Божидар Божанов е софтуерен инженер и програмист, работи от юни 2015 г. като съветник за електронното управление към кабинета на вицепремиера Румяна Бъчварова. Препечатваме статията от личния му блог.

С приемането на Закона за електронната идентификация все по-често срещан въпрос (и неразбиране) е каква е разликата между електронната идентификация и електронния подпис. И двете могат да бъдат на смарткарта (карта с чип), в личната карта, на „флашка“ (USB dongle). И двете могат да участват в електронни административни услуги, а и в електронно гласуване. Та, каква е разликата? И защо ни е нужна електронна идентификация, като имаме електронен подпис, и обратно?

Разликата е най-видна, когато вземем еквивалентите им във физическия свят:

  • Идентификацията е, когато представим документ за самоличност и чрез него длъжностно лице се увери, че ние сме наистина този, за когото се представяме
  • Подписът е, когато подпишем някой документ, с което правим волеизявление – потвърждаваме, че това, което пише в документа, е нашата воля.

Двете действия са съществено различни – полагането на подпис има правни последици (стартират се процедури, текат срокове), докато идентификацията – не (в общия случай).

Технологично наистина двете могат да бъдат реализирани еднакво. Съществуват различни варианти за електронна идентификация, но решението, което ще използваме за българската национална схема, ще използва X.509 сертификат, също както електронния подпис.

Сходството (напр. извършване на комуникация с държавата онлайн) води до това двете теми са обект на един и същи европейски регламент (910/2014). В България регламентът се пояснява и допълва от два закона – за електронната идентификация и за електронния документ и електронния подпис (който скоро ще бъде преименуван и изменен, съгласно регламента).

Сходството в технологията и опита ни с електронните административни услуги поставят въпроса – за какво ще се ползват двете? До момента електронният подпис се е ползвал с функция и на двете. Функцията на подпис е била реализирана с технологичния смисъл на „електронен подпис“ (криптиране с частен ключ, като така авторството може да бъде проверено със съответния публичен), а функцията по идентификация е била реализирана чрез записване на ЕГН-то на лицето в удостоверението за електронен подпис. Сега двете неща се разделят – електронната идентичност се издава и гарантира от държавата, докато електронният подпис – от частни компании.

Електронната идентификация ще се ползва за няколко неща:

  • Вход в акаунт в информационна система, вместо/в допълнение на потребителско име и парола
  • Справочни електронни услуги – проверка на здравно досие, здравноосигурителен статус, задължения към държавата, връчени от държавни органи електронни документи.
  • Като първа стъпка от заявяване на електронни услуги, така че данните за нас, които са необходими на съответната услуга, да бъдат извлечени автоматично (след наше разрешение)
  • Заявяване на електронни услуги, които не изискват подпис (съответната нормативна уредба определя дали е нужен подпис или не)

Електронния подпис има доста по-широко приложение, но основно то е за подписване на електронни документи – всеки електронен документ (doc, pdf, odt, txt, xml, дори png и mp3) може да бъде подписан, като така се гарантират:

  • авторство – кой е авторът на подписа
  • интегритет – че документът не е бил променян, след като е бил подписан
  • неотхвърляне – когато някой е подписал нещо, не може впоследствие да отрече, че го е подписал
  • съгласие – когато някой е подписал нещо, значи се е съгласил с него

Това се използва например при:

  • Изпращане на документи между фирми или между граждани и фирми
  • Документооборот (в администрация или във фирми)
  • Заявяване на електронни услуги (такива, които изискват подпис) – както от граждани, така и от фирми
  • Попълване на декларации (включително като част от заявяване на електронна услуга)

Електронната идентификация се издава само на физически лица, като ако те искат да правят справки от името на юридическо лице, в качеството им на законни представители, системите позволяват това (например ако сте управител на фирма, при вход в системата на НАП, тя би казала – искате да видите задълженията си като физическо лице, или на юридическото лице, на което сте управител).

И тук логично следват няколко въпроса:

Защо частни фирми предоставят електронни подписи – не може ли държавата да го прави? Още от предходното европейско законодателство електронните удостоверителни услуги са се развили като дейност на свободния пазар. Съответно има десетки доставчици на електронни подписи (и други електронни удостоверителни услуги). Ако държавата започне да издава електронни подписи, това ще бъде намеса на свободния пазар, което няма да е допустимо. Някои държави опитват да заобиколят това, или като правят някое държавно предприятие – доставчик на електронни подписи, или като правят търг за избор на доставчик на електронни подписи за личните си карти (Естония), като той винаги се печели от един, де факто монополист на пазара. В единия случай гражданите все пак плащат за електронния подпис, а в другия – държавата дотира електронния подпис за гражданите. Защо услугата струва пари – защото има да се поддържа инфраструктура, софтуерна и хардуерна, която да бъде с високо ниво на сигурност.

Защо не може с един и същи сертификат (и криптографски ключове) да се подписваме и да се идентифицираме електронно? Основно заради правното значение – подписът, когато е „квалифициран“, има силата на саморъчен подпис. Т.е. ако някой уебсайт ви предложи да се идентифицирате със сертификата, и вие го направите, но се окаже, че той всъщност вместо съобщение за идентификация е изпратил „скрит“ документ, който сте подписали (тъй като се използва същата технология), тогава може да има неприятни последици. Затова например в Естония личната карта се използва с два PIN-кода – един за идентификация (4 символа) и един за подпис (6 символа). Всъщност дали такава „атака“ е технологично възможна е спорно и зависи от метода за електронна идентификация. Затова в някои случаи все пак може да е възможно използването на едно удостоверение за две цели.

Това значи ли, че с електронната идентификация няма да можем да ползваме електронни услуги пълноценно? По принцип да. Изредените горе опции биха били всичко, което можем да правим с картата си за електронна идентичност. Т.е. например не бихме могли да подаваме данъчна декларация, заявление за издаване на книжка и т.н. Тъй като идентифицирахме този проблем, в Закона за електронното управление има чл. 22, ал. 5, който казва, че електронни административни услуги могат да се използват от физически лица и с усъвършенстван електронен подпис. Разликата между „усъвършенствания“ и „квалифицирания“ електронен подпис е, че вторият е издаден от доставчик на квалифицирани удостоверителни услуги и по закон има силата на саморъчен подпис. Усъвършенстваният има същата сила само ако страните се уговорят за това или ако го пише в закон. Е, пише го, така че с УЕП ще могат да се ползват административни услуги. Идеята, която влезе в проекта за правилник към закона за електронната идентификация след общественото обсъждане е на картите за електронна идентичност, освен електронния идентификатор, да се записва още едно удостоверение (с различен PIN), което да се използва за подписване. То няма да има пълната сила на квалифицирания подпис – няма по подразбиране да може да се използва за подписване на документи (със силата на саморъчен) например. А, подхода, който избрахме, е валиден според разяснения на Европейската комисия („Държавите членки са свободни да избират какъв тип електронен подпис се изисква за дадена онлайн публична услуга или транзакция“)

Как ще получаваме карта за електронна идентичност и електронен подпис (усъвършенстван и квалифициран)? И колко ще струват?

  • Електронна идентичност (карта, USB dongle, персонализиране на сървърен модул) ще може да се издава от: МВР, консулствата и частни лица (администратори на електрона идентичност). Цената при първите две ще покрива цената на пластиката/флашката и на чипа, а администраторите на електронна идентичност (част от които ще бъдат фирмите – доставчици на електронни подписи) ще определят цената сами. Няма да има такси за продължаване или за съхранение на удостоверението – то се пази в сървъри на МВР и се покрива от държавата.
  • Квалифициран електронен подпис (КЕП) – както досега, от доставчиците (Борика-Банксервиз, Информационно обслужване, Инфонотари, ЕвроТръст, СЕП)
  • Усъвършенстван електронен подпис (УЕП) – ще бъде издаван заедно с електронната идентичност. Тук трябва да се отбележи, че има спор дали държава или държавно предприятие може да предоставя такава услуга. Все пак регламентът не не забранява това, а и преизползвайки инфраструктурата за електронна идентификация това би било доста логично и почти безплатно.
  • Внесохме предложение за изменение на Закона за българските лични документи, като ако бъде приет, от 2018-та в личната карта по подразбиране ще има електронен идентификатор, а ако гражданинът избере да си купи КЕП – и електронен подпис. Предвид, че УЕП се записва по реда на Закона за електронната идентификация, тъй като е обвързан с нея, то при нежелание за записване на КЕП, на личната карта ще има и УЕП.

Ще трябва ли четец? Идеята е картите, поне тези, които МВР и консулствата издават, да са с двоен интерфейс. Четците за компютър са около 15 лв, а ако следваме практиката на Естония, такива могат да бъдат раздавани безплатно в рамките на кампании. Ако човек има смартфон с NFC (т.е. Android), ще може да ползва картата с него (като може да ползва услугите както на телефона, така и на компютър; използвайки телефона само като четец) и съответно няма да му трябва четец. Ако избере да си вземе USB dongle или вече има такъв от електронния си подпис – пак няма нужда от четец.

Стана сложно, но идеята ни е – ако човек има специфични нужди и знае за какво му трябва квалифициран електронен подпис, или ако е представител на фирма, да си купи такъв. Ако иска просто нещо, с което да ползва онлайн услуги, каквито и да са те в бъдеще – взема си карта за електронна идентичност, инсталира едно приложение на компютъра си (с драйвери и подобни неща) и вече може да ползва услугите. Целта е да работи на всички браузъри и всички операционни системи (включително подписването с УЕП), за да няма нужда от ритуали и магии за „подкарване“, както при електронните подписи до момента. С това, и с вкарването в личната карта идеята е да се постигне масовост, която сравнително скъпият КЕП досега не е постигнал при физическите лица.

Всичко това (без личните карти) трябва да е налично догодина в началото на лятото. Като към проектите ще има разяснителни кампании, обясняващи това, което описах по-горе.