Kaip veikia kvalifikuotas skaitmeninis parašas?

Skaitmeninis parašas yra neklastojamas ranka rašyto parašo atitikmuo. Jei skaitmeniniu būdu sukurti parašai taip pat atitinka eIDAS reglamente nustatytas taisykles. Tuomet skaitmeninis parašas yra ne tik atsparus klastojimui, bet ir 100 % teisiškai galiojantis.

Tačiau daugeliui žmonių ši tema vis dar kelia klausimų ir neaiškumų. Ar mano parašas saugus? Ar mano parašas gali būti suklastotas? Kaip galiu įsitikinti, kad pasirašė tinkamas asmuo?

Kad galėtume atsakyti į šiuos ir kitus klausimus, šiame straipsnyje aptarsime, kaip galima galiojančiai pasirašyti dokumentą skaitmeniniu parašu ir ko tam reikia.

Kaip saugiai pasirašyti elektroninį dokumentą skaitmeniniu parašu

Terminų paaiškinimas:

• Skaitmeniniai parašai naudojami elektroniniams dokumentams patvirtinti ir patvirtinti. Juose naudojami sudėtingi kriptografiniai mechanizmai skaitmeniniams dokumentams ir pranešimams autentifikuoti, pasirašančiųjų tapatybei patvirtinti ir duomenims apsaugoti nuo klastojimo ir sugadinimo perdavimo metu.

Skaitmeniniai parašai turi galines priemones, užtikrinančias, kad dokumentą pasirašyti gali tik įgaliotas asmuo, ir užkertančias kelią pakeitimams po pasirašymo.

Skaitmeninis parašas sukuriamas naudojant unikalų skaitmeninį identifikatorių, vadinamą "skaitmeniniu sertifikatu" arba "viešojo rakto sertifikatu". Skaitmeninius sertifikatus išduoda akredituotos sertifikavimo įstaigos (CA), patikrinusios pareiškėjo tapatybę.

• Sertifikavimo įstaiga (CA) - tai institucija, įgaliota išduoti skaitmeninius sertifikatus. Ji veikia kaip patikima trečioji šalis (TTP), kuri tikrina sertifikato turėtojo tapatybę. Sertifikavimo institucija taip pat patvirtina viešojo rakto turėjimą.

• Skaitmeninis sertifikatas yra elektroninis pasas, pagal kurį identifikuojamas PKI apsaugoto pokalbio dalyvis ir pagal kurį asmenys ir institucijos gali saugiai keistis duomenimis internete. Duomenys užšifruojami ir iššifruojami naudojant viešųjų ir privačiųjų raktų porą.

• Viešasis raktas yra unikalus skaitmeninis identifikatorius, naudojamas duomenims šifruoti arba skaitmeniniams parašams tikrinti. Jį asmeniui ar organizacijai išduoda sertifikavimo įstaiga ir jis yra viešai prieinamas visiems, kam jo reikia.

• Privatus raktas žinomas tik jo savininkui. Jis naudojamas su atitinkamu viešuoju raktu sukurtiems duomenims iššifruoti arba skaitmeniniams parašams generuoti.

Skaitmeniniai parašai ir skaitmeniniai sertifikatai yra glaudžiai susiję. Jų pritaikymas ir naudojimas priklauso nuo to, kaip šios sistemos įgyvendinamos ir kaip veikia atitinkama PKI infrastruktūra. Skaitmeninis sertifikatas kartais vadinamas skaitmeninio parašo sertifikatu, nes juo patvirtinamas pasirašančiojo subjekto viešasis raktas (autentiškumas).

Kam reikalingas skaitmeninis parašas ir sertifikatas?

Pradėkime nuo paprasto pavyzdžio. Alisa ir Bobas nori bendrauti arba pasirašyti dokumentą.

1 scenarijus: pradinis pavyzdys

Alisa turi du skaitmeninius kriptografinius raktus - viešąjį raktą (PA) ir privatųjį (slaptąjį) raktą (SA). Viešasis raktas gali būti perduodamas. Tačiau privatųjį raktą Alisa turi laikyti paslaptyje ir saugoti.

Alisa sukuria skaitmeninį sertifikatą, kuriame yra jos viešasis raktas ir jos el. pašto adresas. Šį sertifikatą ji siunčia Bobui, norėdama pasidalyti savo viešuoju raktu su Bobu.

Dabar Alisa gali pasirašyti dokumentą savo privačiuoju raktu ir nusiųsti jį Bobui. Tada Bobas gali patikrinti, ar Alisos viešasis raktas atitinka parašą, pasirašytą Alisos privačiuoju raktu.

Taigi privatus ir viešasis raktai yra dvi tos pačios monetos pusės. Viską, kas pasirašyta privačiu raktu, galima patikrinti atitinkamu viešuoju raktu.

Taip dabar užtikrinama, kad tik Alisa gali pasirašyti savo privačiuoju raktu.

Tačiau reikia įvesti dar vieną saugumo priemonę, kuri užtikrintų, kad ryšys tarp Alisos viešojo rakto ir jos naudotojo ID (pvz., el. pašto adreso) iš tikrųjų būtų patikrintas.

2 scenarijus: kas gali nutikti, jei sertifikatas nepatikrintas?

Šį kartą Mallory nori apsimesti Alisa ir bendrauti su Bobu. Mallory neturi nei Alisos, nei Bobo privataus rakto. Tačiau jis turi savo privataus ir viešo raktų porą.

Mallory nori įtikinti Bobą, kad jo privatus raktas priklauso Alice. Tam jis iš savo viešojo rakto ir Alice elektroninio pašto sukuria sertifikatą ir nusiunčia jį Bobui. Bobas mano, kad viešąjį raktą gavo iš Alisos.

Dabar Mallory gali pasirašyti dokumentus savo privačiuoju raktu ir siųsti juos Bobui. Bobas gali dar kartą patikrinti parašą viešuoju raktu ir nustatyti, kurie iš jų vėl sutampa. Dabar Bobas įsitikinęs, kad pranešimą pasirašė Alisa. Tačiau iš tikrųjų tai buvo Mallory.

Problema ta, kad Mallory turi galimybę sukurti ryšį tarp savo viešojo rakto ir Alice naudotojo ID.

Tačiau mes norime užkirsti tam kelią, o tam reikia trečiosios šalies.

3 scenarijus: kaip tai padaryti teisingai?

Trentas yra patikima trečioji šalis, kuri užtikrina, kad ryšys tarp Alisos viešojo rakto ir jos naudotojo ID būtų patikrintas. Trent patikrina Alisos tapatybę, pavyzdžiui, naudodamas tapatybės patikrinimą su "Video Ident", ir patvirtina skaitmeninio sertifikato autentiškumą.

Dabar Alice gali pasirašyti pranešimus, o Bobas gali būti tikras, kad pranešimą tikrai siunčia Alice. Tokiu būdu mums pavyksta sukurti klastotėms atsparius skaitmeninius parašus!

Taigi čia svarbūs du dalykai:

1. Pirma, turi būti nustatyta Alisos tapatybė ir jos vartotojo ID turi būti susietas su viešuoju raktu. Privatųjį raktą Alisa visada saugo. Arba pati, arba per saugų trečiosios šalies teikėją, pavyzdžiui, "Sproof".
2. Antra, kai pasirašoma, pasirašančiojo tapatybė turi būti patikrinta, pavyzdžiui, mobiliuoju telefonu siunčiant stumiamąją žinutę.

Taip pavyksta sukurti skaitmeninius kvalifikuotus parašus, kurie yra bent jau tokie pat saugūs kaip analoginiai parašai.

Techniniu požiūriu kiekvienas konkrečiam dokumentui sukurtas skaitmeninis parašas yra unikalus, todėl jį suklastoti itin sunku. Skaitmeninių parašų gebėjimas užtikrinti elektroninių dokumentų vientisumą ir autentiškumą, kartu nurodant pasirašančiojo sutikimą, leidžia įmonėms, rangovams ir klientams bendrauti internetu ir saugiai dalytis informacija.