Uwagi CryptoTech do projektu ustawy o podpisach elektronicznych z dnia 4 listopada 2008r.
2008-12-08
Ministerstwo Gospodarki zaprosiło Prezesa Cryptotech Dariusza Lewickiego do konsultacji projektowanej ustawy o podpisach elektronicznych. Poniżej
zamieszczamy skróconą wersję stanowiska CT, koncentrując się na przedstawieniu nowych rozwiązań wprowadzających chaos terminologiczny i pojęciowy.
Uwagi ogólne.
1. Celem nowelizacji ustawy o podpisie elektronicznym miało być "ułatwienie stosowania podpisu elektronicznego, jako występującego w różnych postaciach i na
różnych poziomach bezpieczeństwa mechanizmu uwierzytelniania w elektronicznym obrocie prawnym" przez wprowadzenie jedynie niezbędnych zmian w odniesieniu do
narzędzi dotychczas istniejących.
Jednak sposób jej przygotowania wskazuje na próbę pracowitej korekty poprzedniej ustawy, w efekcie czego zamiast postulowanych uproszczeń otrzymujemy jeszcze
większą ilość, często niepotrzebnych, nowych elementów systemu podpisu elektronicznego oraz wiele nowych, niezdefiniowanych lub źle zdefiniowanych relacji
pomiędzy nimi.
2. Niezbyt przejrzyście udało się zdefiniować zadanie, rolę i odpowiedzialność "zaufanej Trzeciej Strony" świadczącej JAKIEKOLWIEK usługi certyfikacyjne,
gdzie
usługa certyfikacyjne TO NIE TYLKO zarządzanie certyfikatami, ale raczej jakiekolwiek usługi oznaczające wydawanie i zarządzanie elektronicznie poświadczonych
informacji, za które odpowiada ich wydawca.
Nawet tak szerokie zdefiniowanie ZTS może nie wystarczyć w świetle bogactwa rozwiązań technologicznych i logicznych w zakresie usług ZTS, gdyż można sobie
wyobrazić usługi tego typu nie posługujące się instytucją podpisu elektronicznego, chociaż będą to usługi wspierające system podpisu.
W projekcie ustawy jest jednak znacznie gorzej zdefiniowana instytucja ZTS, która miejscami niepotrzebnie jest wprost powiązana z certyfikatami kluczy oraz
źle zorganizowany podział pomiędzy zadaniami i regulacjami dotyczącymi podmiotów/usług kwalifikowanych i pozostałych usług certyfikacyjnych. Np. w niektórych
regulacjach szczegółowych dotyczących usług kwalifikowanych wprost pojawia się odwołanie do certyfikatu, co automatycznie wyklucza zastosowanie
danej regulacji dla podmiotów świadczących inne usługi certyfikacyjne (np. walidację), pomimo, że wcześniej próbuje się włączyć wszystkie te podmioty do ogólnej grupy
podmiotów certyfikacyjnych.
3. Zupełnie nie udało się w ramach ustawy odwzorowanie i uregulowanie dwóch zasadniczo innych zastosowań podpisu cyfrowego, jakim jest użycie go dla celów
niezaprzeczalności/oświadczenie woli oraz jako techniczny składnik protokołów uwierzytelniania strony, co nie ma nic wspólnego z niezaprzeczalnością.
Chodzi o bardzo wyraźne rozgraniczenie zasad stosowania i skutków użycia mechanizmu podpisu wobec dokumentu oraz wobec losowych danych przetwarzanych w
trakcie realizacji protokołu uwierzytelniającego kanał/dostęp online lub uwierzytelnianego ŹRÓDŁO przysyłanego dokumentu a nie jego AUTORA.
Wyraźnie widać jaki nasze prawodawstwo ma z tym problem w przypadku faktury elektronicznej gdzie oryginalna regulacja EU przewiduje stosowanie podpisu dla
uwierzytelnienia ŻRÓDŁA ale JEDNOCZEŚNIE zabrania nakładania prawodawstwem krajowym obowiązku podpisywania faktury. Tutaj właśnie pojawia się dość dobrze
ograniczana rola podpisu w wielu regulacjach EU i zawiłe rozgraniczenie (lub jego brak) w przypadku starej ustawy o podpisie elektronicznym jak i jej
nowelizacji.
Dalej nie udało się wyraźnie i jednoznacznie rozgraniczyć te dwa użycia technicznego mechanizmu podpisu, co generuje ogromną ilość nieporozumień, błędów w
stosowaniu podpisu (patrz faktura elektroniczna) w innych regulacjach prawnych i mocno ogranicza zaufanie to samej instytucji podpisu skoro tak trudno jest
zinterpretować zakres i skutki jego stosowania.
4. Niepotrzebnie w nowelizacji ustawy pojawiły się szczegóły implementacyjne, techniczne, organizacyjne, które zdecydowanie powinny zostać przeniesione do
rozporządzeń, pozostawiając ustawę maksymalnie ogólną i elastyczną na modyfikacje technologiczne, które są nieuchronne w systemie opartym na standardach i
technologiach informatycznych.
5. Projekt ustawy w zbyt małym stopniu (jeśli wcale) uwzględnił rozwinięcie pojęciowe systemu podpisu elektronicznego, które EU opracowała w postaci
dokumentów CWA. W świetle wprowadzenia pojęcia bezpiecznego urządzenia do składania podpisu wyraźnie brakuje pojęcia Systemu do składania podpisu
definiującego środowisko stosowania bezpiecznego urządzenia i zadania dla poszczególnych składników tego Systemu. Niewystarczalność pojęcia samego "urządzenia
do składania podpisu" do opisania stawianych wymagań i cech składników systemu podpisu jest powszechnie znana praktykom tej dziedziny i stąd szereg uzgodnień
technicznych w postaci dokumentów CWA lub norm EU. Jeśli ustawa o podpisie ma w ramach rozporządzeń wprowadzić czy powołać się na te regulacje to należy
usunąć w samej ustawy wszelkie regulacja implementacyjne i przenieść je do rozporządzeń. W obecnej postaci w wymaganiach dla urządzeń i systemów wprowadzono
więcej szczegółów niż przewidywała ogólna Dyrektywa EU ale jednocześnie nie wprowadzono tych dodatkowych składników Systemu podpisu elektronicznego by łatwo
było im przypisać stosowane role i wymagania a zdjąć je z przyjętych praktycznie implementacji np. bezpiecznych urządzeń do składania podpisu.
Np. wymagania Art. 26.1 powinny znaleźć się w rozporządzeniu gdzie pojawi się też definicja aplikacji podpisującej i zadania dla niej by nie popełnić takiego
błędu jak wymagania by bezpieczne urządzenie cokolwiek "komunikowało" dla jego posiadacza gdyż w 99% przypadków nie jest w stanie tego robić i za to
odpowiadają inne składniki Systemu składania podpisu elektronicznego. Wprowadzanie od początku zapisów implementacyjnych w ustawie budzi spore zastrzeżenia
ale wprowadzenia wymagań, których nie da się w ramach obecnie dostępnej technologii zrealizować stawia pod wielkim znakiem zapytania sens istnienia takiego
dokumentu, którego nie można w praktyce zaimplementować.
6. Ustawa powinna być niezależne technologicznie i taką próbuje w wybranych miejscach być, unikając nawet odnoszenia się wprost to podpisu cyfrowego opartego
na certyfikatach kluczy publicznych, by w innych miejscach wprost do certyfikatów się odnosić i nakładać różne wymagania na ich zawartość, sposób zarządzania
i dystrybucji.
O ile odwołanie do systemu podpisu cyfrowego opartego na kryptografii asymetrycznej i instytucji certyfikatu klucza publicznego można jeszcze uznać za
uzasadnione gdyż nie ma innego liczącego się obecnie systemu alternatywnego, to już definiowanie na poziomie ustawy detali implementacji certyfikatów i metod
zarządzana certyfikatami przynosi bardzo niekorzystne skutki praktyczne.
Np. odwołanie się wprost do instytucji listy certyfikatów unieważnionych i wprowadzenie obowiązku jej generowania i posługiwania się nią, marginalizuje zalety
innych, alternatywnych sposobów dystrybucji informacji o unieważnieniu certyfikatów, które powstały w ostatnich latach jako praktyczna odpowiedź na
niepraktyczne listy CRL w realnych systemach podpisu cyfrowego.
Szczególnie dobitnie widać to w ramach projektów dużej skali gdzie zarządza się setkami tysięcy czy milionami certyfikatów i listy CRL rosną do zupełnie
nieużywalnych rozmiarów. Istniejące alternatywne metody obsługi usług dystrybucji informacji o unieważnieniach mogły by te problemy zmniejszać ale w tym celu
ustawa musi pozostawić w tym zakresie realną a nie deklarowaną wyłącznie niezależność technologiczną i nie opierać wprost modelu działania podpisu na
istnieniu i używaniu list CRL jako obowiązkowego sposoby realizacji określonych zadań związanych z zarządzaniem certyfikatami. Usługa generowania list CRL
powinna mieć status taki sam jak każdy inny sposób osiągnięcia wymaganego celu formalnego jakim jest wiążące informowania o ważności certyfikatów wydanych
przez dany podmiot świadczący usługi certyfikacyjne. Wybór konkretnych metod i warunki ich realizacji powinna określać polityka certyfikacji a jeśli istniały
by poważne powody by uregulować również tą materię to właściwym miejscem są Rozporządzenia a nie sama ustawa.
Przykłady uwag szczegółowych.
Zdaniem Prezesa CryptoTech projekt ustawy powinien być GRUNTOWNIE zmieniony (napisany od początku, na fundamentach dobrych i ogólnych definicji, neutralnie
technologicznie przez cały dokument a nie tylko w wybranych artykułach, uwagi poniższe należy są raczej przykładami charakteru niespójności i problemów
interpretacyjnych w dokumencie a nie skończonym katalogiem wad, których usunięcie wystarczy dla osiągnięcia akceptowalnej nowelizacji ustawy o podpisie
elektronicznym.
Poniższa lista nie obejmuje wszystkich uwag szczegółowych do projektu ustawy gdyż jest ich zbyt wiele i są one ze sobą mocno powiązane lub wynikają z ogólnych
wad podejścia zawartego w projekcie, którego zmiana może zneutralizować od razu pokaźną część tych uwag.
Dalsze korygowanie przedstawionego projektu wydaje się znacznie trudniejszym wariantem niż zasadnicza przebudowa dokumentu budującego najważniejsze i ogólne
regulacje systemowe na solidnym fundamencie dobrych definicji i optymalnego zakresu dla ustawy, z wyraźnym przesunięciem środka ciężkości zapisów
technologicznych do rozporządzeń do ustawy.
Przykład wielu subtelnych wad rozumienia technologii oraz błędów tłumaczenia uzgodnień i standardów międzynarodowych sugeruje też konieczność rozszerzenia
zespołu przygotowującego ustawę o praktyków lepiej rozumiejących te różnice znaczeniowe terminów angielskojęzycznych w konkretnej dziedzinie bezpieczeństwa
informacji opartego na modelu PKI i podpisu elektronicznego.
Art 2.2
Zaawansowany podpis elektroniczny jest to podpis elektroniczny przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za
pomocą środków, które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi, w taki sposób, że każda późniejsza zmiana tych danych
jest wykrywalna
zapis "(...) które podpisujący ma pod wyłączną kontrolą..." nie oddaje dobrze oryginalnego brzemienia Dyrektywy EU, w której
znaczenie jest raczej takie: "które podpisujący MOŻE NIEĆ pod swoją wyłączną kontrolą".
Różnica jest kolosalna gdyż w pierwszym przypadku samo rozwiązanie i środowisko musi ZAPEWNIĆ tą kontrolę NIEZALEŻNIE OD DZIAŁAŃ podpisującego i jego sposobu
użycia. W oryginalne wyraźnie jest akcent na istnienie sposobu użycia tych środków służących do złożenia podpisu w takim sposób, że będzie zachowana ta
wyłączna kontrola, czyli mamy w oryginale "możliwość posiadania/używania w sposób dający pełną kontrolę". Zatem konkretne rozwiązanie techniczne MOŻE być
użyte pod kontrolą wyłączną, ale jeśli właściciel lub otoczenie nie będzie spełniał określonych warunków to ta kontrola może nie być wyłączna i jej
zapewnienia nie spoczywa TYLKO na samym rozwiązaniu technicznym służącym do składania podpisu ale angażuje też użytkownika i otoczenie w spełnianie (lub nie)
wymagania "wyłącznej kontroli".
Zdecydowana większość (jeśli nie wszystkie) współczesne rozwiązania służące do składania podpisu definiują pewien konkretny sposób ich używania, który
zapewnia tą wyłączną kontrolę ale nie są w stanie ZAGWARANTOWAĆ absolutnie w każdym przypadku i otoczeniu spełnienie tego postulatu. Na podpisującym musi
spoczywać odpowiedzialność za użycie środków do złożenia podpisu w odpowiedni sposób gdyż "same środki" nie są w stanie zapewnić w 100% tej cechy (wyłącznej
kontroli podpisującego). W każdym razie nie są w stanie zapewnić tego w praktycznie akceptowalny sposób, który rozważnie dostosowuje zakres kontroli do celu
użycia podpisu i związanych z tym ryzyk.
Proponowany w nowelizacji zapis jest kontynuacją złej praktyki aktualnej ustawy, która nakłada obowiązek zapewnienia absolutnie, najwyższego poziomu
bezpieczeństwa realizacji podpisu elektronicznego niezależnie od woli i potrzeby jego posiadacza czy strony ufającej.
Art 2.4
Łączny podpis elektroniczny jest to podpis elektroniczny przyporządkowany grupie podpisujących i umożliwiający ich identyfikację,
utworzony za pomocą środków,
które podpisujący mają pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest
wykrywalna.
Zupełnie zbędny, nieistniejący w innych systemach prawnych w EU oraz nie przewidziany Dyrektywą rodzaj podpisu, który może być wyrażony za pomocą innych,
bazowych rodzajów podpisu a jego wprowadzenie jest niezgodne z przyjętą także przez Polskę zasadą promowania interoperacyjności w ramach elektronicznej
administracji i gospodarki w ramach EU.
Art 2.6 vs. Art 2.18
Definicja "podpisującego" jako osoby fizycznej lub osoby niebędącej osobą fizyczna i jego użycie w innych definicjach wydaje się byś niespójne
w ramach ustawy i niezgodne z Dyrektywą EU.
Art 2.8
Weryfikacja podpisu elektronicznego umożliwia identyfikację podpisującego i stwierdzenie, że podpis został złożony za pomocą danych, o
których mowa w ust. 7 oraz że dane te nie uległy zmianie po jego złożeniu.
Zbyt ograniczona definicja zadania i efektów weryfikacji podpisu.
Wadliwa konstrukcja zdania - które dane nie uległy zmianie? Wydaje się, iż zapis mówi o braku zmiany w ramach danych "za pomocą których złożono podpis" a
intencją był raczej brak zmiany w danych, które podpis uwierzytelnia.
Art 2.9
Dane do weryfikacji podpisu elektronicznego są to niepowtarzalne i przyporządkowane podpisującemu dane, które są wykorzystywane do
weryfikacji podpisu elektronicznego.
Niepotrzebnie rozszerzono definicję z Dyrektywy wskazując iż dane są niepowtarzalne i przypisane do podpisującego. W większości współczesnych systemów
technicznej realizacji podpisu elektronicznego nie ma absolutnej niepowtarzalności a jest jedynie "praktyczna unikalność". W świetle oczekiwanej neutralności
technologicznej nie powinno się tego regulować gdyż można wyobrazić sobie systemy podpisu, w których dane takie nie są wcale unikalne i jest może to być jedna
z cech danego systemu wcale nie wykluczająca go z roli systemu podpisu elektronicznego gdyż powiązanie z podpisującym może być realizowane w inny sposób.
Art. 2.10
Potwierdzenie ważności certyfikatu jest to pieczęć elektroniczna składana przez podmiot świadczący usługi certyfikacyjne, zawierająca
informacje o ważności certyfikatu i czasie jego wystawienia, zgodnym z czasem urzędowym lub czasem UTC (PL).
Niejasne jest o jaki "czas wystawienia" chodzi tzn., czas wystawienia czego: potwierdzenia ważności certyfikat czy samego certyfikatu?
Art. 2.11
Datownik elektroniczny jest to opatrzony pieczęcią elektroniczną czas potwierdzenia danych zgodny z czasem urzędowym lub czasem UTC
(PL). Oznaczanie datownikiem elektronicznym wymaga stosowania środków technicznych i procedur zapewniających poprawność i autentyczność oznaczenia czasem zgodnym z czasem
urzędowym lub czasem UTC(PL).
Przykład złej praktyki wprowadzenia w definicji wymagań implementacyjnych lub organizacyjnych, które powinny być poza definicją a może nawet poza ustawą.
Lepszym miejscem do zamieszczania tego typu rozwiązań są rozporządzenia do ustawy.
Art 2.15
Bezpieczne urządzenie do składania podpisu elektronicznego jest to urządzenie do składania podpisu elektronicznego, spełniające wymogi
dyrektywy 1999/93/WE i ogólnie uznane normy ustalone na podstawie art. 10 tej dyrektywy oraz uznane za takie przez Agencję Bezpieczeństwa Wewnętrznego lub właściwy podmiot w
państwie obowiązanym do stosowania tej dyrektywy (bezpieczne urządzenie).
Niepraktyczne pojęcie "ogólnie uznanych norm" rodzące istotne wątpliwości interpretacyjne.
Wadliwe wskazanie ABW jako podmiotu uznającego "za właściwe" normy mające zastosowanie do bezpiecznego urządzenia do składania podpisu w świetle powszechnie
znanej wykładni iż ABW:zajmuje się ochroną informacji NIEJAWNYCH;zajmuje się ochroną POUFNOŚCI informacji a nie ich uwierzytelnianiem/niezaprzeczalnością
co do zasady odmawiając akredytacji rozwiązań realizujących jedynie podpis elektroniczny bez realizacji usługi poufności informacji
Art 2.17
Produkt podpisu elektronicznego jest to oprogramowanie, sprzęt lub ich istotne składniki, które są używane przez podmioty świadczące
usługi certyfikacyjne do udostępnienia usług podpisu elektronicznego lub do składania lub weryfikacji podpisów elektronicznych, spełniające wymogi dyrektywy 1999/93/WE i ogólnie
uznane normy ustalone na podstawie art. 10 tej dyrektywy.
Błędne tłumaczenie definicji z Dyrektywy EU, zmieniające DIAMETRALNIE znaczenie drugiej części definicji.
Jest:
"Produkt podpisu elektronicznego jest to oprogramowanie, sprzęt lub ich istotne składniki, które są używane przez podmioty świadczące usługi certyfikacyjne do
udostępnienia usług podpisu elektronicznego lub do składania lub weryfikacji podpisów elektronicznych,..."
Powinno być:
"Produkt podpisu elektronicznego jest to oprogramowanie, sprzęt lub ich istotne składniki, które przeznaczone są do użycia przez podmioty świadczące usługi
certyfikacyjne do udostępnienia usług podpisu elektronicznego lub przeznaczone są do składania lub weryfikacji podpisów elektronicznych,..."
Pierwsza nieprecyzyjność definicji ogranicza wypełnieni definicji produktu podpisu dopiero do momentu/chwili jego użycia przez podmiot świadczący usługi
certyfikacyjne a nie do spełnienia określonych cech i posiadania określonego przeznaczenia. Wydaje się iż sprzęt lub oprogramowanie staje się produktem
podpisu przez swoją funkcjonalność i cechy konstrukcyjne a nie dopiero przez to kto i do czego go użyje. Czy aplikacja podpisująca nie jest produktem podpisu
tylko dlatego, że nie używa jej aktualnie jakiś podmiot świadczący usługi certyfikacyjne?
Druga część definicji to prosty błąd gramatyczny pominięcia po "lub" ponowienia wskazania iż produktem podpisu są też środki techniczne przeznaczone do
składania podpisu lub jego weryfikacji niezależnie, kto och używa. W proponowanym w projekcie ustawy brzmieniu ograniczono spełnienie tej części definicji
wyłącznie do użycia ich przez podmiot świadczący usługi certyfikacyjne. Wydaje się iż nie to było intencją autorów definicji produktu podpisu elektronicznego,
by jedynie produkty i działania podmiotu certyfikacyjnego były tymi produktami podpisu.
Art. 5.1
Zaawansowany podpis elektroniczny (podpis zaawansowany) weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został
złożony w okresie ważności tego certyfikatu. W przypadku złożenia podpisu elektronicznego w okresie zawieszenia certyfikatu skutek prawny następuje z chwilą uchylenia zawieszenia.
Jaki skutek prawny wywołuje samo złożenie podpisu zaawansowanego? Nie każde złożenie wywołuje skutek prawy.
Art. 5.5
Ilekroć przepisy przewidują złożenie podpisu elektronicznego innego niż podpis kwalifikowany, złożenie przez podpisującego podpisu
kwalifikowanego jest równoznaczne ze złożeniem podpisu elektronicznego, o których mowa w tych przepisach.
W świetle tego artykułu złożenie podpisu kwalifikowanego w ramach np. uwierzytelnienia dokumentu dla zapewnienia integralności (a nie oświadczenia woli) lub
użycie podpisu kwalifikowanego w ramach protokołu uwierzytelniającego jest dopuszczalne co rodzi poważne skutki interpretacyjne gdyż trudniej jest ocenić
znaczenie danego podpisu jako, że znaczenie podpisu kwalifikowanego jest inne a używa się go w innej roli co będzie trudne do jednoznacznego rozgraniczenia.
Dodatkowo sankcjonuje się możliwość używania podpisu kwalifikowanego do realizacji usług, które wprowadzają istotne niebezpieczeństwo dla jego posiadana . np.
używanie podpisu kwalifikowanego w protokole uwierzytelniającym dostęp on line do zasobów informatycznych; ze względu na brak kontroli podpisującego nad
treścią podpisywaną (teoretycznie ciąg losowy.) i brak spełnienia innych warunków używania podpisu kwalifikowanego.
Powiązanie ustawowe instytucji podpisu kwalifikowanego z oświadczeniem woli (Art. 5.3) rodzi ryzyko podpisania w ramach fałszywego protokołu
uwierzytelniającego skrótu dokumentu będącego realnym, niezamierzonym oświadczeniem woli.
Art. 6.1
Jeżeli podpis zaawansowany jest weryfikowany przy pomocy ważnego certyfikatu uznaje się, że został złożony przez podpisującego
wskazanego w tym certyfikacie i w okresie jego ważności.
Założenie niepoprawne . znacząco degraduje sens i potrzebę stosowania oznaczania czasem podpisów gdyż przyjmuje pewne, nieuzasadnione założenie iż w trakcie
ważności certyfikatu, znakowanie czasem nie jest potrzebne. Niemniej nie adresuje zagrożenia związanego z istnieniem podpisu przed okresem ważności
certyfikatu.
Art. 6.2
Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba
ta, w celu 6 dokonania czynności, która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.
Założenie ograniczające i wprowadzające nieuzasadniony wyjątek od reguły. W myśl artykułu określona zawartość informacyjna danych determinuje znaczenie
złożonego podpisu co nie znajduje oparcia w innych regulacjach projektu ustawy.
Wprowadza się też niezdefiniowane wcześniej pojęcie "podpisu dla celów identyfikacyjnych".
Art. 11.2
Podmiot kwalifikowany jest obowiązany publicznie udostępniać aktualne informacje o stosowanych bezpiecznych urządzeniach do składania
podpisu elektronicznego oraz o warunkach prawidłowej i bezpiecznej weryfikacji podpisów elektronicznych.
Niejasny jest wymóg publikowania informacji o stosowanych bezpiecznych urządzeniach. Czy chodzi o urządzenie używane przez podmiot do świadczenia usług czy
urządzenia używane przez jego Subskrybentów do składania podpisu kwalifikowanego?
Z innych zapisów ustawy nie wynika też nic na temat tego by podmioty takie miały jakikolwiek związek z bezpiecznym urządzenie używanym przez Subskrybenta . w
praktyce występują zarówno przypadki silnego wpływu Urzędów Certyfikacyjnych na wybór bezpiecznego urządzenia (lista lub obowiązek zakupu bezpiecznego
urządzenia od podmiotu certyfikacyjnego), jak i rozwiązania organizacyjne, w których podmioty certyfikacyjne przenoszą na Subskrybentów decyzję o wyborze
bezpiecznego urządzenia jako, że i tak to oni są odpowiedzialni za ochronę i używanie klucza prywatnego chronionego przez to bezpieczne urządzenie. Decyzja o
narzuceniu jakiegoś wariantu, jeśli w ogóle występująca w systemie prawnym, powinna być przeniesiona do rozporządzenia.
Kwalifikowany podmiot może świadczyć usługi inne niż zarządzanie certyfikatami kluczy publicznych Subskrybentów (np. usługi znakowania czasem) i nie mieć
żadnego związku z bezpiecznymi urządzeniami gdyż subskrybenci jego usług nie używają bezpiecznych urządzeń w ramach jego usług, więc dlaczego miałby mieć
obowiązek publikowania informacji o bezpiecznych urządzeniach?
Art. 11.3
Podmiot, o którym mowa w ust. 1, jest obowiązany stosować produkty podpisu elektronicznego.
Zapętlenie definicyjne . produkt podpisu to coś czego używa podmiot certyfikacyjny (staje się produktem właśnie dzięki temu, że używa to podmiot
certyfikacyjny) a tutaj mamy wymóg by podmiot używał. produktów podpisu elektronicznego.
Art. 13.1 i 13.2
Niepotrzebnie wymienione szczegółowo zakres i podmioty rozporządzeń gdyż ogranicza to możliwość regulowania rozporządzeniami warunków świadczenie innych usług
certyfikacyjnych niż wymienione w tym artykule.
Ustawa ma być neutralna i nie zamyka listy usług certyfikacyjnych, ale ten artykuł w zasadzie zamyka możliwość regulacji w rozporządzeniach warunków
świadczenia nowych, usług certyfikacyjnych.
Art. 15.
1. W przypadku złożenia wniosku o wydanie certyfikatu, podmiot kwalifikowany obowiązany jest dokonać potwierdzenia tożsamości osoby
ubiegającej się o
certyfikat, w sposób przewidziany w polityce certyfikacji.
2. Potwierdzenie tożsamości może nastąpić w szczególności z wykorzystaniem
danych biometrycznych osoby ubiegającej się o certyfikat.
Nie wnosi nic konkretnego skoro nie są zdefiniowane polityki certyfikacji ani jakiekolwiek ograniczenia tych polityk. Regulacja do przeniesienie do
rozporządzenia.
Art. 20.2
Podmiot kwalifikowany może świadczyć inne usługi związane z podpisem elektronicznym, jeżeli uwzględnia właściwe normy i standardy
wspólnotowe lub międzynarodowe
Kto i na jakiej podstawie będzie decydował, które normy są "właściwe"?
Art. 22
Potwierdzenie ważności certyfikatu jest to usługa, która stwierdza w szczególności ważność lub zawieszenie certyfikatu w czasie jej
wykonania oraz datę i czas potwierdzenia.
Definicja usługi potwierdzania ważności jest z gruntu niedopasowana do realiów technologicznych i pomimo zakładanej niezależności technologicznej ustawy
powinna jednak zostać zmodyfikowana by nie odnosząc się do konkretnej technologii, jednak nie zamykała drogi typowym usługom tego typu.
Podstawowa wada to sama nazwa usługi, definiująca niejako jej rolę jako usługa potwierdzania ważności, podczas gdy najbardziej typowe istniejące metody służą
raczej ogólniej pojętego określania statusu ważności certyfikatów. Oznacza to również odpowiedź nie będącą potwierdzeniem ważności a np. mającą znaczenie "nie
wiem czy certyfikat jest ważny czy nieważny".
Różnica jest o tyle istotna iż te popularne usługi są w stanie jedynie jednoznacznie potwierdzić fakt unieważnienia certyfikatu a nie są w stanie potwierdzić
jego ważności. Brak informacje o unieważnieniu jaki przekazują typowe usługi ma odmienne znaczenie od "silnego potwierdzenia ważności" i ma znaczenie raczej
takie: "nie jest mi nic wiadomo by certyfikat był unieważniony". Takiej odpowiedzi nie można jednak zrównywać z potwierdzeniem ważności sensu stricte, choć
strony mogą się umówić do takiego traktowania odpowiedzi z określoną odpowiedzialnością w ramach przyjętej polityki certyfikacji dla tej usługi. Niemniej jest
to już materia co najwyżej do regulacji w ramach rozporządzenia lub pozostawienia umowie stron.
Art. 25.1
Podmiot kwalifikowany świadczy usługi certyfikacyjne w oparciu o polityki certyfikacji.
Definiuje stosowalność polityk certyfikacji do opisu dowolnej usługi certyfikacyjnej ale już pkt 2. ogranicza zakres stosowania polityki certyfikacji do usług
zarządzania certyfikatami - a gdzie usługi znakowania czasem, walidacji i inne nienazwane wprost usługi certyfikacyjne?
Art. 26.1 ppkt 3.
Bezpieczne urządzenie do składania podpisu elektronicznego powinno, w szczególności zapewniać by złożenie podpisu poprzedzało
ostrzeżenie, że kontynuacja operacji jest równoznaczna ze złożeniem podpisu elektronicznego.
Wymaga od bezpiecznego urządzenia prowadzenia dialogu z użytkownikiem podczas gdy typowym urządzeniem bezpiecznym jest karta/token elektroniczny nie
posiadający żadnego interfejsu komunikacyjnego z użytkownikiem.
Art. 31.2
Informacje o zawieszeniu albo unieważnieniu certyfikatu umieszcza się na każdej liście zawieszonych i unieważnionych certyfikatów
publikowanej przed dniem upływu okresu ważności certyfikatu oraz na pierwszej liście publikowanej po upływie tego okresu.
Wprowadza wymaganie technologiczne (niewłaściwe dla ustawy), którego realizacja wprost wskazuje stosowanie list certyfikatów unieważnionych pomimo próby
nienależności technologicznej ustawy.
