Ako funguje kvalifikovaný digitálny podpis?

Digitálny podpis je nefalšovateľným ekvivalentom vlastnoručného podpisu. Za predpokladu, že aj digitálne generované podpisy sú v súlade s predpismi stanovenými v nariadení eIDAS. Potom je digitálny podpis nielen odolný voči falšovaniu, ale aj stopercentne právne platný.

U mnohých ľudí však táto téma stále vyvoláva otázky a neistotu. Je môj podpis bezpečný? Môže byť môj podpis sfalšovaný? Ako sa môžem uistiť, že sa podpísala správna osoba?

Aby sme mohli odpovedať na tieto a ďalšie otázky, budeme sa v tomto článku zaoberať tým, ako možno dokument platne digitálne podpísať a čo je na to potrebné.

Ako bezpečne digitálne podpísať elektronický dokument

Vysvetlenie pojmov:

• Digitálne podpisy sa používajú na schvaľovanie a overovanie dokumentov v elektronickej podobe. Využívajú zložité kryptografické mechanizmy na overenie pravosti digitálnych dokumentov a správ, potvrdenie totožnosti podpisovateľov a ochranu údajov pred falšovaním a poškodením počas prenosu.

Digitálne podpisy sú vybavené back-endovými nástrojmi, ktoré zabezpečujú, že dokument môže podpísať len oprávnená osoba, a zabraňujú zmenám po podpise.

Digitálny podpis sa vytvára pomocou jedinečného digitálneho identifikátora nazývaného "digitálny certifikát" alebo "certifikát verejného kľúča". Digitálne certifikáty vydávajú akreditované certifikačné autority (CA) po overení totožnosti žiadateľa.

• Certifikačná autorita (CA) je inštitúcia, ktorá je oprávnená vydávať digitálne certifikáty. Pôsobí ako dôveryhodná tretia strana (TTP), ktorá overuje totožnosť držiteľa certifikátu. Certifikačná autorita tiež potvrdzuje vlastníctvo verejného kľúča.

• Digitálny certifikát je elektronický pas, ktorý identifikuje účastníka konverzácie zabezpečenej PKI a umožňuje jednotlivcom a inštitúciám bezpečnú výmenu údajov online. Údaje sa šifrujú a dešifrujú pomocou dvojice verejného a súkromného kľúča.

• Verejný kľúč je jedinečný číselný identifikátor, ktorý sa používa na šifrovanie údajov alebo overovanie digitálnych podpisov. Osobe alebo organizácii ho vydáva certifikačná autorita a je verejne dostupný každému, kto ho potrebuje.

• Súkromný kľúč je známy len jeho vlastníkovi. Používa sa na dešifrovanie údajov vytvorených pomocou príslušného verejného kľúča alebo na generovanie digitálnych podpisov.

Digitálne podpisy a digitálne certifikáty sú úzko prepojené. Ich aplikácie a použitie závisia od toho, ako sú tieto systémy implementované a ako funguje príslušná infraštruktúra PKI. Digitálny certifikát sa niekedy nazýva certifikát digitálneho podpisu, pretože potvrdzuje verejný kľúč (pravosť) podpisujúceho subjektu.

Prečo potrebujem digitálny podpis a certifikát?

Začnime jednoduchým príkladom. Alica a Bob chcú spolu komunikovať alebo podpísať dokument.

Scenár 1: Úvodný príklad

Alica má dva digitálne kryptografické kľúče - verejný kľúč (PA) a súkromný/tajný kľúč (SA). Verejný kľúč môže byť odovzdaný ďalej. Súkromný kľúč však musí Alica uchovávať v tajnosti a v bezpečí.

Alica vytvorí digitálny certifikát, ktorý obsahuje jej verejný kľúč a jej e-mailovú adresu. Tento certifikát pošle Bobovi, aby s ním zdieľala svoj verejný kľúč.

Alica teraz môže podpísať dokument svojím súkromným kľúčom a poslať ho Bobovi. Bob potom môže overiť, či Alicin verejný kľúč zodpovedá podpisu vykonanému Aliciným súkromným kľúčom.

Súkromný a verejný kľúč sú teda dve strany tej istej mince. Všetko, čo je podpísané súkromným kľúčom, sa dá overiť pomocou zodpovedajúceho verejného kľúča.

Tým je teraz zabezpečené, že len Alica môže urobiť podpis pomocou svojho súkromného kľúča.

Je však potrebné zaviesť ďalšie bezpečnostné opatrenie, aby sa zabezpečilo, že spojenie medzi Aliciným verejným kľúčom a jej identifikátorom používateľa (napr. e-mailovou adresou) sa skutočne overí.

Scenár 2: Čo sa môže stať, ak sa certifikát neskontroluje?

Tentoraz chce Mallory predstierať, že je Alica a komunikuje s Bobom. Mallory nemá Alicin ani Bobov súkromný kľúč. Má však svoj vlastný pár súkromný a verejný kľúč.

Mallory chce presvedčiť Boba, že jeho súkromný kľúč patrí Alici. Na tento účel si vytvorí certifikát zo svojho verejného kľúča a Alicinho e-mailu a pošle ho Bobovi. Bob si myslí, že verejný kľúč dostal od Alice.

Teraz môže Mallory podpisovať dokumenty svojím súkromným kľúčom a posielať ich Bobovi. Bob môže opäť skontrolovať podpis verejným kľúčom a zistiť, ktoré z nich sa opäť zhodujú. Bob je teraz presvedčený, že správu podpísala Alica. V skutočnosti to však bol Mallory.

Problém je v tom, že Mallory má možnosť vytvoriť prepojenie medzi svojím verejným kľúčom a Aliciným používateľským menom.

Tomu však chceme zabrániť a na to potrebujeme tretiu stranu.

Scenár 3: Ako to urobiť správne?

Trent je dôveryhodná tretia strana, ktorá zabezpečuje overenie spojenia medzi Aliciným verejným kľúčom a jej používateľským ID. Trent overí Alicinu identitu, napr. pomocou overenia totožnosti pomocou služby Video Ident, a overí digitálny certifikát.

Alica teraz môže podpisovať správy a Bob si môže byť istý, že správa je skutočne od Alice. Týmto spôsobom sa nám podarí vytvoriť digitálne podpisy odolné voči falšovaniu!

Dôležité sú tu teda dve veci:

1. Po prvé, musí sa zistiť Alicina identita a jej identifikátor používateľa musí byť spojený s verejným kľúčom. Súkromný kľúč má Alica vždy v bezpečnej úschove. Buď sama, alebo prostredníctvom bezpečného poskytovateľa tretej strany, ako je napríklad sproof.
2. Po druhé, pri podpise sa musí overiť totožnosť podpisovateľa, napríklad prostredníctvom push správy na mobilnom telefóne.

Týmto spôsobom sa nám darí vytvárať digitálne kvalifikované podpisy, ktoré sú minimálne rovnako bezpečné ako analógové podpisy.

Z technického hľadiska je každý digitálny podpis vytvorený pre konkrétny dokument jedinečný, a preto je mimoriadne ťažké ho sfalšovať. Schopnosť digitálnych podpisov zabezpečiť integritu a pravosť elektronických dokumentov a zároveň uviesť súhlas podpisovateľa umožňuje podnikom, dodávateľom a zákazníkom komunikovať online a bezpečne zdieľať informácie.