On 11 Lut, 12:36, "blad" <blad201@_W_Y_T_N_I_J_sezam.pl> wrote:

> a po podpisaniu dokumentu nie można sprawdzić, co podpisaliśmy?
> Chyba widac, żepodpisjest pod takim dokumentem jaki chcieliśmy,
> i dopiero potem taki dokument mozna potem komus wyslac.

Problem polega na tym, że potencjalny trojan może cały czas
modyfikować to co jest wyświetlane użytkownikowi. Wszystko jest
kwestią zaawansowania trojana.

Z tym, że jeśli budujemy środowisko do składania podpisu
elektronicznego z myślą o *wszystkich* możliwych atakach (to co
zalecają CWA) to kończymy z rodzajem małego bankomatu, który jest tak
samo jak bankomat używalny, ma podobnie "atrakcyjną" cenę i będzie
równie popularny. No i zawsze zostaje nam margines niepewności, bo
można wykraść np. wykraść PIN obserwując klawiaturę kamerą termowizyną
albo wychwytując ulot elektromagnetyczny :) Jak widać to prowadzi do
wniosku, że bezpieczniej jest w ogóle nie korzystać z komputerów.

Rzecz w tym żeby *rozsądnie* dobrać poziom bezpieczeństwa do
oczekiwanego ryzyka i to tak, żeby zabezpieczenie nie stanowiło
bariery do stosowania podpisu. Wszyscy zlecają przelewy bankowe
autoryzując je SMS-em i żyją. Niektórzy chcieli nawet wprowadzać
wybory przez Internet, nie przejmując się specjalnie kwestiami
uwierzytelnienia i tajności głosowania.

W obecnej postaci podpisu kwalifikowanego w Polsce - podobnie jak w
Niemczech - wymagania bezpieczeństwa są znacznie przesadzone. Osadzony
w prawie tylko hiperbezpieczny podpis kwalifikowany osoby fizycznej na
"bezpiecznym urządzeniu" i nic poza tym. Tymczasem rynek oczekuje
mnóstwa rozwiązań pośrednich - najbardziej oczywistym jest np. podpis
z użyciem certyfikatu kwalifikowanego (silna weryfikacja tożsamości),
ale bez "bezpiecznego urządzenia". Które to "bezpieczne urządzenie"
jest samo w sobie wielką fikcją, jak zresztą zauważyli Panowie
powyżej.

Ponieważ takich rozwiązań pośrednich nie ma, więc mało kto z niego
korzysta. W codziennych zastosowaniach biznesowych taki podpis jest
zbyt uciążliwy - to tak jakby np. podpisywać każdą fakturę notarialnie
- a tam gdzie jego poziom bezpieczeństwa może okazać się przydatny
mało kto chce korzystać z komunikacji elektronicznej.

I to widać - wg GUS z faktury elektronicznej korzysta zaledwie 5% firm
i to tych największych. Reszta też korzysta, tylko z "nielegalnej" -
po prostu wysyłając mailem bez żadnego podpisu. Tymczasem w Finlandii
z faktur elektronicznych legalnie korzysta 70 tys. firm, w Danii 70%
wszystkich faktur będących w obrocie to faktury elektroniczne, a
administracja publiczna przyjmuje tylko e-faktury i nikogo to nie
dziwi. Ale tam nie trzeba ich podpisywać podpisem kwalifikowanym tak
jak u nas. W Hiszpanii z kolei obywatel dostaje certyfikat
kwalifikowany od urzędu za darmo, podobnie jak w Estonii (w dowodzie
osobistym).

A u nas? A u nas głośno mówi się o tym, że wobec braku zainteresowania
przedsiębiorców podpisem trzeba ich do niego zmusić ustawą...

Paweł Krawczyk
http://ipsec.pl/