Jak działa kwalifikowany podpis cyfrowy?

Jak działa kwalifikowany podpis cyfrowy

admin

Ostatnia modyfikacja: 2 maja, 2023
Posterunek wiedzy
Jak działa kwalifikowany podpis cyfrowy? Dowód

Podpis cyfrowy jest niepodrobionym odpowiednikiem podpisu odręcznego. Pod warunkiem, że podpisy generowane cyfrowo są również zgodne z regulacjami określonymi w rozporządzeniu eIDAS. Wtedy podpis cyfrowy jest nie tylko odporny na fałszerstwa, ale także w 100% ważny prawnie.

Dla wielu osób temat ten wciąż budzi jednak pytania i niepewność. Czy mój podpis jest bezpieczny? Czy mój podpis może zostać podrobiony? Jak mogę się upewnić, że podpisała się właściwa osoba?

Aby móc odpowiedzieć na te i inne pytania, w tym artykule zajmiemy się tym, w jaki sposób dokument może być ważnie podpisany cyfrowo i co jest do tego potrzebne.

Pozwala to na bezpieczne cyfrowe podpisywanie dokumentu elektronicznego

Ujednoznacznienie:

Podpisy cyfrowe służą do zatwierdzania i walidacji dokumentów w formie elektronicznej. Wykorzystują one złożone mechanizmy kryptograficzne do uwierzytelniania cyfrowych dokumentów i wiadomości, potwierdzania tożsamości osób podpisujących oraz ochrony danych przed manipulacją i manipulacją podczas transmisji.

Podpisy cyfrowe są wyposażone w narzędzia backendowe, które zapewniają, że tylko upoważniona osoba może podpisać dokument i zapobiegają zmianom po podpisaniu.

Podpis cyfrowy jest generowany przy użyciu unikalnego identyfikatora cyfrowego nazywanego “certyfikatem cyfrowym” lub “certyfikatem klucza publicznego”. Certyfikaty cyfrowe są wydawane przez akredytowane urzędy certyfikacji (CA) po zweryfikowaniu tożsamości wnioskodawcy.

  • Urząd certyfikacji (CA) to jednostka upoważniona do wystawiania certyfikatów cyfrowych. Działa jako zaufana strona trzecia (TTP), która weryfikuje tożsamość posiadacza certyfikatu. Urząd certyfikacji poświadcza również posiadanie klucza publicznego.
  • Certyfikat cyfrowy to paszport elektroniczny, który identyfikuje uczestnika konwersacji zabezpieczonej infrastrukturą kluczy publicznych i umożliwia osobom fizycznym i instytucjom bezpieczne udostępnianie danych online. Szyfrowanie i odszyfrowywanie danych odbywa się za pomocą pary kluczy publicznych i prywatnych.
  • Klucz publiczny to unikatowy identyfikator numeryczny używany do szyfrowania danych lub weryfikacji podpisów cyfrowych. Jest on wydawany przez jednostkę certyfikującą osobie lub organizacji i jest publicznie dostępny dla każdego, kto go potrzebuje.
  • Klucz prywatny jest znany tylko jego właścicielowi. Służy do odszyfrowywania danych utworzonych za pomocą odpowiedniego klucza publicznego lub do generowania podpisów cyfrowych.

Podpisy cyfrowe i certyfikaty cyfrowe są ze sobą ściśle powiązane. Aplikacje i zastosowania zależą od sposobu implementacji tych systemów i sposobu działania infrastruktury PKI. Certyfikat cyfrowy jest czasami określany jako certyfikat podpisu cyfrowego, ponieważ potwierdza klucz publiczny (autentyczność) urzędu podpisującego.

Do czego potrzebny jest podpis cyfrowy i certyfikat?

Zacznijmy od prostego przykładu. Alicja i Bob chcą się ze sobą porozumieć lub podpisać dokument.

Scenariusz 1: Przykład wprowadzający

Jak działa podpis cyfrowy

Alicja ma dwa cyfrowe klucze kryptograficzne – klucz publiczny (PA) i klucz prywatny/tajny (SA). Klucz publiczny może być przekazywany dalej. Klucz prywatny musi być jednak utrzymywany w tajemnicy i przechowywany w bezpiecznym miejscu przez Alicję.

Alicja tworzy certyfikat cyfrowy, który zawiera jej klucz publiczny i adres e-mail. Wysyła ten certyfikat do Boba, aby udostępnił mu swój klucz publiczny.

Alicja może teraz podpisać dokument swoim kluczem prywatnym i wysłać go do Boba. Bob może następnie sprawdzić, czy klucz publiczny Alicji jest zgodny z podpisem złożonym za pomocą klucza prywatnego Alicji.

Klucz prywatny i publiczny to zatem dwie strony tego samego medalu. Wszystko, co jest podpisane kluczem prywatnym, można zweryfikować za pomocą odpowiedniego klucza publicznego.

Gwarantuje to, że tylko Alicja może złożyć podpis za pomocą swojego klucza prywatnego.

Konieczne jest jednak wprowadzenie innego środka bezpieczeństwa.
Należy upewnić się, że powiązanie klucza publicznego Alice z jej identyfikatorem użytkownika (np. adresem e-mail) jest rzeczywiście sprawdzone.

Scenariusz 2: Co może się stać, jeśli certyfikat nie zostanie zweryfikowany?

Jak działa podpis cyfrowy - certyfikat

Tym razem Mallory chce udawać Alice i komunikować się z Bobem. Mallory nie ma ani klucza prywatnego Alice, ani Boba. Ma jednak swoją własną parę kluczy prywatny-publiczny.

Mallory próbuje przekonać Boba, że jego klucz prywatny należy do Alice. W tym celu sam tworzy certyfikat ze swojego klucza publicznego i adresu e-mail Alicji, a następnie wysyła go do Boba. Myśli, że otrzymał klucz publiczny od Alicji.

Teraz Mallory może podpisywać dokumenty swoim kluczem prywatnym i bez przeszkód wysyłać je do Boba. Użytkownik może ponownie sprawdzić podpis za pomocą klucza publicznego i ponownie dopasować, które z nich. Bob jest teraz przekonany, że Alicja podpisała tę wiadomość. W rzeczywistości jednak był to Mallory.

Problem polega na tym, że Mallory ma szansę stworzyć powiązanie między swoim kluczem publicznym a identyfikatorem użytkownika Alice.

Chcemy jednak temu zapobiec, a do tego potrzebujemy osoby trzeciej.

Scenariusz 3: Jak to zrobić poprawnie?

Digitale Signatur

Trent to zaufana strona trzecia, która zapewnia, że powiązanie klucza publicznego Alice z jej identyfikatorem użytkownika jest weryfikowane. Trent weryfikuje tożsamość Alice, np. za pomocą kontroli tożsamości za pomocą Video Ident, i poświadcza certyfikat cyfrowy.

Alicja może teraz podpisywać wiadomości, a Bob może być pewien, że wiadomość naprawdę pochodzi od Alicji. Umożliwi nam to tworzenie podpisów cyfrowych odpornych na fałszerstwa!

Ważne są zatem dwie rzeczy:

  1. Z jednej strony tożsamość Alicji musi zostać ustalona, a jej identyfikator użytkownika musi być powiązany z kluczem publicznym. Alicja zawsze ma klucz prywatny w bezpiecznym miejscu. Samodzielnie lub za pośrednictwem bezpiecznego dostawcy zewnętrznego, takiego jak sproof.
  2. Po drugie, przy składaniu podpisu należy zweryfikować tożsamość osoby podpisującej, na przykład za pomocą wiadomości push na telefon komórkowy.

Dzięki temu możemy tworzyć cyfrowe, kwalifikowane podpisy, które są co najmniej tak samo bezpieczne jak podpisy analogowe.

Technicznie rzecz biorąc, każdy podpis cyfrowy utworzony dla konkretnego dokumentu jest unikalny, a zatem niezwykle trudny do podrobienia. Zdolność podpisów cyfrowych do zapewnienia integralności i autentyczności dokumentów elektronicznych przy jednoczesnym wyrażeniu zgody osoby podpisującej umożliwia firmom, wykonawcom i klientom interakcję online i bezpieczne udostępnianie informacji.

Technicznie rzecz biorąc, każdy podpis cyfrowy utworzony dla konkretnego dokumentu jest unikalny, a zatem niezwykle trudny do podrobienia. Zdolność podpisów cyfrowych do zapewnienia integralności i autentyczności dokumentów elektronicznych przy jednoczesnym wyrażeniu zgody osoby podpisującej umożliwia firmom, wykonawcom i klientom interakcję online i bezpieczne udostępnianie informacji.

Digitale Signatur

Dygresja: Kim są Alice, Bob i Mallory?

Alice, Bob i Mallory to fikcyjne postacie, które służą jako synonimy głównych graczy w komunikacji i udostępnianiu danych. Zamiast mówić o anonimowych osobach, osoby te są personifikowane za pomocą Alice, Boba i Mallory’ego. Metoda ta ułatwia prezentację złożonych relacji i procesów oraz sprawia, że stają się one bardziej zrozumiałe dla czytelnika.

Kim są Alicja i Bob?
Alicja i Bob są postaciami reprezentatywnymi dla uczestników komunikacji między dwiema stronami. Alicja pełni rolę inicjatora, który nawiązuje komunikację. Bob wciela się w rolę osoby, która odbiera wiadomość. Przez większość czasu Alice stara się dostarczyć wiadomość do Boba, podczas gdy Bob czeka na wiadomość od Alice.

Kim jest Mallory?
Mallory jest aktywnym atakującym komunikację, który nie boi się ingerować w komunikację, aby manipulować wiadomościami lub zmieniać dane. Jako człowiek w środku (MITM), Mallory jest szczególnie niebezpieczny dla Alice i Boba, którzy są w stanie chronić się przed nim za pomocą kryptografii.
Bez zastosowania kryptografii …

  • … Transmisje danych są podatne na manipulacje ze strony osób trzecich. Mallory mógłby, na przykład, wykorzystać przechwycone dane do własnych celów lub zmienić je niezauważenie.
  • … Mallory mógł podszywać się pod inną osobę i uzyskać dostęp do poufnych informacji.
  • … Alice mogła niepostrzeżenie twierdzić, że pewne dane zostały sfałszowane przez Mallory’ego.

Należy jednak podkreślić, że

  • … Kryptografia NIE jest w stanie zapobiec zmianie lub przechwyceniu danych przez Mallory’ego niezauważonemu.
  • … że przerwanie lub uniemożliwienie połączeń nie jest wykluczone.
  • … Wykorzystanie kryptografii jest jednak ważnym mechanizmem ochronnym minimalizującym ryzyko manipulacji danymi.

Kim jest Trent?
Trent, wywodzący się z angielskiego “trusted entity”, jest zaufaną stroną trzecią. Na przykład jako urząd certyfikacji lub w skrócie CA.

Kalkulator zwrotu z inwestycji

Oblicz wpływ podpisu elektronicznego na środowisko i gospodarkę w Twojej firmie. Bezpłatnie i bez zobowiązań.

OBLICZ ZWROT Z INWESTYCJI TERAZ

Więcej wpisów na blogu

  • Gotowi na eIDAS 2.0: Dlaczego Twoja firma potrzebuje europejskiego agregatora

    spoof Ident - europejski agregator tożsamości

    9 października, 2025
    Agnieszka Grzybek

  • Koniec tożsamościowego chaosu: integracja wszystkich europejskich eID w jedną platformę

    spoof Ident - europejski agregator tożsamości

    9 października, 2025
    Margit Neumann

  • Prawo o ochronie danych osobowych w okresie transformacji: rozmowa z

    Ochrona danych w Europie - sproof

    27 sierpnia, 2025
    Margit Neumann

    Miniatura wpisu na blogu Katharina Raabe-Stuppnig sproof
  • Ta witryna jest zarejestrowana pod adresem wpml.org jako witryna rozwojowa. Przełącz się na klucz witryny produkcyjnej na remove this banner.