Ogólne zasady kryptografii

Terminy:

• Kryptografia (ang. cryptography) pochodzi z j. greckiego i oznacza „ukrytą wiadomość”. Podobne terminy: encryption (szyfrowanie), decryption (rozszyfrowywanie).

• PKI – Public Key Infrastrukture (Infrastruktura klucza publicznego) – zbiorczy termin używany do określenia infrastruktury sprzętowej, programistycznej, prawnej i organizacyjnej pozwalający na praktyczne wykorzystanie mechanizmów podpisu elektronicznego.

• Podpis elektroniczny nie tylko do podpisywania. Mówi się „podpis elektroniczny”; mamy „Ustawę o podpisie elektronicznym”, jednak od strony terminologicznej sprawa jest dość zawikłana. Najczęściej termin „podpis elektroniczny” symbolizuje nie tylko podpisywanie cyfrowe dokumentów, ale także powiązane z nim: szyfrowanie wiadomości, znakowanie czasem, usługi zaufanej trzeciej strony i inne. Zastosowania te wykraczają poza tradycyjne znaczenie słowa „podpis”.

Idea podpisu cyfrowego

Zabezpieczanie danych cyfrowych przed sfałszowaniem musi więc opierać się na innych metodach niż proste dołączanie podpisu odręcznego. Metody takie zostały opracowane i są oparte o techniki kryptograficzne, czyli opierające się na szyfrowaniu danych. W taki właśnie sposób działa elektroniczny odpowiednik podpisu odręcznego – podpis elektroniczny. Rozwiązania zastosowane w podpisie elektronicznym nie są przeniesieniem mechanizmów znanych z podpisywania ręcznego – w szczególności podpis ten nie ma związku z umiejętnością pisania odręcznego, ani z charakterem pisma podpisującego. Podpis elektroniczny może być stosowany tylko do danych cyfrowych. Podpisu takiego nie drukuje się, nie przedstawia w postaci graficznej.

Istota podpisu cyfrowego

W warstwie technologicznej podpisywanie elektroniczne polega na dodawaniu do oryginalnej wiadomości specjalnie spreparowanego ciągu danych. Ten ciąg danych konfrontowany z dokumentem pozwala na potwierdzenie:

• Integralności – a więc potwierdza, że aktualnie przedstawione dokument jest zgodny z przedstawionym do podpisu

• Faktu użycia odpowiedniego klucza prywatnego – w konsekwencji zwykle potwierdzenie, że podpisu dokonała określona osoba.

Podpis elektroniczny wg Ustawy o Podpisie Elektronicznym

1. jest przyporządkowany wyłącznie do osoby składającej ten podpis,

2. jest sporządzony za pomocą urządzeń, z wykorzystaniem danych; środki te podlegają wyłącznej kontroli osoby składającej podpis elektroniczny,

3. jest powiązany z danymi, do których został dołączony, .w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna (Ustawa)

4. może określać maksymalną kwotę zawieranych transakcji (*)

Idea podpisu cyfrowego cd.

• Patrząc od strony informatycznej, podpisywanie cyfrowe polega na dodawaniu do oryginalnego dokumentu niewielkich porcji specjalnie spreparowanych danych.

• Dane te są możliwe do obliczenia tylko dzięki kryptograficznemu przetworzeniu dwóch elementów:

  • Treści dokumentu

  • Klucza prywatnego osoby podpisującej (tajnego ciągu danych)

• Technologia została tak opracowana, że przy dzisiejszym poziomie techniki komputerowej praktycznie niemożliwe jest sfałszowanie takiego podpisu (stworzenie go bez znajomości klucza prywatnego). Inaczej mówiąc nie jest możliwe wyliczenie przez osoby postronne danych podpisu pasujących jednocześnie do klucza prywatnego osoby podpisującej i nowego (czyli zapewne podstawionego) dokumentu.

Gdzie można stosować dokumenty elektroniczne (z podpisem)

• Umowy zawierane w drodze elektronicznej

• Aukcje elektroniczne

• Systemy obiegu dokumentów wewnętrzne i zewnętrzne

• Wnioski i podania, np. administracyjne

• Sprawozdania do GIIF

• Deklaracje do ZUS

• Faktury VAT

• Komunikacja z KRS

• Komunikacja z GIODO

• Deklaracje podatkowe (system e-Deklaracje)

• Komunikacja on-line z częścią banków

Podział certyfikatów

Certyfikat kwalifikowany – spełnia wymogi Ustawy o Podpisie Elektronicznym; wywołuje skutki prawne identyczne z użyciem podpisu ręcznego. Zastosowanie certyfikatu kwalifikowanego jest ograniczone wyłącznie do podpisywania dokumentów.

Certyfikaty nie kwalifikowane („komercyjne”, „zwykłe”, „popularne”) mają szerszy zakres zastosowania: oprócz podpisywania dokumentów, także do podpisywanie poczty elektronicznej, szyfrowanie, logowanie, podpisywanie oprogramowania i inne. .Użycie certyfikatu komercyjnego też może wywoływać skutki prawne, jednak aby umowa była wiążąca, strony powinny wcześniej zawrzeć osobną umowę podpisaną odręcznie

Zaświadczenia certyfikacyjne – wg nomenklatury stosowanej w UoPE nie są „certyfikatami”, ponieważ nie są przypisane do osoby fizycznej. Identyfikują urząd certyfikacji. i mają identyczny format. W mowie potocznej zaświadczenia certyfikacyjne są często nazywane „certyfikatami urzędu”. Mimo że UoPE wiąże termin „certyfikat” z osobą fizyczną, to w praktyce PKI stosuje certyfikaty (niekwalifikowane) nie związane z osobami – np. certyfikaty serwera, kontrolera domen, czy innego urządzenia.

Certyfikaty kwalifikowane i niekwalifikowane - różnice

Ograniczenia w użytkowaniu bezpiecznego podpisu elektronicznego i certyfikatu kwalifikowanego:

• Certyfikat kwalifikowany może być używany jedynie do składania podpisu elektronicznego na dokumentach lub uwierzytelniania użytkownika (np. GIIF).

• Nie mogą być stosowane np. do logowania do systemu operacyjnego szyfrowania danych, podpisywania poczty elektronicznej (choć same załączniki do poczty mogą być podpisane bezpiecznym podpisem elektronicznym).

• Certyfikaty kwalifikowane mogą być używane tylko z bezpiecznymi aplikacjami i urządzeniami, tzn. spełniającymi wymogi ustawy o podpisie elektronicznym, o czym mówi oświadczenie producenta.

Certyfikaty nie będące kwalifikowanymi nie posiadają takich ograniczeń.

Miejsce przechowywania klucza prywatnego

Nośnikiem klucza prywatnego powiązanego z certyfikatem kwalifikowanym jest urządzenie kryptograficzne (np. karta mikroprocesorowa lub token), które musi posiadać odpowiedni certyfikat bezpieczeństwa. Także generowanie kluczy do bezpiecznego podpisu elektronicznego musi być realizowane w bezpiecznym komponencie sprzętowym. Oznacza to, że nie istnieją kopie klucza prywatnego powiązanego z certyfikatem kwalifikowanym i jedynym miejscem jego składowania jest czip na karcie kryptograficznej. Certyfikaty nie będące kwalifikowanymi mogą być przechowywane na komputerze użytkownika w postaci plików (zwykle plików pkcs#12), dyskietce, płycie CD, ew. (podobnie jak klucze do certyfikatów kwalifikowanych) w urządzeniu kryptograficznym. Użytkownik ma pełna swobodę w wyborze nośnika certyfikatu.

Skutki prawne

Podpis elektroniczny weryfikowany przy pomocy certyfikatu kwalifikowanego wywołuje skutki prawne podpisu odręcznego. Jest to gwarantowane zapisami Ustawy o Podpisie Elektronicznym. Podpis elektroniczny weryfikowany przy pomocy certyfikatu niekwalifikowanego wywołuje skutki prawne podpisu odręcznego jeśli obie strony zawarły wcześniej umowę o wzajemnym uznaniu podpisów weryfikowanych przy pomocy certyfikatów niekwalifikowanych

Dlaczego wprowadzono podpis elektroniczny?
Próby podpisywania danych cyfrowych za pomocą metod przejętych z podpisu odręcznego natrafiają na dwa podstawowe problemy:

• Zeskanowany podpis odręczny daje się powtórnie skopiować – zatem łatwo jest taki podpis sfałszować wklejając jego obraz do nowego dokumentu, a nie istnieją metody, które pozwoliłyby na odróżnienie dokumentu oryginalnie podpisanego od opatrzonego przeklejonym podpisem.

• Dokument cyfrowy, nawet jeśli byłby opatrzony legalnym podpisem w postaci zeskanowanego obrazu pisma ręcznego, łatwo jest później niezauważalnie zmodyfikować - np. zmienić wartość transakcji już po dodaniu zeskanowanego podpisu.

Korzyści z zastosowania podpisu elektronicznego

Usprawnienie pracy w zakresie przesyłania, przetwarzania i składowania informacji poprzez:

• wyeliminowanie fizycznego obiegu dokumentów

• wyeliminowanie wielu zbędnych kontaktów bezpośrednich

• umożliwienie dostępu do dokumentów bez zaangażowania jakiejkolwiek obsługi

• skrócenie czasu podpisywania dokumentów i obsługi spraw

• usprawnienie procesu archiwizacji dokumentów

• możliwość natychmiastowego zweryfikowania upoważnień finansowych (*)

Obniżenie kosztów związanych z obsługą interesantów, przetwarzaniem i składowaniem informacji poprzez:

• optymalizacja czasu pracy

• zmniejszenie ilości wysyłanych przesyłek tradycyjnych zwłaszcza „poleconych”

• optymalizację lokali i środków przeznaczonych do obsługi klientów/partnerów oraz używanych do wewnętrznej obsługi firmy,

• zmniejszenie kosztów wykonywania ekspertyz dokumentów.

Co zapewnia nam zastosowanie podpisu elektronicznego

Poufność Integralność Wiarygodność Niezaprzeczalność

Certyfikaty – weryfikacja

Aby stwierdzić, czy dany certyfikat zachowuje swoją ważność należy:

• zweryfikować, czy certyfikat jest prawidłowo podpisany przez CA (robi to automatycznie oprogramowanie systemowe podczas wczytywania certyfikatu)

• sprawdzić, czy sam CA nie został odwołany (lista ARL).

• pobrać listę unieważnionych certyfikatów CRL wygenerowaną przez CA i sprawdzić, czy szukany certyfikat na niej się znajduje.

• Niezależnie od powyższej weryfikacji, sprawdzamy okres ważności. Po jego upływie certyfikat zachowuje swoją funkcjonalność, jednak po jego otwarciu pojawia się informacja o upłynięciu okresu ważności.

• Do prawidłowej i pełnej weryfikacji certyfikatu niezbędny jest dostęp do Internetu.

• Podczas weryfikacji podpisu elektronicznego weryfikacja certyfikatu odbywa się automatycznie.

Podsumowanie

Technologia podpisu elektronicznego łączy w całość kilka elementów:

• Kryptografię i międzynarodowe standardy – jako podstawę koncepcyjną.

• Strukturę organizacyjną i technologiczną (urzędy certyfikacji, sieć Internet, sprzęt komputerowy) – jako narzędzie realizacyjne.

• Rozwiązania prawne (w Polsce związane przede wszystkim z Ustawą o Podpisie elektronicznym) – służące do powiązania tej technologii z systemem prawnym i gospodarczym.

Nastąpiło już wprowadzenie podpisu elektronicznego w większości krajów świata, a w szczególności w UE. W Polsce aktualnie realizuje się doskonalenie systemu i wdrożenia w:

• Administracji (już działające projekty to m.in.: e-faktura, e-Deklaracje, dostęp do GIIF, GIODO, dostęp online do KRS)

• Obrocie gospodarczym i zastosowaniach prawnych (wdrożenia m.in. w bankach Nordea, Millennium, BPH, dostęp do aukcji elektronicznych PPP, e-Przetarg COIG).

• Planowane jest wprowadzenie dowodów osobistych zawierających moduł kryptograficzny umożliwiający podpisywanie elektroniczne danych.

Efektem zamierzonym jest stan, w którym zdecydowana większość czynności prawnych będzie mogła być realizowana zdalnie – bez konieczności wizyty w urzędach, bankach itp.