Podpis cyfrowy
Z Wikipedii
Podpis cyfrowy (podpis elektroniczny) to dodatkowa informacja dołączona do wiadomości służąca do weryfikacji jej źródła.
Spis treści |
[edytuj] Architektura
Podpis elektroniczny służy zapewnieniu między innymi następujących funkcji:
- autentyczności, czyli pewności co do autorstwa dokumentu,
- niezaprzeczalności nadania informacji, nadawca wiadomości nie może wyprzeć się wysłania wiadomości, gdyż podpis cyfrowy stanowi dowód jej wysłania (istnieją także inne rodzaje niezaprzeczalności),
- integralności, czyli pewności, że wiadomość nie została zmodyfikowana po złożeniu podpisu przez autora.
Do zapewnienia wszystkich wymienionych funkcji potrzebne jest zastosowanie trzech środków:
- instrumentów technicznych - algorytmów, protokołów i formatów, które dzięki zastosowaniu technik kryptograficznych zapewniają integralność oraz wiążą klucz prywatny autora z dokumentem, zapewniając autentyczność i niezaprzeczalność
- instrumentów prawnych, czyli dyrektyw, ustaw i rozporządzeń, które osadzają wymienione instrumenty techniczne w obowiązującym prawie,
- instrumentów organizacyjnych, takich jak centra certyfikacji, które występując jako zaufana trzecia strona poświadczają związek klucza prywatnego z konkretną osobą.
[edytuj] Kryptografia
Podpisy cyfrowe korzystają z kryptografii asymetrycznej – tworzona jest para kluczy, klucz prywatny i klucz publiczny – klucz prywatny służy do podpisywania wiadomości, klucz publiczny natomiast do weryfikowania podpisu.
Najważniejszymi kryptosystemami umożliwiającymi podpisywanie cyfrowe są RSA, ElGamal i DSA.
Inne znane systemy proponowane dla podpisu elektronicznego to SFLASH, Quartz, NTRU oraz ECDSA.
[edytuj] Systemy
Najpopularniejsze standardy pozwalające na złożenie podpisu elektronicznego to X.509 oraz PGP.
PGP jest systemem zdecentralizowanym, w którym poziom autentyczności danego klucza jest determinowany przez sumę podpisów, złożonych przez różne osoby znające posiadacza klucza (model Sieć zaufania). System ten jest powszechnie wykorzystywany w Internecie oraz w niektórych środowiskach korporacyjnych.
System X.509 jest systemem scentralizowanym, w którym autentyczność klucza jest gwarantowana przez hierarchię centrów certyfikacji formalnie poświadczających związek klucza z tożsamością jego właściciela. Ze względów formalnych X.509 jest obecnie dominującym systemem, na którym opiera się aktualnie obowiązujące prawodawstwo o podpisie elektronicznym.
PODPIS CYFROWY Prawo unijne (dyrektywa 1999/93/EC) wyróżnia następujące rodzaje podpisu elektronicznego:
- podpis elektroniczny, czyli deklaracja tożsamości autora złożona w formie elektronicznej pod dokumentem. Może to być na przykład podpis pod emailem lub zeskanowany podpis odręczny wklejony w dokument PDF.
- zaawansowany (bezpieczny) podpis elektroniczny, czyli podpis, który za pomocą odpowiednich środków technicznych (kryptograficznych) jest jednoznacznie i w sposób trudny do sfałszowania związany z dokumentem oraz autorem. Kategoria ta odnosi się do większości systemów tradycyjnie nazywanych podpisem elektronicznym i wykorzystujących różne algorytmy kryptograficzne dla zapewnienia bezpieczeństwa.
- kwalifikowany podpis elektroniczny, czyli taki podpis zaawansowany, który został złożony przy pomocy certyfikatu kwalifikowanego oraz przy użyciu bezpiecznego urządzenia do składania podpisu (SSCD).
Certyfikat kwalifikowany to taki, który został wystawiony jego właścicielami z zastosowaniem odpowiednich procedur weryfikacji tożsamości i jest przechowywany w sposób bezpieczny (np. na karcie elektronicznej).
Zgodnie z prawem polskim tylko podpis kwalifikowany ma automatycznie takie samo znaczenie jak podpis odręczny. Inne rodzaje podpisu mogą być wiążące prawnie jedynie na podstawie umów cywilnych pomiędzy kontrahentami je stosującymi. Podobne prawodawstwo obowiązuje w większości krajów Unii Europejskiej, chociaż występuje między nimi wiele drobnych różnic - na przykład jeśli chodzi o obowiązek korzystania z bezpiecznego urządzenia (SSCD).
