Електронният подпис

[ISTORIK]

Електронният подпис (англ. - Digital signature) е реквизит на електронен документ, предназначен за защитата му от фалшификации. Това е криптографски подпис или по-точно - математическа функция, получена в резултат на криптографска обработка на информацията, извършена с цел да се удостовери самоличността на изпращача и да се гарантира, че информацията не е била променяна по пътя между изпращането и получаването.

Електронните подписи се използват при дистрибуция на софтуер, при финансови транзакции и навсякъде, където се обменя важна информация по електронен път и е много важно евентуално фалшифициране или опит за фалшифициране да бъдат открити навреме.

Електронният подпис използва за криптирането алгоритъм, с една степен по-сигурен от алгоритмите, използващи хеш-функция за удостоверяване на самоличността на изпращача. Използва се асиметрична криптография с двойка ключове - частен и публичен, като с единия се криптира, а с другия се декриптира информацията.

Българският Закон за електронния документ и електронния подпис (ЗЕДЕП) дава следните определения:

Електронно изявление е словесно изявление, представено в цифрова форма чрез общоприет стандарт за преобразуване, разчитане и визуално представяне на информацията. Електронното изявление може да съдържа и несловесна информация.

Електронен документ е електронно изявление, записано върху магнитен, оптичен или друг носител, който дава възможност да бъде възпроизвеждано. Писмената форма се смята за спазена, ако е съставен електронен документ.

Електронен подпис е всяка информация в електронна форма, добавена или логически свързана с електронното изявление, за установяване на неговото авторство.

Има усъвършенстван и квалифициран електронен подпис.

Усъвършенстван е електронен подпис, който:

- дава възможност за идентифициране на автора;

- е свързан по уникален начин с автора;

- е създаден със средства, които са под контрола единствено на автора, и

- е свързан с електронното изявление по начин, който осигурява установяването на всякакви последващи промени.

Квалифициран е усъвършенстван електронен подпис, който отговаря на две допълнителни изисквания:

- е придружен от издадено от доставчик на удостоверителни услуги удостоверение за квалифициран електронен подпис, удостоверяващо връзката между автора и публичния ключ за проверка на подписа, и

- е създаден посредством устройство за сигурно създаване на подписа.

Квалифицираният електронен подпис има значението на саморъчен подпис.

Автор на електронното изявление е физическото лице, което в изявлението се сочи като негов извършител.

Титуляр на електронното изявление е лицето, от името на което е извършено електронното изявление. (Това разграничение се прави в случай на фирмен електронен подпис, когато има един титуляр — управителят на фирмата, но няколко автора — напр. счетоводители на фирмата.)

Удостоверението е електронен документ, издаден и подписан от доставчика на удостоверителни услуги, който съдържа:

- наименованието, адреса, единния граждански номер или единния идентификационен код на доставчика на удостоверителни услуги, както и указание за националността му;

- името или фирмата, адреса, данни за регистрацията на титуляра на усъвършенствания електронен подпис;

- основанието на овластяването, името и адреса на физическото лице (автора), което е овластено да извършва електронни изявления от името на титуляра на усъвършенствания електронен подпис;

- публичния ключ, който съответства на частния ключ на титуляр на усъвършенствания електронен подпис;

- идентификаторите на алгоритмите, с помощта на които се използват публичните ключове на титуляр на усъвършенствания електронен подпис и на доставчика на удостоверителни услуги;

- датата и часа на издаването, спирането, възобновяването и прекратяването на действието;

- срока на действие;

- ограниченията на действието на подписа;

- уникалния идентификационен код на удостоверението;

- отговорността и гаранциите на доставчика на удостоверителни услуги;

- препратка към удостоверението за електронен подпис на доставчика на удостоверителни услуги, както и към регистрацията на доставчика в КРС.

Удостоверенията за универсален електронен подпис могат да бъде използвани като средство за персонална и фирменна електронна идентификация, електронна търговия, финансови транзакции, електронна кореспонденция, електронно подписване на документи при извършване на изявления от и до държавни органи и от и до органи на местното самоуправление, по смисъла на ЗЕДЕП.

Удостоверенията са приложими също така и в бизнес отношения за подписване на договори, оферти, поръчки и фактури.

Доставчик на удостоверителни услуги е юридическо лице, което:

- издава удостоверения по ЗЕДЕП и води регистър за тях;

- предоставя на всяко трето лице достъп до публикуваните удостоверения.

Доставчикът на удостоверителни услуги може да предоставя услуги по създаване на частен и публичен ключ за усъвършенстван електронен подпис.

Регулаторен орган в България в областта на електронния подпис е Комисията за регулиране на съобщенията (КРС), която осъществява контрол над доставчиците на удостоверителни услуги относно надеждността и сигурността на удостоверителните услуги и води регистър на публичните ключове.

При прилагането на ЗЕДЕП в България се констатират два сериозни проблема:

1. Използването на електронен подпис не гарантира еднозначно самоличността на титуляра на подписа:

Процедурата за издаване на електронен подпис не гарантира напълно отсъствието на копия на използвания за подписването криптографски ключ. Стандартната практика е титулярът да получава смарт карта, където ключът е вече записан. Тъй като не е предвидена възможност за контрол - дали ключът е генериран от самата карта, или пък е създаден извън нея и е записан впоследствие - съществува теоретическа и практическа възможност удостоверителят или негов служител да се сдобият с копие на ключа. Единствените гаранции за отсъствието на копия са юридически (забрана в текста на закона).

2. Не е създаден механизъм за удостоверяване на подписите на удостоверителите:

Вместо изискваните по закон сертификати, подписани от КРС, регистрираните удостоверители използват самоподписани такива. Не е предвиден практически приложим стандартен начин за дистанционно получаване на гарантирано автентични копия от тези сертификати. Както КРС, така и самите удостоверители инструктират онези, които желаят да се сдобият с копие на сертификатите, да ги инсталират ръчно от сайтовете на удостоверителите. При това се използва или незащитена връзка, или връзка, защитена чрез сървърен сертификат, удостоверен със същия самоподписан сертификат, чиято автентичност трябва да бъде проверена. За желаещите да се сдобият с копия на сертификатите е възможно ежегодно лично да ги получават в офиса на всеки от регистрираните удостоверители, но поради липсата на удостоверяване от страна на КРС този вариант също не гарантира безспорно автентичността им.

В резултат на тези проблеми използването на електронни подписи и сървърни сертификати, по смисъла на ЗЕДЕП, е неприложимо като метод за практическо удостоверяване на самоличност. Действащото законодателство обаче постановява, че титулярът носи отговорност за всяко действие, подписано с копие на ключа му. Аналогично всеки, който инсталира непроверени, самоподписани сертификати, отговаря сам за евентуалните последици от действията си. Това позволява системата да се използва както от държавната администрация, така и от множество фирми, които предлагат услуги, изискващи удостоверяване на самоличността, въпреки непълноценната ѝ реализация.

Ключът за подписване може да се защити от компрометиране по два начина:

1. Авторът сам генерира ключовата двойка (подписващ/проверяващ ключ) и предоставя ключа за проверка на електронния подпис за удостоверяване от Доставчик на удостоверителни услуги. По този начин ключа за подписване остава под контрола на автора.

2. Доставчикът на удостоверителни услуги генерира ключовата двойка (подписващ/проверяващ ключ) като използва смарт карта. От картата технически може да се получи само ключа за проверка на електронен подпис. Доставчика извлича и удостоверява този ключ. Ключа за подписване може да се използва само след въвеждане на ПИН от автора. Авторът получава първоначално ПИН от Доставчика и е задължен да го промени.

По този начин Доставчика на удостоверителни услуги няма достъп до ключа за подписване и Автора има изключителния контрол върху Ключа за подписване, в съответствие със ЗЕДЕП.

Използвани алгоритми за криптиране:

- много използван е SHA-1 с RSA.

- алгоритъм за цифров подпис (англ. DSA — Digital Signature Algorithm) изпозващ SHA с дължина на ключа до 3072 бита.

- алгоритъм елиптична крива - основава се на групи от елиптични криви; намалява броя на ключовите битове без да намалява сигурността.

Целият текст на ЗЕДЕП можете да прочетете тук:

http://lex.bg/laws/ldoc/2135180800