Digitaalne allkiri on käsitsi kirjutatud allkirja võltsimatult samaväärne. Eeldusel, et ka digitaalselt loodud allkirjad vastavad eIDASi määruses sätestatud eeskirjadele. Siis ei ole digitaalallkiri mitte ainult võltsimiskindel, vaid ka 100% õiguslikult kehtiv.
Paljude inimeste jaoks tekitab see teema siiski veel küsimusi ja ebakindlust. Kas minu allkiri on turvaline? Kas minu allkirja saab võltsida? Kuidas ma saan veenduda, et allkirja on andnud õige isik?
Selleks, et neile ja teistele küsimustele vastata, käsitleme käesolevas artiklis seda, kuidas saab dokumenti digitaalselt kehtivalt allkirjastada ja mida selleks vaja on.
Kuidas elektroonilist dokumenti turvaliselt digitaalselt allkirjastada
Terminite selgitamine:
- Digitaalallkirju kasutatakse elektrooniliste dokumentide kinnitamiseks ja valideerimiseks. Nad kasutavad keerulisi krüptograafilisi mehhanisme digitaaldokumentide ja sõnumite autentimiseks, allkirjastajate identiteedi kinnitamiseks ning andmete kaitsmiseks võltsimise ja kahjustamise eest edastamise ajal.
Digitaalallkirjad on varustatud tagavaravahenditega, et tagada, et dokumendi saab allkirjastada ainult volitatud isik, ja et vältida muudatusi pärast allkirjastamist.
Digitaalallkiri luuakse unikaalse digitaalse tunnuse abil, mida nimetatakse "digitaalsertifikaadiks" või "avaliku võtme sertifikaadiks". Digitaalsertifikaate väljastavad akrediteeritud sertifitseerimisasutused (CA) pärast taotleja isikusamasuse kontrollimist.
Sertifitseerimisasutus (CA ) on asutus, kellel on õigus väljastada digitaalseid sertifikaate. Ta tegutseb usaldusväärse kolmanda isikuna (TTP), kes kontrollib sertifikaadi omaniku identiteeti. Sertifitseerimisasutus tõendab ka avaliku võtme olemasolu.
Digitaalne sertifikaat on elektrooniline pass, mis identifitseerib PKIga kaitstud vestluses osalejat ning võimaldab üksikisikutel ja asutustel turvaliselt andmeid võrgus vahetada. Andmed krüpteeritakse ja dekrüpteeritakse avaliku ja erasektori võtmepaari abil.
Avalik võti on unikaalne numbriline identifikaator, mida kasutatakse andmete krüpteerimiseks või digitaalallkirjade kontrollimiseks. Selle väljastab sertifitseerimisasutus isikule või organisatsioonile ja see on avalikult kättesaadav kõigile, kes seda vajavad.
Privaatne võti on teada ainult selle omanikule. Seda kasutatakse vastava avaliku võtmega loodud andmete dekrüpteerimiseks või digitaalallkirjade genereerimiseks.
Digitaalallkirjad ja digitaalsertifikaadid on omavahel tihedalt seotud. Nende rakendused ja kasutusviisid sõltuvad sellest, kuidas neid süsteeme rakendatakse ja kuidas vastav PKI-infrastruktuur toimib. Digitaalsertifikaati nimetatakse mõnikord ka digitaalallkirja sertifikaadiks, sest see kinnitab allkirjastava üksuse avalikku võtit (autentsust).
Milleks on vaja digitaalallkirja ja sertifikaati?
Alustame lihtsa näitega. Alice ja Bob soovivad omavahel suhelda või allkirjastada dokumenti.
Stsenaarium 1: esialgne näide
Alice'il on kaks digitaalset krüptograafilist võtit - avalik võti (PA) ja privaatne/salajane võti (SA). Avalikku võtit võib edasi anda. Privaatvõtit peab Alice aga hoidma salajas ja turvaliselt.
Alice loob digitaalse sertifikaadi, mis sisaldab tema avalikku võtit ja e-posti aadressi. Ta saadab selle sertifikaadi Bobile, et jagada oma avalikku võtit Bobiga.
Alice saab nüüd dokumendi oma eravahendi abil allkirjastada ja saata selle Bobile. Bob saab seejärel kontrollida, kas Alice'i avalik võti vastab Alice'i privaatvõtmega tehtud allkirjale.
Privaatne ja avalik võti on seega ühe ja sama mündi kaks külge. Kõike, mis on allkirjastatud privaatvõtmega, saab kontrollida sobiva avaliku võtmega.
See tagab nüüd, et ainult Alice saab oma eravahendi abil allkirja anda.
Siiski tuleb kasutusele võtta veel üks turvameede, et tagada Alice'i avaliku võtme ja tema kasutajatunnuse (nt e-posti aadress) vahelise seose tegelik kontrollimine.
Stsenaarium 2: Mis võib juhtuda, kui sertifikaati ei kontrollita?
Seekord tahab Mallory teeselda Alice'i ja suhelda Bobiga. Mallory'l ei ole ei Alice'i ega Bobi privaatvõtit. Küll aga on tal oma privaatne-avalik võtmepaar.
Mallory tahab veenda Bobi, et tema privaatvõti kuulub Alice'ile. Selleks koostab ta endale oma avalikust võtmest ja Alice'i e-kirjast sertifikaadi ning saadab selle Bobile. Bob arvab, et ta on saanud avaliku võtme Alice'ilt.
Nüüd saab Mallory allkirjastada dokumente oma privaatvõtmega ja saata need Bobile. Bob saab uuesti kontrollida allkirja avaliku võtmega ja millised neist jälle sobivad. Bob on nüüd veendunud, et Alice on sõnumi allkirjastanud. Kuid tegelikult oli see Mallory.
Probleem on siin selles, et Malloryl on võimalus luua seos oma avaliku võtme ja Alice'i kasutajatunnuse vahel.
Me tahame seda aga takistada ja selleks vajame kolmandat osapoolt.
Stsenaarium 3: Kuidas seda õigesti teha?
Trent on usaldusväärne kolmas osapool, kes tagab, et Alice'i avaliku võtme ja tema kasutajatunnuse vaheline seos on kontrollitud. Trent kontrollib Alice'i identiteeti, näiteks kasutades ID verifitseerimist Video Identiga, ja autentib digitaalse sertifikaadi.
Alice saab nüüd sõnumeid allkirjastada ja Bob saab olla kindel, et sõnum on tõesti Alice'ilt. Sel viisil õnnestub meil toota võltsimiskindlaid digitaalallkirju!
Seega on siinkohal kaks asja olulised:
- Esiteks, Alice'i identiteet peab olema kindlaks tehtud ja tema UserID peab olema seotud avaliku võtmega. Alice hoiab alati privaatset võtit turvaliselt. Kas ise või turvalise kolmanda osapoole, näiteks sproof, kaudu.
- Teiseks tuleb allkirja andmisel kontrollida allakirjutaja identiteeti, näiteks mobiiltelefoni push-sõnumi abil.
Sel viisil õnnestub meil toota digitaalseid kvalifitseeritud allkirju, mis on vähemalt sama turvalised kui analoogallkirjad.
Tehniliselt on iga konkreetse dokumendi jaoks loodud digitaalallkiri ainulaadne ja seetõttu äärmiselt raskesti võltsitav. Digitaalallkirjade võime tagada elektrooniliste dokumentide terviklikkus ja autentsus, näidates samal ajal allakirjutaja heakskiitu, võimaldab ettevõtetel, töövõtjatel ja klientidel suhelda internetis ja jagada teavet turvaliselt.
EXCURSES
Kõrvalepõige: Kes on Alice, Bob ja Mallory?
Alice, Bob ja Mallory on väljamõeldud tegelased, kes on teabevahetuse ja andmevahetuse peamiste osalejate sünonüümid. Selle asemel, et rääkida anonüümsetest isikutest, on need inimesed personifitseeritud Alice'i, Bobi ja Mallory abil. See meetod hõlbustab keeruliste suhete ja protsesside esitamist ning muudab need lugejale arusaadavamaks.
Kes on Alice ja BobAliceja Bob on kahe osapoole vahelises suhtluses osalevate isikute esindusfiguurid. Alice tegutseb algatajana, kes algatab suhtluse. Bob võtab teate vastuvõtja rolli. Enamasti püüab Alice edastada sõnumit Bobile, samal ajal kui Bob ootab Alice'i sõnumit.
Kes on Mallory: Mallory on suhtluse aktiivne ründaja, kes ei karda sekkuda suhtlusse, et manipuleerida sõnumeid või muuta andmeid. Mees-vahel-mehe (MITM) rollis on Mallory eriti ohtlik Alice'ile ja Bobile, kuid nad saavad end tema eest kaitsta krüptograafia abil. Ilma krüptograafia kasutamiseta ...
- ... on andmeedastus kolmandate isikute poolt manipuleeritav. Mallory võib näiteks kasutada pealtkuulatud andmeid oma eesmärkidel või muuta neid märkamatult.
- ... Mallory võiks kehastuda teiseks isikuks ja saada seeläbi juurdepääsu konfidentsiaalsele teabele.
- ... Alice võiks märkamatult väita, et Mallory on teatud andmeid võltsinud.
Siiski on oluline rõhutada, et
- ... krüptograafia EI ole võimeline takistama Mallory'l andmete muutmist või pealtkuulamist märkamatult.
- ... et ühenduste katkestamine või takistamine ei ole võimatu.
- ... krüptograafia kasutamine on siiski oluline kaitsemehhanism andmete manipuleerimise riski vähendamiseks.
**Kes on Trent?**Trent, mis tuleneb inglise keelest "trusted entity", on usaldusväärne kolmas osapool. Näiteks sertifitseerimisasutusena ehk lühendatult CA.
Rohkem blogi sissekandeid
10 e-SaaS-pilvelahenduse eelistLepingute seaduslik allkirjastamine internetis (ja nende allkirjastamine) - mida on vaja teadaEdulugu PÖTTINGERRetseptide digitaalne allkirjastamine - telekliinik on innovatsiooni mootor telemeditsiini valdkonnasDigitaalallkirja loomine - Kuidas saada (kvalifitseeritud) elektrooniline allkiri (QES)?