Електронен подпис (на английски: electronic signature) е реквизит на електронен документ, предназначен за защитата му от фалшификация. Издава се от сертифициращ орган (на английски: certification authority) и съдържа името на титуляра, сериен номер, дата на валидност и копие от публичния ключ. Някои от електронните подписи се подчиняват на стандарт X.509. Електронните подписи могат да бъдат проверявани в специални регистри. На практика това е математическа функция, получена в резултат на криптографска обработка на информацията, извършена с цел да се удостовери самоличността на изпращача и да се гарантира, че информацията не е била променяна по пътя между изпращането и получаването (запазена е нейната цялост). Електронните подписи се използват при дистрибуция на софтуер, при финансови трансакции и навсякъде, където се обменя важна информация по електронен път и е много важно навреме да бъдат открити евентуално фалшифициране или опит за фалшифициране.

Електронният подпис използва за криптирането алгоритъм, с една степен по-сигурен от алгоритмите, използващи хешфункция за удостоверяване на самоличността на изпращача. Използва се асиметрична криптография с двойка ключове – частен и публичен, като с единия се криптира, а с другия се декриптира.

В България

редактиране

Регулаторен орган в България в областта на електронния подпис е Комисията за регулиране на съобщенията, която осъществява контрол над доставчиците на удостоверителни услуги относно надеждността и сигурността на удостоверителните услуги и води регистър на публичните ключове.

Определения

редактиране

Българският Закон за електронния документ и електронния подпис (ЗЕДЕП)[1] дава следните определения:

Електронно изявление е словесно изявление, представено в цифрова форма чрез общоприет стандарт за преобразуване, разчитане и визуално представяне на информацията. Електронното изявление може да съдържа и несловесна информация.

Електронен документ е електронно изявление, записано върху магнитен, оптичен или друг носител, който дава възможност да бъде възпроизвеждано.

Писмената форма се смята за спазена, ако е съставен електронен документ.

Електронен подпис е всяка информация в електронна форма, добавена или логически свързана с електронното изявление, за установяване на неговото авторство.

Има усъвършенстван и квалифициран електронен подпис:

Усъвършенстван е електронен подпис, който:

  • дава възможност за идентифициране на автора;
  • е свързан по уникален начин с автора;
  • е създаден със средства, които са под контрола единствено на автора;
  • е свързан с електронното изявление по начин, който осигурява установяването на всякакви последващи промени.

Квалифициран е усъвършенстван електронен подпис, който отговаря на две допълнителни изисквания:

  • придружен е от издадено от доставчик на удостоверителни услуги удостоверение за квалифициран електронен подпис, удостоверяващо връзката между автора и публичния ключ за проверка на подписа;
  • създаден е посредством устройство за сигурно създаване на подписа.

Квалифицираният електронен подпис има значението на саморъчен подпис.

Автор на електронното изявление е физическото лице, което в изявлението се сочи като негов извършител. Титуляр на електронното изявление е лицето, от името на което е извършено електронното изявление[2].

Удостоверението е електронен документ, издаден и подписан от доставчика на удостоверителни услуги, който съдържа[3]:

  • наименованието, адреса, единния граждански номер или единния идентификационен код на доставчика на удостоверителни услуги, както и указание за националността му;
  • името или фирмата, адреса, данни за регистрацията на титуляра на усъвършенствания електронен подпис;
  • основанието на овластяването, името и адреса на физическото лице (автора), което е овластено да извършва електронни изявления от името на титуляра на усъвършенствания електронен подпис;
  • публичния ключ, който съответства на частния ключ на титуляр на усъвършенствания електронен подпис;
  • идентификаторите на алгоритмите, с помощта на които се използват публичните ключове на титуляр на усъвършенствания електронен подпис и на доставчика на удостоверителни услуги;
  • датата и часа на издаването, спирането, възобновяването и прекратяването на действието;
  • срока на действие;
  • ограниченията на действието на подписа;
  • уникален идентификационен код на удостоверението;
  • отговорността и гаранциите на доставчика на удостоверителни услуги;
  • препратка към удостоверението за електронен подпис на доставчика на удостоверителни услуги, както и към регистрацията на доставчика в КРС.

Доставчик на удостоверителни услуги е лице, което:

  • издава удостоверения по ЗЕДЕП и води регистър за тях;
  • предоставя на всяко трето лице достъп до публикуваните удостоверения.

Доставчикът на удостоверителни услуги може да предоставя услуги по създаване на частен и публичен ключ за усъвършенстван електронен подпис.

Проблеми

редактиране

При прилагането на ЗЕДЕП в България се констатират два сериозни проблема:

  • Използването на електронен подпис не гарантира еднозначно самоличността на титуляра на подписа:
    Процедурата за издаване на електронен подпис не гарантира напълно отсъствието на копия на използвания криптографски ключ. Стандартната практика е титулярът да получава смарт карта, където ключът вече е записан. Тъй като не е предвидена възможност за контрол – дали ключът е генериран от самата карта, или е създаден извън нея и e записан впоследствие – съществува теоретическа и практическа възможност удостоверителят или негов служител да се сдобият с копие на ключа. Единствените гаранции за отсъствието на копия са юридически (забрана в текста на закона).
  • Не е създаден механизъм за удостоверяване на подписите на удостоверителите:

Регистрираните удостоверители използват самоподписани сертификати. Не е предвиден практически приложим стандартен начин за дистанционно получаване на гарантирано автентични копия от тези сертификати. Както КРС, така и самите удостоверители инструктират онези, които желаят да се сдобият с копие на сертификатите, да ги инсталират ръчно от сайтовете на удостоверителите. При това се използва или незащитена връзка или връзка, защитена чрез сървърен сертификат, удостоверен със същия самоподписан сертификат, чиято автентичност трябва да бъде проверена. За желаещите да се сдобият с копия на сертификатите е възможно периодично да ги получават лично в офиса на всеки от регистрираните удостоверители, но поради липсата на удостоверяване от страна на КРС този вариант също не гарантира безспорно автентичността им.

В резултат на тези проблеми използването на електронни подписи и сървърни сертификати по смисъла на ЗЕДЕП е неприложимо като метод за практическо удостоверяване на самоличност. Действащото законодателство обаче постановява, че титулярът носи отговорност за всяко действие, подписано с копие на ключа му. Аналогично всеки, който инсталира непроверени, самоподписани сертификати, отговаря сам за евентуалните последици от действията си. Това позволява системата да се използва както от държавната администрация, така и от множество фирми, които предлагат услуги, изискващи удостоверяване на самоличността, въпреки непълноценната ѝ реализация.

Защита на подписващия ключ

редактиране

Според ЗЕДЕП авторът има изключителния контрол върху подписващия ключ. Той може да се защити от компрометиране по два начина:

  • Авторът сам генерира ключовата двойка (подписващ/проверяващ ключ) и предоставя ключа за проверка на електронния подпис за удостоверяване от доставчика на удостоверителни услуги. По този начин ключът за подписване остава под контрол на автора.
  • Доставчикът на удостоверителни услуги генерира ключовата двойка (подписващ/проверяващ ключ) като използва смарткарта. От картата технически може да се получи само проверяващият ключ, извлечен и подписан от доставчика. За разлика от него подписващият ключ е достъпен само след въвеждане на ПИН от автора. Авторът получава първоначален ПИН от доставчика и е задължен да го промени. По този начин доставчикът на удостоверителни услуги няма достъп до подписващия ключ.

Използвани алгоритми

редактиране
  • Най-популярният алгоритъм е RSA в комбинация със SHA-1 или SHA-2, с дължина на ключа до 4096 бита
  • Алгоритъм за цифров подпис (англ. DSA — Digital Signature Algorithm) с дължина на ключа 1024 бита в комбинация със SHA-1 или до 3072 бита в комбинация със SHA-2
  • Алгоритъм Елиптична Крива - основава се на групи от елиптични криви. Намалява броя на ключовите битове без да намалява сигурността.
  1. Закон за електронния документ и електронния подпис
  2. това разграничение се прави например в случай на фирмен електронен подпис, когато има един титуляр – управителят на фирмата, но няколко автора — напр. счетоводители
  3. „Електронният документ и електронният подпис. Правен режим“, А. Калайджиев и др. 2004, СИЕЛА Център за изследване на демокрацията, ISBN 954-649-676-6

Вижте също

редактиране

Външни препратки

редактиране