Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Podpis elektroniczny (ang. electronic signature, digital sign) — metodapotwierdzania autentyczności dokumentu i tożsamości...
Stosując bezpieczny podpis elektroniczny będzie można zdalnie zawierać umowy(również notarialne), składać dyspozycje banko...
Jak odbywa się wysyłanie dokumentu z podpisem elektronicznym?    Pan Iksiński ma już oprzyrządowanie niezbędne do złożenia...
W jaki sposób wykorzystać e-podpis?Podpis elektroniczny, aby w pełni zabezpieczyć aukcję pod względem prawnym powinienzost...
Certyfikat w kryptografii to dane podpisane cyfrowo przez stronę której ufamy(Certificate Authority). Dane te zawierają ta...
Nadawca, wysyłając do odbiorcy podpisany elektronicznie dokument, dołączado niego certyfikat, a odbiorca odszyfrowuje go, ...
Protokół SSL zapewnia: uwierzytelnienie i niezaprzeczalność serwera oraz opcjonalnieklienta, dzięki wykorzystaniu podpisów...
Cykl życia certyfiaktu                        PKI ( Public Key Infrastructure)      Zbiór standardów ustanawiających środk...
Użytkownik źródłowy szyfruje informację, używając klucza publicznego odbiorcy.Informacja przyjmowana przez odbiorcę jest d...
Man in the middle - atak polegający na przejmowaniu danych przesyłanychpomiędzy klientem a serwerem. Atakujący jest w tym ...
Certyfikaty SSL, http://ssl.certum.pl/Podpis elektroniczny w praktyce, http://www.networld.pl/PKI – Infrastruktura klucza ...
Upcoming SlideShare
Loading in …5
×

Podpis elektroniczny

2,914 views

Published on

  • Be the first to comment

  • Be the first to like this

Podpis elektroniczny

  1. 1. Podpis elektroniczny (ang. electronic signature, digital sign) — metodapotwierdzania autentyczności dokumentu i tożsamości jego nadawcy przy wymianieinformacji drogą elektroniczną. Połączenie między dokumentem a podpisem musi byćnierozerwalne i musi uniemożliwiać dokonywanie zmian w dokumencie po dołączeniupodpisu elektronicznego. Składa się z trzech członów: poufnego klucza prywatnego,jawnego klucza publicznego (identyfikującego instytucję certyfikującą) i certyfikatupotwierdzającego autentyczność. Staje się wymogiem funkcjonowania społeczeństwainformacyjnego. Podpis elektroniczny stanowi ukoronowanie osiągnięć kryptografii naszych czasów,wykorzystując zarówno szyfrowanie asymetryczne, jak i jednokierunkową funkcję skrótu.Sam podpis jest przekształceniem kryptograficznym danych i ma postać zwyklekilkunastu bajtów. Jego celem, obok potwierdzenia integralności przesyłki (dziękizastosowaniu funkcji hash), jest również potwierdzenie autorstwa wiadomości.Zastosowanie podpisu elektronicznego nie zagraża również poufności przesyłki. Podpiselektroniczny jest często rozumiany i stosowany w najwęższym zakresie jego funkcji,służąc jedynie do identyfikacji osoby składającej ten podpis."Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, doktórych zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacjiosoby składającej podpis elektroniczny" (Art. 3 ust. 1)W szerszym rozumieniu podpis elektroniczny posiada cztery główne cechy: • autentykacja – uniemożliwienie podszywania się pod daną osobę i wysłania w jej imieniu przesyłki, np. zlecenia dokonania przez bank operacji; • integralność – zapewnienie wykrywalności wszelkiej zmiany w danych przesyłki, zlecenia na drodze od nadawcy do odbiorcy i podczas przechowywania jej u odbiorcy; • autoryzacja – zapewnienie niemożliwości wyparcia się podpisu i treści przesyłki (zlecenia) przez autora; • umożliwienie weryfikacji podpisu przez osobę niezależną.Zalety podpisu elektronicznego:  równoważność z podpisem odręcznym,  jest związany wyłącznie z podpisującym,  umożliwia identyfikację podpisującego,  jest tworzony przez podpisującego,  brak konieczności fizycznej obecności przy dokonywaniu większości czynności prawnych,  brak konieczności przechowywania dokumentów papierowych.
  2. 2. Stosując bezpieczny podpis elektroniczny będzie można zdalnie zawierać umowy(również notarialne), składać dyspozycje bankowe, zamówienia, a także składać podaniaw urzędach, przesyłać zeznania podatkowe czy dokumenty ubezpieczeniowe.Zalety podpisu elektronicznego w stosunku do podpisu tradycyjnego:  możliwość natychmiastowej i obiektywnej identyfikacji podpisanej osoby,  sfałszowanie podpisu elektronicznego jest o wiele trudniejsze niż własnoręcznego  podpis elektroniczny chroni całość dokumentu , nie ma potrzeby parafować każdej jego strony,  nie ma oryginału i jego kopii gdyż żaden dokument, który został opatrzony podpisem elektronicznym nie może już zostać zmieniony, jest więc oryginałem,  dane skierowane do danego odbiorcy mogą zostać zaszyfrowane, w taki sposób, że tylko odbiorca dla którego zostały przeznaczone może je rozszyfrować,  podpis elektroniczny jest powiązany z dokumentem, do którego został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana danych jest rozpoznawalna. Schemat konstrukcji przesyłki podpisanej elektronicznie przez nadawcę
  3. 3. Jak odbywa się wysyłanie dokumentu z podpisem elektronicznym? Pan Iksiński ma już oprzyrządowanie niezbędne do złożenia elektronicznego podpisu pod dokumentem. Musi jeszcze tylko podłączyć czytnik do komputera (posiadającego jeden z wymienionych systemów: Windows 98 SE, Windows NT 4.0, Windows 2000 lub Windows XP/ME), umieścić płytę CD w CD - romie i zainstalować otrzymaną aplikację. Jak pan Iksiński powinien postąpić żeby podpisać i wysłać dokument? Skorzysta on z instrukcji, którą otrzymał od Ośrodka Certyfikujacego wraz z aplikacją, oprócz tego sama aplikacja poprzez system komunikatów informuje go co powinien zrobić w danej chwili. W uproszczeniu wygląda to tak: 1) Pan Iksiński otwiera aplikację i wskazuje plik, który chce podpisać elektronicznie. 2) Wkłada kartę do czytnika (o co jest poproszony specjalnym komunikatem), a program sprawdza ważność Certyfikatu i autentyczność karty. 3) Wprowadza numer PIN, co jest równoważne ze złożeniem podpisu elektronicznego. 4) Wysyła podpisany dokument e - mailem lub poprzez sieć internetową (możliwe jest też zgranie podpisanego dokumentu na dyskietkę i wysłanie go pocztą, ale to raczej mija się z celem). 5) Pan Iksiński dostaje zwrotnie podpisany przez drugą stronę dokument (pod warunkiem, że dany dokument tego wymaga, bo jest to np. umowa) również poprzez e - mail lub sieć internetową (analogicznie jak w poprzednim przypadku możliwe jest także wysłanie dyskietki).
  4. 4. W jaki sposób wykorzystać e-podpis?Podpis elektroniczny, aby w pełni zabezpieczyć aukcję pod względem prawnym powinienzostać wykorzystany w dwóch sytuacjach: • sprzedawca wystawiając towar podpisuje stosowne zobowiązanie, • potencjalny kupujący składając ofertę cenową („podbija cenę”) i podpisuje stosowne zobowiązanie. Cały proces mógłby wyglądać następująco: Podpis elektroniczny otworzył możliwość wykorzystania elektronicznej wymianydokumentów w administracji publicznej, a co za tym idzie udostępniania przez urzędycoraz szerszego wachlarza e-usług. Wykorzystanie podpisu w sposób wynikający z u.p.e.pozwala na stworzenie mechanizmów w sposób jednoznaczny umożliwiającyidentyfikację osoby kontaktującej się z urzędem za pomocą Internetu, likwidującjednocześnie konieczność tworzenia skomplikowanych systemów zarządzania hasłamii uprawnieniami z nich wynikających. Jednak bez uproszczenia przepisów u.p.e.i wprowadzenia prostszych form podpisu elektronicznego w codziennych kontaktachobywatela z urzędem wdrażanie podpisu elektronicznego w administracji będzieniezwykle trudne. W relacji osoba-urząd musimy stosować bezpieczny podpiselektroniczny, a bez doprowadzenia do modyfikacji definicji bezpiecznego urządzeniado składania podpisu elektronicznego stosowanie tej formy będzie marginalne .
  5. 5. Certyfikat w kryptografii to dane podpisane cyfrowo przez stronę której ufamy(Certificate Authority). Dane te zawierają takie informacje jak: • Klucz publiczny właściciela certyfikatu. • Nazwę zwyczajową (np. imię i nazwisko, pseudonim, nazwa firmy) • Nazwa organizacji. • Jednostka organizacyjna. • Zakres stosowania (podpisywanie, szyfrowanie, autoryzacji dostępu itp.) • Czas w jakim certyfikat jest ważny. • Informacje o wystawcy certyfikatów. • Sposób weryfikacji certyfikatu (np. adres pod którym można znaleźć listy CRL). • Adres pod którym znajduje się polityka certyfikacji, jaką zastosowano przy wydawaniu tego certyfikatu. • Inne dane - struktura certyfikatu jest płynna i może przechowywać praktycznie dowolne dane, takie jak np. fotografia właściciela, próbka jego głosu, informacje biometryczne."Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacjipodpisu elektronicznego są przyporządkowane do osoby składającej podpis elektronicznyi które umożliwiają identyfikację tej osoby" (Art. 3, ust. 8).Podpis elektroniczny i certyfikat tworzą nierozłączną parę. Techniki umożliwiającetworzenie bezpiecznego podpisu elektronicznego muszą więc zapewniać wiarygodnepotwierdzenie jego ważności.Typowe zastosowania certyfikatów to potwierdzenie tożsamości serwerów / autoryzacjadostępu w protokole SSL, potwierdzenie autentyczności podpisu elektronicznego,potwierdzenie autentyczności klucza publicznego adresata wiadomości.Należy pamiętać, że samo istnienie certyfikatu nie informuje nas o poziomiebezpieczeństwa. Każdorazowo, przy korzystaniu z kanału komunikacji zabezpieczonegocertyfikatem, należy również zapoznać się z informacjami przechowywanymi wewnątrzcertyfikatu.Certyfikat ma za zadanie co najmniej:- identyfikować podmiot go wystawiający,- określać osobę dla której został wystawiony- zawierać klucz publiczny tej osoby,- wskazywać okres ważności certyfikatu .
  6. 6. Nadawca, wysyłając do odbiorcy podpisany elektronicznie dokument, dołączado niego certyfikat, a odbiorca odszyfrowuje go, posługując się kluczem publicznympobranym z certyfikatu, dzięki temu wie, że na pewno należy on do nadawcy. Cyfrowycertyfikat, aby był bezpieczny, musi być elektronicznie podpisany przez swojegonadawcę, czyli organizację certyfikującą dla potwierdzenia ważności i autentycznościwydawanych certyfikatów. Innymi słowy, jest zaszyfrowany przy użyciu prywatnegoklucza należącego do tej organizacji . Organy certyfikujące mają więc również wydawaneświadectwa wiarygodności ? certyfikaty. W taki sposób tworzy się struktura kluczapublicznego (public key infrastructure, PKI). Jej organizacja polega na tym, że stojącynajwyżej hierarchicznie urząd certyfikacyjny, zaświadcza o kluczach prywatnych innychpodmiotów certyfikujących. W literaturze bardzo często podkreślany jest fakt,że podważenie wiarygodności klucza podmiotu stojącego najwyżej w infrastrukturze,powoduje reakcję łańcuchową, gdyż nie można wiarygodnie zweryfikować kluczyprywatnych innych podmiotów certyfikujących .Podmiotem świadczącym usługi certyfikacyjne może być również jednostka samorząduterytorialnego. By zapewnić swą wiarygodność, podmiot świadczący takie usługisporządza tzw. politykę certyfikacji, w której może zawrzeć procedurę wystawiania,zawieszania, unieważniania certyfikatów. Może również określać przedsięwzięta środkiw celu zapewnienia ich bezpieczeństwa, ochrony danych, zasady korzystaniaz certyfikatów, zakres deklarowanej odpowiedzialności czy też wyłączeńodpowiedzialności.Czym są certyfikaty SSL?Certyfikaty SSL są narzędziem zapewniającym ochronę witryn Internetowych, a takżegwarantem zachowanie poufności przesyłanych danych drogą elektroniczną. Pełnebezpieczeństwo jest efektem zastosowania szyfrowania komunikacji pomiędzykomputerami. Certyfikaty SSL rejestrowane są na określoną nazwę domeny, zawierająinformacje o właścicielu domeny, jego adresie itp. Dane te są zabezpieczonekryptograficznie i nie można ich samodzielnie zmienić.Charakterystyka protokołu SSL / TLS
  7. 7. Protokół SSL zapewnia: uwierzytelnienie i niezaprzeczalność serwera oraz opcjonalnieklienta, dzięki wykorzystaniu podpisów elektronicznych, poufność dzięki zastosowaniaszyfrowania sesji, integralność dzięki zastosowaniu MAC oraz ochronę sesjikomunikacyjnej typu end-to-end.Podstawowe zalety protokołu SSL: • Uwierzytelnienie serwera możliwe jest dzięki wsparciu w programie klienta dla standardowych technologii kryptograficznych. Uwierzytelnienie to polega na weryfikacji identyfikatora cyfrowego serwera na podstawie bazy zaufanych wystawców certyfikatów. Znajduje szczególne zastosowanie w bankowości elektronicznej oraz systemach płatności online (karty płatnicze). • Uwierzytelnienie klienta możliwe jest dzięki zastosowaniu identycznych technik co w przypadku weryfikacji serwera. Dzięki certyfikatowi klucza publicznego serwer może jednoznacznie określić tożsamość podmiotu w sieci globalnej. Weryfikacja oparta jest o bazę zaufanych wystawców certyfikatów serwera usługowego. Rozwiązanie to najczęściej stosuje się w bankowości elektronicznej oraz systemach zdalnego dostępu do zasobów sieci teleinformatycznych (zdalne logowanie do systemu). • Szyfrowanie transmisji danych gwarantuje poufność przesyłanych danych. Dzięki szyfrowaniu transmisji danych możliwe staje się przesyłanie poufnych dokumentów za pośrednictwem sieci globalnej. Ponadto SSL wyposażony jest w mechanizm weryfikujący poprawność transmisji i w przypadku przekłamań lub manipulacji fakt ten jest natychmiast wykrywany. Tworzenie certyfikatu
  8. 8. Cykl życia certyfiaktu PKI ( Public Key Infrastructure) Zbiór standardów ustanawiających środki techniczne do wykorzystania kryptografiiz kluczem publicznym (asymetrycznej) na potrzeby potwierdzania tożsamości,hierarchicznego składania podpisów cyfrowych i wymiany kluczy w protokołachkryptograficznych. Standardy PKI noszą różne nazwy, w zależności od autorów: np., dokumentytworzone przez firmę RSA Data Security są publikowane pod nazwa PKCS, podczas gdypublikacje ITU-T używają oznaczenia X.509.Co dają nam technologie PKI?• Poufność przesyłanych danych,• Kontrolę dostępu,• Silną autentykację użytkowników,• Zapewnienie integralności danych,• Niezaprzeczalność dokonywanych transakcji,• Eliminację anonimowości.
  9. 9. Użytkownik źródłowy szyfruje informację, używając klucza publicznego odbiorcy.Informacja przyjmowana przez odbiorcę jest deszyfrowana kluczem prywatnym.Użytkownicy mogą dysponować szeregiem par kluczy prywatnych i publicznych w celuuzyskania możliwości utrzymywania poufnej komunikacji z rozłącznymi grupami innychużytkowników systemu informatycznego. Przy takim sposobie rozprzestrzeniania par kluczy zasadnicze znaczenie ma metodaadministrowania tymi kluczami i sposób ich używania. Jest to moment, w którym do grywchodzi PKI (Public Key Infrastructure) – infrastruktura kluczy publicznychumożliwiająca centralne tworzenie, dystrybucję, śledzenie i odwoływanie kluczy. PKIzapewnia zarządzanie kluczami oraz certyfikatami stosowanymi w kryptografii kluczapublicznego. PKI można określić jako zbiór sprzętu, oprogramowania, reguł oraz procedurniezbędnych do tworzenia, zarządzania, przechowywania i dystrybucji certyfikatówopartych na kryptografii z kluczem publicznym.Podstawowe elementy i funkcje systemu PKI: 1. Serwer certyfikatów – platforma do generowania, obsługi i zarządzania certyfikatami oraz łączenia ich z odpowiednimi kluczami publicznymi – zarówno dla podpisów, jak i szyfrowania danych. Wykonuje on także – na żądanie lub w regularnych odstępach czasu – odnawianie certyfikatów. Należy mieć na uwadze to, że w celu zapewnienia niezaprzeczalności klucze prywatne nie są obsługiwane przez ten serwer. 2. Katalog – repozytorium wszystkich informacji publicznych dotyczących PKI, w tym certyfikatów kluczy publicznych, listy odwołanych certyfikatów (CRL – Certificate Revocation Lists), certyfikaty wydawców certyfikatów (CA) itp… Ten element infrastruktury jest krytyczny w sensie dostępności i często ma postać rozproszoną. Niezbędna tu jest kompatybilność z protokołem LDAP (Lightweight Directory Access Protocol). 3. System odwołań – możliwość odwoływania klucza w celu uniemożliwienia dostępu do szyfrowania i funkcji podpisu użytkownikom pozbawionym tego prawa (np… Z powodu zmiany funkcji w organizacji lub zmiany miejsca pracy). Listy unieważnionych certyfikatów (CRL) powinny być obsługiwane automatycznie i dystrybuowane regularnie w całym systemie, w celu zapewnienia wiarygodności certyfikatów. 4. Oprogramowanie po stronie klienta – jeżeli wszystkie powyższe funkcje są w pełni implementowane przez PKI, to do ich wykorzystania jest niezbędny odpowiedni interfejs po stronie klienta (na PC). Oprogramowanie może mieć formę specjalnego klienta PKI, dostarczanego przez dostawcę usług PKI, lub różnego rodzaju aplikacji obsługujących PKI, takich jak przeglądarki czy klienty poczty elektronicznej. Model infrastruktury PKI
  10. 10. Man in the middle - atak polegający na przejmowaniu danych przesyłanychpomiędzy klientem a serwerem. Atakujący jest w tym wypadku ulokowany pomiędzystronami połączenia i działa jako pośrednik, udając tego drugiego przed każdą ze stron.Przed atakiem tym nie da się zabezpieczyć wyłącznie za pomocą technikkryptograficznych - konieczne jest wykorzystanie dodatkowego, zewnętrznego systemuochrony potwierdzania tożsamości, takiego jak PKI.Bibliografia:OpenSSL, http://www.openssl.org/Apache-SSL, http://www.modssl.org/OpenSSH, http://ww.openssh.com/Stunnel, http://www.stunnel.org/RSA Data Security http://www.rsalabs.com/Public Key Cryptography StandardsITU Telecommunication Standardization Sector, http://info.itu.ch/ITU-T/Helionica, http://www.helionica.pl/
  11. 11. Certyfikaty SSL, http://ssl.certum.pl/Podpis elektroniczny w praktyce, http://www.networld.pl/PKI – Infrastruktura klucza publicznego, http://www.itpedia.pl/E-podpis, co warto wiedzieć, http://www.epodpis.pl/Zalety i wady podpisu elektronicznego, http://www.rp.pl/

×