Archive for април, 2021

Тъжна история за Квалифициран Електронен Подпис (КЕП)

петък, април 16th, 2021

Наскоро покрай пандемията реших да си подновя квалифицирания електронен подпис за да мога да подписвам неща дистанционно. И ми стана интересно кои са различните доставчици на КЕП и какво предлагат.

Първо да кажа: т.н. електронен подпис е всъщност две поредици от числа. Едната се нарича “таен” ключ а другата “публичен”. Нещо “подписано” с тайния ключ може да се провери с публичния. Т.е. всеки който ти има “публичния” ключ може да провери дали ти си го подписал с “тайния” си ключ. И ако някой ти има “тайния” ключ може да се представя за теб. Повече по въпроса тук.

Изглежда, че технически има 2 групи доставчици:

  • Традиционни доставчици: те всички ти дават смарт карта и четец под някаква форма която ти физически притежаваш и която смарт карта съдържа тайния ти ключ. Който ключ не напуска картата. И всеки достъп до него е защитен с ПИН. И браузера (или подписвача на документи) достъпва картата като трябва да подпише нещо.
  • “Облачни” доставчици. Тук тайния ти ключ се съхранява при доставчика. И е защитен с ПИН, който “само” ти знаеш. А когато трябва да подпишеш документ го пращаш целия на доставчика, той го подписва на неговия комп и ти го праща обратно.

Да кажа: наистина “облачините” доставчици са по-удобни. Може от телефона. Може и от компа. От всякъде. Без да инсталираш нищо сложно. Много е готино. За разлика от традиционните където трябва да имаш софтуер който да транслира заявките от браузера до смарт картата на КЕП-а. Който софтуер досега съм успявал да подкарам само на една определена операционна система за компютри.

Не знам дали ще ме наречете параноик, но ми се струва че облачните доставчици могат да ме подпишат без мое участие във всеки един момент. И понеже, според закона, електронния подпис има същата сила като този на хартия, това означава че примерно могат да ми продадат къщата. Или да ми сменят адреса. Без да им се налага да ме питат. Ще кажете: “ами ПИНа” ? Какво ПИНа? Те питат за него когато подписвам нещо и аз им го пращам. В явен вид. Колко му е да го съхранят някъде. Ще кажете: “ами те минават аудит”. Ами … да кажем че не вярвам много на този “аудит”, имайки предвид други разрешителни режими в България.

Така че, въпреки неудобствата, реших да послушам Бенджамин Франклин който казва: “този който се отказва от свободи заради удобства ще загуби и двете” и да си запазя пълен контрол върху това кой може да използва подписа ми като си нося тайния ключ за подписа ФИЗИЧЕСКИ в джоба. Т.е. се отказах от “облачните” доставчици в полза на “традиционните”.

Но тук ме чакаше изненада номер 2: банката ми (Пощенска Банка) не приема удостоверения подписани от тези доставчици. Само от един специален “облачен” доставчик който изглежда да е свързана фирма с тях.

Изненадаа!

Почетох закона. Не намерих там къде е казано че всички трябва да са валидни. Има само (чл. 13, ал. 4, удебеляването е от мен):

Правната сила на електронния подпис и на усъвършенствания електронен подпис
е равностойна на тази на саморъчния подпис, когато това е уговорено между страните.

ЗАКОН за електронния документ и електронните
удостоверителни услуги

Тоест, аз както го чета: нищо не е задължително. Както се разберете !!!!!!

Дали това означава че в един момент ще ни се наложи да имаме няколко “електронни” подписа?!

Изпратих запитване до Комисията за регулиране на съобщенията (която според закона регулира издателите на КЕП) относно законността на такъв отказ. Чакаме включване!