nasi dyrektorzy korzystają z podpisu oraz oprogramowania Certum - proCertum SmartSign i proCertum CardManager. Dostają zadanie do podpisu od pracownika nr 1, zapoznają się z treścią pisma, podpisują go elektronicznie - podanie kodu pin jest wymagane. Ale w ciągu dnia dostają kolejne pismo, od pracownika 2, zapoznają się z treścią pisma i podpisują go elektronicznie - i przy kolejnym podpisie kod pin nie jest wymagany, nie pojawia się program wymagający podania kodu pin a dokument i tak zostanie podpisany. Czy szeroko pojęte pojęcie bezpieczeństwa nie wymagałoby zmianę tej sytuacji? Kod pin powinien być przecież wymagany przy każdym podpisywaniu.
Być może macie ustawiony tzw. trwały PIN.
Istnienie tego mechanizmu jest niezgodne z przepisami rozporządzenia eIDAS.
Dariuszu, najpewniej jest tak jak pisze quiris, tylko pozwolę się nie zgodzić z nim w jednym zakresie - który przepis zabrania używania trwałego PINu? Bo jeśli by tak było to oznacza że dostawcy podpisów, którzy oferują podpisy w swoim oprogramowaniu nie powinni oferować opcji włączenia trwałego pinu - użycie trwałego PIN-u musi być zgodne z wymogami bezpieczeństwa dla kwalifikowanych urządzeń do składania podpisu (QSCD), co oznacza, że certyfikat kwalifikowany nadal jest bezpieczny.
Trzy filary zakazu zapamiętywania PIN w eIDAS
1. Wyłączna kontrola podpisującego (art. 26 lit. c)
Artykuł 26 Wymogi dla zaawansowanych podpisów elektronicznych
Zaawansowany podpis elektroniczny musi spełniać następujące wymogi:
a) jest unikalnie przyporządkowany podpisującemu;
b) umożliwia ustalenie tożsamości podpisującego;
c) jest składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą; oraz
d) jest powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna.
Artykuł 26 eIDAS definiuje wymogi dla kwalifikowanego podpisu elektronicznego. Lit. c stanowi, że podpis musi być składany przy użyciu danych, które podpisujący może stosować pod swoją wyłączną kontrolą.
To jest fundament całego zakazu zapamiętywania PIN. Jeśli aplikacja przechowuje PIN i używa go automatycznie, kontrola nad procesem podpisywania przestaje być wyłączna — sprawuje ją też oprogramowanie, a pośrednio każda osoba lub proces, który uzyska dostęp do tego oprogramowania lub urządzenia. Wyłączna kontrola oznacza, że każdy akt podpisania wymaga świadomego i aktywnego działania podpisującego — właśnie w postaci każdorazowego wprowadzenia PIN.
2. Poufność danych aktywacyjnych (Załącznik II pkt 1 lit. a)
- Kwalifikowane urządzenia do składania podpisu elektronicznego zapewniają dzięki właściwym środkom technicznym i proceduralnym co najmniej:
a) zagwarantowanie w racjonalny sposób poufności danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego;
Załącznik II rozporządzenia eIDAS określa wymagania dla QSCD. Punkt 1 lit. a wymaga, aby urządzenie zapewniało poufność danych służących do składania podpisu — żeby nie mogły być odkryte ani sfałszowane.
PIN, jako dane aktywacyjne chroniące dostęp do klucza, musi pozostać w granicach zabezpieczonej przestrzeni podpisującego. Przechowywanie PIN w pamięci aplikacji, bazie danych przeglądarki, pęku kluczy systemu operacyjnego czy jakimkolwiek innym miejscu poza świadomością podpisującego oznacza, że poufność przestaje być zagwarantowana. Dane aktywacyjne wychodzą poza obszar, nad którym wyłączną kontrolę ma człowiek.
3. Ochrona przed użyciem przez nieupoważnione osoby (Załącznik II pkt 1 lit. c)
- Kwalifikowane urządzenia do składania podpisu elektronicznego zapewniają dzięki właściwym środkom technicznym i proceduralnym co najmniej:
c) uniemożliwienie, z racjonalną dozą pewności, pozyskania danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego oraz skuteczną ochronę podpisu elektronicznego przed sfałszowaniem za pomocą aktualnie dostępnych technologii;
Kolejny wymóg Załącznika II nakazuje, aby QSCD chroniło dane podpisu przed użyciem przez osoby nieupoważnione. Zapamiętany PIN znosi tę barierę w sposób bardzo konkretny: każdy, kto wejdzie w posiadanie odblokowanego urządzenia (telefonu, komputera) lub aktywnej sesji aplikacji, może złożyć podpis kwalifikowany bez wiedzy i zgody właściciela certyfikatu.
To wszystko jest potwierdzone w rozmowie z przedstawicielami PWPW, którzy wytłumaczyli mi, że żadnego technicznego problemu nie ma, żeby wzdrożyć zapamiętywanie PIN dla karty Sigillum Blue. Problem jest natury prawnej, taki, jak opisałem wyżej. Z tego względu nie zakończyli sprzedaży kart Dark, gdzie ten trwały PIN istnieje dalej.