1 Ograniczenia i błędy ustawy oraz dodatkowe regulacje

Istnieją pewne poważne trudności związane z tworzeniem bezpiecznych podpisów elektronicznych. W myśl art. 3 ustawy, aby podpis był uznany za bezpieczny musi być: ,,sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego''. Jednak w przypadku ślepych podpisów Schnorra i częściowo ślepych podpisów (por. rozdział 4) obliczenia odbywają się zarówno po stronie podpisującej, jak i żądającej podpisu. Kolejną trudnością jest to, iż nawet karty procesorowe potrafiące dokonywać pewnych operacji mają najczęściej zbyt małą moc obliczeniową, by móc realizować stosunkowo skomplikowane algorytmy kryptograficzne. Możliwe jest co prawda przeniesienie wykonywania najtrudniejszych części protokołu do komputera w sposób zapewniający bezpieczeństwo, ale takie rozwiązanie mija się z przepisami ustawy.

Jednym z największych mankamentów ustawy jest art. 48 mówiący, że za przechowywanie lub kopiowanie danych służących do składania bezpiecznego podpisu lub poświadczenia elektronicznego grozi kara grzywny lub pozbawienia wolności do lat 3 lub obie te kary łącznie. Natomiast bez tych danych niemożliwe jest świadczenie usług certyfikacyjnych. Ten artykuł został zaskarżony do Trybunału Konstytucyjnego.

Do ustawy wydano rozporządzenie (Dz.U. z dn. 15 listopada 2001 r., nr 130, poz. 1450). Wraz z załącznikami określa ono szczegółowo wiele aspektów technicznych. Jednym z wymogów jest to, by funkcje tworzące dane służące do składania lub weryfikacji bezpiecznego podpisu elektronicznego używały jako argumentu ciągu losowego pochodzącego ze źródła generującego ciąg losowy w oparciu o zjawisko fizyczne. To wymaganie, mimo iż poprawia znacząco poziom bezpieczeństwa, wymusza jednak by klucze prywatne zwykłych użytkowników systemu były tworzone po stronie instytucji certyfikującej. Tego wymogu w odniesieniu do kluczy użytkowników systemu nie mogłem spełnić z przyczyn technicznych. Inna sytuacja jest z parametrami funkcji, które różnią sie dla każdego użycia funkcji; mogą one być tworzone przy użyciu procedur programowych. Przepisy wykonawcze określają też między innymi parametry algorytmów sprawdzających prawdopodobieństwo błędnej odpowiedzi w testach badających pierwszość liczb. Została ona określona na $2^{-60}.$ Taka też jest wartość parametru $s$ w używaneym przezemnie teście Millera-Rabina (patrz rozdział 5.3).