Dlaczego GIODO zdecydował się wprowadzić dyskryminującą skrzynkę podawczą?

Powyższe stwierdzenie to nie jest do końca prawda.

Opiszę w skrócie swoje doświadczenia z FreeBSD.

Z czytnikami do kart nie ma większego problemu. Większość nowszych wspiera standard CCID (przez USB i nie tylko). Ja korzystam z OmniKey 4040 (PCMCIA, zgodny z CCID). Specyfikacja jest jawna, udało mi się nawet wprowadzić poprawki do sterownika, więc bardzo stabilna wersja sterownika jest dostępna już w systemie FreeBSD (cmx(4)). Dostępny jest otwarty, bardzo dobry sterownik CCID.

Do niektórych sterowników niezgodnych z CCID (np. Reimer SCT) są dostępne open-source sterowniki (próbowałem nawet jeden portować do FreeBSD). Niektóre czytniki (jak Omnikey 2131) nie mają dobrych sterowników (np. w ramach projektu OpenCT) lub są one niekompletne. W moim przypadku łatwiej było kupić inny czytnik niż bawić się w portowanie sterowników.

Kolejna sprawa to oprogramowanie realizujące protokły ISO 7816 do rozmowy z kartą i oprogramowanie realizujące współpracę z konkretnym typem karty. Rozmowa z kartą jest realizowana na różnych poziomach, ja korzystam częściowo z tego, co daje w mniejszym lub większym stopniu projekt OpenSC i oprogramowanie pcsc-lite. O ile z protokołem ISO nie ma większych problemów, to problemem są struktury wewnętrzne kart - tzn. układ plików i aplikacji na karcie oraz zestawy poleceń wybiegające poza standard ISO. Stosunkowo niewiele kart stosuje układ proponowany w standardzie PKCS#15.

Z pomocą OpenSC daje się korzystać np. z estońskiego dowodu osobistego - z tego co wiem właśnie OpenSC jest używane do realizacji funkcji "wyborów przez Internet" w systemach linuksowych.

Udało mi się bez problemu (z dodatkiem warstwy OpenCard Framework - OCF) uruchomić niemiecką kartę HBCI służącą do dostępu do konta bankowego (zamiast zdrapek, SMS-ów i tokena). Applet w Javie np. na stronie Deutsche Bank komunikuje się przez OCF z interfejsem PC/SC i bez problemu dostaję się do karty. Standard HBCI dokładnie opisuje kartę, ale nie było potrzeby tworzenia własnego oprogramowania, bo applet Deutsche Banku dział rzeczywiście w sposób przenośny.

Niemiecka karta D-Trust (i to w dwóch wariantach z których korzystałem) daje się wykorzystać, ale z problemami, tzn. udało mi się wykonać podstawowe operacje kryptograficzne, ale nad przeprowadzeniem procesu pełnego podpisu np. kwalifikowanego musiałbym jeszcze popracować. Zdaje się, że oprogramowanie do obsługi niemieckiej skrzynki podawczej umie w sposób przenośny (za pomocą OCF) porozumieć się z tymi kartami, ale tego akurat nie sprawdzałem.

Niestety, wiele stosowanych kart lub tzw. appletów do kart JavaCard (nie mylić z appletami w przeglądarce), jak na przykład AuthentIC firmy Oberthur, stosowany w jednej z kart do podpisu kwalifikowanego w Polsce, nie ma publicznie dostępnej dokumentacji. Producent woli udostępnić (często za spore pieniądze) oprogramowanie SDK do tworzenia aplikacji komunikujących się z kartą.

Zwykłym śmiertelnikom jest zazwyczaj dostarczany sterownik PKCS#11, tłumaczący pojęcia typu "Certyfikat", "Podpisz", "Sprawdź podpis", "Wykonaj skrót dokumentu" na konkretne polecenia z poziomu ISO 7816. To oprogramowanie, czyli tzw. "middleware" karty jest zazwyczaj dostarczane w postaci binarnego pliku (biblioteki .DLL) dla Windows.

Moim zdaniem stosowanie zamkniętych "middleware" jest jedną z przyczyn, dla których podpis elektroniczny jest tak mało popularny - tzn. jest mały rynek rozwiązań niezależnych od producentów kart i dostawców podpisu.

Rezultatem tego jest dziadowskie oprogramowanie dostarczane na CD razem z podpisem, przy kolejnej wersji Windows są przeważnie problemy.

Sigillum na swojej stronie podaje:

W związku z zaprzestaniem od 15 lipca 2006 rozwijania i oferowania wsparcia technicznego przez Microsoft dla systemów Windows 98, Windows 98 SE, Windows Millennium, Windows XP SP1 od 1 stycznia 2007 Sigillum nie oferuje wsparcia technicznego dla rozwiązań PKI opartych na tych systemach.

oraz

Aplikacja jest darmowa do wykorzystania przez odbiorców podpisanych dokumentów nie posiadających certyfikatów. Uwaga: Nie działa na Windows Vista.

Czyli drogi użytkowniku, musisz mieć Microsoft Windows 2000 albo Windows XP SP 2 (ale może już nie SP3? nie wiadomo) aby korzystać z podpisu kwalifikowanego.

Moją kartę udało mi się zmusić do współpracy z Microsoft Windows Vista, ale to pewnie dlatego, że nie mam karty PWPW tylko JavaCard rozprowadzaną przez Sputnik Software (w tym miejscu podziękowania dla firmy za udostępnienie).

Ciekaw jestem bardzo, czy któreś z CA podpisałoby mi klucz na innej, dopuszczonej do podpisu kwalifikowanego w Europie karcie, a więc spełniającej warunki przepisów rozporządzenia o warunkach technicznych.

--
[S.A.P.E.R.] Synthetic Android Programmed for Exploration and Repair

Podobnie argumentował Kravietz mówiąc o telefonach i CB - i już na to odpowiadałem.

Państwo ma obowiązek przestrzegania zasady równości, a nie kupowania obywatelom czegokolwiek. Jeżeli zatem wdrożyło rozwiązanie, które wyklucza 5% osób mających te same cechy prawnie istotne co pozostałe 95%, to zasada ta została złamana.

Ale nie zawsze, gdy trzeba spełnić jakieś wymagania mamy do czynienia z wykluczeniem. Wykluczenie ma miejsce, gdy wymagania są takie, że o ich spełnieniu decyduje swobodne uznanie konkretnego prywatnego podmiotu.

Zatem, wymóg posiadania komputera nie dyskryminuje podobnie jak nie dyskryminuje wymóg formy pisemnej dla podań (każdy może kupić lub w inny sposób uzyskać dostęp do komputera i każdy może nauczyć się pisać lub zlecić komuś napisanie pisma). Co innego, gdy wymagamy komputera z oprogramowaniem konkretnej firmy lub akceptujemy podania napisane tylko przez konkretną kancelarię prawną.

Proszę uchwycić tę subtelną różnicę.

Być może istotnie nie wyraziłem się jasno. W każdym razie staram się wyjaśnić, że urząd powinien przestrzegać zasady równości.

Myślę, że są dwie drogi do jej przestrzegania.

Pierwsza - wprowadzamy rozwiązanie, którego wymagania jest w stanie spełnić każdy (jak np. posługiwanie się językiem polskim, forma pisemna). I od razu mamy sytuację, w której zasada równości została zachowana.

Drugie - wprowadzamy rozwiązanie, które jest w stanie spełnić tylko pewna grupa, powiedzmy 95% (posługiwanie się oprogramowaniem konkretnej firmy). I tu, aby nie doszło do naruszenia zasady równości musimy jeszcze zrobić coś, aby pozostałe 5% mogło się z nami skontaktować. W przeciwnym wypadku zasada równości będzie naruszona. To miałem na myśli pisząc "nadal trzeba zrobić coś, żeby dotrzeć do wszystkich".

Możemy oczywiście dyskutować, czy przypadkiem nie jest tak, że każdy może nabyć oprogramowanie od jakiejś konkretnej, wybranej przez urząd firmy. Czy istotnie taki przymus kontraktowania narusza zasadę równości? Moim zdaniem tak, ale ciekaw jestem co by na to pytanie odpowiedział Trybunał Konstytucyjny. A czy tak samo odpowiedziałby TK, jeżeli w przepisach KPC zamiast przymusu adwokackiego wpisalibyśmy przymus kancelarii adwokackiej Jana Kowalskiego z Warszawy? Przecież też każdy może pójść do mec. Kowalskiego i zatrudnić go jako pełnomocnika...

Pisałem już u siebie, że naruszenie zasady równości należy rozpatrywać zarówno względem użytkowników (obywateli, interesantów), jak i dostawców.

Niestety świadomość osób tworzących SIWZ w takich zamówieniach jest zerowa lub prawie zerowa. Skąd jednak mają wiedzieć o innych przeglądarkach skoro na pulpitach mają tylko niebieską literkę "e", albo skąd mogą wiedzieć o innych systemach operacyjnych skoro używają tylko Windows'ów. Zwykle w urzędach jedynie informatycy mają pojęcie o "alternatywnym" oprogramowaniu, ale ich (piszę z doświadczenia) nie prosi się zwykle choćby o konsultacje. Winne są też firmy dostarczające wszelkiej maści oprogramowanie. Wiele razy się spotkałem z jawnym wytykaniem lub kpinami gdy zadałem pytanie czemu program X działa tylko na bazie Y od M$. Tłumaczenie, że u mnie serwery działają w środowisku Linux'owym spotykało się z uśmieszkiem politowania.