Η ΕΥΡΩΠΑΪΚΗ ΝΟΜΟΘΕΣΙΑ ΓΙΑ ΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΥΠΟΓΡΑΦΕΣ

Transcript

1 ικηγόρος Αθηνών - Νοµικοτεχνικός Σύµβουλος Πτυχ. ηµόσιας ιοίκησης & µεταπτυχ. Νοµικής Πληροφορικής Χαρίτων 15-17, Ηράκλειο Αττικής, ΑΘΗΝΑ - HELLAS τηλ: , fax: , GSM: Η ΕΥΡΩΠΑΪΚΗ ΝΟΜΟΘΕΣΙΑ ΓΙΑ ΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΥΠΟΓΡΑΦΕΣ (Ανάλυση & Σχολιασµός) Αθήνα, Άρθρο στα πλαίσια των Οµάδων Εργασίας -1: «Θεσµικό πλαίσιο και ηλεκτρονικό επειχειρείν στην Ελλάδα», & Ε-2: «Ηλεκτρονικές Υπογραφές και Ηλεκτρονικά πιστοποιητικά ταυτοποίησης» του ebusinessforum.gr ΠΕΡΙΕΧΟΜΕΝΑ: 1. Εισαγωγή Βασικά χαρακτηριστικά της Οδηγίας 99/93/EC ιαδικασία, φορείς, & πορίσµατα της προτυποποίησης ( εξειδίκευσης ) της Οδηγίας Κατηγορίες & είδη των ηλ. υπογραφών και των ηλ. πιστοποιητικών Ορισµός, υποχρεώσεις αξιοπιστίας & ευθύνη των Π.Υ.Π Επίλογος...18 Το παρόν κείµενο αποτελεί πνευµατικό έργο του συντάκτη του Χρήστου Ε. Σιουλή, ικηγόρου Αθηνών, και περιλαµβάνει προσωπικές απόψεις και αντιλήψεις. Σε καµιά περίπτωση δεν πρέπει να θεωρηθεί το περιεχόµενό του ως παροχή οποιουδήποτε είδους νοµικής συµβουλής, και καµιά εγγύηση δεν παρέχεται ως προς την πληρότητα ή/και την ορθότητα των περιεχοµένων του. Επιτρέπεται οποιαδήποτε αναπαραγωγή του συνόλου ή τµήµατος του παρόντος κειµένου για προσωπικούς και επιστηµονικούς λόγους, µε παράκληση αναφοράς της πηγής του. 2003, Christos E. Sioulis Σελ. 1 από 18

2 1. Εισαγωγή Η θεσµική αναγνώριση των ηλεκτρονικών υπογραφών πρωτοεµφανίστηκε παγκοσµίως σε νοµοθέτηµα της Πολιτείας Utah των ΗΠΑ το 1995, και έκτοτε άρχισαν να εκδίδονται ανάλογοι νόµοι και σε άλλες Πολιτείες των ΗΠΑ αλλά και σε πολλά άλλα κράτη του κόσµου, όπως η Μαλαισία και η Σιγκαπούρη. Στην Ευρώπη, πρωτοπόροι στην θεσµοθέτηση της χρήσης ηλεκτρονικών υπογραφών σε ηλεκτρονικές συναλλαγές ήταν από το 1997 η Ιταλία (κυρίως για την χρήση τους στην ηµόσια ιοίκηση 1 ) και η Γερµανία (η οποία είχε ορίσει πολύ αυστηρές προϋποθέσεις και µια πολύ προδιαγεγραµµένη υποδοµή για την νοµική αναγνώρισή τους! 2 ). Σ αυτούς δεν πρέπει να παραλείψουµε και την Ελλάδα, η οποία, µε το άρθρο 14 του ν. 2672/1998 µε τίτλο «ιακίνηση εγγράφων µε ηλεκτρονικά µέσα» 3 έθετε τις πρώτες βάσεις για την χρήση ηλεκτρονικών υπογραφών στην ελληνική ηµόσια ιοίκηση. Η εµφανέστατη ανάγκη για τον προσδιορισµό κοινών κανόνων, (τόσο από τεχνολογική όσο και από νοµική άποψη), ώστε να επιτευχθεί σταδιακά µια διαλειτουργικότητα στην δηµιουργία, στην χρήση αλλά και στην αναγνώριση των ηλεκτρονικών υπογραφών (τουλάχιστον) σε κοινοτικό επίπεδο, οδήγησε την Ευρωπαϊκή Επιτροπή να προτείνει την συγκεκριµένη Οδηγία «σχετικά µε το κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές» 4, η οποία εγκρίθηκε και ψηφίσθηκε τελικά από το Ευρωπαϊκό Κοινοβούλιο και το Συµβούλιο στις 13 εκεµβρίου του 1999 (Επίσηµη Εφηµερίδα Ε.Ε. αριθ. L 013 της 19/01/2000 σ ). Η αρχή της τεχνολογικής ουδετερότητας (και η εξ αυτής υποχρέωση για αποδοχή όλων των αξιόπιστων µεθόδων ηλεκτρονικών υπογραφών της αγοράς ) από την µία πλευρά, και η ανάγκη για διασφάλιση ενός υψηλού επιπέδου αξιοπιστίας (το οποίο ήδη απαιτούσαν ή/και παρείχαν µερικές υφιστάµενες νοµοθεσίες και σχετικές εφαρµογές κάποιων κρατών-µελών) από την άλλη, οδήγησαν τον κοινοτικό νοµοθέτη στην σύνταξη µιας Οδηγίας µε υβριδική προσέγγιση ( two-tier approach), η οποία αφ ενός -µε την πρώτη παράγραφο του άρθρου της 5 -, ορίζει έναν αυστηρά προδιαγεγραµµένο τύπο ( prescriptive approach) ηλεκτρονικών υπογραφών, στον οποίο αποδίδει ex lege ισοδυναµία µε την ιδιόγραφη συµβατική υπογραφή, και, αφ ετέρου, -στη δεύτερη παράγραφο του ίδιου άρθρου-, εναποθέτει στους εθνικούς δικαστές την αναγνώριση ως αποδεικτικών στοιχείων 1 βλ. σχετικά στο site της Authorita per la Informatica in Pubblica Amministrazione (A.I.P.A.): 2 βλ. περισσότερα στο site της Γερµανικής Εθνικής Αρχής Τηλεπικοινωνιών (RegTP): 3 βλ. κείµενο σε 4 βλ. πλήρες κείµενο της Οδηγίας σε Σελ. 2 από 18

3 σε νοµικές διαδικασίες, κάθε άλλου τύπου ηλεκτρονικών υπογραφών ο οποίος παρέχει -κατά την γνώµη τους!- αποδεκτά επίπεδα αξιοπιστίας ή/και εύλογη πεποίθηση για την πραγµατοποίηση µιας συγκεκριµένης ηλεκτρονικής συναλλαγής, σύµφωνα πάντα µε την αρχή της «ελεύθερης εκτίµησης των αποδείξεων» από τα δικαστήρια ( minimalistic approach) Βασικά χαρακτηριστικά της Οδηγίας 99/93/EC Τα κύρια χαρακτηριστικά της ευρωπαϊκής Οδηγίας για τις ηλεκτρονικές υπογραφές θα µπορούσαν να συνοψισθούν στα εξής σηµεία: S εν εφαρµόζεται σε κλειστά συστήµατα (δηλαδή µεταξύ συγκεκριµένου αριθµού συµµετεχόντων) στα οποία η αναγνώριση του κύρους των ηλεκτρονικά υπογεγραµµένων δεδοµένων βασίζεται σε εθελούσιες συµφωνίες ιδιωτικού δικαίου σύµφωνα µε την αρχή της ελευθερίας των συµβάσεων, παρά µόνο στη παροχή υπηρεσιών πιστοποίησης ηλεκτρονικών υπογραφών «προς το κοινό». (προοίµιο 16). S S S εν καλύπτει πτυχές που αφορούν τη σύναψη και την ισχύ των συµβάσεων 6, ούτε θίγει κανόνες & περιορισµούς του εθνικού ή κοινοτικού δικαίου σχετικά µε τη χρήση των εγγράφων (άρθρο 1). ίδει ορισµούς για όλες τις σχετικές µε τις ηλεκτρονικές υπογραφές έννοιες (άρθρο 2), όπου καθορίζει και έναν προδιαγεγραµµένο τύπο «αναγνωρισµένων πιστοποιητικών» (άρθρο 2, περ. 10) προσδιορίζοντας τα ελάχιστα περιεχόµενά τους ( Παράρτηµα Ι ) και τους όρους έκδοσής τους ( Παράρτηµα ΙΙ ), ο οποίος τύπος, αποτελεί καινοτοµία της ευρωπαϊκής νοµοθεσίας και αποτελεί βασική προϋπόθεση για την δηµιουργία των «αναγνωρισµένων ηλεκτρονικών υπογραφών» (άρθρο 5 1). Αποκλείει κάθε καθεστώς που να περιορίζει (µε την χορήγηση οποιασδήποτε µορφής άδειας ) την παροχή υπηρεσιών πιστοποίησης από οποιοδήποτε το επιθυµεί (-είτε νοµικό πρόσωπο, είτε, ακόµη, και φυσικό 7 πρόσωπο!-), περιορίζοντας τους αρµόδιους φορείς του κάθε κράτους µέλους 8 σε ρόλο εποπτείας ( επιτήρηση ) ειδικά και µόνο για τους Παρόχους Υπηρεσιών 5 Βλέπε σχετικά και προοίµιο αρ. 21 της Οδηγίας. 6 Βλέπε παρακάτω, Κεφάλαιο 3, στην περίληψη του προτύπου ETSI TS , σχετικά µε την ανάγκη καθιέρωσης Πολιτικών Υπογραφής (Signature Policies), οι οποίες θα µπορούσαν να παίξουν τον ρόλο του καθορισµού συγκεκριµένων τύπων οι οποίοι θα απαιτούνται για την κατάρτιση ενός συγκεκριµένου είδους ηλεκτρονικής σύµβασης! 7 Βλέπε προοίµιο αρ. 12 της Οδηγίας! Η πιστοποίηση από φυσικά πρόσωπα έχει εφαρµογή ιδίως στην περίπτωση του συστήµατος πιστοποίησης PGP ( Pretty Good Privacy ), το οποίο βασίζεται στην αλληλοπιστοποίηση των µελών του, µε ηλεκτρονικά πιστοποιητικά που, βέβαια, δεν ανήκουν στην κατηγορία των «αναγνωρισµένων πιστοποιητικών». 8 Αρµόδιος εθνικός φορέας για την Ελλάδα, ορίστηκε µε το άρθρο 4 8 του π.δ. 150/2001 η «Εθνική Σελ. 3 από 18

4 Πιστοποίησης ( ΠΥΠ ) «οι οποίοι εκδίδουν για το κοινό αναγνωρισµένα πιστοποιητικά» (άρθρο 3, 1 & 3) για τους οποίους προβλέπονται από την Οδηγία συγκεκριµένες ευθύνες ως προς την αξιοπιστία των εκδιδόµενων από αυτούς αναγνωρισµένων πιστοποιητικών (άρθρο 6) 9. S S S S Σε αντιστάθµισµα της απουσίας ελέγχου των παρεχόµενων υπηρεσιών των ΠΥΠ (ο οποίος θα ήταν δεδοµένος σε περίπτωση συστήµατος αδειοδότησής τους), καθιερώνει την δυνατότητα «εθελοντικής διαπίστευσης» των ΠΥΠ µε αντικειµενικά και διαφανή κριτήρια, βάσει µηχανισµών που ορίζονται από τους αρµόδιους εθνικούς φορείς και οι οποίοι αποσκοπούν στην «επίτευξη βελτιωµένου επιπέδου παροχής υπηρεσιών πιστοποίησης» (άρθρο 3 2). Προσδιορίζει τις βασικές ιδιότητες που πρέπει να διαθέτει µια «ασφαλή διάταξη δηµιουργίας υπογραφής» (που η χρήση της αποτελεί τον έτερο όρο εκτός από την υποστήριξη µε «αναγνωρισµένο» πιστοποιητικό- ώστε µια «προηγµένη ηλεκτρονική υπογραφή» να θεωρηθεί ως «αναγνωρισµένη» -βλ. σχετικά παρακάτω) προβλέποντας και την διαδικασία ανάπτυξης ή υιοθέτησης γενικώς αναγνωρισµένων προτύπων που να εξειδικεύουν τις συγκεκριµένες προδιαγραφές (Παράρτηµα ΙΙΙ σε συνδυασµό µε άρθρο 3 5), καθορίζοντας µάλιστα και διαδικασία διαπίστωσης της συµµόρφωσης των «προϊόντων ηλεκτρονικής υπογραφής» µε τα παραπάνω πρότυπα από σχετικούς φορείς 10 που θα οριστούν σε κάθε κράτος-µέλος. Επαναλαµβάνει µάλλον εκ του περισσού!- την ανάγκη συµµόρφωσης των ΠΥΠ µε την σχετική νοµοθεσία για την προστασία δεδοµένων προσωπικού χαρακτήρα, και επιτρέπει την αναγραφή «ψευδωνύµων» του υπογράφοντα, ακόµη και σε αναγνωρισµένα πιστοποιητικά (άρθρο 8 σε συνδυασµό και µε περ. γ του Παραρτήµατος Ι) µε προϋπόθεση όµως, την εξακρίβωση της πραγµατικής ταυτότητας των υποκειµένων πιστοποίησης από τους ΠΥΠ και την διατήρηση των σχετικών αποδεικτικών στοιχείων (Παράρτηµα ΙΙ περ. θ, σε συνδυασµό και µε Προοίµιο 25). Επιβάλλει την αµοιβαία αναγνώριση και την ελεύθερη κυκλοφορία των «προϊόντων ηλεκτρονικής υπογραφής» στην εσωτερική αγορά (άρθρο 4), ενώ προσδιορίζει τους όρους για την νοµική αναγνώριση ηλεκτρονικών υπογραφών που εκδίδονται από ΠΥΠ που είναι εγκατεστηµένοι σε τρίτες χώρες (άρθρο 7). Επιτροπή Τηλεπικοινωνιών & Ταχυδροµείων» ( ΕΕΤΤ ), όπου όµως, σε αντίθεση µε τα προβλεπόµενα στην Οδηγία, δεν περιορίζει την εποπτεία της µόνο στους ΠΥΠ που εκδίδουν «αναγνωρισµένα πιστοποιητικά», αλλά την επεκτείνει, σύµφωνα µε την ίδια παράγραφο, και σε «κάθε εγκατεστηµένο στην Ελλάδα ΠΥΠ», ζητώντας του να καταχωρηθεί στο µητρώο του (ακόµη και ένας χρήστης του PGP?!?)! 9 Οι Πάροχοι Υπηρεσιών Πιστοποίησης (ΠΥΠ) που δεν εκδίδουν «αναγνωρισµένα πιστοποιητικά», υπόκεινται στις γενικές διατάξεις περί ευθύνης! (βλέπε και προοίµιο 22 της Οδηγίας) 10 οι οποίοι πρέπει να τηρούν τα κριτήρια αντικειµενικότητας & αξιοπιστίας της απόφασης της Επιτροπής Ηλεκτρονικής Υπογραφής της (Ε (2000) 3179), όπως άλλωστε προβλέπει και το άρθρο 4 2 του ελληνικού π.δ. 150/2001. Σελ. 4 από 18

5 S Η Οδηγία προβλέπει την σύσταση ειδικής «Επιτροπής Ηλεκτρονικής Υπογραφής» (άρθρο 9) η οποία είναι αρµόδια να διευκρινίζει τις λεπτοµέρειες των όποιων κριτηρίων ή/και των προτύπων που σχετίζονται µε την εφαρµογή της (άρθρο 10), καθώς και να επανεξετάσει την εφαρµογή της Οδηγίας έως τις 19 Ιουλίου 2003, µε σκοπό την αξιολόγηση της «κτηθείσας εµπειρίας από την εφαρµογή της» και την σύνταξη σχετικών προτάσεων σε περίπτωση που τυχόν κριθεί αναγκαία η αναθεώρησή της (άρθρο 12) ιαδικασία, φορείς, & πορίσµατα της προτυποποίησης ( εξειδίκευσης ) της Οδηγίας Η Οδηγία έθετε, κατά αρχήν, τις βάσεις και τις αρχές πάνω στις οποίες θα έπρεπε να στηθεί ένα ολόκληρο ασφαλές σύστηµα αντικατάστασης των παραδοσιακών µεθόδων απόδειξης των δικαιοπραξιών, υπό το πρίσµα της χρησιµοποίησης των κρυπτογραφικών µεθόδων της ψηφιακής υπογραφής στα διάφορα ιδιωτικά αλλά και δηµόσια ψηφιακά έγγραφα. Έτσι, εκτός από την άµεση γενική αποδοχή των υφιστάµενων ηλεκτρονικών µεθόδων ηλεκτρονικής υπογραφής που επέβαλλε, θεώρησε, λοιπόν, σκόπιµο να περιγράψει και να προσδιορίσει ένα ιδεατό ασφαλές & αξιόπιστο σύστηµα υπηρεσιών πιστοποίησης και υπογραφών, αποτελούµενο από προδιαγεγραµµένες διαδικασίες και προϊόντα ( αναγνωρισµένα πιστοποιητικά, ασφαλείς διατάξεις δηµιουργίας υπογραφής, αξιόπιστους παρόχους υπηρεσιών πιστοποίησης, συστάσεις για την ορθή επαλήθευση των υπογραφών 12, κ.ά), µε πρωταρχικό γνώµονα την ικανοποίηση αυτών των βασικών αρχών 13, παραµερίζοντας το πραγµατικό δεδοµένο της (προσωρινής) έλλειψης συγκεκριµένων προϊόντων και µεθόδων που θα εξασφάλιζαν όλες τις αυστηρές προϋποθέσεις που όριζε για το ιδεατό αυτό σύστηµα! Η Οδηγία, λοιπόν, τηρώντας την κυριολεξία του τίτλου της, δεν περιορίστηκε στην παράθεση µόνο κάποιων διαχειριστικών κανόνων για την χρήση της υπάρχουσας τεχνολογίας, αλλά προσδιόρισε, επίσης, στόχους οι οποίοι έπρεπαν να επιτευχθούν! Και ιδίως στον πρωτόγνωρο και δαιδαλώδες κόσµο της τεχνολογικής καινοτοµίας, αυτό δεν µπορεί να γίνει παρά µόνο µε την (προ-) 11 Σχετική µελέτη έχει ήδηανατεθεί στο Πανεπιστήµιο του Leuven (ICRI) και την νοµική εταιρία «Landwell» Βελγίου, της οποίας εκπρόσωποι σε πρόσφατο διεθνές meeting του EESSI µε θέµα European Signature vs Global Signatures (Ρώµη, 7 Απριλίου) δήλωσαν ότι «δεν διακρίνουν ιδιαίτερους λόγους για να εισηγηθούν αναθεώρηση της Οδηγίας»! Παράλληλα, η Γενική ιεύθυνση της Κοινωνίας της Πληροφορίας της Ευρωπαϊκής Επιτροπής, εξέδωσε ανοικτό κάλεσµα (βλ. CEN/ISSS WSES No ) για την υποβολή απόψεων σχετικά µε την προβλεπόµενη αναθεώρηση της Οδηγίας 99/93 έως τα τέλη Αυγούστου του 2003, µε σκοπό να υποβάλλει την σχετική αναφορά της προς το Ευρωπαϊκό Κοινοβούλιο και το Συµβούλιο, έως το τέλος τους έτους. 12 Βλ. σχετικά και το Παράρτηµα IV της Οδηγίας. 13 όπως π.χ. τις αρχές της ασφάλειας των συναλλαγών, της προστασίας του καταναλωτή (υπογράφοντα ή αποδέκτη του πιστοποιητικού), της υπεύθυνης πιστοποίησης από τους ΠΥΠ, της προστασίας δεδοµένων Σελ. 5 από 18

6 τυποποίηση, µετά, όµως, από διαρκή διαβούλευση & συνεργασία µεταξύ όλων των εµπλεκοµένων: Βιοµηχανία Πληροφορικής, ηµόσια ιοίκηση, Πάροχοι Υπηρεσιών, Ερευνητικά Ιδρύµατα- Πανεπιστήµια, τελικοί χρήστες & καταναλωτικές ενώσεις. Και αυτό, πηγάζει από το ίδιο το γράµµα της Οδηγίας, η οποία, -στα άρθρα 3 5 & 10-, αναφέρει ότι η Επιτροπή του άρθρου 9 µπορεί να δηµοσιεύει και να διευκρινίζει γενικώς αναγνωρισµένα πρότυπα 14. Σε διεθνές επίπεδο, σηµαντικό ρόλο στην προτυποποίηση και στην αποδοχή κοινών πρακτικών σε γενικότερα θέµατα που σχετίζονται µε την ανάπτυξη του internet & των τηλεπικοινωνιών και µεταξύ αυτών και σε θέµατα διαλειτουργικότητας ηλεκτρονικών υπογραφών, έχουν οι φορείς Internet Engineering Task Force (IETF, -που εκδίδει συνήθως κείµενα µε τον τίτλο /Request for Comments / RFCs ), WWW Consortium (W3C), International Organization for Standardization (ISO) και International Trade Union (ITU). Σε ευρωπαϊκό επίπεδο, λόγω της ιδιαιτερότητας της ευρωπαϊκής νοµοθεσίας και της έντονης ανάγκης για διαλειτουργικότητα µεταξύ των εθνικών εφαρµογών των κρατών-µελών, έχει συγκροτηθεί η συλλογική πρωτοβουλία European Electronic Signature Standardization Initiative (EESSI) η οποία είναι εντεταγµένη στο πλάνο δράσης eeurope και υποστηρίζεται από το ICT Standards Board. Η EESSI, σε στενή συνεργασία µε τα αρµόδια τµήµατα των αναγνωρισµένων ευρωπαϊκών οργανισµών προτυποποίησης European Telecommunication Standardization Institute (ETSI) και Comité Européen de Normalisation (CEN) καθώς και άλλων διεθνών οργανισµών προτυποποίησης, διαµέσου των πολυάριθµων εξειδικευµένων οµάδων εργασίας και των σχετικών µηχανισµών διαβούλευσης που έχει αναπτύξει, έχει ήδη προχωρήσει σε σηµαντικό βαθµό στην κοινή αποδοχή και την καταγραφή τεχνικών και διαδικαστικών προδιαγραφών, µε έµφαση στην ασφάλεια, στην χρηστικότητα και στην διαλειτουργικότητα των ηλεκτρονικών υπογραφών. Μερικά, µόνο, από τα πιο σηµαντικά κείµενα που έχουν παραχθεί στα πλαίσια του EESSI 15, (µε µια µικρή περίληψη του περιεχοµένου τους), είναι τα εξής: προσωπικού χαρακτήρα, κ.ά. 14 στα οποία πρέπει να συµµορφώνονται όλοι οι Πάροχοι Υπηρεσιών που θα θελήσουν να διαπιστευτούν για τις υπηρεσίες τους, καθώς και όλοι οι κατασκευαστές «ασφαλών διατάξεων δηµιουργίας υπογραφής» που θα πρέπει να λάβουν διαπίστωση για την ασφάλεια των προϊόντων τους! 15 τα οποία η Ευρωπαϊκή Επιτροπή, µε την πρόταση της Επιτροπής Ηλεκτρονικής Υπογραφής του άρθρου 9 της Οδηγίας, ετοιµάζεται σύντοµα να αναγνωρίσει ως γενικώς αποδεκτά πρότυπα και να τα δηµοσιεύσει στην Επίσηµη Εφηµερίδα των Ευρωπαϊκών Κοινοτήτων, σύµφωνα και µε πρόσφατη κοινή ανακοίνωση όλων των παραπάνω αναφερόµενων φορέων! [Σ.Σ.: οπότε, αναγκαστικά θα µεταφραστούν τα κείµενα αυτά και στην Ελληνική γλώσσα, κάτι που δυστυχώς δεν έγινε από κανέναν δηµόσιο ή ιδιωτικό φορέα στην Ελλάδα κατά την περίοδο των σχετικών διαβουλεύσεων υστυχώς, παρά τις διακηρύξεις και τις προσπάθειες που έχουν γίνει ως τώρα για µια πολυγλωσσική διοίκηση στην Ε.Ε., ισχύει ακόµη σήµερα το όποιος δεν µιλάει άπταιστα αγγλικά, δεν συµµετέχει στο σχεδιασµό του µέλλοντος στην Ευρώπη. Αυτό Σελ. 6 από 18

7 E ETSI TS Electronic Signature Formats Καθορίζει και αναλύει τις κλιµακωτές µορφές που µπορεί να λάβει µια προηγµένη ηλεκτρονική υπογραφή, ανάλογα µε τις επιπλέον πληροφορίες (π.χ., χρονοσήµανση, λίστες ανακληθέντων πιστοποιητικών, απαιτούµενη αλυσίδα θεµελίωσης των πιστοποιητικών, προσδιορισµό εφαρµόσιµης Πολιτικής Υπογραφής, κ.λ.π.) που την συνοδεύουν, και η εξ αυτού του γεγονότος ανάγκη για υιοθέτηση προκαθορισµένων Πολιτικών Υπογραφής (Signature Policies) που θα προσδιορίζουν τους όρους για την δηµιουργία και την αποδοχή των ηλεκτρονικών υπογραφών σε συγκεκριµένες συναλλακτικές κοινότητες. Επίσης, αναγνωρίζει την ανάγκη για χρήση Πιστοποιητικών Χρονοσήµανσης (Time-stamp Certificates) ή µηχανισµών Έµπιστης Αρχειοθέτησης (Trusted Archiving services) για την επίτευξη µιας ολοκληρωµένης ηλεκτρονικής υπογραφής η οποία θα έχει αξιώσεις διατήρησης του κύρους της για µακροχρόνια επαλήθευση (Long-time Validation). E ETSI TS Policy requirements for CAs issuing Qualified Certificates Στο πρότυπο αυτό ορίζονται δύο (2) παραλλαγές µιας βασικής Πολιτικής Αναγνωρισµένων Πιστοποιητικών ( Qualified Certificate Policy ) µε τις κωδικές ονοµασίες QCP και QCP+SSCD (όπου η δεύτερη απαιτεί επιπρόσθετα και την χρήση ασφαλούς διάταξης δηµιουργίας υπογραφής ). Οι Πολιτικές αυτές, προσδιορίζοντας ένα σύνολο από απαραίτητες διαχειριστικές και τεχνικές πρακτικές για την έκδοση «αναγνωρισµένων πιστοποιητικών», µπορούν να χρησιµοποιηθούν ως «σηµεία αναφοράς» 16 για την επίτευξη διαλειτουργικότητας µεταξύ των διάφορων εφαρµογών που χρησιµοποιούν ηλεκτρονικές υπογραφές µε «αναγνωρισµένα πιστοποιητικά», αλλά και για τον έλεγχο της αξιοπιστίας στις διαδικασίες που όµως έρχεται σε αντίφαση µε την επιδιωκόµενη καθιέρωσης µιας πραγµατικής ηλεκτρονικής ηµοκρατίας (e- Democracy)! Γνώµη µου είναι ότι, εάν όχι ο ΕΛΟΤ, κάποιος άλλος έστω, θα έπρεπε να αναλαµβάνει την µεταγλώττιση στην Ελληνική και δηµοσίευση όλων αυτών των σηµαντικών draft νοµικο-τεχνικών προτύπων, καθώς και να συλλέγει και να µεταφέρει συγκεντρωµένα τις απόψεις ακόµη και του απλού χρήστη (των υπηρεσιών που ρυθµίζονται ), στους σχετικούς διεθνείς φορείς. Αυτός ο άλλος θα µπορούσε να ήταν ακόµη κι ένας υπεύθυνος µηχανισµός διαβούλευσης όπως είναι π.χ. το νεοσυσταθέν ελληνικό e-government Forum!]. 16 Π.χ. µέσω της χρήσης των (παγκοσµίως µοναδικών) «κωδικών ταυτοποίησης αντικειµένου» (OID) που έχουν ορισθεί για αυτές τις δύο Πολιτικές (ήτοι ο OID για την Πολιτική QCP+SSCD και ο για την QCP, -βλ. σχετικά παράγρ. 5.2 Identification του προτύπου). Σηµειώνεται, όµως, ότι οι Πολιτικές αυτές είναι πολιτικές-πρότυπα (δηλ. µε αρκετές εναλλακτικές επιλογές ) και έτσι, για πολλές εφαρµογές απαιτείται η συγγραφή πιο εξειδικευµένων Πολιτικών Αναγνωρισµένων Πολιτικών (π.χ. που να ορίζουν λεπτοµέρειες σχετικά µε τα στοιχεία του υποκειµένου που θα εµφανίζονται στο αναγνωρισµένο πιστοποιητικό!), µε δικό τους κωδικό ταυτοποίησης (OID) ο οποίος θα πρέπει να αναγράφεται στο σχετικό πεδίο (Certificate Policy) των πιστοποιητικών, πιθανώς ταυτόχρονα [σσ: επιτρέπεται αυτό από το RFC 3280!] µε έναν από τους παραπάνω OIDs, δηλώνοντας (και) µ αυτό τον τρόπο την συµβατότητά τους µε κάποια από τις δύο αυτές Πολιτικές! Σελ. 7 από 18

8 ακολουθεί ο ΠΥΠ κατά την έκδοση και την µετέπειτα διαχείριση των πιστοποιητικών αυτών. Επίσης, στο Παράρτηµα Α (Annex A) του κειµένου αυτού αναλύονται σηµαντικά θέµατα σχετικά µε την ευθύνη των ΠΥΠ, ενώ στο Παράρτηµα B (Annex B) δίνεται ένα υπόδειγµα δοµής για µια Συνοπτική ιακήρυξη Υποδοµής ηµοσίου Κλειδιού ( PKI Disclosure Statement - PDS ) την οποία µπορεί να διαθέτει ένας ΠΥΠ προς ενηµέρωση κάθε ενδιαφερόµενου (-βλέπε περ. ια Παραρτ. ΙΙ της Οδηγίας). E ETSI TS Policy requirements for CAs issuing Public Key Certificates Το πρότυπο αυτό, θέλοντας να καλύψει την µονοµέρεια των ρυθµίσεων της Οδηγίας (που περιορίζονται κυρίως στα αναγνωρισµένα πιστοποιητικά), ορίζει ακόµη τρεις (3) παραλλαγές µιας Πολιτικής Πιστοποιητικών ηµοσίων Κλειδιών οι οποίες προορίζονται για εφαρµογές που δεν απαιτούν «αναγνωρισµένα» πιστοποιητικά (π.χ. για υπογραφές αυθεντικότητας ή για υποστήριξη κρυπτογράφησης/εµπιστευτικότητας ) 17! Οι Πολιτικές αυτές, έχουν κωδικές ονοµασίες LCP, NCP, και NCP+, και, -µε εξαίρεση την πρώτη παραλλαγή που αφορά πιστοποιητικά µε χαµηλότερο επίπεδο ασφάλειας ( Lightweight Certificate Policy )-, οι τελευταίες δύο παραλλαγές αφορούν Κανονικοποιηµένα ( Normalized ) πιστοποιητικά µε επίπεδα ασφάλειας αντίστοιχα µε αυτά που ορίζονται για τις δύο παραπάνω «Πολιτικές Αναγνωρισµένων Πιστοποιητικών» (QCP και QCP+SSCD αντίστοιχα) του TS , χωρίς όµως ο ΠΥΠ που τα εκδίδει να υπόκειται άµεσα στις ευθύνες του άρθρου 6 της Οδηγίας! E CWA Security Requirements for Trustworthy Systems managing certificates for ES Σκοπός του κειµένου αυτού είναι να εξειδικεύσει τον όρο αξιόπιστα συστήµατα που αναφέρεται στην περ. στ του Παραρτήµατος ΙΙ της Οδηγίας, καθώς και άλλα σχετικά (τεχνικά & διαδικαστικά) θέµατα ασφάλειας και αξιοπιστίας που αναφέρονται σ αυτήν (ιδίως στις περ. α, β, γ, ζ, θ, ι & ιβ του Παραρτ. ΙΙ) ή/και στις παραπάνω Πολιτικές Πιστοποιητικών ( αναγνωρισµένων και µη), και θέτει όρους στους οποίους πρέπει να συµµορφώνονται οι ΠΥΠ, 17 Άποψή µου είναι, ότι κατά το γράµµα και µάλλον και κατά το πνεύµα- της Οδηγίας δεν υπάρχει πρόβληµα για την έκδοση & χρήση «αναγνωρισµένων πιστοποιητικών», [µε την έννοια: α) της ύπαρξης ένδειξης ότι το πιστοποιητικό είναι αναγνωρισµένο δες παρακάτω σχετικά µε το πρότυπο ETSI TS και, β) της βάσει της παραπάνω ένδειξης- ανάληψης της υψηλής ευθύνης του άρθρου 6 της Οδηγίας από τον ΠΥΠ που το εκδίδει], για κάθε άλλου είδους (προσδιορισµένη) χρήση, ακόµη και για υπογραφές αυθεντικότητας ή ταυτοποίησης! Όµως, λόγω έλλειψης άλλων κατάλληλων µεθόδων για τον τεχνικό περιορισµό της χρήσης ενός πιστοποιητικού σε συγκεκριµένα είδη υπογραφής, η διακριτή κατηγορία των «αναγνωρισµένων ηλεκτρονικών υπογραφών» και, αντίστοιχα, των «αναγνωρισµένων πιστοποιητικών» που τις υποστηρίζουν, έχει επικρατήσει να ταυτίζεται µε το είδος εκείνο της υπογραφής που σχετίζεται µόνο µε την δεσµευτική έκφραση (non repudiation) της δήλωσης βουλήσεως του υπογράφοντα (sign of will ). Βλέπε σχετικά το κείµενο CWA Guide on the use of Electronic Signatures του CEN, καθώς και το επόµενο Κεφάλαιο αυτής της παρουσίασης σχετικά µε τις κατηγορίες & τα είδη ηλεκτρονικών υπογραφών & πιστοποιητικών. Σελ. 8 από 18

9 ιδίως στην περίπτωση που επιθυµούν να διαπιστευτούν εθελοντικά ως προς την αξιοπιστία τους! Στο πρώτο µέρος του (Part 1: System Security Requirements) το πρότυπο αναλύει τις επιµέρους υπηρεσίες ενός ΠΥΠ που σχετίζονται µε την έκδοση & διαχείριση των ηλεκτρονικών πιστοποιητικών 18 και ορίζει διάφορα εξειδικευµένα µέτρα ασφαλείας για κάθε µία από αυτές. Στα άλλα δύο µέρη του (Part 2 & 3) το πρότυπο αναλύει απαιτήσεις ασφαλείας (Protection Profiles) των κρυπτογραφικών συσκευών (modules) που χρησιµοποιούν οι ΠΥΠ για την υπογραφή πιστοποιητικών και την δηµιουργία κλειδιών. E ETSI TS Qualified Certificate Profile Με το πρότυπο αυτό, και σε συνδυασµό µε τις σχετικές προβλέψεις του οµώνυµου κειµένου RFC 3039 του οργανισµού IETF, καθορίζεται ο τρόπος αλλά και το ακριβές κείµενο!- µε τον οποίο θα εµφανίζονται στα πεδία (µορφής X.509 v.3) και στο κείµενο της συγκεκριµένης Πολιτικής Πιστοποιητικού ενός «αναγνωρισµένου πιστοποιητικού», οι προβλεπόµενες (περ. α, θ & ι του Παραρτήµατος Ι της Οδηγίας) δηλώσεις του ΠΥΠ σχετικά µε τα επιτρεπτά όρια στις συναλλαγές και τους περιορισµούς στην χρήση των πιστοποιητικών, καθώς και της ένδειξης ότι το πιστοποιητικό εκδίδεται ως «αναγνωρισµένο»! E ETSI TS Policy requirements for time-stamping authorities Ορίζει προδιαγραφές για την έκδοση «πιστοποιητικών χρονοσήµανσης» E CWA Guide on the use of Electronic Signatures Το κείµενο αυτό αναλύει και εξηγεί την λειτουργία και την σηµασία των ηλεκτρονικών υπογραφών από τεχνική, λειτουργική και νοµική πλευρά, δίνει ορισµούς για τέσσερα διαφορετικά είδη (λειτουργίες) των υπογραφών 19 και εξετάζει τους δυνατούς συνδυασµούς υπογραφών µε αναγνωρισµένα ή όχι πιστοποιητικά, καθώς και µε χρήση ή όχι ασφαλούς διάταξης δηµιουργίας υπογραφής! Επίσης, στο παράρτηµά του αναφέρει κάποια ενδεδειγµένα µέτρα προστασίας ( Protection Profiles ) για διατάξεις δηµιουργίας υπογραφής. E CWA / CWA Secure Signature-Creation Devices, version 'EAL 4'/EAL 4+' Τα δύο αυτά πρότυπα ορίζουν δύο παραλλαγές για µέτρα προστασίας ( Protection Profiles ) προς τις ασφαλείς διατάξεις δηµιουργίας υπογραφής, ώστε να παρέχουν επίπεδο ασφάλειας 18 Ήτοι, τις υποχρεωτικές υπηρεσίες Καταχώρησης/Εγγραφής (Registration), Έκδοσης Πιστοποιητικών (Cert. Generation), ηµοσίευσης/καταλόγου (Cert. Dissemination), & ιαχείρισης/ελέγχου Ανάκλησης (Revocation management & Status provision), καθώς και τις προαιρετικές υπηρεσίες Προετοιµασίας /Προµήθειας Συσκευής Υποκειµένων (Subject Device Provision) και Χρονοσήµανσης (Time-Stamping). 19 Βλέπε σχετικό Πίνακα για τα είδη υπογραφών και πιστοποιητικών στο επόµενο Κεφάλαιο Σελ. 9 από 18

10 ( Evaluation Assurance Level ) βαθµού 4 -ή και µεγαλύτερου κατά το CWA , σύµφωνα µε την διαβάθµιση που ορίζεται στα Κοινά Κριτήρια ( Common Criteria ) του διεθνούς προτύπου ISO IS E CWA Security Requirements for Signature Creation Systems' Αναλύει και περιγράφει όλες τις απαιτήσεις ασφαλείας που πρέπει να ικανοποιούν τα συστήµατα δηµιουργίας υπογραφής και οι σχετικές εφαρµογές τους, ακόµη και σε σύνθετες καταστάσεις, (όπως π.χ. η εναπόθεση πολλαπλών ηλεκτρονικών υπογραφών σε ένα έγγραφο)! E ETSI TS XML Advanced Electronic Signature (XAdES) Ορίζει τρόπους µε τους οποίους οι προηγµένες ηλεκτρονικές υπογραφές και οι πρόσθετες πληροφορίες τους θα µπορούσαν να σχηµατοποιηθούν σε µορφή XML. E ETSI TR Identification of requirements for attribute certification Καταγράφει -ως Report - τις ανάγκες για χρήση διαφορετικών ρόλων και ιδιοτήτων από τους υπογράφοντες, θέτοντας την βάση για την έκδοση ενός προτύπου 20 σχετικά µε τις απαιτήσεις µιας Πολιτικής Πιστοποιητικών Ιδιοτήτων E Την παραπάνω λίστα συµπληρώνουν αρκετά ακόµη (νοµικο-)τεχνικά πρότυπα (Technical Specifications- TS ) και αναφορές (Technical Reports- TR ) από τον ETSI, καθώς και πολλές συµφωνίες εργασίας (CEN Workshop Agreements CWA ) του CEN. Εξίσου σηµαντική δουλειά όµως, έχει γίνει και από το eeurope Smart Card Charter (eesc), το οποίο, -όπως φαίνεται και από την ονοµασία του-, αποτελεί την επίσηµη ατµοµηχανή για την προτυποποίηση και την προώθηση της χρήσης των έξυπνων καρτών στην Ευρώπη, βασικό στρατηγικό στόχο του σχεδίου δράσης eeurope 21!. Το eesc, έχοντας δηµιουργήσει 13 κάθετες (Health, e-goverment, e-payment, Public Transport) και οριζόντιες (User Requirements, Identification, Authentication & Signatures, Security, Smart-card Technologies, κ.λπ..) ειδικές οµάδες εργασίας (Trailblazers), έχει δηµοσιεύσει ένα ολοκληρωµένο σύνολο από τεχνικές προδιαγραφές, αναλύσεις και σχεδιασµούς ( White Papers ) για µια Ανοικτή Υποδοµή Έξυπνων 20 Ήδη έχει ανατεθεί στην ειδική οµάδα εµπειρογνωµόνων ( Special Task Force - STF ) 220, η σύνταξη ενός σχετικού προτύπου (ETSI TS Policy requirements for CSPs issuing attribute certificates )! 21 Επειδή οι smart cards µπορούν να αποτελέσουν ταυτόχρονα ασφαλές προσωπικό (µετα-)φορέα των ιδιωτικών κλειδιών µας (& των σχετικών πιστοποιητικών τους) και µέρος µιας ασφαλούς διάταξης δηµιουργίας (ηλεκτρονικής) υπογραφής, ενώ παράλληλα µπορούν και να αποθηκεύουν στοιχεία που θα απαιτούνται για διάφορες άλλες υπηρεσίες, θεωρούνται ιδανικό εργαλείο για την υποστήριξη πολλαπλών εφαρµογών ενός χρήστη που θα σχετίζονται µε ηλεκτρονικές υπογραφές, ηλεκτρονικές πληρωµές και πρόσβαση σε υπηρεσίες του ιδιωτικού και του δηµόσιου τοµέα. Σελ. 10 από 18

11 Καρτών για την Ευρώπη ( Open Smart Card Infrastructure for Europe OSCIE) 22, που ενσωµατώνουν ικανοποιητικά -όπου απαιτείται- τα παραπάνω νοµικοτεχνικά πρότυπα του EESSI, ανοίγοντας τον δρόµο για την πρακτική εφαρµογή των ηλεκτρονικών υπογραφών σε περιβάλλον πολλαπλών δια-λειτουργικών εφαρµογών. 4. Κατηγορίες & είδη των ηλεκτρονικών υπογραφών και των ηλεκτρονικών πιστοποιητικών Η ευρωπαϊκή οδηγία, ταξινοµεί όλες τις ηλεκτρονικές υπογραφές, στις εξής τρεις (3) κατηγορίες: E «απλές ηλεκτρονικές υπογραφές», (άρθρο 2, περ. 1), στις οποίες περιλαµβάνονται κάθε µορφής ηλεκτρονικά δεδοµένα τα οποία σχετίζονται µε άλλα ηλεκτρονικά δεδοµένα ώστε να χρησιµεύσουν ως µέθοδος απόδειξης της γνησιότητας 23 των δεδοµένων αυτών, E «προηγµένες ηλεκτρονικές υπογραφές» 24 (άρθρο 2, περ. 2), οι οποίες παρέχουν τεχνολογικά τις εξής ιδιότητες: α) συνδέονται µονοσήµαντα µε τον υπογράφοντα, β) είναι ικανές να ταυτοποιούν τον υπογράφοντα, γ) δηµιουργούνται µε µέσα τα οποία να µπορεί ο υπογράφων να διατηρήσει υπό τον αποκλειστικό του έλεγχο, και δ) συνδέονται µε τέτοιο τρόπο στα δεδοµένα που αναφέρονται ώστε να είναι δυνατός ο εντοπισµός κάθε επακόλουθης αλλοίωσής τους 25, E «αναγνωρισµένες ηλεκτρονικές υπογραφές» (έµµεσος ορισµός από το άρθρο 5 1), οι οποίες διαφοροποιούνται από τις παραπάνω προηγµένες ηλεκτρονικές υπογραφές, µε το γεγονός ότι 22 Η επίσηµη παρουσίαση της δεύτερης συνολικής έκδοσης ( OSCIE v2 ) αυτών των -περίπου 50!- κειµένων του eesc ( βλ. links για όλα τα κείµενα σε θα γίνει σύντοµα (στις 4 & 5 Ιουνίου 2003) σε πανηγυρική ανοικτή συνεδρίαση (Open Meeting) στην Αθήνα, στα πλαίσια και των δραστηριοτήτων της Ελληνικής Προεδρίας της Ε.Ε. 23 Σ αυτήν την κατηγορία ανήκουν κάθε είδους δηλωτικά της προέλευσης ηλεκτρονικά στοιχεία που σχετίζονται µε -ή περιέχονται σε- ένα ηλεκτρονικό αρχείο, ακόµη και η απλή ηλεκτρονική αναφορά του ονόµατος του συντάξαντα στο τέλος ενός ηλεκτρονικού εγγράφου, ή ακόµη και οι συνηµµένες εγγραφές ενός MIME-συµβατού αρχείου ηλεκτρονικού ταχυδροµείου, οι οποίες αναφέρουν την ηλεκτρονική διεύθυνση (=ψευδώνυµο?) του αποστολέα!!! Επίσης, σ αυτήν την περίπτωση θα µπορούσαµε να κατατάξουµε και την περίφηµη Απόφαση ιαταγής Πληρωµής 1327/2001 του Πρ.Πρωτ.Αθ., η οποία, αναγνωρίζοντας ότι «Η µοναδική, για κάθε χρήστη, ηλεκτρονική διεύθυνση, που έχει ορισθεί και εφαρµοστεί από τον ίδιο τον αποστολέα, έχει τον χαρακτήρα της ιδιόχειρης υπογραφής», εφάρµοσε το άρθρο 5 2 της Οδηγίας, σε συνδυασµό µε τον ορισµό της (απλής) ηλεκτρονικής υπογραφής που δίδεται στο άρθρο 2 αυτής! Σύµφωνα µ αυτόν τον ορισµό, η συνηµµένη ηλεκτρονική αναγραφή της ηλεκτρονικής διεύθυνσης του χρήστη στο µήνυµα, αποτελεί «δεδοµένο που χρησιµεύει ως µέθοδος απόδειξης της γνησιότητας», και άρα, αφού ο δικαστής διαπίστωσε την «δεδοµένη ταυτοποίηση του ( υπογράφοντα ) κατόχου της ηλεκτρονικής διεύθυνσης» και την «άρρηκτη ( κατά την κρίση του-) ταύτιση (της υπογραφής) µε το περιεχόµενο του µηνύµατος» κατέληξε στο παραδεκτό (κάτω πάντα από τις συγκεκριµένες περιστάσεις) της επίδικης ηλεκτρονικής υπογραφής ως αποδεικτικό στοιχείο. 24 Οι οποίες ταυτίζονται και µε τον ορισµό των «ψηφιακών υπογραφών» του άρθρου 14 του νόµου 2672/98! 25 Η µόνη τεχνολογία σήµερα που παρέχει τις συγκεκριµένες δυνατότητες, είναι η τεχνολογία της «ασύµµετρης κρυπτογράφησης» (µε ιδιωτικό και δηµόσιο κλειδί) σε συνδυασµό µε «πιστοποιητικά δηµοσίων κλειδιών» (είτε µε κεντρική υποδοµή δηµοσίου κλειδιού τύπου PKI, είτε µε αποκεντρωµένη Σελ. 11 από 18

12 απαιτούνται ως πρόσθετοι όροι για την δηµιουργία τους: α) η υποστήριξή τους από αναγνωρισµένο πιστοποιητικό (το οποίο εκδίδεται από ΠΥΠ που ικανοποιεί τις προϋποθέσεις του Παραρτήµατος ΙΙ) και, β) η χρήση ασφαλούς διάταξης δηµιουργίας υπογραφής (όπως αυτή ορίζεται από το Παράρτηµα ΙΙΙ και εξειδικεύεται από τα σχετικά πρότυπα που αναφέρονται στο άρθρο 3 5) από τον υπογράφοντα. Η Οδηγία αναγνωρίζει άµεσα ως ισότιµες µε τις ιδιόχειρες υπογραφές που θέτονται σε χάρτινα έγγραφα, µόνο την τελευταία κατηγορία υπογραφών, ενώ δεν αποκλείει την αποδεικτική δύναµη κάθε άλλου τύπου ηλεκτρονικών υπογραφών η οποία δεν τηρεί κάποια ή κάποιες από τις παραπάνω προϋποθέσεις για την δηµιουργία «αναγνωρισµένων ηλεκτρονικών υπογραφών». Εδώ αξίζει να σηµειωθεί και µια ενδιάµεση κατηγορία στην οποία αναφέρεται η Οδηγία (στο Προοίµιο 20) µε τον όρο «προηγµένες ηλεκτρονικές υπογραφές που βασίζονται σε αναγνωρισµένο πιστοποιητικό» (αλλά που δεν παράγονται µε «ασφαλή» διάταξη δηµιουργίας υπογραφής, όπως απαιτείται για τις «αναγνωρισµένες υπογραφές»), για τις οποίες αναγράφεται χαρακτηριστικά ότι «στοχεύουν σε υψηλότερο επίπεδο ασφάλειας» 26! Η διάκριση αυτής της ενδιάµεσης κατηγορίας έχει µεγάλη σηµασία για τους εφαρµοστές της Οδηγίας, αφού η κατηγορία αυτή αποτελεί το πλησιέστερο (σε επίπεδο ασφάλειας και αξιοπιστίας) υποκατάστατο της «αναγνωρισµένης ηλεκτρονικής υπογραφής» που προβλέπει η Οδηγία, το οποίο µπορεί στην πράξη να παρασχεθεί σήµερα στο ευρύ κοινό από τους παρόχους υπηρεσιών ηλεκτρονικής-ψηφιακής πιστοποίησης (Π.Υ.Π./C.S.P.)! Και αυτό διότι ακόµη, δεν παρέχονται σε ικανοποιητικό βαθµό από τους κατασκευαστές εκείνα τα ολοκληρωµένα ασφαλή συστήµατα (π.χ. τερµατικά µε ασφαλείς smartcard readers, ειδικό λογισµικό & πρωτόκολλα ασφαλούς επικοινωνίας µεταξύ των χρησιµοποιούµενων για την δηµιουργία υπογραφής περιφερειακών µονάδων, ασφαλές λειτουργικό σύστηµα, κ.λ.π.) που θα µπορούσαν να θεωρηθούν συνολικά ως «ασφαλή διάταξη δηµιουργίας υπογραφής», ούτε και οι πρακτικές εκείνες που θα επιβεβαιώνουν στον αποδέκτη της ηλεκτρονικής υπογραφής ότι η συγκεκριµένη υπογραφή «δηµιουργήθηκε µε την χρήση ασφαλούς διάταξης»! (που αποτελεί ουσιαστική προϋπόθεση για την δηµιουργία µιας αυστηρά «αναγνωρισµένης ηλεκτρονικής υπογραφής», σύµφωνα και µε την γραµµατική ερµηνεία της Οδηγίας!) 27. υποδοµή πιστοποίηση αυτών, τύπου PGP!) 26 Για µια κατατοπιστική ανάλυση όλων των διαφορετικών συνδυασµών που σχηµατίζουν τα διάφορα είδη ηλεκτρονικών υπογραφών, καθώς και για την νοµική αξία που απολαµβάνουν συγκριτικά αυτά τα είδη, βλ. το κείµενο του CWA 14365: Guide on the Use of Electronic Signatures. 27 Πολλά σχετικά τεχνικά πρότυπα που έχουν εκδοθεί για να εξειδικεύσουν τον όρο «ασφαλή διάταξη δηµιουργίας υπογραφής» ορίζοντας κατάλληλες προδιαγραφές για τα διάφορα χρησιµοποιούµενα περιφερειακά, (όπως π.χ. το πρότυπο FINREAD από τον CEN/ISSS για ασφαλείς smart-card readers, -βλέπε σχετικά έχουν εκδοθεί αρκετά πρόσφατα και άρα δεν έχουν ακόµη διατεθεί από τους Σελ. 12 από 18

13 Τα ηλεκτρονικά πιστοποιητικά από την άλλη, µπορούν να διακριθούν σε διάφορες κατηγορίες, ανάλογα µε τα ιδιαίτερα χαρακτηριστικά τους, όπως π.χ. «αναγνωρισµένα» ή όχι πιστοποιητικά (ανάλογα µε το αν ικανοποιούν τους όρους της Οδηγίας ή όχι), πιστοποιητικά «επώνυµα» ή «ψευδώνυµα» (ανάλογα µε την Πολιτική Ονοµασίας που ακολουθούν 28 ), ισχύοντα, παυθέντα, ή ανακληθέντα (ανάλογα µε την τρέχουσα κατάσταση της ισχύος τους), ετήσια ή διετή κ.ο.κ. (ανάλογα µε την αρχικά προβλεπόµενη διάρκεια ισχύος τους), κ.λ.π. Η σηµαντικότερη, όµως, καινοτοµία του ευρωπαϊκού δικαίου σε σχέση µε την βραχύχρονη διεθνή πρακτική των ηλεκτρονικών υπογραφών, (η οποία γίνεται φανερότερη και λαµβάνει τεχνολογική υπόσταση στα σχετικά ευρωπαϊκά νοµικοτεχνικά πρότυπα που έχουν δηµοσιευθεί), είναι ότι, ρυθµίζοντας η Οδηγία διεξοδικά, ένα συγκεκριµένο είδος πιστοποιητικών το οποίο προορίζεται αποκλειστικά για να υποστηρίξει ηλεκτρονικές υπογραφές που θα λειτουργούν ως µέθοδος νοµικής δέσµευσης και µη αποκήρυξης (Non Repudiation) ηλεκτρονικά εκδηλωµένων δηλώσεων βουλήσεως του υπογράφοντος ( signatures as declaration of will ), προτρέπει αναγκαστικά στην χρήση διαφορετικών ειδών πιστοποιητικών 29 για κάθε άλλη διαδεδοµένη χρήση ή λειτουργία των ηλεκτρονικών υπογραφών, όπως π.χ.: για την ελεγχόµενη πρόσβαση σε υπηρεσίες (identification) ή για την υπογραφή γνησιότητας προέλευσης (authentication) σε µηνύµατα ασφαλούς ηλεκτρονικού ταχυδροµείου, για ασφαλή ανταλλαγή ή χρήση άλλων κλειδιών κρυπτογράφησης δεδοµένων, για πιστοποίηση συσκευών (devices) ή εξυπηρετητών (servers), κ.λπ. 30 Με δεδοµένο ότι τα (ηλεκτρονικά) πιστοποιητικά δηµοσίων κλειδιών, χρησιµοποιούνται και για επιπλέον χρήσεις, πέρα από το να υποστηρίξουν τα τέσσερα είδη (ηλεκτρονικών) υπογραφών που αναφέρονται στο κείµενο του CWA 14365, (όπως π.χ. για ταυτοποίηση/αυθεντικότητα εξυπηρετητών (servers) ή για ασφαλή κρυπτογράφηση κλειδιών ή/και δεδοµένων ) είναι γεγονός ότι έχει επικρατήσει µεγάλη σύγχυση στους σχεδιαστές εφαρµογών που επιθυµούν να ενσωµατώσουν την χρήση υπογραφών & πιστοποιητικών στις λειτουργικές ανάγκες τους, τηρώντας ταυτόχρονα τις επιταγές της Οδηγίας και τις προδιαγραφές που ορίζουν τα σχετικά νοµικο-τεχνικά πρότυπα! Μία συνολική εικόνα των διαφόρων ειδών υπογραφών (λευκό φόντο) αλλά και πιστοποιητικών (λευκό & γκρι φόντο), µαζί µε τις πιθανότερες εφαρµογές τους, συνοψίζεται στον παρακάτω πίνακα: κατασκευαστές αρκετά προϊόντα που να συµµορφώνονται διαπιστωµένα!- µε τις σχετικές προδιαγραφές! 28 Η οποία αποτελεί τµήµα της συνολικής Πολιτικής Πιστοποιητικού (Certificate Policy) στην οποία υπόκειται το πιστοποιητικό αυτό! 29 τα οποία, φυσικά, θα αφορούν και διαφορετικά δεδοµένα δηµιουργίας υπογραφής (ιδιωτικά κλειδιά). 30 Μια ανάλυση των τεσσάρων (4) διαφορετικών λειτουργιών που µπορούν να εκτελέσουν οι ηλεκτρονικές υπογραφές (identification, authentication, declaration of knowledge & declaration of will) υπάρχει στην παράγραφο 4.2 Signatures frοm a legal perspective του CWA (ό.π.) Σελ. 13 από 18

14 Κωδ W K A I Is de ke Είδη Ηλεκτρονικών Υπογραφών & Πιστοποιητικών [Ανάλογα µε την λειτουργία τους και την νοµική σηµασία τους]1 Είδος Υπογρ./Πιστοπ Υπογραφή ήλωσης βουλήσεως Υπογραφή Αναγνώρισης ή/και Θεώρησης περιεχοµένου Υπογραφή Αυθεντικότητας προέλευσης δεδοµένων (σφράγιση) Υπογραφή Ταυτοποίησης Χρήστη Πιστοποιητικό Ταυτοποίησης server Πιστοποιητικό Κρυπτογράφηση ς εδοµένων Πιστοποιητικό Κρυπτογράφηση Κλειδιών Ενδεικτικά Αντικείµενα υπογραφής /χρήσεις πιστοποιητικού Υπογραφή Συµβάσεων, Υπογραφή Αιτήσεων, Υπογραφή ηλώσεων Υπογραφή Βεβαιώσεων, Υπογραφή (ατοµική) Αποφάσεων Υπογραφή Συναλλαγµατικών Υπογραφή Επιταγών Υπογραφή Εξουσιοδοτήσεων, κ.λ.π. Υπογραφή Τιµολογίων Υπογραφή Αποδείξεων Υπογραφή φορτωτικών, κ.λ.π. Εταιρική-επαγγελµατική σφραγίδα Θεώρηση Βιβλίων - Πρακτικών Χρονοσηµάνσεις (από Π.Υ.Χ.) Χαρτοσηµάνσεις (από Υπηρεσίες) (+Υπογραφή εκτελέσιµου κώδικα)3 (+Υπογραφή άρτιων δηλ. βουλήσεως)4 Υπογραφή διαφόρων ειδών Εγγράφων (ατοµικώς ή σε φακέλους ) ως σφράγιση τους Υπογραφή ηλεκτρ. Ταχυδροµείου Υπογραφή τυχαίων δεδοµένων για τον έλεγχο µόνο του σχετικού πιστοποιητικού ταυτοποίησης για ελεγχόµενη ή καταγραφόµενη πρόσβαση σε υπηρεσίες, ή/και την ανταλλαγή εµπιστευτικών δεδοµένων εν παράγεται καµία υπογραφή! (παρά µόνο η αρχική υπογραφή του ΠΥΠ στο σχετικό πιστοποιητικό του εξυπηρετητή που επιδεικνύεται!). Χρησιµοποιείται, συνήθως, το πιστοποιητικό για την κρυπτογράφηση & ασφαλή ανταλλαγή συµµετρικών κλειδιών για επικοινωνία τύπου SSL µε τον server! εν παράγεται καµία υπογραφή! Χρησιµοποιείται, το πιστοποιητικό για να βεβαιώσει την κατοχή του κλειδιού µε το οποίο θα γίνει η κρυπτογράφηση Υποκείµενο πιστοποιητικού Φυσικά πρόσωπα µόνο Φυσικά πρόσωπα ως επαγγελµατίες ή έµποροι ή υπάλληλοι Νοµικά πρόσωπα Π.Υ.Π. Νοµικά & Φυσικά πρόσωπα Φυσικά πρόσωπα Server (εξυπηρετητής) σε συγκεκριµένη διεύθυνση URL και µε συγκεκριµένο ιδιοκτήτη! εν παράγεται καµία υπογραφή!? Υποσηµειώσεις Πίνακα? Key Usage bit στο πιστοποιητικό (RFC 2459/3280) Non Repudiation (only)2 Digital Signature Key Certificate Signing CRL Signing Digital Signature Digital Signature Digital Signature Key Encipherment (για SSL επικοινωνία) Data Encipherment Key Encipherment Σχετικές συµβατικές πράξεις & σχόλια για την νοµική προσέγγιση Σαν την υπογραφή κάτω από την συµφραζόµενη σχετική επίκληση ( ο ηλών, ο Βεβαιών, κ.λ.π.) που συνδέει την αναντίρρητη βούλησή µας (Non Repudiation) για την εκτέλεση όλου του σηµασιολογικά κατανοητού περιεχοµένου του εγγράφου (authentication), µαζί µε εκχώρηση των στοιχείων µας ή την κατάθεση αντιγράφου ταυτότητας (επώνυµη ή ψευδώνυµη!) Σαν την σφράγιση ή/και την υπογραφή εγγράφων που δεν εκφράζουν βούληση του υπογράφοντα, αλλά γνώση ή/και αναγνώριση του περιεχοµένου τους από αυτόν, πιθανώς µαζί µε συµφραζόµενες ή ρητές διευκρινίσεις του ή/και πληροφορίες (π.χ. Θεωρήθηκε, Εγκρίθηκε, Εισπράχθηκε, Καταχωρήθηκε, Χαρτοσηµάνθηκε µε. ή Χρονοσηµάνθηκε την.., κλ.π. ) Σαν την εναπόθεση εγγράφων σε σφραγισµένο & µονογεγραµµένο φάκελο (ο οποίος, όµως, δεν κρύβει το περιεχόµενό του!) ώστε να εξασφαλίζεται η προέλευση και η µη αλλοίωσή τους Σαν την επίδειξη (ή εκχώρηση αντίγραφου) της ταυτότητάς µας (επώνυµης ή ψευδώνυµης), ή/και την υπογραφή σε βιβλίο επισκεπτών κατά την πρόσβαση σε µια υπηρεσία Σαν την επίδειξη υπογεγραµµένου εγγράφου (πιστοποιητικού) που βεβαιώνει την συσχέτιση του κατόχου µιας συγκεκριµένης ονοµασίας διεύθυνσης στο internet (URL) µε τον server που εξυπηρετεί αυτήν την διεύθυνση και την χρήση του πιστοποιητικού δηµοσίου κλειδιού για την κρυπτογράφηση άλλων κλειδιών! Σ.Σ: Η κρυπτογράφηση δεδοµένων επιφέρει και την αυθεντικότητα των δεδοµένων στον ταυτοποιούµενο παραλήπτη-κάτοχο του κλειδιού αποκωδικοποίησης! (Αντίστοιχα µε την κρυπτογράφηση δεδοµένων) 1. Σύµφωνα και µε την ανάλυση του Κεφαλ. 4. του κειµένου CWA 14365: Guide on the Use of Electronic Signatures του CEN/ISSS (EESSI) 2. Σύµφωνα και µε τον όρο KM3.4 του κειµένου CWA , Security Requirements for TWS του CEN/ISSS (EESSI) 3. Από τον ίδιο τον κατασκευαστή-δηµιουργό (νοµικό ή φυσικό πρόσωπο) του εκτελέσιµου κώδικα και υπεύθυνο για την συµεπριφορά του! Στις περιπτώσεις που τρίτος (όχι ο δηµιουργός) υπογράφει εκτελέσιµο κώδικα άλλου, η υπογραφή πιστοποιεί µόνο τον αποστολέα (ως τέτοιον!) και την αυθεντικότητα (µη αλλοίωση) του κώδικα από την στιγµή της αποστολής του. 4. Στην εξαιρετική περίπτωση που το υπογεγραµµένο έγγραφο, εµπεριέχει άρτια και πλήρη δήλωση βουλήσεως (δηλαδή αναγράφει συνεκτά στοιχεία ταυτότητας του δηλώντα, χρονολογία, & συγκεκριµένη δήλωση βουλήσεως ), και υπογράφεται µε Υπογραφή Αναγνώρισης ή/και Θεώρησης περιεχοµένων από τον ίδιο τον αναφερόµενο ως εκφράζοντα την βούληση του στο έγγραφο αυτό, τότε η υπογραφή αυτή εξοµειώνεται µε Υπογραφή ήλωσης Βουλήσεως για το συγκεκριµένο έγγραφο, -το οποίο µπορεί και να είναι ένα συµπληρωµένο έγγραφο από αυτά που αναφέρονται ως αντικείµενα υπογραφής στην Υπογραφή ήλωσης Βουλήσεως! (φέροντας από µόνο του τα απαραίτητα στοιχεία και όχι να βασίζεται στο ηλεκτρονικό πιστοποιητικό! ) Σελ. 14 από 18

15 Το ζήτηµα των «πολλών διαφορετικών ειδών και κατηγοριών» ηλεκτρονικών πιστοποιητικών & υπογραφών που εισάγονται έµµεσα από την Ευρωπαϊκή Οδηγία, (δεδοµένου και της σηµαντικής δυσκολίας να παρασχεθούν, ακόµη και σήµερα, προϊόντα και υπηρεσίες που να ικανοποιούν στο σύνολό τους τις αυστηρές απαιτήσεις της Οδηγίας για την δηµιουργία «αναγνωρισµένων ηλεκτρονικών υπογραφών»), αποτελεί ακόµη αντικείµενο πάρα πολλών και έντονων συζητήσεων µεταξύ των ειδικών του χώρου, σχετικά µε την αναγκαιότητα και µε τα ιδιαίτερα χαρακτηριστικά ενός τόσο πολύπλοκου συστήµατος! Οι υποστηρικτές της αυστηρά προδιαγεγραµµένης προσέγγισης 31 στην θεσµοθέτηση της χρήσης των ηλεκτρονικών υπογραφών στην Ευρώπη, και άρα και της χρήσης διαφορετικών κλειδιών και πιστοποιητικών για την δηµιουργία διαφορετικών ειδών ηλεκτρονικών υπογραφών για τις διάφορες χρήσεις & λειτουργίες τους, έχουν δύο πολύ σηµαντικά επιχειρήµατα: 1) ότι µόνο µε την αυστηρή προδιαγραφή και προτυποποίηση των διαφορετικών ειδών ηλεκτρονικών πιστοποιητικών υπογραφής θα επέλθει η πολυπόθητη διαλειτουργικότητα και η διασυνοριακή αξιοπιστία αυτών των προϊόντων, και, κυρίως, 2) ότι µόνο µε συγκεκριµένο και προδιαγεγραµµένο διαχωρισµό στα χρησιµοποιούµενα είδη ηλεκτρονικών πιστοποιητικών και υπογραφών, µπορεί να προστατευτεί ουσιαστικά ο χρήστηςυπογράφοντας. Και αυτό διότι ο καθορισµός προδιαγραφών για διαφορετικά πιστοποιητικά και υπογραφές (ανάλογα και µε τον αντικειµενικό σκοπό της πράξης που απαιτεί την ηλεκτρονική υπογραφή ), επιτρέπει στις κατάλληλες εφαρµογές δηµιουργίας υπογραφής ( signature creation applications ) να ελέγχουν και µηχανικά το είδος του προβαλλόµενου πιστοποιητικού, (και τους τυχόν ενσωµατωµένους σ αυτό περιορισµούς στην χρήση των συγκεκριµένων κρυπτογραφικών κλειδιών), ώστε να προειδοποιούν ή/και να ενηµερώνουν τους υπογράφοντες -πριν την εναπόθεση της ηλεκτρονικής υπογραφής τους- για την ιδιαίτερη και προκαθορισµένη σηµασία της συγκεκριµένης πράξης τους! 5. Ορισµός, υποχρεώσεις αξιοπιστίας & ευθύνη των Π.Υ.Π. Η Οδηγία καθορίζει ως ΠΥΠ όχι µόνο αυτούς που εκδίδουν «ηλεκτρονικά πιστοποιητικά δηµοσίων κλειδιών» ( αναγνωρισµένα ή όχι), αλλά και όλους όσους παρέχουν υπηρεσίες σχετικές µε την ηλεκτρονική πιστοποίηση, όπως υπηρεσίες (ηλεκτρονικής) χρονοσήµανσης, καταλόγου, καταχώρησης, αλλά και σχετικές συµβουλευτικές υπηρεσίες! (άρθρο 2, περ. 11, και Προοίµιο 9). Οι ΠΥΠ που δεν εκδίδουν «αναγνωρισµένα πιστοποιητικά» (παρά µόνο απλά πιστοποιητικά 31 οι οποίοι φαίνεται, πλέον, ότι υπερίσχυσαν οριστικά αν κρίνει κανείς από την εναρµονισµένη έκδοση των σχετικών ευρωπαϊκών προτύπων & κειµένων που στηρίζονται στα πορίσµατα αυτής της προσέγγισης! Σελ. 15 από 18

16 δηµοσίων κλειδιών των υπογραφόντων), υπόκεινται µόνο στην υποχρέωση της τήρησης της νοµοθεσίας περί προστασίας προσωπικών δεδοµένων, καθώς και των τυχόν άλλων σχετικών εθνικών διατάξεων που ισχύουν στο κράτος-µέλος όπου αυτοί είναι εγκατεστηµένοι 32, ενώ, σε γενικές γραµµές, δεν υποχρεούνται -άµεσα τουλάχιστον- στην τήρηση κάποιων συγκεκριµένων προδιαγραφών και ούτε υπόκεινται σε κάποια συγκεκριµένη ευθύνη, πέραν των προβλεπόµενων από τις γενικές διατάξεις περί ευθύνης, ή αυτών που τυχόν ο ίδιος ο ΠΥΠ έχει αναλάβει συµβατικά. Ειδικά, όµως, για τους ΠΥΠ που εκδίδουν «αναγνωρισµένα πιστοποιητικά» 33, εκτός των παραπάνω, η Οδηγία προβλέπει την συµµόρφωση µε τους δώδεκα όρους του Παραρτήµατος ΙΙ καθώς και συγκεκριµένες ευθύνες τους έναντι κάθε τρίτου που βασίζεται εύλογα στα «αναγνωρισµένα πιστοποιητικά» τους! Πιο συγκεκριµένα, οι όροι του Παραρτήµατος ΙΙ αναφέρονται σε αυστηρές απαιτήσεις οικονοµικής και τεχνολογικής αξιοπιστίας, σε υποχρεώσεις παροχής ασφαλών υπηρεσιών καταλόγου και ανάκλησης των πιστοποιητικών τους, καθώς και ενηµέρωσης κάθε ενδιαφερόµενου τρίτου για τους ακριβείς όρους και προϋποθέσεις χρησιµοποίησης των πιστοποιητικών τους, στην επαλήθευση της ταυτότητας των πιστοποιούµενων υποκειµένων τους και στην διατήρηση των σχετικών αποδεικτικών στοιχείων για κατάλληλη χρονική περίοδο 34, στην τήρηση απορρήτου κατά την περίπτωση παραγωγής ιδιωτικών κλειδιών ( δεδοµένων δηµιουργίας υπογραφής ) των συνδροµητών τους και σε πολλές ακόµη διαχειριστικές και διοικητικές υποχρεώσεις του ΠΥΠ (όπως αυτές εξειδικεύονται στα πρότυπα CWA & ETSI TS ). Συγκεκριµένα, οι ιδιαίτερες ευθύνες που αναλαµβάνει ο ΠΥΠ που εκδίδει «αναγνωρισµένα πιστοποιητικά προς το κοινό» (σύµφωνα µε το άρθρο 6 της Οδηγίας, αφορούν: E την ακρίβεια όλων των στοιχείων που αναφέρονται στο αναγνωρισµένο πιστοποιητικό κατά την στιγµή της έκδοσής του 35, καθώς και την πληρότητά τους, σύµφωνα µε τα οριζόµενα στο 32 Σύµφωνα µε τον «Κανονισµό Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικών Υπογραφών» που εξέδωσε η ΕΕΤΤ (ΦΕΚ 603/Β / ), όλοι οι ΠΥΠ που εκδίδουν πιστοποιητικά ηλεκτρονικών υπογραφών (ακόµη και µη «αναγνωρισµένα»!) υποχρεούνται σε ανακοίνωση της έναρξης παροχής των υπηρεσιών τους και στην εγγραφή τους σε σχετικό µητρώο που δηµοσιεύει η ΕΕΤΤ ( 33 και µόνο σε ότι αφορά την έκδοση αυτών των πιστοποιητικών, στην περίπτωση που ο ΠΥΠ εκδίδει και άλλα είδη πιστοποιητικών 34 Η οποία ορίζεται σε 30 χρόνια, σύµφωνα µε την περ. θ του Παραρτήµατος ΙΙ του π.δ. 150/2001 και το άρθρο 7 2 της παραπάνω Απόφασης ( Κ.Π.Υ.Π.Η.Υ ) της ΕΕΤΤ! 35 Αν αργότερα αυτά τροποποιηθούν και ο ΠΥΠ δεν λάβει γνώση για αυτό, τότε δεν ευθύνεται αυτός, αλλά το υποκείµενο της πιστοποίησης (=ο κάτοχος των δεδοµένων δηµιουργίας υπογραφής) που οφείλει να ενηµερώσει τον ΠΥΠ για την συγκεκριµένη αλλαγή, ώστε να ανακληθεί το σχετικό πιστοποιητικό! Γνώµη µου είναι, ότι ως κρίσιµο χρονικό σηµείο για την διαβεβαίωση από τον ΠΥΠ της κατοχής των ιδιωτικών Σελ. 16 από 18

17 Παράρτηµα Ι, E την διαβεβαίωση ότι ο υπογράφων που ταυτοποιείται στο αναγνωρισµένο πιστοποιητικό, ήταν κάτοχος, τουλάχιστον κατά την στιγµή της έκδοσης του πιστοποιητικού-, των δεδοµένων δηµιουργίας υπογραφής (=ιδιωτικό κλειδί) που αντιστοιχούν στα δεδοµένα επαλήθευσης υπογραφής (=δηµόσιο κλειδί) που αναφέρεται στο πιστοποιητικό, και E εφόσον παράγει και παρέχει ο ίδιος ο ΠΥΠ το ιδιωτικό κλειδί στον συνδροµητή του, την διαβεβαίωση ότι αυτό µπορεί να χρησιµοποιηθεί συµπληρωµατικά µε το δηµόσιο κλειδί που αναγράφεται στο σχετικό πιστοποιητικό που του εκδίδει. Η Οδηγία προβλέπει ακόµη και το δικαίωµα του ΠΥΠ-Εκδότη «αναγνωρισµένων πιστοποιητικών» να περιορίζει συµβατικά την παραπάνω ευθύνη του από την χρήση των πιστοποιητικών που εκδίδει, µε την αναγραφή 36 ορίων στις οικονοµικές συναλλαγές για τις οποίες αυτά επιτρέπεται να χρησιµοποιηθούν, ή/και µε κάθε άλλο περιορισµό στην χρήση 37 των πιστοποιητικών που ρητώς προσδιορίζει (π.χ. χρήση του µόνο σε συγκεκριµένες εφαρµογές!). Επίσης, ο ΠΥΠ απαλλάσσεται από κάθε ευθύνη του αν αποδείξει ότι δεν έπραξε αµελώς! Ζήτηµα δηµιουργείται ως προς το εάν ο ΠΥΠ µπορεί να περιορίζει την συνολική ευθύνη του για κάθε ένα συγκεκριµένο πιστοποιητικό που εκδίδει, προσδιορίζοντας, δηλαδή, ένα «Ανώτατο Όριο Ευθύνης» του, συνολικά για κάθε ένα εσφαλµένο πιστοποιητικό, και ανεξάρτητα από το πόσες ήταν οι ζηµιογόνες χρήσεις του, το πόσοι ζηµιώθηκαν και σε ποιο χρηµατικό ύψος από την αµέλεια του ΠΥΠ! Αν και η πρακτική αυτή θεωρείται δεδοµένη για τους ΠΥΠ που δραστηριοποιούνται σε χώρες όπου κατισχύει το αγγλοσαξονικό νοµικό σύστηµα ( contract law / common law ) το οποίο επιτρέπει τέτοιου είδους συµβάσεις, στα κράτη-µέλη της Ε.Ε. που κλειδιών από τον υπογράφοντα, µπορεί να ορίζεται εναλλακτικά και η στιγµή της παράδοσης σ αυτόν του φορέα που τα περιέχει (π.χ. µια smart card) ή η στιγµή της αρχικής ενεργοποίησης του πιστοποιητικού, εφόσον προβλέπονται οι συγκεκριµένες διαδικασίες από την συγκεκριµένη Πολιτική (αναγνωρισµένου) Πιστοποιητικού ( Certificate Policy ) που χρησιµοποιεί ο ΠΥΠ για να εκδώσει τα αναγνωρισµένα πιστοποιητικά του. 36 Βλ. σχετικά µε τον τρόπο αναγραφής στα αναγνωρισµένα πιστοποιητικά των διαφόρων δηλώσεων που προβλέπονται από την Οδηγία ( qcstatements ) το πρότυπο TS : Qualified Certificate Profile του ευρωπαϊκού οργανισµού ETSI, καθώς και το οµώνυµο RFC 3039 του διεθνούς οργανισµού IETF. 37 Ένας τέτοιος ρητός περιορισµός στην χρήση ενός πιστοποιητικού τύπου Χ.509 ver. 3 (που αποτελεί και το πιο διεθνώς διαδεδοµένο standard για την δοµή ενός ηλεκτρονικού πιστοποιητικού), µπορεί να γίνει (και) µε την ένδειξη που εγγράφεται στο πεδίο Key Usage ( Χρήση Κλειδιού ) του πιστοποιητικού, όπως π.χ. Non Repudiation (για υπογραφές δηλώσεως της βουλήσεως) ή DigitalSignature για απλές υπογραφές ταυτοποίησης ή αυθεντικότητας της προέλευσης των δεδοµένων. Βλ. περισσότερα για τα πεδία και την δοµή των πιστοποιητικών τύπου Χ.509 ver. 3 στο RFC 3280 (που αντικατέστησε το RFC 2459!) του διεθνούς φορουµ προτυποποίησης του internet IETF ( καθώς και τον παραπάνω πίνακα που αναφέρει τις διάφορες τιµές στο σχετικό πεδίο Key Usage που χρησιµοποιείται συνήθως σε κάθε είδος πιστοποιητικού Σελ. 17 από 18