Cześć
Założę się, że temat był poruszany dziesiątki jeśli nie setki razy od
zarania informatycznych dziejów Polski. Jeśli tak, to proszę o grzeczne
przekierowanie do odpowiedniego wątku.
Można nie lubić minister Streżyńskiej za przepchnięcie chorej ustawy
antyterrorystycznej przygotowanej jeszcze przez poprzednią ekipę (ona
sama twierdzi, że nie miała wyboru, nieważne). Trzeba jednak przyznać,
że dawno nie było tak wybitnego fachowca na tak wysokim stanowisku.
Myślę, że zgodzicie się, że jej wpływ na obniżenie cen połączeń oraz
zwiększenie dostępności sieci szerokopasmowych jest nie do przecenienia.
Ponadto minister Streżyńska pokazała, że zamierza szeroko konsultować
swoje projekty ze środowiskiem informatycznym - wizytuje hackerspace'y,
prowadzi ożywione dyskusje na FB i Twitterze, organizuje hackathony itd.
Można nawet pokusić się o stwierdzenie, że to "nasz człowiek" u władzy.
Uważam, że trzeba jak najlepiej wykorzystać tę okazję i za jej
pośrednictwem wdrożyć jak najwięcej dobrych rozwiązań.
Aktualnie w kwestii podpisów cyfrowych w Polsce panuje oligopol firm
certyfikacyjnych. Podpis cyfrowy jest drogi, a przez to jego dostępność
jest wyraźnie ograniczona. Porfil Zaufany nie rozwiązuje problemu - co
prawda pozwala on załatwiać sprawy urzędowe przez (delikatnie mówiąc)
średnio przyjemny interfejs, ale to tylko proteza.
Anna Streżyńska wielokrotnie pokazała, że lubi deregulować rynek.
Zachęćmy ją zatem do deregulacji podpisów cyfrowych.
Jak tego dokonać? Przede wszystkim trzeba przygotować dogłębną analizę
obecnego systemu, wypisać jego mocne i słabe strony oraz zestawić to z
analogiczną tabelką dla PGP/GPG. Proponuję stworzenie jakiegoś Wiki,
gdzie taką analizę będziemy przygotowywać i która później zostanie
opublikowana w formie artykułu. Liczę na to, że środowisko polskich
hackerów jest w stanie wspólnymi siłami opracować tego rodzaju dokument
bazując na merytorycznych przesłankach.
Jeśli o mnie chodzi, to jeszcze nie przegryzłem się przez wszystkie
przepisy i literaturę, więc jestem totalnym laikiem. Jednakże
"podskórnie" czuję, jak cała sprawa powinna zostać zrealizowana.
Przede wszystkim podpis elektroniczny powinien zachowywać się jak
fizyczny - każdy powinien móc go za darmo stworzyć i się nim posługiwać.
Jeśli ktoś mnie zna, to niech potwierdzi, że to faktycznie mój podpis -
w tej sposób generujemy siatkę zaufania. To wszystko już jest. By taki
podpis mógł być używany urzędowo, to urzędnik musi go poświadczyć. W
przypadku fizycznego podpisu jest kilka sposobów na sprawienie, by nasz
podpis stał się oficjalny - można założyć konto w banku lub wyrobić
jakiś dokument typu dowód osobisty, paszport czy prawo jazdy - wszędzie
tam trzeba złożyć wzór swojego normalnego podpisu. No to dlaczego taki
bank czy urząd nie może podpisać naszego klucza swoim? W ten sposób
potwierdzi jego autentyczność, a my zyskamy cenne sygnatury
potwierdzające naszą tożsamość. Dorzućmy do tego stronę typu keybase.io
służącą do potwierdzania tożsamości i wygodnej wymianie kluczy i mamy
darmowy i wygodny system wzajemnego potwierdzania tożsamości.
Dodatkowo można dołożyć (opcjonalną) warstwę bezpieczeństwa w postaci
kluczy sprzętowych typu Ubikey, czy mojego faworyta - Trezora.
Powyższe to oczywiście marny szkic architektury, ale myślę, że wystarczy
jako punkt startowy. Bardzo jestem ciekaw Waszego zdania w tym temacie.
Pozdrawiam,
Dominik Kozaczko