Сага за електронния подпис или как да общуваме с държавата онлайн

Новите технологии успяха магически да превърнат огромните шкафове, пълни с купища хартия, в купища твърди дискове, пълни с файлове. Сега същите тези нови технологии са се заели с тежката задача да заменят всякакъв вид чакане по опашки с елементарно натискане на няколко „бутона“ в интернет. Особено важна за практическото реализиране на тази идея е възможността човек да докаже самоличността си онлайн. Нито държавата, нито търговците имат желание да си общуват с някого, чиито три имена, ЕГН, номер на лична карта, номер на банкова сметка и пр. не знаят. Необходима е максимално сигурна идентификация - интернет системите, които не вземат под внимание този факт, обикновено търпят колосални финансови загуби. Един от работещите методи за предотвратяване на това е използването на електронен подпис.

Ключове и сертификати

В основата на електронния подпис стои концепцията на личния и публичния ключ. Т.нар. ключове (които всъщност са цифрови данни) се използват както при подписване, така и при шифроване (криптиране) на документи. Публичният обикновено е сложен на сър­вър в мрежата, където е достъпен за всички. Личният, от друга страна, трябва да стои само при собственика си и определено не е препоръчително да е дос­тъпен за някой друг. Стойностите на двата ключа са в точно определена математическа зависимост помежду си. Тя е такава, че ако при криптирането на документ се използва публичният ключ, декриптирането става с частния. От друга страна, публичният ключ позволява да се направи проверка дали при подписването на нещо е използван съответният частен. Така всички желаещи спокойно ви изпращат кодирани послания, които единствено вие можете да разкодирате. Вие пък слагате подпис на различни документи и получателите им без проблем могат да проверят дали той е истински. Нещо повече - в алгоритъма за е-парафиране се използва не само стойността на ключа, но и характеристики на подписваните данни. Това гарантира, че ако подписът е валиден, документът, върху който е сложен, не е бил променян впоследствие. Възможно е да бъде включена и допълнителна (гарантирано достоверна) информация - например дата и час на подписване.
Всичко дотук обаче е само първото, най-ниското ниво на удостоверяване - на самоличност в интернет. На следващото ниво трябва да се появи организация, която да раздава двойки ключове, като преди това проверява дали човекът, поискал да се подписва като Георги Георгиев, наистина е въпросният Жоро и никой друг. Дори и това не е последното ниво: малко по-нагоре в йерархията се намира организация, която казва кои компании са оторизирани да раздават сертификати за електронни подписи и кои не.

Е-подписи в BG

У нас тази йерархия е уредена в Закона за електронния подпис. Органът, който може да лицензира т.нар. доставчици на удостоверителни услуги (фирмите, които раздават подписите), е Комисията за регулиране на съобщенията. Засега лицензираните компании са две - „Банксервиз“ и „Информационно обслужване“. Те издават т.нар. електронни сертификати, съдържащи набор от данни за собственика на дадена двойка ключове. Свързването на определен човек с подписа му става именно с този сертификат. Информацията в него може да включва например име на потребителя, мейл адрес, ЕГН, евентуално име на фирмата, в която работи, длъжност и т.н.
Е-подписите биват няколко вида в зависимост от предназначението си и нивото си на сигурност. Най-висока степен на защита има универсалният. За разлика от останалите пред държавната администрация той има цялата тежест на саморъчно поставения подпис върху стандартен хартиен документ. За по-голяма сигурност в този случай човек не може да получи на какъвто и да било носител файла с частния си ключ - по закон той задължително трябва да бъде записан на смарт карта.
Издаваните универсални подписи са различни и в зависимост от това на кого трябва да послужат - има такива за физически и за юридически лица. За разлика от личните корпоративните сертификати съдържат информация за фирмата, в която работи притежателят им, а също така за отдела и длъжността му.
Засега услугите, които държавата е пуснала за притежателите на сертификат, не са твърде многобройни. Гражданите биха могли да сменят адресната си регистрация. Фирмите пък могат да получават информация за трудови договори и осигуровки, както и да подават декларации за ДДС. От Министерския съвет обещават през следващата година да се появят още доста услуги. Наскоро правителството прие и постановление, според което до началото на 2005 г. всички министерства трябва да приемат и издават електронно подписани документи.
Разбира се, можете да използвате своята двойка ключове и за по-прозаични цели, като например водене на криптирана електронна кореспонденция.

Какво, къде, кога

Ако въпреки сравнително ограничената му употреба искате да се сдобиете със свой универсален подпис, това едва ли ще ви затрудни много. И двата доставчика на удостоверителни услуги позволяват човек предварително да направи заявка в интернет (www.b-trust.org - за „Банксервиз“, и web.stampit.org - за „Информационно обслужване“). След това обаче задължително трябва да се яви на място с личната си карта, а ако е в качеството си на юридическо лице - и с документите на фирмата.
За да се използва електронният подпис, необходима е смарт картата, на която той е записан, както и четец за нея. И двете могат да се закупят от избрания дос­тавчик заедно със сертификата. В началото на тази седмица „Информационно обслужване“ обявиха промоция - до септември всички желаещи могат да получат от тях комплект - професионален сертификат, карта и четец, за 162 лв. „Банксервиз“ пък намалиха цените в края на миналия месец - персонален подпис при тях струва 70 лв., а корпоративен - от 85 до 105 лв. За комплект карта и четец се плащат 70-80 лв. Фирмата обаче не задължава клиентите си да ги купуват от нея - те могат да изберат да използват други модели на своя отговорност. При „Информационно обслужване“ пък може да се работи със собствен четец, но не и със собствена карта.
След като се сдобие с всичко необходимо, потребителят трябва да инсталира на компютъра си драйвъри за четеца и софтуер за работа с картата. Засега се налага да се използва Windows операционна система. Добрата новина обаче е, че от която и от двете компании да закупите е-подпис, ще получите от нея CD с всичкия необходим софтуер, както и много детайлни инструкции за настройка и употреба.
По принцип сертификатите за е-подписване важат за една година, при необходимост обаче картата може да се блокира и по-рано. За да се установява по-лесно и бързо дали един електронен подпис е действащ, доставчиците периодично подновяват на сър­върите си т.нар. CRL (Certificate Revocation List) - списък с невалидните сертификати.
Най-общо казано, системата за онлайн идентификация у нас вече е налична и функционира сравнително гладко. Някои дребни недостатъци в нея вероятно ще се изгладят с времето. Сега остава единствено да се появят и е-услуги, които да осмислят съществуването и.

Катерина ОГНЯНОВА
http://www.capital.bg/