Интернет технологии

© Христо Тужаров, 2007

ЕЛЕКТРОНЕН ПОДПИС

 

[Home] [Карта на книгата] [За проекта] [Инфопедия] [Асеневци] [Начало на книгата]

 

БАЗОВИ ТЕХНОЛОГИИ НА ЕЛЕКТРОННИЯ БИЗНЕС

 

ЕЛЕКТРОНЕН ПОДПИС

 

ЕЛЕКТРОНЕН ОБМЕН НА ДАННИ (EDI ) 

 

ЕЛЕКТРОННИ РАЗПЛАЩАНИЯ

 

ИТ СЕРВИЗИ

 

Провайдер на приложни услуги ASP

 

 

Електронен подпис

Информация в електронна форма, присъединена към друга информация в електронна форма (електронен документ).

 

Явява се реквизит на електронния документ, позволяващ да се установи изкривяване (цялостност) на информацията  в електронния документ и да се провери принадлежността на подписа на собственика на сертификата на ключа на електронния подпис.

 

Използването на електронен подпис се счита като полагане на собственоръчен подпис. В съответствие с чл.7 от Типовия Закон на ЮНСИТРАЛ (комисия на ООН за електронната търговия) са обосновани основни изисквания към електронния подпис:

  • трябва достоверно да идентифицира участниците в електронната сделка;

  • да показва, че участникът е одобрил информацията, съдържаща се в документа;

  • да се явява надежден за съответните цели, за които е било осъществено предаването на данните, включени в съглашението.

Според ЗЕДЕП (закон за електронен документ и електронен подпис), електронен подпис е всяка информация, свързана с електронното изявление по начин, съгласуван между автора и адресата, достатъчно сигурен с оглед нуждите на оборота, който:

  • разкрива самоличността на автора;

  • разкрива съгласието на автора с електронното изявление;

  • защитава съдържанието на електронното изявление от последващи промени;

Електронен подпис, предназначение

  • Автентифицира отправителя на документа;

  • Контролира целостта на предавания документ;

  • Може да се изпраща конфиденциална информация;

  • Кореспондента на съобщението е автор и не може да се отрече от направеното изявление

  • Електронните транзакции имат законова сила

История на възникване на електронния подпис

1976 г. -  Уитфилд  Диффи и  Мартин Хелман първи въвеждат понятието електронен цифров подпис.

1977 г. -  Роналд Ривест, Ади Шамир и Леонард Адлеман разработват криптографския алгоритъм RSA, който без допълнителни модификации може да се използва за създаване на примитивни цифрови подписи.

1984 г. - Шафи Голдвасер, Силвио Микали и Роналд Ривест, първи определят изискванията за сигурност за алгоритмите за цифров подпис.

 

Видове електронни подписи
Според ЗЕДЕП електронните подписи се разделят на три вида:

 

       Опростен електронен подпис

Представлява всяка информация, свързана с електронния документ по начин, съгласуван между автора на подписа и адресата, достатъчно сигурен с оглед нуждите на оборота и който:

  • разкрива самоличността на автора;

  • разкрива съгласието на автора с електронното изявление;

  • защитава съдържанието на електронното изявление от последващи промени;

       Усъвършенстван електронен подпис;

Преобразувано електронно изявление, включено, добавено или логически свързано с електронното изявление, преди преобразуването. Това преобразуване се извършва чрез алгоритми, включващи използването на закрития ключ на асиметрична криптосистема. При създаването на усъвършенствания електронен подпис, трябва да прилага механизъм, който гарантира, че:

  • данните за създаване на електронния подпис могат да се възпроизведат само при създаването му и тяхната сигурност е надеждно защитена;

  • данните за създаване на електронния подпис не са достъпни, не могат да бъдат извлечени и подписът е защитен срещу подправяне;

  • данните за създаване на електронния подпис могат да бъдат защитени от автора;

       Универсален (квалифициран) електронен подпис.

Универсалният електронен подпис представлява усъвършенстван електронен подпис, удостоверението относно който е издадено от доставчик на удостоверителни услуги, който е регистриран пред Комисията за регулиране на съобщения. Комисията за регулиране на съобщенията регистрира доставчици на удостоверителни услуги и води регистър на удостоверенията за усъвършенствания им електронен подпис.

 

          Забележка:

  • Опростения и усъвършенствания електронни подписи имат значението на саморъчен подпис, освен ако автор или адресат на електронното изявление е държавен орган или орган на местното самоуправление.
    Универсалният електронен подпис има значението на саморъчен подпис по отношение на всички.

 

Технология на Електронен подпис

При работа с електронен подпис се използва асиметрично шифриране, което използва два различни ключа:

  • Частен ключ - служи за създаване на електронния подпис и е достъпен само за подписващия.

  • Публичен ключ -  служи за проверка на електронния подпис. Достъп до него имат всички участващи в комуникацията. Публикува се в публичен регистър.

       Пример за използване:

 

       Частен ключ - информация с обем 256 бита, която се намира в трудно достъпно място (смарт-карта, дискета, touch memory).

 

       Публичен ключ –  информация с обем 1024 бита, която работи в комплект с частния ключ. Публичният ключ има сертификат, който се предава заедно с подписваната информация. Копия на открития ключ се намират в специално хранилище на доставчика на удостоверителни услуги, което прави имитирането му невъзможно.

 

Информацията преобразувана с частния ключ, може да бъде преобразувана до изходния си оригинален вид, само чрез използване на  съответния публичен ключ. По този начин се гарантира, че лицето контролиращо частния ключ е автор на изявлението. Това авторство се проверява като се ползва публичния ключ съответстващ на частния.

 

Технология на Електронен подпис

 

       Схемата  електронен подпис обхваща три процеса:

  1. Генерация на ключова двойка. С помоща на алгоритъм за генерация на ключа се избира частен ключ, спрямо който се изчислява съответстващия му публичен ключ.

  2. Формиране на подписа . За зададен електронен документ с помощта на частния ключ се изчислява електронния подпис.

  3. Проверка (верификация) на подписа. За дадения документ и подпис с помощта на публичния ключ се определя действителността на подписа.

За да има смисъл използването на цифровия подпис е необходимо изпълнение на две условия:

  • Верификация на подписа трябва да се извършва с публичния ключ, съответстващ на частния ключ, използван при подписването;

  • Без притежаване на частен ключ трябва да бъде изчислително сложно да се създаде легитимен чифров подпис.

       Използване на хеш функции при електронен подпис

Поставянето на подпис върху самия документ, крие опастности, тъй като такива системи са уязвими към атаки с използване на публичния клуч, тъй като, избирайки произволен цифров подпис и прилагайки към него алгоритъм на верификация, може да се получи изходния текст.

 

За да се избегне това, заедно с цифровия подпис се използва хеш-функция, т е., изчисляването на подписа се осъществява не върху самия документ, а върху неговия хеш.

 

В този случай в резултат на верификация  може да се получи само хеш на изходния текст, следователно , ако използваната хеш функция е криптографски устойчива, то да се получи изходния текст е сложно като изчисляване и практически такава атака е невъзможна.

 

Хеш-функцията не се явява част от алгоритъма на електронния подпис, поради което в схемата може да се използва всяка надежна хеш функция.

 

Електронен подпис, използване

 

         Идентификатор

     В процеса на подписване и проверка на електронния подпис участва и идентификатор извлечен от съдържанието на подписания документ. Идентификаторът се променя  ако се промени дори и една буква от документа. По този начин се гарантира, че промени в съдържанието на документа ще бъдат открити.      

 

         Управление на публичните ключове

Важен проблем на  асиметричното шифриране, в това число и системите за електронен подпис се явява управлението на публичните ключове.

 

Необходимо е да се:

  • Осигури достъп на всеки потребител до изтинския публичен ключ на всеки друг потребител;

  • Защитят тези ключове от подмяна от злонамерени;

  • Организира отзив на ключа в случай на негова компрометация.

Сертификация на електронен подпис

Задачата  за защита на ключовете от подмяна се решава с помощта на сертификати. Сертификатът позволява да се удостоверят заключените в него данни за собственика и неговия публичен ключ от някакво доверено лице.

 

Съществуват системи за сертификация от два типа:

  • Децентрализирани системи – чрез кръстосано подписване и проверка на сертификатите на познати и доверени хора се изгражда мрежа на доверие.

  • Централизирани системи – използват се центрове за сертификация, поддържани от доверени организации.

Електронен подпис, издаване

Универсалния електронен подпис, се създава като се спазват следните условия:

  • Частния ключ се генерира от Смарт карта;

  • Използват се одобрени алгоритми;

  • Базира се на Удостоверение за универсален електронен подпис, издаден от регистриран Доставчик на удостоверителни услуги.

За да се гарантира, че частния ключ не е достъпен в никой момент от време за никого, дори и за доставчика на удостоверителни услуги, ключовата двойка се генерира от криптопроцесора на Смарт картата. Частния ключ се записва единствено в защитена област на Смарт картата, от която по никакъв начин не може да бъде прочетен и се използва единствено от криптопроцесора й. Цялата информация, която ще присъства в сертификата се подписва с Частния ключ на Удостоверяващия орган.

 

       Електронна самоличност

При проверка на електронния подпис е необходима и  информация (сертификат) за лицето, контролиращо частния ключ (подателя на съобщението). Информацията се получава чрез Удостоверение за електронен подпис, което съдържа информация за лицето и неговия Публичен ключ. Удостоверението за електронен подпис се издава от доставчик на удостоверителни услуги, който е гарант за “Електронната самоличност” на лицата участващи в комуникацията.

 

     В България дейността на доставчика на удостоверителни услуги и съдържанието на издадените от него удостоверения са регламентирани в закона за “Електронния документ и електронен подпис” и наредбите по неговото прилагане.

    

Електронния подпис е валиден ако е бил създаден докато е валидно удостоверението за електронен подпис издадено за него.

   

Доставчика е длъжен да поддържа средства за проверка на електронния подпис, като регистър с публикуваните удостоверения и списък с прекратените удостоверения.

    

Това дава основание да се има доверие на електронния подпис, за който е използван частен ключ, съответстващ на публичен ключ посочен в удостоверение, издаден от доставчик на удостоверителни услуги.