Podpis cyfrowy - idea, funkcje, zastosowania
W dobie powszechnego funkcjonowania w obiegu dokumentów w formie elektronicznej koniecznością stało się sygnowanie przekazywanych informacji w celu potwierdzenia ich autentyczności. Pojawiła się potrzeba podpisu weryfikującego wiarygodność wiadomości czy dokumenty cyfrowego. Istnieją dwa terminy określające tego rodzaju podpis: elektroniczny i cyfrowy.
Podpis elektroniczny/cyfrowy
W potocznym rozumieniu oba terminy często stosowane są wymiennie, odnoszą się jednak do odmiennych znaczeń w kontekście prawnym. Podpis elektroniczny obejmuje szereg różnych sposobów weryfikacji przeprowadzonych w postaci elektronicznej, służącej potwierdzeniu tożsamości. Rodzajem podpisu elektronicznego mogą być kody PIN, hasła, numery kart płatniczych, skany podpisu tradycyjnego, czy podpis złożony za pomocą klawiaturowy pod dowolnym dokumentem elektronicznym. Zaznaczmy, iż podpis elektroniczny rozumiany w tym sensie nie gwarantuje absolutnej identyfikacji (istnieje chociażby możliwość cyfrowego montażu podpisów na skanowanym dokumencie).
Podpis cyfrowy jest pojęciem węższym, o precyzyjnym i bezspornym charakterze. Podczas projektowania podpisu cyfrowego wykorzystywane są najnowocześniejsze techniki kryptograficzne gwarantujące autentyczność nadawcy, oraz integralność (szerzej o integralności piszemy tutaj) treści wiadomości, czyli poręczenie wykluczenia jej nieautoryzowanej modyfikacji podczas transmisji. Jako trzecią funkcję tego rodzaju podpisu należy wymienić niezaprzeczalność, czyli brak możliwości poddania w wątpliwość autorstwa lub znajomości treści dokumentu.
Rodzaje instrumentów służące do realizacji funkcji podpisu cyfrowego
Aby podpis cyfrowy spełniał swoje funkcje bezpieczeństwa konieczne są działania na trzech równoległych płaszczyznach:
- Przede wszystkim, aby podpis tego rodzaju realizował właściwe mu funkcje zabezpieczeń, konieczne jest zastosowanie odpowiednich środków technicznych, w postaci stosownych algorytmów matematycznych, zabezpieczeń i protokołów kryptograficznych.
- Właściwe przepisy prawne mają z kolei zadanie odpowiedniego normatywnego zagwarantowania możliwości stosowania danych środków technicznych.
- Powołanie do życia właściwych struktur organizacyjnych w formie urzędów certyfikacyjnych, poświadczających związek danego klucza szyfrującego z konkretną osobą, jest także koniecznym elementem przestrzeni funkcjonowania podpisu cyfrowego.
Kryptografia w służbie podpisu cyfrowego
Podpis cyfrowy oparty jest na technikach z dziedziny kryptografii, zaś podstawą działań kryptografii jest algorytm, zestaw operacji matematyczny projektowanych w celu otrzymania bezpiecznej (zaszyfrowanej) postaci informacji. Bezpieczeństwo przekazu informacji nie opiera się współcześnie na utrzymaniu poufności algorytmu, lecz na zastosowaniu tajnego klucza. Klucz jest ciągiem znaków przekształcających wiadomość w szyfrogram - znajomość klucza pozwala na przekształcenie (odszyfrowanie) szyfrogramu do postaci pozwalającej na odczytanie wiadomości. Oprócz treści informacji algorytm potrzebuje zatem także klucza aby proces kryptograficzny mógł zostać zrealizowany.
Element klucza wykorzystywany jest w dwóch rodzajach współcześnie występujących nurtach kryptograficznych: kryptografii symetrycznej i asymetrycznej. W drugim przypadku, który w kontekście podpisu cyfrowego wymaga bliższego omówienia, wiadomość przekształcana jest w szyfrogram przy pomocy jednego klucza, natomiast rozkodowana zostaje z wykorzystaniem innego. Występuje tutaj zatem para kluczy, jeden z nich nazywany jest prywatnym (znany jedynie jego właścicielowi), drugi zaś publicznym. Klucz publiczny służy do zaszyfrowania informacji, klucz prywatny dokonuje jej odkodowania. Kryptografia asymetryczna stanowi wyjście naprzeciw niedogodnościom jakie niosą metody symetryczne - trudnością w zarządzaniu kluczami, czyli ich przekazywaniu i przechowywaniu (liczba potrzebnych kluczy jest w tym przypadku bardzo duża, zaś opracowanie systemów niejawnego przekazywania kluczy skomplikowane).
Idea podpisu cyfrowego
Podpis cyfrowy jest na ogół realizowany z wykorzystaniem technik kryptografii asymetrycznej. Zastosowanie dwóch kluczy szyfrujących podczas realizacji podpisu cyfrowego polega na idei odwrócenia zastosowania obu kluczy. Dokument podpisywany (szyfrowany) jest przy użyciu klucza prywatnego, weryfikacja dokumentu przeprowadzona zostaje z wykorzystaniem klucza publicznego danego użytkownika. Podpis wygenerowany przy użyciu innego klucza prywatnego, nie da się rozkodować za pomocą tego samego klucza publicznego. Integralność dokumentu zapewniona jest dzięki temu, iż po rozkodowaniu podpisu, otrzymywana jest treść wiadomości z chwili jego złożenia, przez co istnieje możliwość weryfikacji przekazu z aktualną postacią dokumentu.
Mechanizm certyfikacji
Mechanizm certyfikacji wprowadzony został w celu potwierdzenia powiązania klucza publicznego z jego użytkownikiem. Stosowny certyfikat zawiera klucz publiczny oraz odpowiednie informacje dotyczące użytkownika tego klucza. Aby ta koncepcja mogła właściwie funkcjonować konieczne jest istnienie zaufanego wystawcy certyfikatu. Weryfikacja klucza publicznego i danego użytkownika polega zatem na potwierdzeniu stosownego certyfikatu.
Systemy podpisu cyfrowego
Istnieją różne systemy realizujące ideę podpisu cyfrowego. Wśród nich znajdują się X.509 oraz PGP.
X.509 - jest systemem, w którym kluczową rolę pełni urząd certyfikacji. To on występuje w roli zaufanej trzeciej strony potwierdzających właściwości podmiotów i użytkowników certyfikatów. Jednoznacznie określona odpowiedzialność czyni X.509 dominującym obecnie standardem.
PGP - to system zdecentralizowany, którego zasada działanie opiera się na sieci zaufania: autentyczności klucza jest potwierdzana przez podpisy różnych osób znających właściciela klucza. System wykorzystywany jest głównie w środowiskach korporacyjnych.
Pavel Kroupka
