Jerzy Żenkiewicz
Uczelniane Centrum Informatyczne UMK
Jerzy.Zenkiewicz@uni.torun.pl

Temat zadania:

Współpraca usługi LDAP z infrastrukturą PKI
- aktualne rozwiązania organizacyjne w kraju w zakresie PKI

(opracowanie przygotowane w ramach realizacji zadań projektu KBN)

Data opracowania: 12.2002

1. Wprowdzenie

Podstawową regulacją prawną w Polsce dotyczącą bezpiecznej infrastruktury opartej na Infrastrukturze Klucza Publicznego PKI jest ustawa o podpisie elektronicznym uchwalona przez Sejm RP w dniu 18 września 2001 r., opublikowana w Dzienniku Ustaw nr 130, poz. 1450, z 15 listopada 2001 r. Ustawa weszła w życie dnia 16 sierpnia 2002 r. Polska ustawa o podpisie elektronicznym jest zasadniczo zgodna z obowiązującym ustawodawstwem w państwach Unii Europejskiej. Niemniej, do niektórych szczegółowych przepisów są zgłaszane wątpliwości np. do art. 23, ust.5. Ustawa o podpisie elektronicznym nie narusza również regulacji prawnych o ochronie danych osobowych ( Dziennik Ustaw nr133, poz. 833, z 29 października 1997 r.), w tym pośrednio implikacji dotyczących usługi LDAP. Obowiązująca ustawa jest tzw. technologicznie neutralna co oznacza, że nie narzuca żadnej konkretnej technologii, jaka powinna być stosowana do procedury składania podpisu elektronicznego. Szczegóły i zalecenia m.in. technologiczno - organizacyjne są wprowadzane w życie poprzez rozporządzenia wykonawcze do zasadniczej ustawy i publikowane w Dzienniku Ustaw. Do najważniejszych z nich należą m.in. wymagania dotyczące bezpiecznych urządzeń i ich otoczenia logistycznego do składowania i weryfikowania podpisów elektronicznych, czy wymagania z szerokiego zakresu polityk certyfikacyjnych.

2. Podmioty z zakresu infrastruktury PKI w Polsce

Do najbardziej zaawansowanych podmiotów gospodarczych w Polsce z zakresu infrastruktury systemów PKI - spełniających zarówno dyrektywę Komisji Europejskiej 93/95/WE, która wymienia warunki, typy i standardy podpisu elektronicznego, jak i amerykańską księgę standardów systemów bezpieczeństwa zawartych w Orange Book - należy zaliczyć m.in. następujące firmy:

3. Niektóre implikacje z ustawy o podpisie elektronicznym

Ustawa o podpisie elektronicznym z dnia 18 września 2001 r. wprowadza definicję dwóch rodzajów podpisu:
Art., 3 Użyte w ustawie wyrażenia oznaczają:

  1. podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, o których mowa zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny;
  2. bezpieczny podpis elektroniczny - podpis elektroniczny, który:
    1. jest przyporządkowany wyłącznie do osoby składającej ten podpis;
    2. jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego;
    3. jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Porównując z ustawodawstwem zachodnim, w miejsce naszego określenia "bezpieczny", używa się tam określenia "zaawansowany" lub "kwalifikowany".

Ustawa o podpisie elektronicznym nie daje rozstrzygnięcia odnośnie wyboru modelu gospodarki elektronicznej w Polsce. Sprawa dotyczy dyskutowanego wcześniej i bardzo polemicznego problemu - wyboru scentralizowanego(autokratycznego), czy rynkowego (demokratycznego) modelu. Sprawy te ustawa pozostawia do decyzji ministrowi gospodarki.
Art. 23 mówi m.in.: (...),

  1. Minister właściwy do spraw gospodarki może, w trybie przepisów o zamówieniach publicznych, powierzyć podmiotowi świadczącemu usługi certyfikacyjne wytwarzanie i wydawanie zaświadczeń certyfikacyjnych.
  2. Minister właściwy do spraw gospodarki, na wniosek prezesa Narodowego Banku Polskiego, upoważnia Narodowy Bank Polski lub wskazany we wniosku podmiot pozostający z Narodowym Bankiem Polskim w stosunku zależności, do wykonywania usług, o których mowa w ust. 4

4. Wybrane działania wykonawcze

Ustawa o podpisie elektronicznym dzieli certyfikaty na zwykłe i kwalifikowane. Certyfikaty kwalifikowane zgodnie z wcześniej przytoczonym art. 23, będzie mogła wydawać tylko firma, która będzie figurowała na liście prowadzonej przez stosowne ministerstwo do spraw gospodarki. Obecnie jest to Ministerstwo Gospodarki. Nadzór nad standardami certyfikatów oddano dla Narodowego Banku Polskiego. Podmiot wskazany przez NBP, który będzie zajmował się nadzorem nad infrastrukturą PKI, będzie swego rodzaju "rootem" dla wszystkich firm działającym w zakresie PKI.

W sierpniu br. prezes NBP, prof. L. Balcerowicz wystąpił do ministra gospodarki o uznanie firmy Centrast za podmiot spełniający wymagania ustawowe, w tym pełnienie funkcji centralnego "roota" w polskiej infastrukturze PKI. Firma Centrast przeszła pozytywnie proces weryfikacji, obejmujący wymogi wynikające z ustawy o podpisie elektronicznym, w tym m.in. sprawdzenie wymogów organizacyjnych i technicznych.

W zakresie organizacyjnym funkcjonowania "roota" zmodyfikowano wzajemne relacje hierarchiczne między certyfikatem ministra gospodarki a certyfikatem Centrastu. Na początku zakładano, że w hierarchii drzewa certyfikacyjnego klucz ministra gospodarki będzie podrzędny wobec klucza Centrastu, będąc niezależną odnogą drzewa certyfikacyjnego. Finalnie dla kwalifikowanych certyfikatów przyjęto model, w którym klucz ministra jest pierwszym i niezależnym ogniwem w krajowej infrastrukturze PKI. Natomiast dla certyfikatów niekwalifikowanych przyjęto że, w zależności od potrzeb, może być zbudowana oddzielna hierarchia.

W zakresie technicznym zbadano czy infrastruktura techniczna spełnia m.in. wymagania w zakresie utrzymania bardzo wysokiego poziomu bezpieczeństwa i niezawodności. W tym celu zbudowano redundantne centrum "serwerowe". Od strony sprzętowej wyposażono je w serwery firmy Sun Microsystems i komputery firmy Dell Computer wraz ze specjalizowanymi urządzeniami kryptograficznymi zgodnymi z normami FIPS na poziomie 3. Zaimplementowano oprogramowanie PKI firmy Baltimore Software oraz rozwiązania katalogowe bazujące na i-Planet wraz z bazą danych Oracle. Pełną redundancję uzyskano dzięki utworzeniu dwóch niezależnych ośrodków serwerowych, z których każdy może samodzielnie obsługiwać funkcję krajowego "roota" w infrastrukturze PKI, obsługującej system podpisu elektronicznego.

Wynikiem wskazania prezesa NBP i pozytywnej weryfikacji, w listopadzie br. minister gospodarki podjął decyzję, na mocy której firmie Centrast powierzono funkcję pełnienia roli krajowego "roota" w systemie bezpiecznego podpisu elektronicznego i nadzorowania procesu certyfikacji w Polsce. Centrast będzie wykonywał usługi ustalone przez Ministerstwo Gospodarki w zakresie tzw. elementów wykonawczych. W szczególności będą one obejmowały takie czynności jak: wydawanie zaświadczeń certyfikacyjnych, publikowanie listy wydawanych zaświadczeń certyfikacyjnych, publikowanie danych służących do weryfikowania wydanych zaświadczeń certyfikacyjnych itp.

Ustalona procedura przewiduje, że podmioty zainteresowane świadczeniem usług wystawiania certyfikatów, składają swój wniosek do Ministerstwa Gospodarki. Po pozytywnym przejściu procedury kwalifikacyjnej i dokonaniu wpisu do rejestru podmiotów kwalifikowanych, minister gospodarki wydaje polecenie dla firmy Centrast do wydania zaświadczenia certyfikacyjnego dla podmiotu składającego wniosek.

Na podstawie informacji uzyskanych z Departamentu Handlu i Usług Ministerstwa Gospodarki z końca listopada br. , następujące podmioty zainteresowane świadczeniem usług wystawiania certyfikatów złożyły wniosek do Ministerstwa Gospodarki:

5. Obszary zastosowań podpisu elektronicznego w świetle wejścia Polski do Unii Europejskiej

Ustalone zostały przez rząd RP kierunkowe prace w zakresie wdrożenia w życie newralgicznych systemów, bazujących na bezpiecznym podpisie elektronicznym. Systemy te mogą być wspierane narzędziowo przez usługi katalogowe typu LDAP. Rządowe projekty zakładają wdrożenie w kraju do momentu wejścia Polski do UE minimum: