IMPLEMENTACJA INFRASTRUKTURY KLUCZA PUBLICZNEGO W WARUNKACH POLSKICH Tomasz Piesiur Radosław Kowal Katedra Informatyki Akademia Ekonomiczna w Katowicach tomek_p@ae.katowice.pl radek@ae.katowice.pl Streszczenie Artykuł poświęcony jest problematyce infrastruktury klucza publicznego (ang. Public Key Infrastructure PKI), która leŝy u podstaw praktycznego zastosowania podpisu elektronicznego w biznesie i administracji. Autorzy przedstawiają podstawy teoretyczne PKI, a takŝe sposób implementacji PKI w warunkach polskich. Ukazana została rola certyfikatów klucza publicznego, wystawców tychŝe certyfikatów oraz hierarchia certyfikacji wynikająca z zapisów Ustawy o podpisie elektronicznym. Dodatkowo zaprezentowano aktualny stan rynku usług certyfikacyjnych i głównych jego uczestników. Słowa kluczowe: podpis elektroniczny, Infrastruktura Klucza Publicznego, centra certyfikacji Wprowadzenie W związku z akcesją Polski do Unii Europejskiej nieodzownym stało się dostosowanie naszego prawa do prawa obowiązującego w UE, a tym samym wprowadzenie rozwiązań zgodnych z Dyrektywą 93/99/EC. Ustawa o podpisie elektronicznym 1 obowiązuje od sierpnia 2002 r., ale dopiero od połowy 2003 roku zaczęto oferować na rynku tzw. certyfikaty kwalifikowane umoŝliwiając bezpieczne podpisy. Dzięki niemu moŝna na odległość np. zawierać umowy, wysyłać potwierdzone dokumenty. W teorii z jego uŝyciem nie wolno dokonywać jedynie tych czynności, w których konieczna jest obecność notariusza oraz zawierać ślubów. W tej chwili podpisy elektroniczne oferują cztery firmy tzw. Kwalifikowane Centra Certyfikacji: Unizeto, Sigillum (Polska Wytwórnia Papierów Wartościowych), Signet (TP Internet) oraz Krajowa Izba Rozliczeniowa[WIK03]. 1 Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym
568 Realizacja Systemów Wspomagania Organizacji i rozwiązania Podpis elektroniczny Przypomnijmy czym jest podpis elektroniczny: Podpis cyfrowy polega na dodawaniu unikatowych danych cyfrowych do dokumentu elektronicznego w taki sposób, Ŝe moŝe je generować jedynie właściciel klucza prywatnego, ale kaŝdy, kto posiada odpowiedni klucz publiczny, moŝe weryfikować autentyczność takiego podpisu[musz02]. Z przytoczonej powyŝej definicji podpisu elektronicznego wynika, iŝ do tworzenia podpisu uŝywa się techniki kryptografii asymetrycznej, zwanej równieŝ kryptografią klucza publicznego (ang. Public Key Cryptography PKC). Zgodnie z nią, aby podpisać dokument w formie elektronicznej, naleŝy wpierw wygenerować parę liczb: kluczy prywatny, będący w wyłącznym posiadaniu osoby składającej podpis oraz klucz publiczny dostępny dla wszystkich zainteresowanych. W tym miejscu pojawia się kolejny problem: w jaki sposób moŝna powiązać dany klucz publiczny z konkretną osobą? Pierwszym narzucającym się rozwiązaniem jest konieczność uprzedniego skontaktowania się (najlepiej osobiście) z osobą/instytucją, do której kierujemy podpisany przez nas dokument i wręczenie jej naszego klucza publicznego. JednakŜe rozwiązanie takie jest wysoce nieefektywne, bowiem współczesna gospodarka ulega globalizacji i kontrahenci znajdują się nieraz po drugiej stronie globu. Innym rozwiązaniem, zdecydowanie bardziej praktycznym, jest uzgodnienie tzw. zaufanej trzeciej strony (ang. trusted third party). Owa trzecia strona nie będąc uczestnikiem transakcji cieszy się zaufaniem obydwu stron w niej uczestniczących. Ponadto zakładamy, iŝ strona ta, zna (uprzednio potwierdziła) toŝsamość kaŝdej ze stron zaangaŝowanych i jest w stanie poświadczyć, Ŝe klucz publiczny, którym posługuje się jedna ze stron rzeczywiście do niej przynaleŝy. Organizacja ta, wystawia certyfikat, na podstawie którego moŝemy powiązać w sposób jednoznaczny toŝsamość drugiej strony transakcji z jej kluczem publicznym. Nazywamy ją organizacją certyfikującą (ang. certification authority). Powiązanie to jest nazywane certyfikatem klucza publicznego, wydawanym przez podmiot świadczący usługi certyfikacyjne dla konkretnej osoby posługującej się podpisem elektronicznym. Certyfikaty Certyfikaty wiąŝą dane weryfikujące podpis z toŝsamością osoby, która go utworzyła, zgodnie z definicją zawartą w ustawie o podpisie elektronicznym: "Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane słuŝące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umoŝliwiają identyfikację tej osoby" (Art. 3, ust. 8).
Implementacja infarstruktury klucza publicznego w warunkach 569 Istnieje więcej niŝ jeden format certyfikatu. Najbardziej rozpowszechnionym formatem pozostaje X.509 v3. Zgodnie z definicją podaną w zaleceniu ITU-T X.509 2, certyfikat klucza publicznego tworzy sekwencja danych, która charakteryzuje się następującymi właściwościami[pol06]: 1. umoŝliwia identyfikację podmiotu świadczącego usługi, który wydał certyfikat, 2. określa jednoznacznie nazwę lub identyfikator podmiotu, który uŝywa tego certyfikatu, lub urządzenia lub elektronicznego agenta, który pracuje pod kontrolą tego podmiotu, 3. zawiera publiczny klucz, który odpowiada kluczowi prywatnemu znajdującemu się w posiadaniu danego podmiotu, 4. określa okres waŝności tego certyfikatu (i zawiera ewentualne ograniczenia uŝytkowania klucza publicznego), 5. jest podpisany za pomocą prywatnego klucza podmiotu świadczącego usługi, który wydał certyfikat. Certyfikat na podstawie Rozporządzenia 3 składa się z następujących trzech części: treść certyfikatu algorytm podpisu podpis uwierzytelniający. Certyfikat zawiera nazwę podmiotu, dla którego jest wystawiony. To, jakie dane o osobie fizycznej pojawią się w certyfikacie, zaleŝy od polityki certyfikacji - zasad, według których wydaje się certyfikaty. Format X.509 v3 dopuszcza moŝliwość samodzielnego dodawania rozszerzeń certyfikatów. JednakŜe rozszerzenia te nie mogą być oznaczane jako krytyczne. NaleŜy wziąć pod uwagę, iŝ samodzielne dodawanie rozszerzeń moŝe skutkować brakiem zgodności z aplikacjami innych producentów. Ustawodawca zrównuje pod względem skutków prawnych, jakie niesie ze sobą uŝywanie podpisu elektronicznego z podpisem własnoręcznym tylko wtedy, gdy podpis uznany jest za bezpieczny. Ustawa definiuje bezpieczny podpis elektroniczny w następujący sposób: 2 ITU-T X.509:2000 ISO/IEC 9594-8:Information Technology - Open Systems Interconnection - The Directory: Public-Key And Attribute Certificate Frameworks 3 Rozporządzenie w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń słuŝących do składania i weryfikacji podpisu elektronicznego.
570 Realizacja Systemów Wspomagania Organizacji i rozwiązania Bezpieczny podpis elektroniczny to podpis elektroniczny, który: a) jest przyporządkowany wyłącznie do osoby składającej ten podpis, b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń słuŝących do składania podpisu elektronicznego i danych słuŝących do składania podpisu elektronicznego, c) jest powiązany z danymi, do których został dołączony, w taki sposób, Ŝe jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna. W art. 5 ust. 2 Ustawy o podpisie elektronicznym czytamy: "Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy waŝnego kwalifikowanego certyfikatu są równowaŝne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba Ŝe przepisy odrębne stanowią inaczej." Z zapisu tego wynika konieczność spełnienia przez podpis elektroniczny wymogu weryfikacji, dokonanej w oparciu o certyfikat wystawiony przez kwalifikowany podmiot świadczący usługi certyfikacyjne. Podmiot kwalifikowany wskazuje na konieczność spełnienia przez organ certyfikujący warunków, które określa w Polsce ww. Ustawa oraz odnośne rozporządzenia. W szczególności chodzi tutaj o spełnienie wymogów dotyczących warunków technicznych i organizacyjnych. Ustawodawca nakłada na podmiot kwalifikowany konieczność utrzymywania odpowiedniego poziomu bezpieczeństwa sieci teleinformatycznej, urządzeń słuŝących do przechowywania i generowania certyfikatów oraz kluczy infrastruktury. Ponadto podmiot kwalifikowany ma obowiązek tworzenia i przechowywania tzw. rejestru zdarzeń, w którym zapisywane są informacje na temat uŝycia certyfikatów, np. podczas weryfikacji. Do obowiązków podmiotu kwalifikowanego naleŝy takŝe przechowywanie, w repozytorium, certyfikatów odbiorców końcowych oraz list certyfikatów odwołanych (ang. Certificate Revocation List CRL). Infrastruktura klucza publicznego PKI składa się zazwyczaj z pięciu podstawowych komponentów[musz01]: CA (Certification Authorities - wydawcy certyfikatów), przydzielających i odbierających certyfikaty. ORA (Organizational Registration Authorities - ciała organizacyjnego rejestracji) poręczającego za powiązania pomiędzy kluczami publicznymi, toŝsamością posiadaczy certyfikatów oraz innymi atrybutami. Posiadaczy certyfikatów, którym wydawane są certyfikaty i którzy mogą podpisywać dokumenty cyfrowe.
Implementacja infarstruktury klucza publicznego w warunkach 571 Klientów, którzy zatwierdzają cyfrowe podpisy oraz ich ścieŝki certyfikowania prowadzące od znanych publicznych kluczy zaufanych CA. Katalogów przechowujących i udostępniających certyfikaty oraz listy certyfikatów uniewaŝnionych (CRL - Certificate Revocation List). PKI zapewnia zarządzanie kluczami oraz certyfikatami stosowanymi w kryptografii klucza publicznego. PKI moŝna określić jako zbiór sprzętu, oprogramowania, reguł oraz procedur niezbędnych do tworzenia, zarządzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii z kluczem publicznym[pep02]. Działa ona w oparciu o model hierarchii certyfikacji, zgodnie z którym podmioty uprawnione do wydawania certyfikatów uŝytkownikom końcowym same muszą uzyskać tzw. zaświadczenie certyfikacyjne. Zaświadczenie certyfikacyjne jest to, cytując Ustawę: zaświadczenie certyfikacyjne - elektroniczne zaświadczenie, za pomocą którego dane słuŝące do weryfikacji poświadczenia elektronicznego są przyporządkowane do podmiotu świadczącego usługi certyfikacyjne lub organu, [ ], i które umoŝliwiają identyfikację tego pomiotu lub organu. W warunkach polskich Ustawa o podpisie elektronicznym określa, iŝ to minister właściwy do spraw gospodarki wystawia zaświadczenia certyfikacyjne lub moŝe powierzyć wytwarzanie i wydawanie zaświadczeń certyfikacyjnych, podmiotowi pozostającemu w związku z Narodowym Bankiem Polskim. Zgodnie z decyzją Ministra Gospodarki firma Centrum Zaufania i Certyfikacji CEN- TRAST S.A. jest upowaŝniony do wytwarzania i wydawania zaświadczeń certyfikacyjnych, a takŝe publikacji listy tych zaświadczeń oraz danych słuŝących do ich weryfikacji. W ten sposób CENTRAST S.A. stał się krajowym rootem podmiotem stojącym na szczycie hierarchii certyfikacji w Polsce. Dzięki takiemu rozwiązaniu otrzymujemy pojedynczą domenę zaufania. Podmioty świadczące usługi certyfikacyjne w obrębie tej domeny darzą się wzajemnym zaufaniem., poniewaŝ ich zaświadczenia certyfikacyjne pochodzą z jednego źródła. (ZauwaŜmy, iŝ aby podmioty mogły wydawać certyfikaty kwalifikowane muszą otrzymać zaświadczenie certyfikacyjne od krajowego roota innymi słowy ich certyfikaty muszą zostać podpisane przez CENTRAST S.A.). Krajowy root nie ma moŝliwości wydawania certyfikatów dla odbiorców indywidualnych.
572 Realizacja Systemów Wspomagania Organizacji i rozwiązania Przegląd kwalifikowanych podmiotów świadczących usługi certyfikacyjne w Polsce Numer wpisu 1. 2. 3. 4. 5. 6. Kwalifikowane podmioty świadczące usługi certyfikacyjne Nazwa UNIZETO Spółka z ograniczoną odpowiedzialnością UNIZETO Spółka z ograniczoną odpowiedzialnością POLSKA WYTWÓRNIA PAPIE- RÓW WARTOŚCIOWYCH Spółka Akcyjna TP INTERNET Spółka z ograniczoną odpowiedzialnością POLSKA WYTWÓRNIA PAPIE- RÓW WARTOŚCIOWYCH Spółka Akcyjna KRAJOWA IZBA ROZLICZENIO- WA Spółka Akcyjna Tabela nr 1 Rodzaj świadczonych usług Wydawanie kwalifikowanych certyfikatów Znakowanie czasem Wydawanie kwalifikowanych certyfikatów Wydawanie kwalifikowanych certyfikatów Znakowanie czasem Wydawanie kwalifikowanych certyfikatów Unizeto Uruchomienie Centrum Certyfikacji Klucza Publicznego Unizeto CER- TUM nastąpiło15 grudnia 1998. Firma posiada 1 nr wpisu podmiotów kwalifikowanych świadczących usługi certyfikacyjne, który uzyskała 31 grudnia 2002 r. dla wydawania kwalifikowanych certyfikatów a takŝe 2 nr wpisu z dnia 24 stycznia 2003 r dla usługi znakowania czasem. Unizeto jest wieloprofilową firmą z sektora IT. Podstawowy obszar jej działania to projektowanie i integracja systemów, tworzenie rozwiązań zapewniających bezpieczeństwo systemów i komunikacji elektronicznej oraz zaawansowane technologicznie usługi IT a takŝe projektowanie i wdraŝanie infrastruktury klucza publicznego (PKI), emisja i zarządzanie certyfikatami kwalifikowanymi i niekwalifikowanymi, znakowania czasem, OCSP oraz innymi usługami PKI[UNI]. Sigillum W kwietniu 2002 roku Polska Wytwórnia Papierów Wartościowych S.A. powołała Sigillum - Polskie Centrum Certyfikacji Elektronicznej. Firma ta posiada 3 nr wpisu podmiotów kwalifikowanych świadczących usługi certyfikacyjne, który uzyskała 14 lutego 2003 r. dla wydawania kwalifikowanych certyfikatów a takŝe 5 nr wpisu z dnia 14 marca 2003 r dla usługi znakowania czasem.
Implementacja infarstruktury klucza publicznego w warunkach 573 Obszar potencjalnych zastosowań usług oferowanych przez Sigillum - PCCE jest bardzo szeroki. Obejmuje on m.in.: transakcje elektroniczne, zabezpieczanie poczty elektronicznej i środowiska Internetu, wymiana dokumentów z Urzędem Skarbowym i ZUS, zakupy w sklepach internetowych, zawieranie umów drogą elektroniczną, korespondencja z urzędami, usprawnienie i zabezpieczenie wewnętrznego obiegu dokumentów w instytucjach[sigi]. Signet Centrum Certyfikacji Signet zostało uruchomione 16 maja 2001 roku w ramach Grupy TELEKOMUNIKACJA POLSKA. Firma ta posiada 4 nr wpisu podmiotów kwalifikowanych świadczących usługi certyfikacyjne, który uzyskała 14 lutego 2003 r. dla wydawania kwalifikowanych certyfikatów. Oferuje rozwiązania do wszechstronnej ochrony danych, wykorzystując moŝliwości Infrastruktury Klucza Publicznego (ang. PKI), podpisu elektronicznego i cyfrowych certyfikatów. Ponadto ofertę Signet wzbogacają usługi, do których naleŝy dostosowywanie istniejącej infrastruktury technicznej klientów do wymogów prawnych, doradztwo i audyty bezpieczeństwa oraz szkolenia z zakresu PKI[SIG]. KIR W dniu 22 listopada 1991 roku przedstawiciele 16 banków załoŝycieli i Związku Banków Polskich podpisali akt notarialny Krajowej Izby Rozliczeniowej S.A., ustalający statut i władze spółki. Działalność operacyjną KIR S.A. formalnie rozpoczęła 5.04.1993 r. Firma ta posiada 6 nr wpisu podmiotów kwalifikowanych świadczących usługi certyfikacyjne, który uzyskała 21 marca 2003 r. dla wydawania kwalifikowanych certyfikatów. Celem powołania Krajowej Izby Rozliczeniowej S.A. było zbudowanie oraz standaryzacja systemu rozliczeń międzybankowych, który miał objąć wymianę zleceń płatniczych, ich rejestrację i ustalanie wzajemnych zobowiązań, a takŝe przedstawianie NBP wyników rozliczeń banków prowadzących swoją działalność na obszarze kraju. Od samego początku KIR S.A. przygotowywała w pełni elektroniczny system rozliczeniowy w sektorze bankowym którego owocem są m.in. Elixir i Szafir[KIR]. Literatura [WIK03] [MUSZ02] [POL06] Wikariak S.,: Podpisz się elektronicznie, Rzeczpospolita 18/08/2003 Muszyński J.,: Podpis elektroniczny w praktyce, NetWorld, nr 6/2002, (wersja internetowa: http://www.networld.pl/artykuly /23340_2.html) http://www.polcert.pl/biuletyn/index_06.html
574 Realizacja Systemów Wspomagania Organizacji i rozwiązania [MUSZ01] [UNI] [SIGI] [SIG] [KIR] Muszyński J.,: Infrastruktura klucza publicznego i podpisy elektroniczne, NetWorld, nr 6/2001, (wersja internetowa: http://www.networld.pl/artykuly/9930_2.html http://www.unizeto.pl http://www.sigillum.pl http://www.signet.pl http://www.kir.com.pl IMPLEMENTATION OF PUBLIC KEY INFRASTRUCTURE IN POLAND This arcticle treats the subject of polish implementation of Public Key Infrastructure which is the base for using of digital signature in the business and administration. The authors present the theoretical foundations of PKI and issues connected with its implementation in polish conditions. A role of public key certificate and certification authorities has been shown and a hierarchy of certification derived from the regulations of the law as well. Key words: digital signature, Public Key Infrastructure, certificate authorities