Podpis elektroniczny: Multimedia z Klubu Informatyka

spotkanie Klubu InformatykaW dniu 11 marca 2008 roku odbyło się kolejne spotkanie Klubu Informatyka, tradycyjnie organizowane przez Polskie Towarzystwo Informatyczne. Tym razem tematem spotkania był podpis elektroniczny (por. Klub Informatyka: Podpis elektroniczny - gdzie jesteśmy, dokąd zmierzamy?). Spotkania w Klubie Informatyka mają charakter swobodnej dyskusji, zainteresowani mogą zabrać głos i posłuchać tego, co mają do powiedzenia inni. Nie będę tym razem zdawał relacji z przebiegu spotkania, ale udostępniam materiały "multimedialne", które w czasie spotkania zarejestrowałem. Liczę, że słuchacze (oglądający) zechcą podzielić się swoimi komentarzami na ich temat.

Na początek do pobrania plik w formacie ogg, który zawiera nagranie z przeprowadzonej w trakcie Klubu Informatyka dyskusji (niestety początek dyskusji jest "urwany", za co serdecznie zainteresowanych przepraszam):

Nagranie - co łatwo sprawdzić pod jego koniec - udostępniam za zgodą wszystkich zainteresowanych, biorących udział w dyskusji.

Miałem ze sobą kamerę, ale nie nagrywałem całości spotkania na wideo. Pozwoliłem sobie jednak na nagranie wypowiedzi dr. Wojciecha Wiewiórowskiego, który w trakcie dyskusji wypowiedział się na dość interesujący temat: jaka jest (jego zdaniem) relacja pomiędzy edukacją prawników w obszarze informatyki i informatyków w obszarze prawa a ogólnym kształtem dyskusji środowiskowej na temat podpisu elektronicznego w Polsce. Ja sam pamiętam, gdy na seminarium doktoranckim zaskoczyłem kolegów prawników stwierdzeniem, że dokument podpisany podpisem cyfrowym, jeśli możemy pokazać w jednym pliku (upraszczam celowo) jego reprezentacje oraz dane związane z tym podpisem (dla uproszczenia przyjmijmy, że mowa o liście podpisanym za pomocą PGP) można wydrukować, pociąć papier na kawałeczki, potem zatrudnić studentów - i, podobnie jak to było w przypadku dokumentacji STASI (odtworzenia tajnych dokumentów z archiwów służby bezpieczeństwa NRD) - połączyć pocięte kawałeczki, zeskanować, poddać obróbce OCR i taki dokument nadal będzie podpisany tym podpisem. Było to dla wielu - a dyskusja odbywała się ładnych parę lat temu - zaskoczeniem.

Zachęcam zatem do wysłuchania tej, krótkiej - w porównaniu z całą dyskusją - wypowiedzi dr Wiewiórowskiego (celowo wybrałem taką, która może wzbudzić kontrowersje i zachęcić do dalszej dyskusji):

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Podpis

Witam,
jak wyglada procedura wyrabiania sobie podpisu elektronicznego. Gdzie trzeba sie zglosic, jakie sa to koszta, ile papierkologii oraz jak dlugo sie czeka.

Jesli ktos wie :) ?

adresy

- http://www.certum.pl/certum/cert,oferta_podpis_elektr.xml
- https://www.sigillum.pl/sig-cmsws/page/?F;161
- http://www.certpol.pl/content/view/33/59/

Darmowy podpis

Darmowy certyfikat do podpisywania poczty można uzyskać na stronie Thawte.

A przy pomocy ichniego Web of Trust, czyli potwierdzania tożsamości przez zaufanych użytkowników systemu (jest już trochę takowych w Polsce, zwłaszcza w Warszawie) można do takiego podpisu dodać swoje imię i nazwisko. Polecam.

Podpis

Tak, ale mi chodzi o taki podpis elektroniczny, ktorym moglbym podpisac faktury, aby nie musiec przesylac ich poczta.

Krótki opis wraz z

Krótki opis wraz z instrukcją jak szybko można wdrożyć Thawte można znaleźć tutaj: Darmowy podpis elektroniczny do zabezpieczania poczty elektronicznej na przykładzie Thawte.

Cena (jak mówiłem)

Odnoszę się do wypowiedzi kol. Wiesława Paluszyńskiego (nagranie ok. 1:09): „dużo drożej niż z aplikacją” — o cenie certyfikatu. Zaprzeczyłem temu podczas spotkania i podtrzymuję. Wystarczy zajrzeć na cennik KIR-u (http://www.kir.com.pl/main.php?p=7085 jak 2008-03-18 9:06), żeby przeczytać, iż cena jednorocznego certyfikatu kwalifikowanego wynosi 190 zł, sama aplikacja 99 zł, zaś najtańszy zestaw 296 zł (ceny netto). Oczywiście widać, że sam certyfikat kosztuje prawie dwa razy tyle, co sama aplikacja, ale nie można odczytać, że certyfikat kosztuje drożej niż z aplikacją.

Najpierw trzeba być informatykiem

Mówi się, że "dobry" informatyk to taki, który ma wykształcenie merytoryczne, a najlepiej by miał jeszcze doświadczenie merytoryczne, natomiast wiedzę informatyczną nabył później, na potrzeby tworzenia systemów informatycznych.

W przypadku prawnika - informatyka potrzeba adekwatnej ścieżki. Najpierw trzeba być informatykiem, by po zostaniu prawnikiem czuć się pewnie w materii informatycznej.
Tak więc bracia informatycy, czas na studia prawnicze.

Dlaczego nie używam podpisu elektronicznego?

O tym, dlaczego sam nie używam podpisu elektronicznego, napisałem na swoim blogu. W skrócie, boję się! Brak jest obecnie na rynku urządzeń umożliwiających bezpieczne złożenie podpisu elektronicznego.

Pewnie obecnie nie jest to przyczyna, dla której podpis elektroniczny przyjmuje się wolno, ale wystarczy kilka głośnych nadużyć, by wszyscy zrazili się do tej idei.

--J.

Już w 2005 roku G DATA

kravietz's picture

Już w 2005 roku G DATA zademonstrowało w praktyce modyfikację skrótu wysyłanego przez aplikację do karty w celu podpisania.

Osobiście na szkoleniach konsekwentnie tłumacze, że nazwa "bezpieczne urządzenie" jest dezinformująca bo nie jest to ani "bezpieczne" ani "urządzenie".

Problemy te można jak najbardziej rozwiązać za pomocą środków technicznych i standard CWA 14355 takie mechanizmy wskazuje - zaufana ścieżka i kanał. Nasze rozporządzenie również się do nich odwołuje, ale z oczywistych dla każdego inżyniera systemowego względów ich wykorzystanie w Windows jest niepraktyczne. Dlatego wprowadzono do rozporządzenia furtkę pod tytułem "oprogramowania niepublicznego".

Ogólnie rzecz biorąc kwestie te są skomplikowane pod względem technicznym i prawnym, a w szczególności brakuje im racjonalnej wyceny ryzyka. Rezultat jest taki, że ustawodawcy miotają się pomiędzy zaostrzaniem i liberalizacją tych wymagań. A wynik nie nadaje się do użytku.

Mówiłem o tych sprawach częściowo na początkui prezentacji z konferencji e-Dokument:

http://ipsec.pl/contrib/Krawczyk%20-%20prezentacja%20e-Dokument%202008.pdf

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Decyzja urzednika w trybie KPA a podpis kwalifikowany

Czy w świetle obowiązujących dzisiaj przepisów (KPA, KC, ust.o.podpisie.elektr, informatyz.podmiot., inne) urzędnik posiadający certyfikat niekwalifikowany (wydany np. przez SEKAP) może wydać ważną decyzję administracyjną w trybie KPA drogą elektroniczną?

Wydaje się proste ....... ale ja w gąszczu "naszych" przepisów lekko się zagubiłem

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>