sposobem jego podłączenia, co wbrew pozorom, dla laików może być nie lada przeszkodą. Nie ma też problemu wykorzystania do złożenia podpisu dowolnego komputera - w pracy, w domu, w kawiarni internetowej - bo nie ma problemu dodatkowego sprzętu. Ponieważ w dzisiejszych czasach praktycznie każdy komputer ma takie czy inne łącze do Internetu, komunikacja staje się... prostsza! Połączenie operator - telefon komórkowy to już zupełny banał przy dzisiejszym stanie zasięgu i przepustowości sieci GSM. Problem czytnika i komunikacji z nim nie istnieje.

 

Nieograniczone możliwości

 

Jakie są jeszcze korzyści? Po pierwsze czy zawsze podpisujemy dokument, który sami stworzyliśmy? Czy są to tylko dokumenty tekstowe lub e-maile? Otóż nie. Podpis elektroniczny jest nam przede wszystkim potrzebny do komunikacji z instytucjami (urząd skarbowy, urząd gminy) i dużymi firmami (banki, operatorzy telewizji kablowej, etc). Jak wygląda elektroniczna wymiana informacji z nimi w dniu dzisiejszym? Najczęściej wypełniamy kwestionariusze umieszczone na ich stronach www. Nie ma sensu konwertowanie takiego formularza do dokumentu tekstowego, przesyłanie go na nasz komputer, tam dokonywanie podpisu i następnie odesłanie go z powrotem. Jest to skomplikowane, niebezpieczne i niewygodne. O wiele lepiej wygląda proces, w którym Service Provider (SP) sam wylicza skrót dokumentu w formacie najwygodniejszym dla jego baz danych i systemów przetwarzania informacji, a następnie sam przesyła go do operatora komórkowego. Operator przekazuje podpis na telefon komórkowy użytkownika i po otrzymaniu podpisu odsyła go do SP. Dla klienta jest to maksymalnie uproszczony schemat działania - wykonuje on pewne standardowe czynności na stronie WWW i następnie potwierdza je przy użyciu swojego telefonu komórkowego. Dzięki wspomnianym wcześniej wiadomościom Push, nie jest potrzebne z jego strony żadne dodatkowe działanie. Jak widzimy, proces podpisu został znacznie uproszczony, co więcej - dodano do niego nowe, dotychczas brakujące funkcjonalności. Podpis elektroniczny w telefonie komórkowym daje nieograniczone możliwości rozwoju tego produktu na polskim rynku komunikacyjnym. Jeden z członków zespołu projektowego w PTC, zajmującego się Mobilnym Podpisem Elektronicznym, przedstawił taki scenariusz: rozmawiam z hotline mojego banku i proszę o wydanie dodatkowej karty kredytowej dla małżonki. Operator prosi mnie o potwierdzenie tej dyspozycji za pomocą podpisu elektronicznego Nie przerywając połączenia, na mój telefon komórkowy przychodzi żądanie złożenia podpisu. Podpisuję zlecenie. Operator potwierdza wiarygodność i fakt jego otrzymania. Cała operacja zostaje zakończona. Czy to koniec czy początek naszej inwencji na tym polu?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

Terms of Use