PODPIS ELEKTRONICZNY W ORGANIZACJACH GOSPODARCZYCH

Transkrypt

1 Streszczenie PODPIS ELEKTRONICZNY W ORGANIZACJACH GOSPODARCZYCH Leszek Zdawski Unizeto sp. z o.o. lzdawski@unizeto.pl W artykule przedstawiono genezę i istotę kryptografii asymetrycznej będącej podstawą funkcjonowania podpisu elektronicznego. Przedstawiono zasady składania podpisu elektronicznego i jego weryfikowania oraz wykorzystania kluczy prywatnego i publicznego do szyfrowania danych. Wyjaśniono pojęcie certyfikatu klucza publicznego, infrastruktury PKI oraz urzędu certyfikacji. W końcowej części artykułu podano moŝliwości zastosowania podpisu elektronicznego w organizacjach gospodarczych oraz przytoczono podstawowe uregulowania prawne dotyczące stosowania podpisu elektronicznego w Polsce. Słowa kluczowe: podpis elektroniczny, klucz publiczny, kryptografia asymetryczna, infrastruktura PKI, certyfikat. 1. Geneza i idea podpisu elektronicznego Początki prac nad kryptografią asymetryczną, będącą podstawą dzisiejszego funkcjonowania podpisu elektronicznego, sięgają wczesnych lat siedemdziesiątych ubiegłego wieku. Powstający wówczas ARPAnet, protoplasta Internetu, niósł nowe moŝliwości komunikacji między ludźmi. Od tej pory moŝna było zastąpić dotychczasową korespondencję papierową, błyskawiczną i wygodną komunikacją za pomocą komputerów. Nowe moŝliwości, ale jednocześnie nieznane dotychczas zagroŝenia - nie było pewności kto jest nadawcą elektronicznej wiadomości, nie wiadomo było czy otrzymana wiadomość po drodze nie została odczytana, zapamiętana, lub zmieniona. Stanowiło to olbrzymie zagro- Ŝenie dla prywatności. Częściowym rozwiązaniem tego problemu było szyfrowanie przesyłanych wiadomości, ale znana wówczas kryptografia, zakładała, Ŝe zarówno odbiorca jak i nadawca do szyfrowania i deszyfrowania posługuje się tym samym kluczem (klucz - tajna informacja o sposobie szyfrowania danych). Podstawową wadą takiego sposobu szyfrowania było wymaganie, aŝeby osoby ze sobą korespondujące wymieniły najpierw bezpiecznie klucz. Stanowi to duŝy problem w przypadku osób obcych oraz przy duŝej ilości uczestników korespondencji. Kryptografia ta, zwana symetryczną, nie pozwala równieŝ na jednoznaczne

2 572 Realizacja SWO i rozwiązania praktyczne w SWO rozstrzygnięcie, kto jest autorem zaszyfrowanej wiadomości zarówno nadawca jak i odbiorca dysponują tym samym kluczem. NaleŜało zastosować inną metodę uwierzytelniania1 i zabezpieczania danych przesyłanych siecią komputerową. Ale innej, pozbawionej powyŝszych wad nikt nie znał. Rozwiązaniu tego problemu poświęcił się Whitfield Diffie [Lev02], który dokonał przełomowego wynalazku w kryptografii, a mianowicie doszedł do wniosku, Ŝe klucz, słuŝący do szyfrowania powinien składać się z dwóch części: klucza publicznego, który nie jest tajny (klucz ten mimo, Ŝe jest unikalny i przypisany do jednego właściciela, jest rozpowszechniany) oraz klucza prywatnego - ten klucz jest tajny i znany tylko właścicielowi. Istota tego sposobu szyfrowania, nazwanego kryptografią asymetryczną, polegała na tym, Ŝe para kluczy klucz publiczny i klucz prywatny jest ze sobą ściśle związana. Dane zaszyfrowane jednym kluczem mogą być rozszyfrowane tylko drugim kluczem. JeŜeli chcemy przesłać zaszyfrowaną wiadomość to szyfrujemy ją kluczem publicznym odbiorcy i przesyłamy. Tylko odbiorca moŝe ją rozszyfrować, poniewaŝ tylko odbiorca zna klucz prywatny, będący parą klucza publicznego, który posłuŝył do zaszyfrowania wiadomości. Ta właściwość kryptografii asymetrycznej mogła być wykorzystana równieŝ do uwierzytelniania nadawcy wiadomości. Wystarczy odwrócić proces niech nadawca swoim kluczem prywatnym zaszyfruje wiadomość. JeŜeli tak zaszyfrowaną wiadomość odbiorca odszyfruje kluczem publicznym nadawcy to nie ma wątpliwości, kto był autorem. Tylko nadawca jest w posiadaniu klucza prywatnego, będącego parą do klucza publicznego uŝytego do odszyfrowania. 2. Istota składania i weryfikowania podpisu elektronicznego oraz szyfrowania danych przy uŝyciu klucza publicznego Proces składania podpisu elektronicznego, jego weryfikacja oraz szyfrowanie wiadomości przy zastosowaniu kryptografii asymetrycznej (klucz prywatny i publiczny) przedstawiony jest na rysunkach 1,2 i 3. Składanie podpisu elektronicznego przebiega w następujących fazach (rys.1): 1. Obliczenie skrótu dokumentu za pomocą funkcji skrótu 2. W wyniku otrzymujemy zbiór o ustalonej długości, niepowtarzalny i jednoznaczny tzn. 1 uwierzytelnianie potwierdzenie toŝsamości (ang. authentication), mechanizm gwarantowania jednemu podmiotowi, Ŝe drugi jest tym, za który się podaje [AdLl02] 2 funkcja skrótu umoŝliwia powiązanie wiadomości o dowolnej długości z charakterystyczną dla tej wiadomości liczbą z ustalonego zakresu, o określonej długości reprezentacji [KMPRŚ03];

3 Podpis elektroniczny w organizacjach gospodarczych 573 dla kaŝdego dokumentu, równieŝ dla dokumentów róŝniących się tylko jednym znakiem skrót ma inną postać. 2. Zaszyfrowanie skrótu kluczem prywatnym w wyniku czego otrzymujemy podpis elektroniczny. Dołączenie podpisu do dokumentu i wysłanie go do odbiorcy. Rys. 1. Składanie podpisu elektronicznego NaleŜy zwrócić uwagę na następujące fakty: 1. Podpis elektroniczny nie istnieje samodzielnie w rozumieniu podpisu tradycyjnego. Zawsze jest ściśle związany z podpisywaną treścią i dla kaŝdej treści inny. 2. Przesyłana wiadomość po podpisaniu nie jest zaszyfrowana. JeŜeli chcemy ją dodatkowo zaszyfrować naleŝy to zrobić za pomocą klucza publicznego odbiorcy, co ilustruje rys.3.

4 574 Realizacja SWO i rozwiązania praktyczne w SWO Weryfikacja podpisu elektronicznego Odbiorca po otrzymaniu podpisanej elektronicznie wiadomości sprawdza czy wiadomość rzeczywiście pochodzi od nadawcy i czy w trakcie przesyłania nie została zmieniona. Proces ten (rys.2) przebiega następująco: Rys. 2. Weryfikacja podpisu elektronicznego 1. Odbiorca z otrzymanej wiadomości wylicza skrót. 2. Za pomocą klucza publicznego nadawcy deszyfruje podpis nadawcy (jest to obliczony i zaszyfrowany przez nadawcę skrót wiadomości). 3. Odbiorca porównuje otrzymane w ten sposób skróty wiadomości. JeŜeli są równe to odbiorca ma pewność kto jest autorem podpisu (właściciel klucza prywatnego niezaprzeczalność nadania) i jednocześnie wie, Ŝe wiadomość podczas przesyłania nie została zmieniona (integralność). Podpis został zweryfikowany pozytywnie.

5 Podpis elektroniczny w organizacjach gospodarczych 575 Szyfrowanie wiadomości za pomocą klucza publicznego Istotę szyfrowania danych przy uŝyciu klucza publicznego przedstawia rys.3 Rys 3. Szyfrowanie wiadomości przy uŝyciu klucza publicznego Wiadomość, którą chcemy przesłać szyfrujemy kluczem publicznym odbiorcy i tylko odbiorca moŝe ją odszyfrować, poniewaŝ tylko odbiorca dysponuje kluczem prywatnym, będącym parą do klucza, który posłuŝył do szyfrowania. W praktyce proces ten jest bardziej skomplikowany, a mianowicie do bezpośredniego szyfrowania wiadomości generowany jest klucz sesyjny (klucz symetryczny), a dopiero potem wykorzystywany jest klucz publiczny odbiorcy, ale zasada pozostaje bez zmian: klucz sesyjny szyfrujemy kluczem publicznym odbiorcy i tylko odbiorca moŝe odszyfrować otrzymaną wiadomość. Oczywiście moŝliwe jest połączenie podpisywania wiadomości i później jej szyfrowania, jak równieŝ szyfrowania danych na uŝytek własny. W tym ostatnim przypadku do utajnienia danych wykorzystujemy swój klucz publiczny i prywatny do odszyfrowywania.

6 576 Realizacja SWO i rozwiązania praktyczne w SWO 3. Infrastruktura Klucza Publicznego (Infrastruktura PKI) W celu wykorzystania zalet kryptografii asymetrycznej do powszechnej korespondencji elektronicznej naleŝy: 1. przy podpisywaniu - posiadać klucza prywatny i skojarzony z nim klucz publiczny, 2. przy weryfikacji podpisu - ustalić toŝsamość nadawcy i pobrać jego aktualny klucz publiczny 3. przy szyfrowaniu danych - pobrać aktualny klucz publiczny odbiorcy. We wszystkich powyŝszych przypadkach mówimy o masowej korespondencji pomiędzy olbrzymią ilością nieznanych sobie uczestników. Skąd odbiorca podpisanej elektronicznie wiadomości ma wziąć klucz publiczny nadawcy? A jeśli nawet otrzyma ten klucz od nadawcy to w jaki sposób ma potwierdzić jego toŝsamość? Wprowadzono zatem certyfikaty klucza publicznego3. Certyfikaty te najogólniej mówiąc wiąŝą właściciela klucza publicznego z tym kluczem. Certyfikat zawiera między innymi dane identyfikacyjne właściciela klucza, sam klucz publiczny, datę waŝności certyfikatu, podpis organu wydającego certyfikat. Do zarządzania certyfikatami powołane są urzędy certyfikacji, których podstawową rolą jest emisja certyfikatów, ich odnawianie, uniewaŝnianie oraz emisja list uniewaŝnionych certyfikatów. KaŜdy urząd certyfikacji w swojej strukturze posiada punkty rejestracji. Punkty te przede wszystkim weryfikują dane personalne osób starających się o certyfikat klucza publicznego oraz podpisują umowy na świadczenie usług certyfikacyjnych. Urzędy certyfikacji wraz ze stosowanymi zasadami postępowania tworzą Infrastrukturę Klucza Publicznego4, PKI ( ang. Public Key Infrastructure) - system pozwalający na powszechne stosowanie podpisu elektronicznego. 4. Uwarunkowania prawne podpisu elektronicznego w Polsce Podstawowym aktem prawnym regulującym funkcjonowanie podpisu elektronicznego w Polsce jest Ustawa z dnia 18 września 2001 r o podpisie elektronicznym. Ustawa ta określa warunki stosowania podpisu elektronicznego i skutki prawne jego stosowania w Polsce. Zaczęła obowiązywać od 16 sierpnia certyfikat elektroniczne zaświadczenie, za pomocą którego dane słuŝące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umoŝliwiają identyfikację tej osoby [DU01] 4 infrastruktura klucza publicznego jest kompleksową infrastrukturą bezpieczeństwa, która świadczy usługi zaimplementowane i realizowane przy pomocy technik i pojęć szyfrowania kluczem publicznym [AdLl02]

7 Podpis elektroniczny w organizacjach gospodarczych 577 Artykuł 5 ust.2 tej ustawy stanowi, cyt.: Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy waŝnego kwalifikowanego certyfikatu5 są równowaŝne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba Ŝe przepisy odrębne stanowią inaczej. Ponadto artykuł 7 ust. 2 tej samej ustawy mówi, cyt.: Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego. Jednocześnie artykuł 78 2 Kodeksu cywilnego brzmi, cyt.: Oświadczenie woli złoŝone w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą waŝnego kwalifikowanego certyfikatu jest równowaŝne formie pisemnej. Przytoczone artykuły ilustrują znaczenie podpisu elektronicznego. Podpis elektroniczny został prawnie zrównany z podpisem własnoręcznym. Daje to szerokie, dotąd niedostępne, moŝliwości zastosowań podpisu elektronicznego. 5. Obszary zastosowań podpisu elektronicznego Wejście w Ŝycie Ustawy o podpisie elektronicznym daje przedsiębiorcom szerokie moŝliwości wykorzystania Internetu zarówno do kontaktów z klientami jak i do optymalizacji procesów wewnętrznych w firmie. Przede wszystkim zostały zagwarantowane podstawy prawne handlu elektronicznego i jego bezpieczeństwo. Podpis elektroniczny nie tylko umoŝliwia bezpieczną obsługę klienta w sklepie internetowym,, ale takŝe pozwala zastąpić fakturę w wersji papierowej, fakturą elektroniczną. W zasadzie juŝ teraz pokonanie formalnych przeszkód wydaje się być tylko w gestii ministra finansów. JeŜeli dodamy jeszcze, Ŝe cała sprawozdawczość podatkowa dzięki wykorzystaniu podpisu elektronicznego moŝe być przesyłana elektronicznie do urzędów, to nie trzeba mieć wielkiej wyobraźni, aby uzmysłowić sobie korzyści wynikające z wdroŝenia podpisu elektronicznego w przedsiębiorstwach. Ponadto wprowadzenie podpisu elektronicznego w przedsiębiorstwie pozwala równieŝ na: podpisywanie umów na odległość, szybkie kontrasygnowanie dokumentów, co ma znaczenie w przypadku rozproszonego zarządu, szyfrowane dokumentów i dzięki temu elektroniczne ich przesyłanie bez naruszania innych ustaw np. ustawy o ochronie danych osobowych, 5 kwalifikowany certyfikat certyfikat spełniający warunki określone w ustawie, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w ustawie [DU01]

8 578 Realizacja SWO i rozwiązania praktyczne w SWO bezpieczne archiwizowanie; podpis elektroniczny pod archiwizowanym dokumentem daje nam pewność, Ŝe archiwizowany elektronicznie dokument nie został zmieniony. Jednocześnie dzięki zastosowaniu podpisu elektronicznego moŝliwe jest: przy przesyłaniu dokumentów korzystanie z usług elektronicznych systemów niezaprzeczalności elektroniczny odpowiednik tradycyjnej poczty poleconej. oraz dodatkowo zastosowanie podpisu elektronicznego do uwierzytelniania uŝytkowników w systemach informatycznych. Wydaje się, Ŝe podpis elektroniczny, mimo koniecznych nakładów na jego wdroŝenie i pewnych ograniczeń w stosowaniu szybko będzie implementowany w wielu organizacjach gospodarczych. Literatura [Lev02] Levy St., Rewolucja w kryptografii, Wydawnictwa Naukowo- Techniczne,2002 [AdLl02] Adams C., Lloyd St., Podpis elektroniczny klucz publiczny, Wydawnictwo Robomatic, 2002 [KMPRŚ03] Kruk A., Matusiewicz P., Pejaś J., Ruciński A., Ślusarczyk W., Podpis elektroniczny sposób działania, zastosowanie i korzyści, Ministerstwo Gospodarki, Pracy i Polityki Społecznej, 2003 [Bor02] Borowicz K., Komentarz Ustawa o podpisie elektronicznym, PPU PARK, 2002 [DU01] Dziennik Ustaw nr 130, 2001 [KC02] Kodeks Cywilny, Wydawnictwo C.H. Beck, 2002 DIGITAL SIGNATURE IN ECONOMIC ORGANIZATIONS Abstract The paper presents a background and idea of asymmetric cryptography that is a basis of the e-signature. The principles of making the e-signature and verification thereof were shown as well as public and private keys for encoding the data. The definitions of a PKI certificate and certification authority were given. Finally possibilities of the e-signature applications throughout business organizations and laws governing the e-signature in Poland were presented. Key words: e-signature; public key; asymmetric cryptography, PKI infrastructure; certificate.