Home - Rasfoiesc.com
Educatie Sanatate Inginerie Business Familie Hobby Legal
Doar rabdarea si perseverenta in invatare aduce rezultate bune.stiinta, numere naturale, teoreme, multimi, calcule, ecuatii, sisteme




Biologie Chimie Didactica Fizica Geografie Informatica
Istorie Literatura Matematica Psihologie

Informatica


Index » educatie » Informatica
» SEMNATURA DIGITALA


SEMNATURA DIGITALA


SEMNATURA DIGITALA

Semnatura digitala[1] reprezinta o forma de criptografie asimetrica , folosita pentru a proteja informațiile trimise sau stocate intr-un mediu nesigur, care, implementata corect, poate asigura destinatarul de autenticitatea si integritatea mesajului trimis. Semnatura digitala moștenește scopul și caracteristicile semnaturii tradiționale, dupa cum se poate deduce si din numele acesteia.



Rezultatul unui proces de semnare digitala al unor serii de date, poarta numele de semnatura digitala ale datelor respective. Modificarea de orice forma a datelor dupa semnarea acestora, are ca efect invalidarea semnaturii anterior creata pentru aceste date. Mai exact, semnatura digitala pentru o serie de date este unica si direct relaționata cu conținutul acestora. Tocmai de aceea, semnatura digitala prezinta urmatoarele caracteristici:

Autenticitatea
asigura utilizatorul datelor (destinatarul) de faptul ca emițatorul acestora este cel prevazut prin semnatura digitala;

Integritatea
asigura utilizatorul datelor de faptul ca, de la momentul semnarii datelor, conținutul acestora nu s-a schimbat pe parcurs, și nu a fost alterat voit sau nu;

Non-repudierea

previne ca semnatarul sa nu recunoasca documentele semnate de el insuși.

CONCEPTUL WYSIWYS

Numele de WYSIWYS reprezinta un acronim pentru What You See Is What You Sign, folosit in criptografie pentru a descrie propietatea fundamentala a semnaturilor digitale, si anume faptul ca orice modificare (accidentala sau voita) nu poate schimba semantica conținutului semnat.

Implicit, WYSIWYS atesta faptul ca documentul semnat nu conține informații semantice care pot fi ascunse și apoi dezvaluite dupa momentul semnarii documentului respectiv. Deși precizarea din urma pare a fi un efect ușor deductibil in ce privește semnarea digitala, complexitatea in creștere a sistemelor din ziua de azi creeaza dificultați in privința certitudinii conceptului de WYSIWYS. Documentele semnate de emitent sunt procesate si interpretate semantic pe sistemul informatic al destinatarului, care poate fi modificat de catre o terța persoana, pentru a schimba semantica documentului semnat pentru cititorul acestuia. Acest fapt reprezinta diferența fundamentala intre semnatura digitala, si cea clasica fizica, prin simplul fapt ca mediul in care este semnat documentul in cazul semnaturii digitale se schimba si poate fi vulnerabil, iar in cazul semnaturii clasice ramane mereu același (hartia).

Conform WYSIWYS, scopul pentru care anumite documente sunt semnate digital, este de conferi destinatarului increderea ca sursa acestora este cea specificata de emitent, și totodata ele nu au fost modificate de la data semnarii lor, fie intenționat de catre un terț, fie neintenționat datorita unor operații eronate asupra acestora.

SEMNATURA ELECTRONICA

Deși termenul de semnatura electronica pare sinonim cu cel definit mai sus, exista diferențe substanțiale intre semnificațiile celor doi termeni, creand adesea confuzii. Exista mai multe definiții acceptate pentru semnatura electronica, insa, in esența, semnatura electronica reprezinta un obiect electronic atașat sau asociat logic cu o inregistrare anume, executata sau adoptata de o persoana cu intenția de a semna inregistrarea respectiva[3].

Relativ la semnatura electronica, semnatura digitala reprezinta tehnologia care face posibila semnarea electronica, iar semnatura electronica reprezinta o forma de implementare a acesteia. Așadar, precizarile legale si intreg cadrul legal referitor la semnarea documentelor fac referire la semnarea electronica si nu la semnarea digitala, care este doar o aplicație a criptografiei.

Semnarea digitala reprezinta doar un proces criptografic prin care se asigura faptul ca datele semnate prin aceasta modalitate, nu au fost modificate de la data semnarii. Semnarea electronica insa, implementeaza semnarea digitala pentru a simula semantica unei semnaturi clasice. Pot exista mai multe forme de semnarea electronica, semnarea digitala fiind doar una dintre ele. Luand in considerare acest lucru, semnarea digitala reprezinta doar un sub-set al semnarii electronice, o forma a acesteia.

Sistemul se bazeaza pe o pereche asimetrica de chei digitale generate de catre semnatar: o cheie privata, cunoscuta numai de semnatar si de Autoritatea de Certificare si o a doua cheie, publica, ce permite destinatarului sa verifice (tot cu ajutorul Autoritații de Certificare) ca respectiva semnatura este a persoanei identificata prin cheia privata.

Semnatura consta intr-un mesaj criptat cu ajutorul cheii digitale private, asociat semnaturii reale, ce se va atașa mesajului principal. Intervenția unei terțe parți este indispensabila in stabilirea increderii si securitații in schimburile electronice, cata vreme parțile contractante nu se intalnesc fizic la semnarea contractului. Aceasta terța parte este autoritatea care a eliberat certificatul semnatarului, si anume Autoritatea de Certificare.[4] Astfel validitatea si corectitudinea semnaturilor electronice, este in stransa legatura cu buna funcționare a Autoritații de Certificare.

PROPITAȚI ALE SEMNATURII ELECTRONICE

Protocolul de semnatura electronica este caracterizata de urmatoarele proprietați:

semnatura este autentica deoarece se verifica numai cu cheia publica a emitatorului;

semnatura este ne-falsificabila deoarece numai emitatorul cunoaste cheia secreta proprie;

semnatura este ne-reutilizabila deoarece ea este in functie de continutul documentului, cel care este criptat;

semnatura este ne-alterabila deoarece orice alterare a continutului documentului face ca semnatura sa nu mai fie verificabila cu cheia publica a emitatorului;

semnatura este ne-repudiabila deoarece receptorul documentului nu are nevoie de ajutorul emitatorului pentru verificarea semnaturii.

In concluzie, semnatura electronica reprezinta un atribut al unei persoane, fiind folosita pentru recunoasterea acesteia. Semnatura digitala rezolva atat problema autentificarii emitatorului, cat si pe cea a autentificarii documentului (numita si integritate).

In implementarile practice, algoritmii cu chei publice sunt deseori ineficienti si lenti pentru a se realiza semnatura electronica prin criptarea intreg documentului. Pentru a castiga timp, protocolul de semnatura digitala foloseste o functie de hash, pentru a crea o amprenta digitala, cu ajutorul careia se realizeaza un rezumat al documentului, si care se va cripta folosind cheia privata a semnatarului.

CERTIFICATELE DIGITALE

Certificatul digital reprezinta o colectie de date in forma electronica ce atesta legatura dintre datele de verificare a semnaturii electronice si o persoana, confirmand identitatea acelei persoane. Certificatul digital este eliberat de Autoritatea de Certificare a statului respectiv, și are rolul de a face legatura intre cheia publica inregistrata pentru utilizatorul respectiv - și folosita in semnarea documentelor - și identitatea acestuia.

Certificatele pot fi folosite in cadrul semnaturii electronice pentru a verifica identitatea semnatarului, cat și veridicitatea documentului semnat (folosind cheia publica avuta), certificatul digital fiind semnat la randul lui de catre Autoritatea de Certificare.

Inregistrarea unui certificat are ca efect posibilitatea utilizatorului de documente semnate electronic de a verifica identitatea semnatarului, prin transferarea increderii catre autoritatea care a eliberat certificatul semnatarului.

Un exemplu de certificat digital se poate regasi in figura 2.

PKI - INFRASTRUCTURA CHEILOR PUBLICE

Infrastructura prin care cheile publice sunt eliberate si stocate, alaturi de certificatele care le asocieaza cu identitatea indivizilor ce le folosesc, poarta numele de PKI, si anume "Public Key Infrastructure". In acest tip de infrastructura, o serie de autoritați specializate sunt angrenate pentru a elibera, stoca si valida certificatele digitale, care fac legatura intre o cheie publica utilizata in semnaturile electronice si individul care semneaza electronic.

Autoritațile responsabile de buna funcționare a unei infrastructuri PKI, sunt urmatoarele:

- RA (Registration Authority) - Autoritatea de Inregistrare
Este autoritatea responsabila pentru inregistrarea cererilor de eliberare de certificate digitale. Dupa validarea cererii, autoritatea va asocia cheia publica cu identitatea individului și o va inaintata mai departe catre CA, spre eliberarea certificatului propriu-zis;

- CA (Certificate Authority) - Autoritatea de Certificare
Autoritatea de Certificare are responsabilitatea de a valida informațiile primite de la RA, si de a semna certificatul pe care mai apoi il va inmana utilizatorului sau, si mai apoi catre Autoritatea de Validare (VA);

- VA (Validation Authority) - Autoritatea de Validare
Are rolul de a stoca toate certificatele primite de la CA, și de a valida la cerere certificatele primite.

O schema explicativa a PKI poate fi gasita in figura 1.

PKI nu este singura forma de infrastructura de stocare si validare a certificatelor si cheilor publice utilizate, mai exista o infrastructura numita 'Web of Trust' care are la baza principiul descentralizarii stocarii si validarii certificatelor, spre deosebire de PKI ale caror autoritați se bazeaza pe centralizarea acestora.

La noi in țara autoritatea legala care are responsabilitatea de a elibera certificate digitale este E-Sign Romania S.A., fondata in anul 2003.

CADRUL JURIDIC

Cadrul legal de utilizare al semnaturii electronice exista in Romania din 18 iulie 2008, prin Legea nr. 455/2001 privind semnatura electronica, publicata in Monitorul Oficial, Partea I nr. 429 din 31 iulie 2001.

In anul 2001 a aparut Legea semnaturii electronice nr. 455 ca urmare a Directivei Uniunii Europene 93/1999. De la promulgarea legii si pana la apariția primului furnizor de servicii de certificare au trecut doi ani, mai precis in aprilie 2003, cand Autoritatea de Certificare E-Sign Romania S.A. si-a inceput activitatea oficial. Compania a fost inființata in noiembrie 2002, cu o investiție inițiala de 800.000 USD in afara garanției de 500.000 Euro constituita conform legii.

Prin cooperarea cu Adacom (Grecia), membra a VeriSign Affiliate Trust Network, E-Sign Romania, utilizeaza Infrastructura PKI si platforma tehnologica a VeriSign, care susține emiterea de certificate calificate in concordanta cu Directiva UE EC/99/93 cu privire la cadrul comun pentru semnatura electronica. VeriSign este liderul mondial in furnizarea de servicii bazate pe Infrastructura de Chei Publice. Serviciile digitale de incredere VeriSign creeaza un mediu de incredere prin trei oferte esențiale: servicii de telecomunicații, servicii de securitate si servicii de inregistrare - susținute de o infrastructura globala care administreaza zilnic miliarde de conexiuni la rețea si tranzacții.

Principala linie de activitate a companiei E-Sign Romania S.A. este data de serviciile de certificare, implementare si consultanta PKI. Ele acopera trei zone privind certificarea: a user-ului, server-ului sau a altor echipamente incluse intr-un VPN (ex. firewall, router, switch).

In ceea ce privește proba incheierii contractelor prin mijloace electronice si a obligațiilor care rezulta din aceste contracte, aceasta este supusa dispozițiilor dreptului comun in materie de proba si prevederilor Legii nr. 455/2001 privind semnatura electronica. Insa, deși o semnatura electronica nu este prea costisitoare - aproximativ 50 euro pe an -, iar in strainatate este deja larg utilizata, in Romania aceasta nu se bucura de o așa mare popularitate inca. Posesorii acestor instrumente sunt indeosebi salariații bancilor sau ai altor instituții care presupun o securizare sporita a circulației informațiilor.

Conform Legii 455/2001, "inscrisul in forma electronica, caruia i s-a incorporat, atașat sau i s-a asociat logic o semnatura electronica extinsa și generata cu ajutorul unui dispozitiv securizat de creare a semnaturii electronice, este asimilat, in ceea ce privește condițiile si efectele sale, cu inscrisul sub semnatura privata". Daca acest inscris este recunoscut de catre emitent, are același efect ca actul autentic intre cei care l-au subscris și intre cei care le reprezinta drepturile. Avand in vedere acest lucru, semnarea electronica a documentelor are același efect juridic ca și semnarea tradiționala, insa avantajele acesteia sunt incomparabile.

Exista cateva sectoare care au adoptat mai repede decat altele certificarea electronica. Un exemplu ar fi sectorul financiar-bancar, care raspunde in general mai repede la cerintele de securitate.

Legea bancara din Romania permite utilizarea certificatelor digitale de semnatura electronica in aplicatiile de tip Internet Banking. In prezent, cateva banci au lansat astfel de aplicatii, bazate pe certificate digitale, insa acestea nu sunt conforme legii semnaturii electronice, iar conceptul de non-repudiere (recunoasterea legala) nu poate fi aplicat. Mai exact, in cazul unei fraude, banca nu-l poate face pe utilizator sa raspunda in fata legii.   

Certificarea electronica este folosita si in cazul magazinelor virtuale. In cazul comertului electronic putem vorbi de securizarea tranzactiei electronice, cu ajutorul certificatului de server, si de autentificarea domeniului fata de utilizatori, posesori de carduri bancare. Astfel, transmiterea datelor confidentiale, inclusiv cele legate de cartea de credit se transmit in deplina siguranta. Autentificarea domeniului sau site-ului este necesara pentru a evita posibile fraude si este un factor de incredere fata de utilizatori.

Si pentru notari a aparut o lege privind regimul juridic al activitatii electronice notariale. Legea notarului electronic a aparut de curand, insa normele nu au aparut si sunt in curs de reglementare. Totusi, o serie de documente sunt specificate in lege si pot fi semnate electronic. Este un sistem care va fluidiza anumite documente notariale intre avocat si notar, persoane si notar.

MODALITAȚI DE FOLOSINȚA A SEMNATURII ELECTRONICE

INREGISTRAREA ȘI FOLOSIREA UNUI CERTIFICAT DIGITAL

Mai jos, sunt prezentate instrucțiuni minimale pentru a utiliza o semnatura electronica pentru semnarea documentelor:

Inregistrarea informațiilor personale

Persoana interesata sa primeasca un certificat pentru semnaturi electronice, trebuie sa se prezinte cu cartea de identitate sau buletinul la furnizorul de servicii de certificare in domeniul semnaturii electronice.  Furnizorul de servicii de certificare joaca rolul unui martor virtual care confirma identitatea unei persoane. Acesta va efectua inregistrarea si validarea datelor primite.

Inmanarea certificatului si a dispozitivelor automate de catre CA

In urma platii unei sume stabilite furnizorul va acorda un dispozitiv securizat, necesar pentru a putea semna electronic, cum ar fi un "eToken" sau "Smart Card"[5]. Pentru a accesa aceste dispozitive tastati uneori este nevoie de un cod PIN, care este furnizat inițial de furnizor.

Durata valabilitatii unui certificat este de maximum 1 an de la data comunicarii catre client.

Semnarea propriu-zisa

Este necesar dispozitivul eToken, SmartCard sau orice alt dispozitiv specializat contine un microprocesor care genereaza cele doua chei: publica si privata. Semnatura electronica rezulta de cele mai multe ori din urmatorii pași:

Asupra documentului se aplica un algoritm si se obtine amprenta documentului;

Amprenta documentului este reprezentata de o insiruire de biti;[6]

Amprenta documentului este introdusa in dispozitivul securizat;

Amprenta documentului este criptata folosind cheia privata stocata in dispozitiv, rezultand in semnatura electronica

Cheia privata ramane in memoria eTokenului, nu paraseste niciodata dispozitivul, asadar poate și trebuie sa fie utilizata doar de posesorul dispozitivului.

INCHEIEREA UNUI CONTRACT FOLOSIND SEMNATURA ELECTRONICA

Ofertantul foloseste cheia sa privata pentru semnarea contractului si il expediaza, iar destinatarul ofertei verifica veridicitatea documentul transmis cu ajutorul cheii publice a ofertantului. Acceptarea ofertei lansate se realizeaza prin semnarea contractului de catre destinatar cu cheia sa privata si inapoierea lui ofertantului, care și acesta la randul lui poate verifica autenticitatea documentului folosind cheia publica si certificatul destinatarului inițial.

VERIFICAREA VERIDICITAȚII UNUI DOCUMENT SEMNAT

Mecanismul de verificare a semnaturii electronice se bazeaza pe utilizarea cheii publice, a unui algoritm de calcul si a semnaturii electronice primite. Verificarea semnaturii este o operatie automata. Spre deosebire de cheia privata care este cunoscuta doar de semnatar, cheia publica poate sa fie aflata de toti cei care primesc mesajele daca acceseaza site-ul furnizorului de servicii de certificare in domeniul semnaturii electronice.

Astfel, se pot consulta datele din certificatul digital asociat cu cheia publica respectiva, verificand identitatea expeditorului.

Pașii prin care semnatura electronica este generata si verificata de catre utilizator sunt:

se face un rezumat al documentului (digest) cu ajutorul unei functii hash, mai exact se genereaza amprenta documentului de catre emitent;

rezumatul documentului este cifrat cu cheia privata a emitatorului, care astfel semneaza;

documentul este trimis la receptor.

Receptorul la randul lui verifica semnatura in 3 pasi:

se creeaza o noua amprenta a pretinsului document semnat;

se decripteaza rezumatul semnat (semnatura documentului) cu cheia publica a emitatorului;

se compara cele 2 rezumate iar in caz de coincidenta, semnatura este validata.



Legatura dintre semnatura digitala si criptografia este prezentata in secțiunea dedicata criptografiei.

Pentru detalii privind criptografia asimetrica, consultați secțiunea dedicata criptografiei.

Pentru mai multe definiții date Semnaturii Electronice, consultați ANEXA A

Despre certificate si Autoritatea de Certificare se va discuta mai tarziu in acest capitol

Pentru o descriere mai buna a termenilor folosiți, consultați ANEXA A

Pentru detalii despre Amprentarea Digitala, consultați secțiunea cu același nume din acest capitol





Politica de confidentialitate





Copyright © 2024 - Toate drepturile rezervate