Cześć

Założę się, że temat był poruszany dziesiątki jeśli nie setki razy od zarania informatycznych dziejów Polski. Jeśli tak, to proszę o grzeczne przekierowanie do odpowiedniego wątku.

Można nie lubić minister Streżyńskiej za przepchnięcie chorej ustawy antyterrorystycznej przygotowanej jeszcze przez poprzednią ekipę (ona sama twierdzi, że nie miała wyboru, nieważne). Trzeba jednak przyznać, że dawno nie było tak wybitnego fachowca na tak wysokim stanowisku. Myślę, że zgodzicie się, że jej wpływ na obniżenie cen połączeń oraz zwiększenie dostępności sieci szerokopasmowych jest nie do przecenienia.

Ponadto minister Streżyńska pokazała, że zamierza szeroko konsultować swoje projekty ze środowiskiem informatycznym - wizytuje hackerspace'y, prowadzi ożywione dyskusje na FB i Twitterze, organizuje hackathony itd. Można nawet pokusić się o stwierdzenie, że to "nasz człowiek" u władzy. Uważam, że trzeba jak najlepiej wykorzystać tę okazję i za jej pośrednictwem wdrożyć jak najwięcej dobrych rozwiązań.

Aktualnie w kwestii podpisów cyfrowych w Polsce panuje oligopol firm certyfikacyjnych. Podpis cyfrowy jest drogi, a przez to jego dostępność jest wyraźnie ograniczona. Porfil Zaufany nie rozwiązuje problemu - co prawda pozwala on załatwiać sprawy urzędowe przez (delikatnie mówiąc) średnio przyjemny interfejs, ale to tylko proteza.

Anna Streżyńska wielokrotnie pokazała, że lubi deregulować rynek. Zachęćmy ją zatem do deregulacji podpisów cyfrowych.

Jak tego dokonać? Przede wszystkim trzeba przygotować dogłębną analizę obecnego systemu, wypisać jego mocne i słabe strony oraz zestawić to z analogiczną tabelką dla PGP/GPG. Proponuję stworzenie jakiegoś Wiki, gdzie taką analizę będziemy przygotowywać i która później zostanie opublikowana w formie artykułu. Liczę na to, że środowisko polskich hackerów jest w stanie wspólnymi siłami opracować tego rodzaju dokument bazując na merytorycznych przesłankach.

Jeśli o mnie chodzi, to jeszcze nie przegryzłem się przez wszystkie przepisy i literaturę, więc jestem totalnym laikiem. Jednakże "podskórnie" czuję, jak cała sprawa powinna zostać zrealizowana.

Przede wszystkim podpis elektroniczny powinien zachowywać się jak fizyczny - każdy powinien móc go za darmo stworzyć i się nim posługiwać. Jeśli ktoś mnie zna, to niech potwierdzi, że to faktycznie mój podpis - w tej sposób generujemy siatkę zaufania. To wszystko już jest. By taki podpis mógł być używany urzędowo, to urzędnik musi go poświadczyć. W przypadku fizycznego podpisu jest kilka sposobów na sprawienie, by nasz podpis stał się oficjalny - można założyć konto w banku lub wyrobić jakiś dokument typu dowód osobisty, paszport czy prawo jazdy - wszędzie tam trzeba złożyć wzór swojego normalnego podpisu. No to dlaczego taki bank czy urząd nie może podpisać naszego klucza swoim? W ten sposób potwierdzi jego autentyczność, a my zyskamy cenne sygnatury potwierdzające naszą tożsamość. Dorzućmy do tego stronę typu keybase.io służącą do potwierdzania tożsamości i wygodnej wymianie kluczy i mamy darmowy i wygodny system wzajemnego potwierdzania tożsamości.

Dodatkowo można dołożyć (opcjonalną) warstwę bezpieczeństwa w postaci kluczy sprzętowych typu Ubikey, czy mojego faworyta - Trezora.

Powyższe to oczywiście marny szkic architektury, ale myślę, że wystarczy jako punkt startowy. Bardzo jestem ciekaw Waszego zdania w tym temacie.

Pozdrawiam, Dominik Kozaczko