Rozpoczyna się wydawanie nowych dowodów osobistych, wyposażonych w mikroprocesor. Jedną z dostępnych funkcji będzie możliwość składania podpisu elektronicznego, który będzie równoważny z podpisem tradycyjnym. O ile sama idea podpisu elektronicznego wydaje się być bezpieczna, to stworzone procedury i ramy prawne sprawiają, że ostatecznie nie jest to takie oczywiste.

Otóż infrastruktura klucza publicznego (PKI) może być bezpieczna jeżeli cyfrowy klucz prywatny jest pod wyłączną kontrolą jego właściciela. Pewność, że tak właśnie jest można mieć tylko wtedy gdy:

  • para kluczy (prywatny i publiczny) jest wygenerowana samodzielnie przez ich właściciela za pomocą oprogramowania, którego kod źródłowy został napisany lub zweryfikowany przez właściciela klucza lub osobę, do której właściciel ma uzasadnione pełne zaufanie,

  • sprzęt (komputer, karta kryptograficzna itp.), na którym para kluczy jest generowana musi uniemożliwiać przechwycenie klucza prywatnego,

  • istnieje możliwość zarejestrowania samodzielnie wygenerowanego klucza publicznego w instytucji lub firmie wydającej certyfikat,

  • potwierdzenie wydania certyfikatu ma formę papierowego dokumentu, na którym jest wydrukowany klucz publiczny (w zapisie szesnastkowym lub za pomocą kodowania Base64), opatrzonego odręcznymi podpisami przedstawiciela instytucji lub firmy certyfikacyjnej oraz właściciela klucza,

  • sprzęt stosowany do podpisywania jest zaopatrzony w oprogramowanie, którego kod źródłowy został napisany lub zweryfikowany przez właściciela klucza lub osobę, do której właściciel ma uzasadnione pełne zaufanie,

  • sprzęt stosowany do podpisywania musi uniemożliwiać przechwycenie klucza prywatnego lub podmianę podpisywanego dokumentu.

Oczywiście, spełnienie wyżej wymienionych warunków, zarówno przy standardowej procedurze wydawania certyfikatu komercyjnego jak i przy zastosowaniu w PKI elektronicznego dowodu osobistego, to marzenie ściętej głowy.

Normalny obywatel nie posiada żadnej kontroli nad oprogramowaniem zastosowanym w jego e-dowodzie (udostępnienie Middleware z API / SDK nie ma w tej kwestii żadnego znaczenia). Proces generowania pary kluczy jest również poza kontrolą ich posiadacza i jest wysoce prawdopodobne, że klucz prywatny każdego obywatela będzie dostępny dla jakiejś grupy ludzi, zarządzającej systemem.

zmianynaziemi.pl