Podpis elektroniczny w Polsce - sposób na miliony!
2008-02-11, Poniedziałek 02:21:23 +0100, autor Karol "Zal" Zalewski, licencja CC BY-NC-SA 3.0
Temat podpisu elektronicznego to obecnie temat niezwykle gorący, szczególnie w Polsce. Nikt z nas nie spodziewał się zapewne, iż technologia mająca w dobie Internetu ułatwić nam życie, ma swoje minusy. Od pierwszego lipca 2008 roku przekona się o tym każdy przedsiębiorca. A kilku z nich szybko się wzbogaci.
Od kilku dni trwa już ożywiona dyskusja na łamach listy dyskusyjnej Polskiego Towarzystwa Informatycznego. A wszystko za sprawą ustawy o podpisie elektronicznym z 18 września 2001 roku, której działanie powoli zaczyna wpływać na nasze życie. Co jest przyczyną tak żywej reakcji? Pieniądze oczywiście!
W Polsce działają trzy firmy (centra certyfikacyjne) wydające certyfikaty kwalifikowane. Są nimi:
Oprócz tego, iż zajmują się certyfikatami łączy je coś jeszcze - odnowienie certyfikatu kwalifikowanego, niezbędnego do podpisu, w każdej z wymienionych firm kosztuje odpowiednio 95PLN (na rok) oraz 130PLN (na dwa lata) netto. W przypadku niezbędnego oprogramowania oraz sprzętu występuje niewielka (kilka złotych) różnica cenowa. Wspomniane oprogramowanie nie posiada wsparcia dla systemów innych, niż Windows, ale to już szczegół. Ciekawostką jest, iż poza granicami Polski usługi te są ok. dwukrotnie tańsze - certyfikat na rok kosztuje ok. 20USD, co przy obecnym kursie dolara daje w rezultacie ok. 50PLN bez uwzględnienia realnej siły nabywczej pieniądza.
Co to oznacza w praktyce? Wyżej wspomniane firmy mocno wzbogacą się na wprowadzanych w Polsce zmianach. Liczba przedsiębiorców w Polsce przekracza obecnie 3,5 miliona, co oznacza, iż sam zakup certyfikatów na jeden rok spowoduje przelanie na konta każdej z ww. firm średnio ok. 110 milionów PLN. I nie wydaje się, aby było to zupełnie uczciwe zagranie w stosunku do przedsiębiorców.
PS. Pozwoliłem sobie umieścić wpis na Techblogu ze względu na to, iż temat wydaje mi się być ważnym. Szczególnie na kilka miesięcy przed wprowadzeniem przymusu korzystania z podpisu elektronicznego. Wasze komentarze będą mile widziane!
Podobne wpisy (Folksr):
2008-02-11 o Poniedziałek 02:42:15 +0100
Pytanie: czy firmy w Polsce są zmuszone do zakupu w jednej z trzech powyższych instytucji, czy też mogą kupić spokojnie certyfikat zagranicą?
2008-02-11 o Poniedziałek 02:56:42 +0100
Z ustawy wynika, iż certyfikaty zagraniczne również powinny być uznawane przy założeniu, iż spełniają odpowiednie wymagania. I właśnie te wymagania sprawiają, iż jest to całkiem spore „ale”.
Polecam zapoznanie się z artykułem na IPsec.pl.
2008-02-11 o Poniedziałek 08:05:21 +0100
Do 3,5 miliona firm dołącz jeszcze wszystkie urzędy, szkoły, biblioteki i inne tego typu placówki, które przekazują dokumenty do ZUS drogą elektroniczną. Urzędy od tego roku zobligowane są również do uruchomienia Elektronicznych Skrzynek Podawczych. Tylko powiedzmy sobie szczerze, po co? Ilu obywatelu naszego kraju wyda kilka stów, żeby mogli złożyć do urzędów jakieś 2 wnioski w roku? Zarówno podpis jak i ESP to naprawdę wielkie pieniądze, a nie ma to jak napychanie klientów wprowadzanymi ustawami ;)
2008-02-11 o Poniedziałek 08:32:09 +0100
Sama idea jakiegokolwiek podpisu jest bezsensu. Przecież sam mogę w dowolnym urzędzie złożyć papiery, pozwy… w imieniu dowolnej osoby np. siostry, ojca… Mogę powymyślać dowolne daty, miejsca zamieszkania itp. bo nie sprawdzają mojej tożsamości w momencie składania (w realu). W zusie daję zabazgrany papier dostaję pieczątkę na kopii i wracam do domu. Jak coś namieszam to i tak osoba „docelowa” będzie wezwana osobiście. Przecież każdy z nas ma NIP lub PESEL i jest jednoznacznie powiązana z danymi osobowymi a wymienione numery raczej tajne nie są. Informacje przekazywane do np. ZUS, NFZ to nie rozliczenia finansowe gdzie ważne jest kto jest kto.
2008-02-11 o Poniedziałek 08:57:06 +0100
hmm a to coś ma być obowiązkowe? Dopóki nie będzie wsparcia dla Linuksa ja tego nie chcę! ;p
2008-02-11 o Poniedziałek 09:00:32 +0100
@radmen: <... a Kim Ty jesteś.../> to obywatelski obowiązek [patrz podatki] :-D
2008-02-11 o Poniedziałek 09:01:06 +0100
Fak, nie dam się! Bedę anonimowy etc!!!one!!11! ;p
2008-02-11 o Poniedziałek 09:11:25 +0100
Podpis elektroniczny będzie obowiązkowy dla przedsiębiorców i opcjonalny dla wszystkich innych.
Idea podpisu nie jest zła. W wielu krajach już funkcjonuje i sprawdza się – to jest technologia z ludzką twarzą. Szkoda tylko, iż u nas znowu szykuje się coś nieprzyjemnego. Aby trzy różne firmy ustaliły wspólnie tak samo wysoką cenę... Tutaj trudno mówić o jakiejkolwiek konkurencji :/
2008-02-11 o Poniedziałek 09:13:30 +0100
@zal: A dlaczego nie potrzebuję podpisu np. do mbanku?
2008-02-11 o Poniedziałek 09:23:35 +0100
Podpis cyfrowy miałby być technologią? A jak się to ma do ciscowego etherchannela i microsoftowego .NET, które też są radośnie nazywane technologiami? Które jest droższe w użyciu?
2008-02-11 o Poniedziałek 09:33:38 +0100
@dozzie: ale wykorzystanie funkcji skrótu oraz asymetrycznego szyfrowania do wytworzenia podpisu może już być nazwane technologią, prawda? Podejrzewam, iż najładniejszym tłumaczeniem, gdybym chciał się tłumaczyć ze złego użycia słowa, byłby „skrót myślowy” ;]
@error777: nie chciałbym skłamać, ale podejrzewam, iż banki umożliwiają kontakt poprzez dokumenty elektroniczne podpisane cyfrowo, ale nie wymagają tego. Obowiązek dotyczyć będzie przedsiębiorców i ZUSu.
2008-02-11 o Poniedziałek 09:39:22 +0100
@zal: A jak są te „dokumenty” przesyłane… mailem? Zawodowo zajmuję się elektroniką (nie śledzę top-technologii), ale zamiast dokumentu xxxOffice chyba lepiej wymieniać dane XML. Czym różni się szyfrowanie dokumentu od szyfrowania kanału komunikacji?
2008-02-11 o Poniedziałek 10:00:37 +0100
error777: tym że nie chodzi tu o o szyfrowanie, tylko o identyfikację osoby składającej „podpis”.
2008-02-11 o Poniedziałek 10:05:43 +0100
@arag0rn: Ja nie „łapię” różnicy. Idę do banku, daję dowód tam jest moje zdjęcie, pieczątka urzędu miasta xyz. Babka w kasie porownuje i daje mi pieniądze. Podpisać się mogę nawet trzema +++ (bo mam prawą rekę złamaną).
2008-02-11 o Poniedziałek 10:14:02 +0100
Właśnie nie może być nazywane technologią. Standard, algorytm, ale nie technologia.
@error777: a odróżniasz zatajenie przesyłanej informacji (nieprzejrzysta koperta) od potwierdzenia pochodzenia tej informacji (notarialne poświadczenie autorstwa)? Czy też jest do dla ciebie wszystko jedno?
2008-02-11 o Poniedziałek 10:18:55 +0100
@error777: w przypadku strony internetowej banku wykorzystywane są podobne rozwiązania, ale w innym celu. To bank uwiarygadnia się oraz szyfruje dane Twoim losowo wygenerowanym kluczem. Co prawda komunikacja jest szyfrowana, ale to bank posiada uwiarygodnioną tożsamość. My, łącząc się z nim, możemy to robić z kilkunastu komputerów dziennie – identyfikuje nas jedynie login i hasło, a to trudne do przejęcia nie jest.
W przypadku omawianego podpisu to my, użytkownicy, potwierdzamy naszą tożsamość poprzez podpis elektroniczny uwiarygodniony przez odpowiednie centrum. Oznacza to, iż mail, dokument, czy też połączenie podpisane/szyfrowane przez nas jest z nami nierozerwalnie połączone w świetle prawa. Podpis gwarantuje, że:
- podpis osoby został złożony właśnie przez tą osobę – treść wiadomości nie uległa zmianie w trakcie przesyłania – wiadomość została nadana i nie ma co do tego wątpliwości
Innymi słowy – wysyłam maila (z podpisem cyfrowym) z domu do urzędu i urząd potraktuje go, jako dokument posiadający moc prawną. Dokument dodatkowo może być zaszyfrowany (zapewnia to poufność), ale nie musi.
2008-02-11 o Poniedziałek 10:28:34 +0100
@zal: Zatem dlaczego jak chodzę do ZUS wymagam potwierdzenia kopii… bo zus GUBI dokumenty a potem nakłada grzywny bo brakuje XZY. Jednak prawo się „rozrywa” jak „ktoś” (anonimowy i niewiarygodny) twój dokument „odbiera i gubi”... co w takim przypadku?
2008-02-11 o Poniedziałek 10:35:11 +0100
@klekot: Odróżniam. Jednak jakbym robił „duży przekręt” to notariusza na „słupa” też da się przerobić. Ograniczone zaufanie jest zawsze ograniczone… podobnie nie ma granicy wątpiwości.
2008-02-11 o Poniedziałek 10:35:48 +0100
Bzdura, 110 milionów PLN nie bedzie i dam sobie za to uciac reke. Powod jest prosty. Firmy zlecaja uslugi ksiegowe biurom rachunkowym. A te, moga obslugiwac, powiedzmy, 300 firm, korzystajac z JEDNEGO zestawu do podpisu elektronicznego… I tak wlasnie zamierza robic wiekszosc mniejszych przedsiebiorstw.
PS: Testowy certyfikat (niekwalifikowany) mozna sobie za darmo wyrobic na stronie certum. Polecam zlecenie przeprowadzenia tej czynnosci pani Helence z kadr, szczegolnie tym, ktorzy mowia, ze wdrozenie podpisu jest proste i przyjemne ;-)
2008-02-11 o Poniedziałek 11:18:07 +0100
@Piotr Konieczny: trudno się z Tobą nie zgodzić , co nie zmienia faktu, iż obecna sytuacja wygląda na sztuczną.
2008-02-11 o Poniedziałek 12:05:23 +0100
Zal, ano jest sztuczna, bo jak ktos — takie, powiedzmy rev(Otezinu); — wpakowal miliony zlotych w centrum certyfikacji i nie widac szans na to, zeby kasa sie zwrocila, to naturalnym jest, ze chwyta sie kazdej mozliwosci, od lobbingu politycznego zaczynajac, az na zmowach cenowych z innymi CC kończac.
2008-02-11 o Poniedziałek 12:21:34 +0100
Tylko dlaczego to ja jako przedsiębiorca mam się uwierzytelniać a rozbójnicy/urzędnicy nie? W dodatku inni „przesiębiorcy” się bogacą... bez tworzenia jakiejkolwiek wartości.
2008-02-11 o Poniedziałek 12:22:54 +0100
@error777
Urzędnicy też będą musieli się uwierzytelniać. Komunikacja obowiązuje w dwie strony.
2008-02-11 o Poniedziałek 12:33:51 +0100
@kula: Podaj jakieś źródło. Wg mnie art.6 i art.8 podlinkowanej ustawy przeczą sobie.
2008-02-11 o Poniedziałek 12:40:11 +0100
@error777: http://www.zus.pl/default.asp?p=1&id=1&idk=501 .
2008-02-11 o Poniedziałek 12:45:32 +0100
@kula: Hmm… mnie chodzi o to czy dostanę mailem tajemniczy plik POTWIERDZENIA... i jak go przepuszczę przez tajamniczne urządzenie/soft to czy zobaczę... coś takiego: starszy referent Kasia XZY + link do strony ZUS z numerm pokoju + numer telefonu? W przeciwnym wypadku te podpisy to wielki przekręt.
2008-02-11 o Poniedziałek 12:52:21 +0100
@zal: dziękuję za linka, zagłębiam się w lekturze…
2008-02-11 o Poniedziałek 13:43:59 +0100
chciałbym zauważyć ze jest to dobry temat aby nim się zajął urząd antymonopolowy, bo jęzeli w US mogą taniej to czemu tym bardziej w polsce nie ma?
może chodzi o to, że w momencie gdy nastapi efekt skali a używanie podpisów stanie się obowiązkowe doprowadzi to do tego, iż potanieją... ale raczej wierzę w opcje iż po prostu się dogadali między sobą ze nie będą obniżać cen… co jest już nielegalne z prawem polskim i pewnie europejskim a jeżeli tak to komisja UE też może się tym zając… jak komuś te ceny przeszkadzają np. związek pracodawców polskich to niech wystosują odpowiednie zażalenie…
btw. a ma ktoś dane ile euro kosztuje taka usługa w krajach starej UE??
2008-02-11 o Poniedziałek 13:49:24 +0100
@koval: mnie to kojarzy się z wydawaniem dokumentu tożsamości przez zus, bank, nfz… itp. potem będzie podpis OK ale tylko nasz, wasz lub ich… inne precz. Problem leży w logice/metodzie identyfikacji nie w narzędziu. Ja mam własne ID a babka w zusie swoje DI. Nie wiem które DI będzie zajmować się moim ID. Anonimowość urzędników = brak odpowiedzialności.
2008-02-11 o Poniedziałek 13:52:43 +0100
@error777 z drugiej jednak anonimowość pozwoli im na skuteczniejsze i bardziej obiektywne działanie (zwalczanie korupcji?) bo wtedy nie wiadomo kogo korumpować...
oczywiście wszystko będzie pięknie o ile urzędnicy zasiadający za biurkiem będą na właściwym miejscu i będą posiadać właściwe kompetencje, wiedzę, skills do wykonywania tej pracy… inaczej masz racje jest to bezsensu i niebezpieczne.
2008-02-11 o Poniedziałek 13:57:17 +0100
@koval: jak ci prokurator pokaże logi to zastanowisz się czy brać/dać w łapę... jawność informacji działa tzw. cuda (POwodzenia). Znaczy się że ci od 20 lat na urzędzie to debile? bez kompetencji i skills… tego argumentu nie umiem odeprzeć z sensem.
2008-02-11 o Poniedziałek 17:08:47 +0100
@Koval: o ile dobrze się orientuję PTI ma zamiar wystosować do UOKiK prośbę o kontrolę ww. firm.
2008-02-11 o Poniedziałek 19:02:10 +0100
@error777: zachęcam do zapoznania się z dwoma dokumentami (pierwszy i drugi) – urząd, na każdy wniosek składany drogą elektroniczną, powinien odpowiedzieć przesyłając urzędowe poświadczenie odbioru.
2008-02-12 o Wtorek 07:28:47 +0100
@zal: Dzięki za linki. Już mi się przejaśniło… :-)