Podpis elektroniczny, stan obecny i praktyczne zastosowanie

Podpis elektroniczny, stan obecny i praktyczne zastosowania.

Znanych jest kilka definicji podpisu elektronicznego
 Podpis elektroniczny to ciąg danych w postaci elektronicznej, które wraz z danymi, do których zostały dołączone lub z którymi są logicznie połączone, służą do identyfikacji osoby składającej podpis elektroniczny.
 Podpis elektroniczny- (podpis cyfrowy, sygnatura cyfrowa, DSA ), zaszyfrowane za pomocą klucza prywatnego nadawcy streszczenie komunikatu dodane do komunikatu jako podpis. Odbiorca może sprawdzić podpis cyfrowy, odszyfrowując go za pomocą jawnego klucza nadawcy i porównując z wynikiem zastosowania funkcji streszczającej do otrzymanego komunikatu.
 Definicja podpisu cyfrowego wg. PN-I-02000 (Polska Norma)- przekształcenie kryptograficzne danych umożliwiające odbiorcy danych, sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę.

Podpis elektroniczny musi spełniać kilka podstawowych warunków:
 Uniemożliwić podszywanie się innych osób pod daną osobę (uwierzytelnienie osoby, autentyfikacja)
 Zapewnić wykrywalność wszelkiej zmiany w danych transakcji (integralność transakcji)
 Zapewnić niemożliwość wyparcia się podpisu przez autora
 Uniemożliwić weryfikację podpisu przez osobę niezależną

Zasada działania podpisu elektronicznego
Podpisy elektroniczne opierają się o tzw. szyfry asymetryczne. Oznacza to, że używa się tutaj dwu lub więcej powiązanych ze sobą kluczy umożliwiających wykonanie różnych czynności kryptograficznych (czyli czynności związanych z układaniem szyfrów). Klucze te są powiązane ze sobą ścisłą zależności matematyczną, jednakże na tyle złożoną, że sama znajomość algorytmu za pomocą którego szyfrowanie się odbyło, nie pozwoli na rozszyfrowanie klucza rozkodowującego, a tym samym na rozszyfrowanie wiadomości.
Rozróżniamy dwa podstawowe klucze:
• Klucz publiczny – klucz używany do zaszyfrowywania wiadomości oraz
• Klucz prywatny – klucz do rozkodowywania wiadomości i jest on zachowany w
tajemnicy przez jego właściciela.
Zapewnia ta duże bezpieczeństwo, jednakże samo zastosowanie technik szyfrowania to dopiero połowa zadania. Zaszyfrowanie lub elektroniczne podpisanie dokumentu nie daje bowiem gwarancji, że osoba, która użyła klucza prywatnego, jest tą, za którą się podaje. Gwarancję taką ma dać system certyfikacji kluczy.
Certyfikat cyfrowy to elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do określonej osoby i potwierdzają jej tożsamość.
Certyfikacji dokonuje odpowiedni organ (coś w rodzaju notariusza), poświadczający autentyczność danego klucza publicznego. Zadaniem urzędu certyfikacji jest wydawanie i zarządzanie certyfikatami potwierdzającymi ze dana osoba, jest tą za którą się podaje.
Certyfikat cyfrowy posiada następujące informacje:
 Unikalny numer seryjny
 Tożsamość urzędu certyfikacji wydającego certyfikat
 Okres ważności certyfikatu
 Identyfikator właściciela certyfikatu (imię, nazwisko, pseudonim, e-mail)
 Klucz publiczny właściciela certyfikatu
 Podpis cyfrowy urzędu certyfikacji potwierdzający autentyczność certyfikatu

Stan obecny i praktyczne zastosowania

1. Regulacje prawne
Kwestie związane z jakością usług podpisów elektronicznych, a co za tym idzie, bezpieczeństwa obrotu za pośrednictwem Internetu, są na tyle ważkie, iż stały się przedmiotem prac legislacyjnych. Mają one na celu zrównanie prawne podpisu elektronicznego z podpisem własnoręcznym oraz wytyczają normy regulujące działalność urzędów certyfikacji. W Polsce ustawa o podpisie elektronicznym weszła dnia 15 listopada 2001 r. Najważniejszym punktem jest uznanie podpisu jako wiążący dowód zawarcia umowy, dzięki temu zaistniała możliwość przeprowadzenia transakcji od początku do końca w Internecie. Przykład: sprzedaż polisy ubezpieczeniowej on-line. Klient wypełnia formularz i otrzymuje ofertę z wysokościami składek. Następnie wybiera polisę, składa podpis elektroniczny i otrzymuje podpisaną umowę, oczywiście również w postaci elektronicznej. Wówczas płaci pierwszą składkę, używając ponownie podpisu elektronicznego.
1.1 Struktura klucza publicznego.
Światowe rozwiązania prawne wprowadzają pojęcia dwóch rodzajów certyfikatów : zwykłego i kwalifikowanego. Certyfikat kwalifikowany wydawany jest przez podmiot posiadający akredytację Krajowego Centrum Certyfikacji. Pełnią one funkcje „zaufanej trzeciej strony”, są do tego odpowiednio przygotowane i spełniają założenia właściwej im ustawy. Organy, które nie są akredytowane mogą wystawiać tzw. certyfikaty zwykłe. W ten sposób powstaje hierarchia centrów certyfikacji oparta o strukturę klucza publicznego. Infrastruktura klucza Publicznego (PKI) służy do zarządzania cyfrowymi certyfikatami i kluczami szyfrującymi dla osób, programów i systemów.
Struktura PKI składa się z 3 głównych elementów:
 Urzędów Rejestracji
 Urzędów Certyfikacji
 Repozytoriów kluczy, certyfikatów i list unieważnionych certyfikatów.
Podstawowe funkcje, które musi realizować każde PKI, aby zapewnić właściwy poziom usług to:
 Rejestracja- użytkownik składa wniosek
 Certyfikacja- jeśli dane się zgadzają, certyfikat zostaje przyznany
 Generacja kluczy- wygenerowanie pary kluczy(prywatnego i publicznego)
 Odnawianie kluczy- okresowe sprawdzanie par kluczy, gdy
 Certyfikacja wzajemna- certyfikacja różnych organów( z różnych krajów)
 Odzyskiwanie klucza- archiwizacja na wypadek utraty kluczy
2. Korzyści ekonomiczne
Wykorzystując elektroniczny obieg dokumentów zarówno w firmie, jaki i między instytucjami publicznymi w znacznym stopniu oszczędza się czas. Zarówno w spotkaniach z partnerami biznesowymi nie trzeba osobiście spotykać się w celu pod[pisania określonego dokumentu, a można to zrobić za pomocą Internetu oszczędzając w ten sposób czas jak i pieniądze na służbowe wyjazdy. Znacznie spadają koszty eksploatacji- Np. tusz, toner, papier, urządzenia biurowe, koperty znaczki, opłaty kurierskie.
3. Problemy i sukcesy
Jedna z najważniejszych cech elektronicznego podpisu jest poufność, czyli możliwość zaszyfrowania dokumentów. W praktyce oznacza to, że wiadomość e-mail oraz dane w niej zawarte może odczytać tylko jedna osoba, dokładnie ta, do której owa wiadomość jest adresowana.
Podpis elektroniczny daje nam możliwość przypisania danej wiadomości dokładnego czasu, otrzymanego na podstawie wzorców atomowych, co uniemożliwia dokonanie nadużyć związanych z datą nadania dokumentu.
Problemem są koszty. Aby urząd mógł honorować podpisy elektroniczne, potrzebne jest urządzenie kryptograficzne, specjalna aplikacja oraz certyfikat klucza publicznego. Dotychczas w szerokim zakresie z rozwiązań e-podpisu korzysta ZUS przy elektronicznym przekazywaniu dokumentów przez płatników. Najprawdopodobniej kolejnymi jednostkami będą urzędy skarbowe. E-podpis może być zastosowany również w bankowości, handlu.
Najczęściej e-podpis stosuje się wysyłając e-maile. Aby mieć pewność, że tylko adresat przeczyta wysłaną wiadomość, możemy ją zaszyfrować. W tym celu musimy posiadać klucz publiczny tej osoby. Jest on dostępny i znajduje się np. w poczcie wysłanej nam przez daną osobę.
Podpis cyfrowy można zatem wykorzystywać do przesyłania różnych dokumentów pomiędzy firmami czy kontrahentami. Doskonale sprawdza się przy wymianie korespondencji pomiędzy pracownikami jednej firmy, której siedziby mieszczą się w różnych miastach. Wiele firm korzysta z podpisu elektronicznego i certyfikatów w elektronicznej wymianie handlowej. Przykładem jest platforma horyzontalna B2B Marketplanet, gdzie wykorzystywane są certyfikaty Sygnetu. Oczywiście podpisywać elektronicznie mogą też zwykli śmiertelnicy przesyłając dowolne, prywatne listy.
Obecnie niezadowolenie właścicieli firm sprzedających produkty lub usługi za pośrednictwem Sieci jest w pełni uzasadnione. Internetowi dowcipnisie nie próżnują, często podając fałszywe dane i znaczna część transakcji nie jest finalizowana. W przyszłości nie będzie miejsca na takie żarty. Kupującemu, który złoży zamówienie potwierdzone elektronicznym podpisem, trudno będzie wyprzeć się zawarcia umowy. Zagrożone będzie to sankcją karną.
Dwójce czeskich ekspertów udało się złamać tajemnicę elektronicznego podpisu w formie PGP. Skonstruowany przez czechów program ma umożliwić w ciągu kilku sekund zastąpienie takiego podpisu albo kodowanie i otwieranie poufnych wiadomości przesyłanych pocztą elektroniczną. Informacje o złamaniu elektronicznego podpisu wywołały wśród ekspertów prawdziwy szok. Podpis taki służy bowiem nie tylko jako potwierdzenie tożsamości użytkownika, ale jest wykorzystywany do szyfrowania ważnych, poufnych informacji. Ten, kto umie złamać taki system ochronny, może zmienić swą elektroniczną tożsamość i działać jako ktoś zupełnie inny. Na szczęście, złamanie zasady matematycznej elektronicznego podpisu nie musi jednak wywołać paniki, służy bowiem do opracowania lepszych zabezpieczeń programowych.

Gospodarka elektroniczna, oparta na praktycznym wykorzystywaniu możliwości oferowanych przez technikę komputerową i telekomunikacyjną, rewolucjonizuje gospodarkę światową. Realizowane są transakcje międzynarodowe za pośrednictwem Internetu, przynosząc w ten sposób usprawnienie handlu, systemu płatności, współpracy gospodarczej i wymiany informacji. Dla rozwoju gospodarki elektronicznej ważne jest stworzenie przejrzystych i odpowiednich do natury transakcji przepisów prawnych oraz mechanizmów dochodzenia roszczeń. Istotne jest szybkie uregulowanie kwestii podpisu elektronicznego i gwarancji bezpieczeństwa transakcji. Niezbędne jest też zapewnienie ochrony danych osobowych i własności intelektualnej. Same przepisy prawne nie spowodują nagłego wzrostu zainteresowanie transakcjami elektronicznymi z użyciem podpisu elektronicznego. Większość przedsiębiorstw ciągle uważa, że stosowanie aplikacji szyfrujących dane za pośrednictwem Internetu jest zbyt kosztowne, czaso- im pracochłonne. Pozostaje nam mieć nadzieje, że dalszy rozwój technologii informatycznych w Polsce pozwoli na szersze wykorzystywanie wszelkich możliwości, jakie daje nam podpis elektroniczny.