Kako deluje kvalificirani digitalni podpis?

Digitalni podpis je nezamenljiv ekvivalent lastnoročnega podpisa. Pod pogojem, da so digitalno ustvarjeni podpisi prav tako skladni s predpisi, določenimi v uredbi eIDAS. Potem digitalni podpis ni le varen pred ponarejanjem, temveč je tudi 100-odstotno pravno veljaven.

Vendar pa ta tema pri mnogih ljudeh še vedno vzbuja vprašanja in negotovost. Ali je moj podpis varen? Ali je moj podpis mogoče ponarediti? Kako se lahko prepričam, da je podpisala prava oseba?

Da bi lahko odgovorili na ta in druga vprašanja, se bomo v tem članku ukvarjali s tem, kako lahko dokument veljavno digitalno podpišemo in kaj je za to potrebno.

Kako varno digitalno podpisati elektronski dokument

Pojasnitev pojmov:

• Digitalni podpisi se uporabljajo za odobritev in potrditev dokumentov v elektronski obliki. Uporabljajo zapletene kriptografske mehanizme za preverjanje pristnosti digitalnih dokumentov in sporočil, potrjevanje identitete podpisnikov ter zaščito podatkov pred spreminjanjem in poškodbami med prenosom.

Digitalni podpisi so opremljeni z zalednimi orodji, ki zagotavljajo, da lahko dokument podpiše samo pooblaščena oseba, in preprečujejo spremembe po podpisu.

Digitalni podpis je ustvarjen z edinstvenim digitalnim identifikatorjem, imenovanim "digitalno potrdilo" ali "potrdilo javnega ključa". Digitalna potrdila izdajajo akreditirani certifikacijski organi (CA), potem ko preverijo identiteto prosilca.

• Certifikacijski organ (CA) je institucija, ki je pooblaščena za izdajanje digitalnih potrdil. Deluje kot zaupanja vredna tretja oseba (TTP), ki preveri identiteto imetnika potrdila. Certifikacijski organ potrjuje tudi posedovanje javnega ključa.

• Digitalno potrdilo je elektronski potni list, ki identificira udeleženca v pogovoru, zaščitenem s PKI, ter posameznikom in institucijam omogoča varno spletno izmenjavo podatkov. Podatki se šifrirajo in dešifrirajo z uporabo para javnega in zasebnega ključa.

• Javni ključ je edinstven numerični identifikator, ki se uporablja za šifriranje podatkov ali preverjanje digitalnih podpisov. Osebi ali organizaciji ga izda certifikacijski organ in je javno dostopen vsakomur, ki ga potrebuje.

• Zasebni ključ je znan samo njegovemu lastniku. Uporablja se za dešifriranje podatkov, ustvarjenih z ustreznim javnim ključem, ali za ustvarjanje digitalnih podpisov.

Digitalni podpisi in digitalna potrdila so tesno povezani. Njuna uporaba je odvisna od tega, kako se ti sistemi izvajajo in kako deluje ustrezna infrastruktura PKI. Digitalno potrdilo se včasih imenuje digitalno podpisno potrdilo, ker potrjuje javni ključ (avtentičnost) podpisnika.

Zakaj potrebujem digitalni podpis in potrdilo?

Začnimo s preprostim primerom. Alica in Bob želita skupaj komunicirati ali podpisati dokument.

Scenarij 1: začetni primer

Alica ima dva digitalna kriptografska ključa - javni ključ (PA) in zasebni/tajni ključ (SA). Javni ključ se lahko posreduje naprej. Zasebni ključ pa mora Alica ohraniti v tajnosti in na varnem.

Alica ustvari digitalno potrdilo, ki vsebuje njen javni ključ in njen e-poštni naslov. To potrdilo pošlje Bobu, da bi z njim delila svoj javni ključ.

Alica lahko zdaj podpiše dokument s svojim zasebnim ključem in ga pošlje Bobu. Bob lahko nato preveri, ali se Alicin javni ključ ujema s podpisom, opravljenim z Alicinim zasebnim ključem.

Zasebni in javni ključ sta torej dve strani istega kovanca. Vse, kar je podpisano z zasebnim ključem, je mogoče preveriti z ustreznim javnim ključem.

To zdaj zagotavlja, da lahko podpis z zasebnim ključem opravi samo Alice.

Vendar pa je treba uvesti še en varnostni ukrep, da se zagotovi, da se povezava med Alicinim javnim ključem in njenim uporabniškim imenom (npr. e-poštnim naslovom) dejansko preveri.

Scenarij 2: Kaj se lahko zgodi, če potrdilo ni preverjeno?

Tokrat se želi Mallory pretvarjati, da je Alice, in komunicirati z Bobom. Mallory nima ne Alicinega ne Bobovega zasebnega ključa. Ima pa svoj par zasebni-javni ključ.

Mallory želi Boba prepričati, da njegov zasebni ključ pripada Alici. To stori tako, da iz svojega javnega ključa in Alicinega elektronskega sporočila sestavi potrdilo in ga pošlje Bobu. Bob misli, da je javni ključ prejel od Alice.

Zdaj lahko Mallory podpiše dokumente s svojim zasebnim ključem in jih pošlje Bobu. Bob lahko podpise ponovno preveri z javnim ključem in ugotovi, kateri se ponovno ujemajo. Bob je zdaj prepričan, da je sporočilo podpisala Alice. V resnici pa je podpisal Mallory.

Težava je v tem, da ima Mallory možnost ustvariti povezavo med svojim javnim ključem in Alicinim uporabniškim imenom.

Vendar želimo to preprečiti, zato potrebujemo tretjo osebo.

Scenarij 3: Kako to narediti pravilno?

Trent je zaupanja vredna tretja oseba, ki zagotavlja, da je povezava med Alicinim javnim ključem in njenim uporabniškim imenom preverjena. Trent preveri Alicino identiteto, npr. z uporabo preverjanja identitete s funkcijo Video Ident, in overi digitalno potrdilo.

Alice lahko zdaj podpisuje sporočila, Bob pa je lahko prepričan, da je sporočilo res od Alice. Na ta način nam uspe izdelati digitalne podpise, ki so varni pred ponarejanjem!

Pri tem sta pomembni dve stvari:

1. Prvič, ugotoviti je treba Alicino identiteto in njeno uporabniško ime povezati z javnim ključem. Alica zasebni ključ vedno hrani na varnem. Sama ali prek varnega tretjega ponudnika, kot je sproof.
2. Drugič, ob podpisu je treba preveriti identiteto podpisnika, na primer s potisnim sporočilom na mobilnem telefonu.

Na ta način nam uspe izdelati digitalne kvalificirane podpise, ki so vsaj tako varni kot analogni podpisi.

Tehnično je vsak digitalni podpis, ustvarjen za določen dokument, edinstven in ga je zato izjemno težko ponarediti. Sposobnost digitalnih podpisov, da zagotovijo celovitost in pristnost elektronskih dokumentov ter hkrati navedejo odobritev podpisnika, omogoča podjetjem, izvajalcem in strankam varno spletno interakcijo in izmenjavo informacij.