Podpis kwalifikowany jest bezpieczny !!! – odpowiedź na „rewelację” z G DATA

Programiści z G DATA rzekomo wykryli lukę w oprogramowaniu wykorzystywanym do składania podpisu kwalifikowanego m.in. firmy Unizeto Technologies SA, a po wprowadzeniu do komputera odpowiedniego kodu, istnieje możliwość podmiany podpisywanego dokumentu.

Informacja ta jest jawnym nadużyciem, i nie dość, że wprowadza w błąd, to wyrządza bezpośrednią szkodę naszej firmie – Unizeto Technologies SA. Sposób zredagowania informacji może świadczyć o absolutnej ignorancji osoby piszącej lub o świadomym wprowadzeniu opinii publicznej w błąd w celu osiągnięcia efektu marketingowego w procesie promowania i sprzedaży nowego produktu firmy G DATA. Z całą odpowiedzialnością stwierdzamy, że nasze oprogramowanie wraz z komponentem technicznym wypełnia wszystkie wymagania ustawy o podpisie elektronicznym (a także właściwych rozporządzeń) w zakresie niepublicznego bezpiecznego urządzenia do składania podpisu elektronicznego. Urządzenie takie przeznaczone jest do pracy w środowisku, co do którego użytkownik ma pewność, że jest wolne od wszelkiego rodzaju wirusów mogących pozbawić go kontroli nad procesem składania podpisu elektronicznego. Jest to wyraźnie napisane w „Deklaracji zgodności” wydanej dla naszego produktu jak i w instrukcji użytkownika jako szczególnie wyeksponowane ostrzeżenie. Użytkownik jest uprzedzony przed takimi próbami ingerencji osób postronnych, jak demonstruje to G DATA. Podobne przypadki dużo wcześniej przedstawialiśmy publicznie na różnych konferencjach (np. Enigma czy EFPE w Międzyzdrojach). „Atak”, o którym donosi G DATA potrafi przeprowadzić przeciętnie zdolny student informatyki, któremu udostępni się swoją stacje roboczą. Inna rzecz to metody przeciwdziałania takim atakom, a także skuteczne wykrywanie „wrogiego” oprogramowania pracującego na komputerze osoby podpisującej. Oprogramowanie podpisujące przeznaczone dla niepublicznego użycia nie jest oprogramowaniem antywirusowym, ani zabezpieczającym indywidualną stację przed wyrafinowanymi próbami oszustwa. Natomiast specjaliści z firmy G DATA wykonali po prostu specyficznego wirusa, który oszukuje użytkownika w procesie wizualizacji pliku do podpisu. Nie jest to w żadnym wypadku złamanie podpisu elektronicznego. Oczywiście opracowali od razu antidotum i zaoferowali je producentom oprogramowania (w tym także nam). Wyraziliśmy nawet wstępne zainteresowanie, ale zwróciliśmy uwagę, że tego typu oprogramowanie powinno być oferowane w osobnym pakiecie (np. jako uzupełnienie programu antywirusowego, którego G DATA jest producentem). Należy z całą mocą podkreślić, że proces składania podpisu na niezabezpieczonym komputerze jest narażony na wiele więcej niebezpieczeństw niż tylko to, na które wskazuje G DATA.

Wyeliminowanie tylko tego jednego zagrożenia w żadnym przypadku nie upoważniałoby odpowiedzialnego producenta oprogramowania podpisującego do stwierdzenia, że jego oprogramowanie jest tak „bezpieczne”, że zwalnia użytkownika z konieczności dbania o bezpieczeństwo środowiska, w którym oprogramowania używa. Gdyby specjaliści z firmy G DATA zapoznali się wnikliwie z zapisami ustawy o podpisie elektronicznym (wraz z dokumentami w niej powołanymi), to zrozumieliby, co to znaczy bezpieczny podpis elektroniczny i jaka jest różnica pomiędzy publicznym a niepublicznym bezpiecznym urządzeniem (System) do składania podpisu elektronicznego i jaka odpowiedzialność spada no dostawcę oprogramowania, a jaka na użytkownika.

Określenie „bezpieczny podpis” ( będące nieco niefortunnym odpowiednikiem angielskiego „advanced signature”) jest przez specjalistów z G DATA źle interpretowane i nie zrozumieli oni, że zgodnie z ustawą odnosi się ono przede wszystkim do aspektów technologicznych zapewniających „bezpieczeństwo prawne”. Chodzi tu o użycie odpowiednich algorytmów do tworzenia podpisu oraz zachowania właściwej jego struktury, aby mógł stanowić dowód niezaprzeczalności. Środowisko składania podpisu nie przesądza w żadnym razie o skuteczności prawnej („bezpieczeństwie prawnym”) podpisu. Natomiast „bezpieczne urządzenie” do składania podpisu ma przede wszystkim zapewnić wymogi technologiczne i prawne składania podpisu (odpowiednie komunikaty, ostrzeżenia, możliwość prezentacji) i oczywiście dodatkowo powinno być użyte „bezpiecznie”, tzn. w takim środowisku i z takimi zastrzeżeniami, które określił producent, aby ingerencja „wrogich sił” nie była możliwa.

Jeszcze raz stwierdzamy, że atak „wirusa G DATA” jest możliwy, ale tylko w przypadku stosowania oprogramowania niezgodnie z zaleceniami zawartymi w „Podręczniku użytkownika” dołączanego do produktów Unizeto Technologies SA.

Widocznie menadżerowie firmy G DATA uznali (i zresztą słusznie), że świadomość użytkowników systemów komputerowych w zakresie bezpieczeństwa jest tak niska, że należy ich postraszyć, aby zwiększyć ich czujność i świadomość oraz w rezultacie także sprzedaż swoich produktów. Szkoda tylko, że zrobili to kosztem dobrego imienia wymienianych w komunikacie firm, w sposób naruszający zasady uczciwej konkurencji.

Tym bardziej jest to dziwne, że G DATA Software Sp. z o.o. jako biznesowy partner Unizeto Technologies SA powinna znać nasze rozwiązania przeznaczone do publicznego stosowania, w tym również w Internecie, które są odporne na daleko bardziej wyrafinowane ataki, niż ten, o którym donosi ona na swojej stronie internetowej.