W ostatnim czasie, przy okazji dyskusji o unowocześnianiu administracji publicznej co jakiś czas słyszymy pojęcie „podpis elektroniczny”, zazwyczaj okraszone przymiotnikiem „kwalifikowany”. Podpis elektroniczny jest używany również w Grupie TP, z wielu względów nie jest to jednak podpis kwalifikowany.
Najpopularniejszym zastosowaniem systemów kryptograficznych opartych na Infrastrukturze Klucza Publicznego (PKI) jest podpisywanie komunikacji elektronicznej w celu uwiarygodnienia nadawcy i/lub szyfrowanie jej treści. Pracowników Grupy TP do używania kryptografii przy przesyłaniu danych osobowych obligują przepisy prawa, ale też uczciwość i dbałość o interesy naszych Klientów. W tym celu korzystamy z Bezpiecznej Poczty TP (BPTP) – rozwiązania zapewniającego najwyższe światowe standardy bezpieczeństwa kryptograficznego. Wydawaniem certyfikatów BPTP zajmuje się działające w ramach TP Centrum Certyfikacji Signet.
Ze względu na specyficzne potrzeby tak dużej korporacji jak TP, oraz konieczność optymalizacji wydajności pracy i kosztów, certyfikat BPTP nie jest podpisem kwalifikowanym.
– Do większości naszych potrzeb podpis kwalifikowany nie jest potrzebny, dzięki czemu możemy omijać sztuczne oraz nieuzasadnione formalnie i biznesowo ograniczenia – tłumaczy Leszek Gerwatowski, Kierownik Działu Bezpieczeństwa Aplikacji w TP, człowiek, który w Grupie TP o systemach klucza publicznego wie zdecydowanie najwięcej.
Zawartość wydawanego przez Signet urządzenia kryptograficznego (token przypominający pendrive, podłączany do portu USB) to dwa certyfikaty – jeden do podpisu, drugi do szyfrowania. Czemu dwa?
– Wyobraźmy sobie, że pracownik, mający do czynienia z ważną biznesowo, szyfrowaną korespondencją, odchodzi z pracy. Przy podpisie kwalifikowanym miałby jeden, wygenerowany na tokenie certyfikat do wszystkich zastosowań i firma mogłaby pożegnać się z jego zaszyfrowanymi mailami. W BPTP certyfikat do podpisu „umiera” z odejściem pracownika, w odpowiednio zabezpieczonym środowisku istnieje jednak kopia drugiego certyfikatu, można więc uzyskać uprawniony dostęp do danych firmowych, zaszyfrowanych kluczem pracownika – tłumaczy Leszek Gerwatowski.
Choć używane w TP rozwiązanie nosi nazwę bezpiecznej poczty, nie służy jedynie obsłudze e-maili. O innych korporacyjnych zastosowaniach klucza kryptograficznego, różnicach między kluczem programowym i sprzętowym, a także o skali BPTP, dowiecie się w kolejnych wpisach o PKI. Jeśli macie w tej kwestii pytania, zapraszamy do zadawania ich poniżej.
Zadanie dla chętnych – jak sądzicie, jaką długość osiągnąłby „wąż” ułożony ze wszystkich aktywnych tokenów BPTP, używanych w Grupie TP?
Zainteresował Cię ten wpis? Jego rozszerzoną wersję przeczytasz na stronach TP CERT.