Podpis kwalifikowany nie jest bezpieczny?!

Przedstawiciel G DATA Software Sp. z o.o. ze Szczecinkapoinformował nas, że programiści G DATA wykryli lukę woprogramowaniu wykorzystywanym do składania podpisu kwalifikowanegofirm Signet i Unizeto. Jak twierdzą, po wprowadzeniu do komputeraodpowiedniego kodu, istnieje możliwość podmiany podpisywanegodokumentu. Firmy Signet i Unizeto zostały poinformowane o wykrytymbłędzie. Ustawa o podpisie elektronicznym mówi m.in. o bezpiecznejaplikacji, która ma uniemożliwić jakąkolwiek zmianę danychpoświadczanych przez użytkownika podpisu kwalifikowanego. Jak twierdzi G DATA, aplikacje oferowane przez Unizeto i Signet(jak i zapewne wszystkie komercyjne aplikacje do podpisukwalifikowanego, niezależnie od kraju pochodzenia), takiegobezpieczeństwa nie zapewniają. Istnieje możliwość podstawieniadowolnego (spreparowanego) dokumentu do podpisu, a użytkownik wtrakcie podpisywania, nawet weryfikując dokument poprzez jegopodgląd, nie jest w stanie stwierdzić, że podpisze podstawionydokument. Tym samym podpis elektroniczny weryfikowany przy pomocykwalifikowanego certyfikatu, wywołujący skutki prawne określoneustawą, nie jest bezpieczny. Stwarza to ogromne zagrożenie, zwłaszcza w kontekścieobowiązującego prawa o e-fakturach, czy planowanych zmianach wzasadach przesyłania rozliczeń podatkowych firm i instytucji doUrzędów Skarbowych, jak też dla wszystkich użytkowników podpisukwalifikowanego, zawierających przy jego użyciu umowy, zobowiązaniaitd.