Skrzynka podawcza bez HSM
Analizując przepisy rozporządzenia z dnia 29 września 2005 r. w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym (rozporządzenie o HSM) można dojść do wniosku, że Urzędowe Poświadczenie Odbioru (UPO) nie musi być podpisane. Zgodnie z definicją w rozporządzeniu UPO to dane elektroniczne dołączone do dokumentu elektronicznego doręczonego podmiotowi publicznemu lub połączone z tym dokumentem w taki sposób, że jakakolwiek późniejsza zmiana dokonana w tym dokumencie jest rozpoznawalna. Wymóg ten można zrealizować na przykład poprzez umieszczenie w UPO odpowiedniego znacznika czasu, obejmującego zarówno "treść" UPO, jak i przyjmowany dokument.
Sam pomysł ograniczenia się do znakowania czasem jest dość ciekawy. Należy zauważyć, że nigdzie w omawianym rozporządzeniu nie pojawia się wymóg podpisania UPO. Warunkiem wystarczającym jest zapewnienie integralności dokumentu wejściowego i połączenia tego dokumentu z UPO - rozporządzenie nie zawiera nic na temat bezpieczeństwa samego poświadczenia. Oczywiście z technicznego punktu widzenia złożenie podpisu pod UPO powinno być wymagane - w przeciwnym przypadku powstaje bowiem znaczne pole do nadużyć.
Praktyczna implementacja tego scenariusza powinna wysyłać skrót z dokumentu do usługi znacznika czasu (wykorzystującej moduł HSM), a następnie uzyskaną odpowiedź umieszczać w UPO. Ten scenariusz nie umożliwia jednak zapewnienia integralności UPO. Inne, bardziej przemyślane podejście, może opierać się na umieszczeniu w UPO samego skrótu z dokumentu i wysłanie UPO do znakowania czasem. Ten drugi wariant byłby bardziej bezpieczny ze względu na zapewnienie integralności całego UPO, a nie tylko dokumentu wejściowego.
Przedstawiona propozycja - wraz z założeniem, że urządzenie HSM może być wykorzystywane w outsourcingu - pozwala na bardzo proste zaimplementowanie usługi skrzynki podawczej. Wiele centrów certyfikacji do świadczenia usługi kwalifikowanego znacznika czasu wykorzystuje bowiem takie moduły HSM. Wystarczy zatem skorzystać z tej usługi, by wystawiać zgodne z przepisami poświadczenia odbioru.
Uwaga: jak zauważono w komentarzach, sam opisany mechanizm nie daje pewności, że tak wygenerowane UPO będzie zgodne z przepisami. Przedstawiony pomysł może jednak stanowić ciekawy punkt wyjścia do dalszych rozważań.
Comments
DARc (not verified)
Tue, 2008-02-05 13:47
Permalink
Moim zdaniem Twoja konluzja,
Moim zdaniem Twoja konluzja, jakkolwiek niewątpliwie ciekawa, nie jest zbyt "odkrywcza" i po części wynika z wytłuszczenia, które sam sobie zrobiłeś w cytowanym zapisie i myślę, że trochę wpłynęło to na dalszy proces wnioskowania :)
Wystarczy pokreślić jeszcze jeden fragment cytowanej definicji by zmieniło to poważnie dalszy wywód -> "... dołączone do dokumentu DORĘCZONEGO PODMIOTOWI PUBLICZNEMU.".
Zastosowanie mechanizmu oznaczania czasem przez podmiot trzeci nie daje nam tej cechy - nie daje nam pewności/dowodu na to, że "połączone z dokumentem dane" stanowią UPO bo nie wiemy czy połączone są z "dokumentem doręczonym podmiotowi" (temu konkrentem podmiotowi).
By móc takie dane interpretować jako urzędowe poświadczenie odbioru, mysimy zapewnić jeszcze to, że dane te są "łączone" wyłącznie z dokumentami doręczonymi danemu podmiotowi. Pewnie można wymyślać inne sposoby dające chociaż cień takiej "pewności" ale podpis elektroniczny z użyciem klucza, nad którym WYŁĄCZNĄ kontrolę ma dany podmiot publiczny jest rozwiązaniem najprostrzym i chyba najbardziej typowym, łatwym w implementacji i mającym oparcie w standardach formalnych i tych "de facto". System przyjmowania dokumentów wraz z HSM owinny gwarantować po prostu niezaprzeczalność odebrania dokumentu - w takim celu wzasadzie tworzyona jest idea UPO - by mieć niezaprzeczalny DOWÓD, że dostarczono dokument dla danego podmiotu publicznego.
Generowanie dowodu przez sam podmiot jest niezłe choć może on celowo odmówić wygenerowania dowodu MIMO odebrania dokumentu (poznania jego treści) - w takich przypadkach pewnie jeszcze lepszy byłby system z trzecią stroną klasy Delivery Authority by "obie strony wymiany miały równe szanse zaspokojenia swoich celów" ;) = urząd pozna treść dokumentu lub go otrzyma ALE JA JEDNOCZEŚNIE dostanę potwierdzenie dostarczenia dokumentu. No ale to już temat od inną bajkę...
Pozdrawiam,
Lukasz
Wed, 2008-02-06 22:44
Permalink
Witaj Technicznie masz
Witaj
Technicznie masz rację, z logicznego punktu widzenia stosowanie samego znacznika czasu nie ma za bardzo sensu. Natomiast jest moim zdaniem wystarczające do spełnienia wymogu stosowania HSM. W związku z tym problem mógłby zostać rozwiązany poprzez oznakowanie czasem np. podpisanego "softwarowo" UPO.
Zastanawiam się jednak, czy rozporządzenie jednoznacznie określa, że nie można wykorzystywać kluczy do innego celu niż generowanie UPO. Oczywiście technicznie jest to kiepski pomysł, ale nie wiem, czy prawnie też. Po prostu dane nie dotyczące otrzymanego dokumentu podpisane kluczem "od upo" nie spełniałyby definicji UPO, a więc nie mogłyby być traktowane jako UPO. Zaś dane dotyczące otrzymanego dokumentu podpisane tym samym kluczem wyczerpują definicję, więc stanowią UPO.
Temat do przemyślenia bardziej przez prawników, ale jeśli taka interpretacja okaże się poprawna, to mamy do czynienia z istotną "dziurą" w rozporządzeniu. Urząd może bowiem zanegować wartość każdego UPO twierdząc, że nie został mu dostarczony odpowiedni dokument. W efekcie "upo" mogłoby być traktowane jako zlepek nic nie znaczących bitów. Co więcej, taka sytuacja może być dla urzędów korzystna i niekoniecznie leży w ich interesie, by ją korygować.
Add new comment