ΟΜΑΔΑ ΕΡΓΑΣΙΑΣ Ε2 : «Ηλεκτρονικές Υπογραφές & Ηλεκτρονικά Πιστοποιητικά Ταυτοποίησης» (Τεχνική & Νομική Ανάλυση) Μέρος E: Διαπιστώσεις & Συμπεράσματα της Ομάδας Εργασίας Ε2 Παρουσίαση Χρήστος Σιουλής ( ΕΙΣΗΓΗΤΗΣ ΤΗΣ Ο.Ε. Ε2 ) Δικηγόρος Νομικοτεχνικός Σύμβουλος CSioulis@dsa.gr
- ΓΙΑΤΙ ΤΟΣΗ ΔΥΣΤΟΚΙΑ ΜΕ ΤΙΣ η-υπογραφεσ??? Παρά τα 4+ χρόνια από την έκδοση της σχετικής Οδηγίας 99/93/ΕΚ, Παρά την θέσπιση σχετικών νομοθετικών & ρυθμιστικών πλαισίων σε όλα τα κράτη μέλη της ΕΕ, Παρά την έως τώρα προτυποποίηση από τους αρμόδιους ευρωπαϊκούς οργανισμούς (CEN-ETSI),( Παρά την επιτακτική ανάγκη για την πιστοποίηση της προέλευσης και την εξασφάλιση της ακεραιότητας των ηλεκτρονικών δεδομένων σε όλες τις εφαρμογές «ηλεκτρονικού επιχειρείν», Παρά τους σχεδιασμούς και τις επενδύσεις και που έχουν γίνει για την παροχή σχετικών υπηρεσιών πιστοποίησης ηλεκτρονικών υπογραφών, εξακολουθούν, ακόμη, να υπάρχουν πολυσύνθετα τεχνικά, νομικά-θεσμικά & πρακτικά προβλήματα, τα οποία επιφέρουν: Έλλειψη διαλειτουργικότητας μεταξύ των σχετικών προϊόντων & υπηρεσιών, Ασάφεια ως προς τις απαιτούμενες προδιαγραφές για την έγκυρη χρήση των η-υπογραφών Ανασφάλεια και διστακτικότητα της σχετικής αγοράς για περαιτέρω επενδύσεις Μη ύπαρξη πιστοποιημένων («διαπίστωση») «προϊόντων ηλεκτρονικών υπογραφών» Έλλειψη προσανατολισμού και υποδομής για την εποπτεία & διαπίστευση των ΠΥΠ Σύγχυση, πλημμελή ενημέρωση και έλλειψη κλίματος εμπιστοσύνης των χρηστών
ΚΑΤΑΓΡΑΦΗ ΣΧΕΤΙΚΩΝ ΖΗΤΗΜΑΤΩΝ ΑΠΟ ΤΗΝ ΟΕ Ε2 Στα πλαίσια των εργασιών της ΟΕ Ε2 συζητήθηκαν και αναλύθηκαν μερικά από τα προβλήματα αυτά, τα οποία σχετίζονται με: Α. ΙΔΙΑΙΤΕΡΟΤΗΤΕΣ ΤΗΣ ΤΕΧΝΟΛΟΓΙΚΗΣ ΜΕΘΟΔΟΥ Β. ΑΣΑΦΕΙΕΣ & ΕΛΛΕΙΨΕΙΣ ΘΕΣΜΙΚΟΥ-ΡΥΘΜΙΣΤΙΚΟΥ ΠΛΑΙΣΙΟΥ Γ. ΑΝΑΓΚΕΣ ΤΥΠΟΠΟΙΗΣΗΣ ΠΑΡΕΧΟΜΕΝΩΝ ΥΠΗΡΕΣΙΩΝ Δ. ΧΡΗΣΗ η-υπογραφων ΣΕ ΣΥΓΚΕΚΡΙΜΕΝΟΥΣ ΤΟΜΕΙΣ Ε. ΑΠΑΙΤΗΣΕΙΣ & ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΤΕΛΙΚΩΝ ΧΡΗΣΤΩΝ
Α1: Πολλές διαφορετικές χρήσεις των ίδιων κλειδιών! Περιορισμοί χρήσης με πεδίο Key Usage πιστοποιητικού (IETF RFC 2459/3280) «αναγνωρισμένες» ηλεκτρονικές υπογραφές για τη μη αποκήρυξη βούλησης [nonrepudiation] υπογραφές «ταυτοποίησης» (client ή server identification) [digitalsignature] υπογραφές «αυθεντικότητας» διακινούμενων δεδομένων (π.χ. secure e-mail) [digitalsignature] υπογραφή «αυθεντικότητας» εκτελέσιμου κώδικα (software)( υπολογιστών [digitalsignature] Α. ΙΔΙΑΙΤΕΡΟΤΗΤΕΣ ΤΗΣ ΤΕΧΝΟΛΟΓΙΚΗΣ ΜΕΘΟΔΟΥ υπογραφή «πιστοποιητικών δημοσίων κλειδιών» [KeyCertSign] υπογραφή «CRL» [crlsign] απλή «κρυπτογράφηση δεδομένων» [dataenciperment] κρυπτογράφηση/ανταλλαγή άλλων κρυπτογραφικών κλειδιών [keyenciperment/keyagreement] Πρόβλημα: Πολλαπλές εφαρμογές της τιμής digitasignature Περιορισμός: Αποκλειστικότητα τιμής nonrepudiation nonrepudiation (CEN CWA 14167-1 KM 3.4) Λύση: Παράλληλη χρήση σαφών «Πολιτικών«Πιστοποιητικού»
Α. ΙΔΙΑΙΤΕΡΟΤΗΤΕΣ ΤΗΣ ΤΕΧΝΟΛΟΓΙΚΗΣ ΜΕΘΟΔΟΥ Α2: Ευπάθεια αλγορίθμων/διαχρονική ισχύς η-υπογραφών Τεχνολογική απαξίωση κρυπτ. αλγορίθμων -> Περιορισμένη διάρκεια ισχύος πιστοποιητικού Επιπλέον: Περίπτωση έκτακτης ανάκλησης ισχύος πιστοποιητικού (π.χ. λόγω έκθεσης) Πρόβλημα: -Ήταν σε ισχύ το πιστοποιητικό τη στιγμή της υπογραφής? Λύσεις: A) Χρονοσήμανση, Β) Ασφαλής αρχειοθέτηση από ΕΤΟ Α3: Μέθοδος πιστοποίησης ιδιοτήτων των υποκειμένων Η ιδιότητα ιδιότητα του υπογράφοντα είναι πολλές φορές σημαντική για το κύρος της υπογραφής Ευελιξία στην επίκληση ιδιότητας, πιστοποίηση πρόσκαιρων ρόλων, εξουσιοδοτήσεις, κ.ά. Περιπτώσεις: A) Χρήση «αφιερωμένων«αφιερωμένων»» κλειδιών & πιστοποιητικών, Β) Χρήση πρόσθετων «πιστοποιητικών«ιδιοτήτων» (attribute certificates attribute certificates RFC 3281)
Α. ΙΔΙΑΙΤΕΡΟΤΗΤΕΣ ΤΗΣ ΤΕΧΝΟΛΟΓΙΚΗΣ ΜΕΘΟΔΟΥ Α4: Ανάγκη πρόσβασης σε πληροφορίες ανάκλησης Περιοδική ενημέρωση πληροφοριών ανάκλησης (CRLs)( -> Αναγκαστική Περίοδος χάριτος Έλεγχος ανάκλησης σε όλη την αλυσίδα εμπιστοσύνης, πιστοποιητικά ιδιοτήτων,, κ.ά. Εναλλακτικές λύσεις: Online Certificate Status Protocol (OCSP) / Validation Service Α5: Λογισμικό δημιουργίας & επαλήθευσης η-υπογραφών Απαιτήσεις συνεργασίας με πληθώρα εναλλακτικών μεθόδων διαλειτουργικότητα? Διαχείριση πολλαπλών υπογραφών, πιστοποιητικών ιδιοτήτων, α.δ.δ.υ., κ.ά. Πολύγλωσσο, άντληση-εμφάνιση πληροφοριών Πολιτικής Πιστοποιητικού/Υπογραφής, κ.ά. Προϋπόθεση: Τυποποίηση-παραμετροποίηση των στοιχείων τεκμηρίωσης μιας η-υπογραφής
Β. ΑΣΑΦΕΙΕΣ & ΕΛΛΕΙΨΕΙΣ ΘΕΣΜΙΚΟΥ-ΡΥΘΜΙΣΤΙΚΟΥ ΠΛΑΙΣΙΟΥ Β1: «Αναγνωρισμένες» η-υπογραφές «ταυτοποίησης»? Προοίμ. 20: «τα πιστοποιητικά μπορούν να χρησιμοποιούνται για επιβεβαίωση ταυτότητας» EESSI (CWA 14365 365): δεν αναγνωρίζει (πλέον) την υπογραφή ταυτοποίησης ως υπογραφή υπογραφή! Ακόμη παραπέρα: «αναγνωρισμένα πιστοποιητικά» αποκλειστικά για κρυπτογράφηση??? Άποψη: Ναι,, αφού η αναγνώριση αφορά κυρίως ευθύνες & δεσμεύσεις του Εκδότη, (αρκεί -παράλληλα- να γίνεται σωστή χρήση πεδίου Key Usage & Πολιτικής!) Β2: Έλλειψη αναφοράς σε σημαντικά συναφή θέματα Ποιο το κύρος μιας υπογραφής ταυτοποίησης? (όπου( υπογράφονται άγνωστα δεδομένα) Δεν ρυθμίζονται υπηρεσίες χρονοσήμανσης & αρχειοθέτησης η-εγγράφων (notary( service) Ανάγκη συμπλήρωσης θεσμικού πλαισίου σχετικά με: Α) ηλεκτρονικές ταυτότητες Β) εγκυρότητα ηλεκτρονικών εγγράφων
Γ. ΑΝΑΓΚΕΣ ΤΥΠΟΠΟΙΗΣΗΣ ΠΑΡΕΧΟΜΕΝΩΝ ΥΠΗΡΕΣΙΩΝ Γ1: Τυποποίηση «Πολιτικών (έκδοσης) Πιστοποιητικού» Βάση οι 5 Πολιτικές Πιστοποιητικών από τα ETSI TS 101456 & TS 102 042 Περαιτέρω εξειδίκευση σε profile profile πιστοποιητικών & πολιτική ονομασίας υποκειμένων Άλλα ζητήματα: Διαδικασίες ανάκλησης-ανανέωσης, τρόποι δημοσίευσης Καταλόγων, κ.ά. Ζητούμενο: Η υιοθέτηση κοινών Πολιτικών (έκδοσης) Πιστοποιητικών από τους ΠΥΠ ή/και η κήρυξη ισοδυναμίας μεταξύ των εφαρμοζόμενων Πολιτικών των ΠΥΠ Γ2: Τυποποίηση «Κλάσεων» ως προς τα όρια συναλλαγών Οι υφιστάμενες «κλάσεις» (από ΠΥΠ τρίτων χωρών ) ΔΕΝ έχουν νόημα σήμερα στην ΕΕ! Αντιθέτως, οι «κλάσεις» πρέπει να αντιστοιχούν σε τυποποιημένα επιτρ. όρια συναλλαγών Πρόταση: Δημιουργία κοινού συστήματος Κλάσεων από τους ΠΥΠ στην Ελλάδα (π.χ. Κλάση 0=Demo, Κλάση 1=χωρίς οικονομικές συναλλαγές, Κλάση 2=έως 1000, κλπ)
Δ. ΧΡΗΣΗ η-υπογραφων ΣΕ ΣΥΓΚΕΚΡΙΜΕΝΟΥΣ ΤΟΜΕΙΣ Δ1: Χρήση των η-υπογραφών στον Δημόσιο Τομέα (e-government)( Υποχρέωση αντικειμενικής αποδοχής υπηρεσιών πιστοποίησης από την αγορά (ά. 3 7 Οδ) Ελλιπής-προβληματική νομοθεσία (π.δ. 342/02) προσπάθεια θετικής ερμηνείας της Συμπέρασμα: Ανάγκη διαλειτουργικότητας των υπηρεσιών / Ενιαία Πολιτική η-υπογραφής Δ2: Χρήση η-υπογραφών στον Τραπεζικό τομέα Εξασφάλιση e-banking ηλεκτρονική υπογραφή εντολών νέα προϊόντα (e-e-επιταγές) Διαφορετικές υποδομές-ανάγκες. Επιλογή κλειστού ή ανοικτού συστήματος Πολιτική/Κλάση με υψηλά όρια συναλλαγών Ευθύνη του ΠΥΠ έναντι των Τραπεζών Προτάσεις: Α) Ικανοποίηση ιδιαίτερων αναγκών ταυτοποίησης με έκδοση ειδικών πρόσθετων πιστοποιητικών ιδιοτήτων από τη Τράπεζα προς το πιστοποιητικό του πελάτη της Β) Προσδιορισμός κατάλληλων Κλάσεων πιστοποιητικών σε συνεργασία με τους ΠΥΠ
Ε. ΑΠΑΙΤΗΣΕΙΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΤΕΛΙΚΩΝ ΧΡΗΣΤΩΝ Ε1: Επαρκή & κατανοητή πληροφόρηση των όρων χρήσης Ικανοποίηση με: Τυποποίηση Συμβάσεων & Πολιτικών/Πρακτικών για εύκολη άντληση & σύγκριση όρων Ε2: Έλεγχο στη χρήση των προσωπικών δεδομένων του Πρόταση: Χρήση ψευδώνυμων πιστοποιητικών,, με επιλεκτική επισύναψη πρόσθετων προσωπικών στοιχείων όπου απαιτείται, μέσω πιστοποιητικών ιδιοτήτων Ε3: Μικρό αριθμό απαραίτητων (φορέων) η-υπογραφών του Ένα παράδειγμα: 1 για οικονομικές/τραπεζικές συναλλαγές, 1 για ιατρική-κοινωνική ασφάλιση, 1 ως ταυτότητα/διαβατήριο, 1 για επαγγελματική χρήση, 1 (ψευδώνυμο?) για προσωπικές-κοινωνικές συναλλαγές κ.ο.κ.
ΓΕΝΙΚΟ ΣΥΜΠΕΡΑΣΜΑ ΛΥΣΕΙΣ ΥΠΑΡΧΟΥΝ ΓΙΑ ΟΛΑ ΤΑ ΣΧΕΤΙΚΑ ΖΗΤΗΜΑΤΑ, ΑΛΛΑ, ΓΙΑ ΝΑ ΕΦΑΡΜΟΣΘΟΥΝ, ΠΡΕΠΕΙ ΠΡΩΤΑ ΝΑ ΑΠΟΣΑΦΗΝΙΣΘΟΥΝ ΚΑΙ ΝΑ ΤΥΠΟΠΟΙΗΘΟΥΝ! Ευχαριστώ, Χρήστος Σιουλής CSioulis@dsa.gr