Semnătura digitală este echivalentul infalsificabil al semnăturii scrise de mână. Cu condiția ca semnăturile generate digital să respecte și reglementările prevăzute în Regulamentul eIDAS. În acest caz, semnătura digitală este nu numai infalsificabilă, ci și 100% valabilă din punct de vedere juridic.
Cu toate acestea, pentru mulți oameni, subiectul ridică încă întrebări și incertitudini. Este semnătura mea sigură? Semnătura mea poate fi falsificată? Cum mă pot asigura că a semnat persoana potrivită?
Pentru a putea răspunde la aceste întrebări și la altele, în acest articol ne vom ocupa de modul în care un document poate fi semnat digital în mod valabil și ce este necesar pentru aceasta.
Acest lucru permite ca un document electronic să fie semnat digital în siguranță
Dezambiguizare:
Semnăturile digitale sunt utilizate pentru aprobarea și validarea documentelor în format electronic. Acestea utilizează mecanisme criptografice complexe pentru a autentifica documentele și mesajele digitale, pentru a confirma identitatea semnatarilor și pentru a proteja datele împotriva falsificării și alterării în timpul transmiterii.
Semnăturile digitale sunt echipate cu instrumente backend pentru a se asigura că numai o persoană autorizată poate semna un document și pentru a preveni modificările după semnare.
O semnătură digitală este generată folosind un identificator digital unic numit “certificat digital” sau “certificat cu cheie publică”. Certificatele digitale sunt emise de autorități de certificare (AC) acreditate după verificarea identității solicitantului.
- O autoritate de certificare (AC) este o entitate care este autorizată să emită certificate digitale. Aceasta acționează ca o terță parte de încredere (TTP) care verifică identitatea titularului unui certificat. O autoritate de certificare certifică, de asemenea, posesia unei chei publice.
- Un certificat digital este un pașaport electronic care identifică participantul la o conversație securizată PKI și permite persoanelor și instituțiilor să partajeze date online în siguranță. Criptarea și decriptarea datelor se realizează cu ajutorul unei perechi de chei publice și private.
- O cheie publică este un identificator numeric unic utilizat pentru criptarea datelor sau verificarea semnăturilor digitale. Aceasta este emisă de un organism de certificare pentru o persoană sau o organizație și este disponibilă publicului pentru oricine are nevoie de ea.
- O cheie privată este cunoscută numai de proprietarul său. Aceasta este utilizată pentru decriptarea datelor create cu cheia publică corespunzătoare sau pentru generarea semnăturilor digitale.
Semnăturile digitale și certificatele digitale sunt strâns legate între ele. Aplicațiile și utilizările dumneavoastră depind de modul în care sunt implementate aceste sisteme și de modul în care funcționează infrastructura PKI. Un certificat digital este denumit uneori certificat de semnătură digitală deoarece confirmă cheia publică (autenticitatea) a autorității de semnare.
De ce am nevoie de o semnătură digitală și de un certificat?
Să începem cu un exemplu simplu. Alice și Bob doresc să comunice împreună sau să semneze un document.
Scenariul 1: Exemplu introductiv

Alice are două chei criptografice digitale – o cheie publică (PA) și o cheie privată/secretă (SA). Cheia publică poate fi transmisă mai departe. Cu toate acestea, cheia privată trebuie să fie ținută secretă și păstrată în siguranță de Alice.
Alice creează un certificat digital care conține cheia sa publică și adresa sa de e-mail. Ea îi trimite acest certificat lui Bob pentru a-i partaja cheia sa publică.
Alice poate semna acum un document cu cheia sa privată și îl poate trimite lui Bob. Bob poate verifica apoi dacă cheia publică a lui Alice corespunde semnăturii făcute cu cheia privată a lui Alice.
Prin urmare, cheia privată și cea publică sunt două fețe ale aceleiași monede. Orice lucru semnat cu o cheie privată poate fi verificat cu cheia publică corespunzătoare.
Acest lucru asigură acum că numai Alice poate semna cu cheia sa privată.
Cu toate acestea, trebuie introdusă o altă măsură de securitate.
Trebuie să se asigure că legătura dintre cheia publică Alice și ID-ul său de utilizator (de exemplu, adresa de e-mail) este într-adevăr verificată.
Scenariul 2: Ce se poate întâmpla dacă certificatul nu este verificat?

De data aceasta, Mallory vrea să pretindă că este Alice și să comunice cu Bob. Mallory nu are nici cheia privată a lui Alice, nici cea a lui Bob. Cu toate acestea, el are propria sa pereche de chei private-publice.
Mallory încearcă să îl convingă pe Bob că cheia sa privată îi aparține lui Alice. Pentru a face acest lucru, el însuși construiește un certificat din cheia sa publică și e-mailul lui Alice și i-l trimite lui Bob. Acesta crede că a primit cheia publică de la Alice.
Acum, Mallory poate semna documente cu cheia sa privată și le poate trimite lui Bob fără niciun impediment. Utilizatorul poate verifica din nou semnătura cu cheia publică și să potrivească din nou care dintre ele. Bob este acum convins că Alice a semnat acest mesaj. În realitate, însă, a fost Mallory.
Problema aici este că Mallory are șansa de a crea o legătură între cheia sa publică și ID-ul de utilizator al lui Alice.
Cu toate acestea, dorim să prevenim acest lucru și pentru aceasta avem nevoie de o terță parte.
Scenariul 3: Cum să procedați corect?

Trent este o terță parte de încredere care asigură verificarea legăturii dintre cheia publică a lui Alice și ID-ul său de utilizator. Trent verifică identitatea lui Alice, de exemplu prin intermediul controlului ID cu Video Ident, și certifică certificatul digital.
Alice poate semna acum mesaje, iar Bob poate fi sigur că mesajul provine într-adevăr de la Alice. Acest lucru ne va permite să producem semnături digitale infalsificabile!
Prin urmare, două lucruri sunt importante:
- Pe de o parte, identitatea lui Alice trebuie să fie stabilită, iar ID-ul său de utilizator trebuie să fie legat de o cheie publică. Alice are întotdeauna cheia privată în custodie sigură. Fie de sine stătător, fie prin intermediul unui furnizor terț securizat, cum ar fi sproof.
- În al doilea rând, atunci când se realizează o semnătură, identitatea semnatarului trebuie verificată, de exemplu prin intermediul unui mesaj push pe telefonul mobil.
Acest lucru ne permite să producem semnături digitale calificate, care sunt cel puțin la fel de sigure ca semnăturile analogice.
Din punct de vedere tehnic, fiecare semnătură digitală creată pentru un anumit document este unică și, prin urmare, extrem de dificil de falsificat. Capacitatea semnăturilor digitale de a asigura integritatea și autenticitatea documentelor electronice, indicând în același timp acordul semnatarului, permite întreprinderilor, contractanților și clienților să interacționeze online și să partajeze informații în siguranță.
Din punct de vedere tehnic, fiecare semnătură digitală creată pentru un anumit document este unică și, prin urmare, extrem de dificil de falsificat. Capacitatea semnăturilor digitale de a asigura integritatea și autenticitatea documentelor electronice, indicând în același timp acordul semnatarului, permite întreprinderilor, contractanților și clienților să interacționeze online și să partajeze informații în siguranță.

Digresiune: Cine sunt Alice, Bob și Mallory?
Alice, Bob și Mallory sunt personaje fictive care servesc drept sinonime pentru actorii principali în comunicare și partajarea datelor. În loc să vorbim despre persoane anonime, aceste persoane sunt personificate prin utilizarea lui Alice, Bob și Mallory. Această metodă facilitează prezentarea relațiilor și proceselor complexe și le face mai ușor de înțeles pentru cititor.
Cine sunt Alice și Bob?
Alice și Bob sunt figuri reprezentative pentru participanții la o comunicare între două părți. Alice acționează ca inițiatorul care stabilește comunicarea. Bob își asumă rolul de persoană care preia mesajul. De cele mai multe ori, Alice se străduiește să îi transmită un mesaj lui Bob, în timp ce Bob așteaptă mesajul de la Alice.
Cine este Mallory?
Mallory este un atacator activ al unei comunicații care nu se teme să intervină în comunicare pentru a manipula mesaje sau a modifica date. Ca om la mijloc (MITM), Mallory este deosebit de periculos pentru Alice și Bob, care sunt capabili să se protejeze de el cu ajutorul criptografiei.
Fără aplicarea criptografiei …
- … transmisiile de date sunt susceptibile de manipulare de către terțe părți. Mallory ar putea, de exemplu, să utilizeze datele interceptate în scopuri proprii sau să le modifice fără a fi observată.
- … Mallory ar putea să se dea drept o altă persoană și să obțină acces la informații confidențiale.
- … Alice ar putea pretinde fără a fi detectată că anumite date au fost falsificate de Mallory.
Cu toate acestea, este important să subliniem că
- … criptografia NU este capabilă să-l împiedice pe Mallory să modifice sau să intercepteze date neobservate.
- … că întreruperea sau împiedicarea conexiunilor nu este exclusă.
- … Utilizarea criptografiei este totuși un mecanism de protecție important pentru a minimiza riscul de manipulare a datelor.
Cine este Trent?
Trent, derivat din engleză “trusted entity”, este o terță parte de încredere. De exemplu, ca autoritate de certificare sau, pe scurt, CA.