Podpis kwalifikowany
22 września 2008, 12:27:35Dzisiaj miałem okazję pomagać w procedurze uzyskania certyfikatu kwalifikowanego (wysyłka dokumentów do ZUS). Jako centrum certyfikacji wybraliśmy CERTUM. Przez internet został zamówiony zestaw "CERTUM Standard" - zawierający czytnik kart (podłączany przez USB), kartę kryptograficzną i oprogramowanie.
Mając niejakie pojęcie o kryptografii asymetrycznej, spodziewałem się procedury generowania CSR (Certificate Signing Request), połączonego z generowaniem klucza prywatnego na karcie. Nic z tego jednak - okazuje się, że dostajemy kartę z już wygenerowanym kluczem prywatnym. Na rewersie karty jest 16-cyfrowa liczba, która służy do identyfikacji karty przez CERTUM - i jak zrozumiałem na jej podstawie są w stanie wygenerować mi certyfikat - czyli już znają mój klucz publiczny. I teraz pytanie najważniejszsze: jaką mam gwarancję że nikt nie zna mojego klucza prywatnego? Konsultant CERTUM zapewniał mnie co prawda, że klucz jest co prawda generowany u nich, jednak następuje to na karcie i karta nie umożliwia exportu tego klucza - pozostaje wierzyć na słowo.
Dlaczego klucz nie jest generowany w momencie wypełniania wniosku o certyfikat - jak chyba nakazuje dobra praktyka w takich przypadkach? Ucięło by to możliwość spekulacji na temat prywatności klucza prywatnego...
Ciekawy jestem jak sprawa wygląda u pozostałych dwóch dostawców certyfikatów kwalifikowanych? Jak macie jakieś informacje na ten temat dajcie znać w komentarzach...
PS. Na koniec jeszcze ciekawostka - byłem w tzw. Punkcie Sprawdzania Tożsamości CERTUM w moim mieście - człowiek zapytany o klucz prywatny stwierdził, że nie ma tam żadnego klucza prywatnego tylko certyfikat. Nazwy firmy przez grzeczność nie wymienię :)
Tagi: podpis elektroniczny
22 września 2008 o 13:19:48
A jak wyślesz "dokumenty" do dostaje się jakieś potwierdzenie typu pieczątka "wpłynęło" (podpisanym kluczem ZUSu)?
22 września 2008 o 13:22:30
Z Płatnika można pobrać potwierdzenia - ale nie jest to w jakiś sposób sygnowane. Ale pewności nie mam - może w protokole zaszyte jest sygnowanie i weryfikowanie
22 września 2008 o 15:07:24
Tak - karta sama generuje klucze i nie umożliwia ona odczytu klucza prywatnego ;] Całością zajmuje się procesor kryptograficzny w niej zaszyty. Na tyle dobrze, iż do pamięci takiego scalaczka bardzo trudno się dostać, o ile w ogóle jest to obecnie możliwe.
Co do potwierdzenia dostarczenia - idea całego systemu (w tym również "urzędu bez kolejek"), że każdy z nas dostaje wiadomość podpisaną certyfikatem kwalifikowanym urzędu o tym, iż dokumenty od nas wpłynęły. Jak to w praktyce wygląda - nie mam pojęcia ;]
@mrk: Ile zapłaciłeś za całość? Nadal wszędzie mają takie same ceny? Oprogramowanie wymaga Windowsa?
22 września 2008 o 16:28:30
@Zal: Wiem, że karta potrafi generować klucze i wiem, że może uniemożliwić jego export na zewnątrz (choć nie musi) - problem jaki sygnalizuję jest taki, że dostajemy już kartę z instniejącym na niej kluczem, który mógł być np. zaimportowany z zewnątrz i może sobie leżeć np. w jakiejś bazie danych... Wydaje mi się, że klucz powinien być generowany w momencie tworzenia wniosku o certyfikat - przecież można to zrobić nawet z poziomu aplikacji www i przeglądarki.
Jeśli chodzi o cenę - niestety to dość drogie na razie. Zestaw czytnik + karta + certyfikat na 2 lata to 359PLN netto - mam nadzieję, że chociaż odnowienie będzie sporo tańsze za te dwa lata (jednak zacznie tego używać sporo osób, może konkurencja między dostawcami zrobi swoje). Ceny u pozostałych dostawców delikatnie się różnią. Oprogramowanie oczywiście tylko pod Windowsa, ale mam nadzieję że pod linuxem OpenSC da sobie radę.
23 września 2008 o 02:49:58
Nie oczekuj cudow... To tak jak z cdkeyami w otwieralnych pudlach w empiku. Ostatnio tez kupilem router, na ktorym jak sie okazalo haselko admina jest drukniete na boku pudla i nie do zmiany - ZONK?