Co to jest podpis elektroniczny?
Podpis elektroniczny (e-podpis) to ciąg danych w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone, lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.
Ustawa o podpisie elektronicznym z 16 sierpnia 2002 roku zrównała podpis odręczny i elektroniczny. Zgodnie z ustawą, bezpieczny podpis elektroniczny wywołuje identyczne skutki prawne jak podpis własnoręczny. Dzięki temu dokumenty (zamówienia, przelewy, umowy, upomnienia, noty odsetkowe, itp.) podpisywane
i wysyłane drogą elektroniczną nabiorą w Polsce mocy prawnej i na ich podstawie będzie można na przykład dochodzić swoich praw w sądach. Podpis elektroniczny musi spełniać cały szereg wymagań, dużo bardziej rygorystycznych niż w przypadku podpisu tradycyjnego. Musi przede wszystkim stwarzać możliwość weryfikacji osoby, która go składa, uniemożliwić podszywanie się pod inne osoby, zapewnić wykrywalność wszelkich zmian w podpisanym dokumencie.
Podsumowując, podpis elektroniczny jest narzędziem umożliwiającym identyfikację nadawcy wiadomości przesyłanej przez Internet lub za pomocą innych dowolnych mediów elektronicznych. W przeciwieństwie do tradycyjnego podpisu, podpis elektroniczny jest nierozerwalnie związany z dokumentem i nie da się ich rozdzielić. Dzięki temu sprawdza się zarówno autentyczność podpisu jak i treści podpisanego dokumentu. W związku z tym, nawet jeśli po drodze coś w treści dokumentu zostanie zmienione, jego adresat będzie o tym natychmiast poinformowany, przez co przesyłka nie będzie dla niego wiarygodna. Z technologicznego punktu widzenia jest możliwa taka sytuacja, gdzie nie będziemy musieli nosić w naszych kieszeniach niczego więcej oprócz kilku kart, które będą stanowić nasze dokumenty tożsamości, za pomocą których będziemy mogli wysyłać elektronicznie podpisane i/lub zaszyfrowane dokumenty do wszystkich urzędów administracyjnych, wybrać pieniądze z banku, uregulować nasze rachunki, zamówić i zapłacić za zakupy, zadzwonić czy też użyć karty jako klucza do domu - a to wszystko z zachowaniem najwyższego stopnia bezpieczeństwa. Choć brzmi to wręcz nierealnie to jednak przy zastosowaniu najnowszej technologii certyfikacyjnej jest to już możliwe.
Zastosowanie podpisu elektronicznego.
Wkrótce podpis elektroniczny będzie miał zastosowanie przy:
• wymianie dokumentów drogą elektroniczną z zapewnieniem poufności,
• składaniu drogą elektroniczną dokumentów, wniosków,
• wydawaniu pozwoleń,
• rejestracji i innych czynności dokonywanych w urzędach publicznych,
• składaniu zeznań podatkowych,
• przeprowadzaniu operacji bankowych,
• zawieraniu umów,
• bezpiecznym dostępie poprzez Internet do zasobów firmowych.
Korzyści, jakie odniesie użytkownik podpisu elektronicznego znacznie przekroczą poniesione na ten cel wydatki. Zastosowanie podpisu elektronicznego umożliwi:
• znacznie zmniejszenie ponoszonych kosztów,
• przyspieszenie komunikacji,
• przyspieszenie procedur, procesów i kontroli obiegu dokumentów,
• bezpieczeństwo.
Co to jest certyfikat?
Certyfikat to elektroniczny odpowiednik dowodu tożsamości, elektroniczne poświadczenie, przypisujące dane weryfikacji podpisu elektronicznego określonej osobie i potwierdzające jej rzeczywistą tożsamość. Fizycznie jest to sekwencja danych zapisanych na odpowiednim nośniku np. karcie mikroprocesorowej.
W certyfikatach jest stosowana kryptografia klucza publicznego (asymetryczna technika kryptograficzna), która wykorzystuje parę matematycznie związanych ze sobą kluczy, zwanych kluczem prywatnym i kluczem publicznym. Klucz prywatny pozostaje w wyłącznej dyspozycji swego właściciela i nie jest udostępniany żadnym innym osobom. Służy do podpisywania komunikatów w imieniu właściciela. Natomiast klucz publiczny jest powszechnie udostępniany i umożliwia weryfikację podpisu oraz autentyczności i integralności podpisanej treści. Aby weryfikacja podpisu mogła być natychmiastowa, automatyczna i niepodważalna, należy weryfikujący klucz publiczny związać z tożsamością jego właściciela. Ten związek zapewnia certyfikat klucza publicznego. Ten związek gwarantuje wydawca certyfikatów PolCert - E-Telbank Sp. z o.o.
Stosownie do potrzeb, użycie certyfikatu zabezpieczającego elektroniczny przekaz informacji zapewnia realizację czterech podstawowych usług bezpieczeństwa:
• uwierzytelnienie - zapewnia, że osoba, która podaje się za nadawcę wiadomości, rzeczywiście nią jest,
• integralność - zapewnia, że dokumenty i informacje przesłane drogą elektroniczną nie zostały zmienione lub zniszczone ani przypadkowo, ani w sposób zamierzony,
• poufność - zapewnia utrzymanie ważnych danych w tajemnicy i ujawnianie ich tylko przez upoważnione do tego podmioty,
• niezaprzeczalność - potwierdza pochodzenie danych oraz fakt ich odebrania.
Do czego służą certyfikaty?
• do uwiarygodnienia dokumentów i poczty przesyłanych drogą elektroniczną w celach prywatnych
i służbowych,
• do zabezpieczania poufności transakcji w handlu i bankowości elektronicznej,
• do uwiarygodnienia stron transakcji.
Jak to działa w praktyce?
Podpis elektroniczny to cały system zapewniający wszystkim uczestnikom transakcji bezpieczeństwo
i zaufanie. Opiera się na tzw. Infrastrukturze Klucza Publicznego - PKI.
Klient centrum certyfikacyjnego nie kupuje swojego podpisu elektronicznego a jedynie narzędzia do jego tworzenia. Sam podpis powstaje dopiero w momencie składania. Żeby móc korzystać z podpisu elektronicznego najpierw musimy go posiadać. Uzyskamy go od firmy świadczącej usługi certyfikacyjne, gdyż jest on swego rodzaju certyfikatem potwierdzającym tożsamość. Aby korzystać z podpisu elektronicznego konieczne jest posiadanie dwóch kluczy - prywatnego służącego do składania podpisu elektronicznego i publicznego do jego weryfikacji. Klucze to niepowtarzalne dane, oparte na skomplikowanym algorytmie szyfrującym, które są zapisane w postaci elektronicznej np. na karcie mikroprocesorowej.
Klucz prywatny służy do szyfrowania dokumentu. Korzystając z niego komputer dołączy do dokumentu odpowiednią sekwencję znaków, czyli certyfikat z e-podpisem, zaszyfruje go i zabezpieczy. W tak zabezpieczonym dokumencie nie będzie można dokonać żadnych zmian - będą natychmiast widoczne ani oddzielić podpisu tak, aby go użyć do innych celów. Podczas podpisywania dokumentu klucz prywatny nigdy nie opuszcza karty. Podpis elektroniczny generowany jest w mikroprocesorze karty i dopiero ostateczny wynik tej operacji jest dołączany do podpisywanego pliku. Za każdym razem, podczas podpisywania dokumentów, komputer posługując się kluczem prywatnym tworzy podpis jednorazowo. Podpis jest uzależniony nie tylko od posługującej się nim osoby, ale także od zawartości samego dokumentu. Zabezpiecza to przed próbami przeniesienia podpisu.
Klucz publiczny jest kopiowany i dołączany do każdego składanego podpisu elektronicznego. Tylko za jego pomocą komputer odbiorcy odszyfruje dokument i upewni się, że podpis został złożony przez uprawnioną osobę.
W rzeczywistości, w ogromnym uproszczeniu polega to na tym, że po otrzymaniu i rozszyfrowaniu dokumentu, komputer odbiorcy łączy się z firmą wystawcą certyfikatu, aby dodatkowo potwierdzić jego wiarygodność. Na końcu informuje on odbiorcę o wyniku swojej pracy.
Bezpieczeństwo.
Stosowanie podpisu elektronicznego może w sposób istotny przyczynić się do zmniejszenia ryzyka fałszerstw. Podpis elektroniczny jest kombinacją cyfr, stanowiącą klucz, która jest dodatkowo w sposób bezpośredni związana z przesyłanym dokumentem. Algorytmy wykorzystywane obecnie do szyfrowania są niezwykle skomplikowane i wykorzystują coraz dłuższe klucze. Im klucz użyty do szyfrowania jest dłuższy, tym możliwość jego złamania jest mniejsza i tym samym lepiej zabezpieczony jest sam dokument. Ważność certyfikatu podpisu elektronicznego można zawsze zweryfikować u jego wystawcy. Dodatkowym zabezpieczeniem jest to, że Ośrodek Certyfikacji wystawiający certyfikat przejmuje na siebie część odpowiedzialności za szkody i straty powstałe w wyniku błędu weryfikacji tożsamości strony ubiegającej się o certyfikat podpisu elektronicznego. W związku z tym, że nie ma 100 % zabezpieczeń należy pamiętać, że podobnie jak kartę płatniczą lub osobiste dokumenty tożsamości, narzędzia do składania podpisu elektronicznego także należy w odpowiedni sposób chronić i zabezpieczyć przed dostaniem się w niepowołane ręce. Tak samo nikt nie może dać gwarancji, że nikt nie ukradnie naszych dokumentów lub nie podrobi naszego podpisu. Jednak o wiele łatwiej jest podrobić zwykły podpis odręczny niż podpis elektroniczny.
Źródło: http://www.energotel.pl/content/view/32/75/
