Arabské riešenia elektronického podpisu

Vývoj okolo elektronického podpisu v oboch republikách ma napĺňa obavami. V prvom rade mám neustále pocit, že realizácie sa chopili nie priliš dokonalí profíci (vysvetlím: špekulanti v spojení s technicky zdatným personálom).


Z toho vyplývajú jednoznačné absurdá skutočnosti:
– štát sa snaží do toho celého zamontovať pretože je tu fixná idea komunikácie so štátnou správou elektronickou cestou,
– pretože však štát neoplýva všeobecným povedomím o význame elektronického podpisu, tak sa dodávatelia fixujú na maximálny zisk. To je znak istej situácie, ktorú často označujeme pojmom bublina,
– dodávatelia ponúkajú scestné riešenia koncovým používateľom,
– v konečnom dôsledku je aplikácia elektronického podpisu v oboch krajinách minimálne nepoužiteľná a to z dôvodov neustáleho odďaľovania praktickej realizácie, prekážok v masovejšom používaní až po iné priority oboch strán (občan až na poslednom mieste).
Čo mi vadí?
Nechápem existenciu nejakej štátom uznanej certifikačnej autority, ktorá jediná má právo _vydávať_ certifikáty. Mojim riešením je predsa iba „legalizovať“ existujúce CA a právne umožniť ich vzájomnú dohodu o dôverovaní si. Z praktického dopadu by teda mal byť certifikát vydaný napríklad vašou bankou (viete o tom, že banky sú leadrom implementácií elektronického podpisu u nás?) použiteľný a uznávaný pri ďalšej aplikácií. Nevidím v tom žiadny problém.
Pre súkromné osoby by jedinou nutnosťou pre vydanie certifikátu mal byť doklad totožnosti s mechanizmami, ktoré by úspešne zabránili používaniu viac ako jednej sady kľúčov pri komunikácií so štátnou správou resp. širšie aj v súkromnom sektore. Dôvodom použitia elektronického podpisu je jednoznačná autentifikácia osoby. To umožní zároveň platné označovanie dokumentov či potvrdzovanie aktivít, kde je vyžadovaná práve táto jednoznačnosť.
Elektronický podpis nie je primárne nástrojom k narušeniu súkromia, má približne tú istú váhu ako klasický podpis – samotný nič o osobe nevypovedá. Má však ohromný dopad na zvýšenie dôveryhodnosti dokumentov putujúcich elektronickými cestami.
Už veľmi dlho spájame elektronický podpis práve s e-mailom. Treba poznamenať, že je to síce jedna z najznámejších aplikácií avšak nie jediná možná. Váš kľúč nahraný napríklad v kartičke by mal jednoducho potvrdzovať platby, zjednodušovať vstup… Paranoikom pripomínam, že podstatou ochrany je utajenie tajného kľúča (hovorím o kľúčoch, sú dva tajný a verejný) a preto je vôľou majiteľa použiť ho.
Veľkou slabinou aplikácie elektronického kľúča u nás teda je invalidnosť jeho inštitucionalizácie ale zároveň aj prílišná laxnosť v súkromnom sektore. Ako keby tieto firmy nemali odvahu budovať CA poskytujúce služby aj mimo svoje územie.
Popritom existuje pár takých hurá aktivít, kedy pár verejných CA ponúka vygenerovanie certifikátu za peniaze. Nemám tušenia ako im ide biznis avšak zrejme to nebude žiadna sláva.
Pritom mi z toho celého je celkom smutno, pretože táto technológia je zrejme úplne najbližšie k naplneniu predstavy bezpečnej elektronickej komunikácie a výmeny dokumentov elektronickou cestou. Preto sa aj informačnými médiami neustále prevaľujú všelijaké vízie riešení problémov v IT prostredí: preťažovanie sietí, anonymnosť internetovej kriminality, nižšia úroveň bezpečnosti komunikácie či biznisu po sieti, spam, vírusy a ďalšie nie príliš príjemné veci.
Dávame príliš veľa možností „neznabohom“ aby kecali do vývoja IT. Nie je sa ale čo čudovať. IT je momentálne neohrozene najdynamickejšie sa vyvíjaným sektorom a preto je pre biznis zaujímavý. No a biznis nie je žiadne umenie techniky, progresívny prvok. Je to iba voda na mlyne ale často sa mi zdá, že melieme naprázdno.
Autor sa nepovažuje za špecialistu v tejto oblasti. Viacmenej rutinne ovláda základy problematiky, pochopil význam celej technológie, reálne ju používa ako koncový používateľ ale aj ako administrátor jednej z privátnych CA a zvládol aj konkrétne aplikácie niektorých riešení.

Written by rony