Elektronický podpis

 
Slovník základných pojmov

Predstavme si, že je dnes 31. marca 2003. Dátum, ktorý znamená pre každého daňovníka posledný možný termín podania daňového priznania. My si jednoducho sadneme za svoj počítač a pripojíme sa prostredníctvom internetu na webovú stránku príslušného daňového úradu. Odtiaľ si stiahneme potrebný formulár daňového priznania, správne ho vyplníme a na záver pridáme svoj elektronický podpis. Odošleme späť mailom do elektronickej podateľne a daňovú povinnosť máme splnenú. Všetko v kľude, pokoji a v pohode. Žiadne stresy, behy či čakanie v radoch. K tomu, aby táto situácia nebola len snom, ale skutočnosťou, chýba už len najmenej - spoznať a využívať elektronický podpis. Nasledujúce riadky vám priblížia ako na to.

Elektronický podpis je istá kombinácia znakov (núl a jednotiek) vytvorená definovaným matematickým postupom, ktorý musí spĺňať isté kritéria, aby takto vytvorený podpis nebolo možné zmeniť, napodobniť, sfalšovať, či inak spochybniť. Podobne, ako je to v prípade klasického podpisu, ktorý v sporných prípadoch dokáže len grafológ (avšak ani jeho výrok nemusí byť vždy jednoznačný a správny), elektronický podpis je vždy jedinečný a to vďaka kombinácii znakov, keď je vždy výrok áno = 1 alebo nie = 0.

Ďalšou jeho výhodou je závislosť od obsahu podpísaného dokumentu, nakoľko klasický podpis je nezávislý od toho, aký dokument je ním podpísaný. Ak sa podpíšeme na čistý papier (dokument), na ktorom sa až po podpise ocitne obsah, je všetko v poriadku. Avšak elektronickým podpisom nie je možné podpísať prázdny dokument, "Bianco" dokument, a naviac elektronický podpis je neprenosný na iný elektronický dokument práve od spomínanej závislosti od obsahu podpísaného dokumentu.

Ďalšou odlišnosťou elektronického podpisu je zašifrovanie obsahu dokumentu, ktorý podpisujete, aby bol čitateľný iba osobe, ktorej je to určené.

Zákon č. 215/2002 Z. z. o elektronickom podpise rozoznáva dva druhy elektronických podpisov. Tzv. obyčajný elektronický podpis a zaručený elektronický podpis. Úlohou obyčajného elektronického podpisu je preukázať, že dokument bol skutočne podpísaný osobou, o ktorej predpokladáme, že tento dokument podpísala a zároveň poskytnúť možnosť overenia, či počas prenosu nedošlo k modifikácii tohto dokumentu. Nezaručuje však pravdivosť dokumentu, nemá silu podpisu overeného notárom. A práve na tento účel slúži zaručený elektronický podpis. Takýto podpis má zaručovať:

  • Autentifikáciu - tzn., že adresát (prijímateľ) ktorému je určený dokument má istotu, že adresant (odosielateľ) je skutočne tá osoba, za ktorú sa vydáva. Ide o rozpoznanie a jednoznačnú identifikáciu podpisujúceho.
  • Integritu - tzn., že to, čo adresant odoslal, je skutočne to, čo adresát dostal. Ide o zaručenie toho, že poslaný dokument sa dostal k adresátovi v nepozmenenej podobe.
  • Nepopierateľnosť - tzn., že adresant nemôže poprieť, že on poslal daný dokument. Ide o znemožnenie popretia podpisujúceho, že on daný dokument podpísal a odoslal.

Podstatou zaručeného elektronický podpisu je skutočnosť, že je vytváraný pomocou bezpečného zariadenia na vyhotovenie elektronického podpisu a na verejný kľúč je vydaný kvalifikovaný certifikát.

Šifrovanie

Šifrovanie je kryptografické pretváranie údajov, ktorého výsledkom je šifrovaný text. Takýto text sa tretím osobám javí ako náhodný reťazec znakov, z ktorého nemožno vyčítať užitočnú informáciu. Medzi najznámejšie kryptografické algoritmy patria: DES, RSA, MD5, SHA, IDEA.

Korene kódovania informácií siahajú do hlbokej minulosti ľudských dejín. Až rozvoj matematiky priniesol ovocie v podobe vzniku pomerne silných kryprografických algoritmov. Najpoužívanejšími metódami šifrovania sú:

  • symetrické šifrovanie,
  • asymetrické šifrovanie,
  • hashovacie funkcie.

Symetrické šifrovanie

je šifrovacia technika, ktorá používa ten istý kľúč na šifrovanie aj dešifrovanie. Vo všeobecnosti kľúč je špeciálne vygenerovaný kód určitej dĺžky znakov. Princíp spočíva v tom, že adresant aj adresát vlastnia rovnaký tajný kľúč, ktorým bola správa adresantom zašifrovaná a ktorou adresát túto správu dešifruje. Medzi prvé symetrické šifrovacie algoritmy patri DES (Data Encryption Standard). Avšak 17 rokov po svojom patentovaní v roku 1976 bol tento hardverový šifrátor prelomený, čo znamenalo smrť tohoto algoritmu. Dnes sa však využíva jeho modifikácia triple DES (3-DES). Za zmienku ešte stojí algoritmus IDEA (Ideal Data Encryption Algorithm) ako náhrada šifry DES . Známe sú ešte symetrické algoritmy ako CAST, Blowfish a RC4.

Asymetrické šifrovanie

je technika šifrovania, ktorá využíva verejný kľúč na zašifrovanie správy a súkromný kľúč na dešifrovanie správy. Teda používa dva rôzne kľúče - verejný a súkromný. Súkromný kľúč je generovaný na počítači vlastníka a je známy iba jemu, pričom verejný kľúč je distribuovaný všetkým partnerom dotyčného vlastníka, teda je známy verejnosti. Tento pár kľúčov je komplementárny, ale len v tom zmysle, že to, čo sa zašifruje jedným z týchto kľúčov, je možné dešifrovať iba druhým identickým kľúčom z tejto dvojice a naopak. Najpopulárnejším asymetrickým šifrovacím algoritmom je algoritmus RSA (River-Shamir-Adelman). Algoritmus RSA náhodne vygeneruje veľké prvočíslo (verejný kľúč). Tento kľúč sa použije aplikáciou relatívne zložitých matematických funkcií na odvodenie ďalšieho veľkého prvočísla - súkromného kľúča. Bezpečnosť tohto algoritmu je závislá na tom, že rozklad veľmi veľkých čísiel je extrémne náročný a zaberá množstvo času. Do skupiny reprezentantov asymetrických algoritmov okrem RSA patrí aj DH (Diffie-Hellman) resp. ELGmalova varianta DH algoritmu.

Hashovacie funkcie

Neoddeliteľnou súčasťou tvorby elektronického podpisu sú hashovacie funkcie, ktoré tvoria základ pre zaručenie autentifikácie a integrity elektronického podpisu. Hashovacia funkcia je algoritmus, ktorý zo vstupného reťazca znakov vygeneruje iný reťazec pevnej dĺžky znakov, tzv. digitálny odtlačok. Digitálny odtlačok (fingerprint) je akýsi abstrakt, danej správy. Je to výsledná hodnota vygenerovaná hashovaciou funkciou, pričom platí, že:

  • použitie algoritmu na ten istý vstupný reťazec, vždy dá tú istú hodnotu, tzn. že na danú správu môžeme niekoľkokrát aplikovať hashovaciu funkciu, pričom digitálny odtlačok bude vždy rovnaký.
  • je matematicky neuskutočniteľné získať, alebo zrekonštruovať pôvodný reťazec znakov na základe vedomostí výslednej hodnoty, tzn., že z digitálneho odtlačku sa nedá spätne vygenerovať obsah danej správy.
  • je matematicky neuskutočniteľné zostaviť dva rôzne vstupné reťazce znakov s rovnakou výslednou hodnotou, tzn., že ak sa zmení obsah danej správy (čo i len 1 znak, 1 bit), zmení sa aj digitálny odtlačok tejto správy.

Týmto podmienkam vyhovuje najčastejšie používaná hashovacia funkcia SHA (Standard Hash Algorithm). Jej vstupom je reťazec dĺžky max. 2^64 bitov a výstupom 160 bitový reťazec (fingerprint). Často sa používa na výpočet digitálneho odtlačku metóda MD4 a jej modifikácia MD5.

Elektronický podpis

Teda, ak asymetrickým algoritmom zašifrujeme digitálny odtlačok, pomocou súkromného kľúča adresanta, dostaneme reťazec znakov, ktorý sa nazýva elektronický podpis. Inými slovami povedané, elektronicky podpísať správu znamená, svojím súkromným kľúčom zašifrovať (podpísať) digitálny odtlačok danej správy.

Čo je elektronický podpis a ako vzniká už vieme. To však ešte nie je koniec. Ak chceme, aby naša správa mala aj dôverný charakter nestačí ju iba podpísať (zašifrovať) svojím súkromným kľúčom, ale naviac celú správu aj s elektronickým podpisom zašifrovať verejným kľúčom adresáta.

Certifikačná autorita

Ako sme si povedali, na vytvorenie podpisu slúži vlastný súkromný kľúč a na zašifrovanie správy, kvôli zachovaniu dôvernosti danej správy, nám slúži verejný kľúč. No nie náš, ale verejný kľúč osoby, ktorej chceme správu poslať. Asi vám tu napadne nejedna otázka: Odkiaľ získam tento verejný kľúč, resp. kto mi zaručí, že príslušný verejný kľúč skutočne patrí môjmu partnerovi? Ak je adresant mne známa osoba a zabezpečili sme si dodanie verejného kľúča (resp. ich výmenu) spoľahlivou cestou (osobne alebo kuriérom), je to v poriadku. No týmto jednoduchým spôsobom to môže fungovať iba medzi známymi. V prípade elektronického podpisu sa však predpokladá, že zmluvy budú uzatvárať osoby, ktoré sa nikdy nestretli a teda nemajú záruky, že verejný kľúč prislúcha naozaj osobe, ktorá sa za jeho držiteľa vydáva.

Práve pre vyriešenie tohto problému je zriadená tzv. certifikačná autorita, ktorá potvrdí (zaručí), že daný verejný kľúč skutočne prináleží príslušnej strane. Vstupuje tu tretí nezávislý a dôveryhodný subjekt. Keby sme hľadali podobnosť v bežnom živote, mohli by sme certifikačnú autoritu prirovnať k notárskemu úradu. Certifikačná autorita nie je fyzická osoba ani predmet. Je to skôr systém, prevádzkovaný firmou alebo štátnou inštitúciou. Tento systém zahŕňa okrem patričného programového a technického vybavenia aj bezpečné uloženie vlastného súkromného kľúča, poistenie pre prípad jeho odcudzenia, súbor pravidiel na vydávanie certifikátov iným subjektom a iné náležitosti. Úrovňou ochrany a bezpečnostnej politiky certifikačnej autority je daná jej dôveryhodnosť. Hlavnou úlohou certifikačnej autority je vydávanie certifikátov používaných na identifikáciu majiteľa verejného šifrovacieho kľúča.

Certifikát je elektronický dokument podpísaný súkromným kľúčom certifikačnej autority, ktorý obsahuje verejný kľúč majiteľa certifikátu (presnejšie povedané môže obsahovať svoj vlastný pár kľúčov - jeden súkromný, ktorý sa používa na vytváranie elektronického podpisu a druhý, verejný, ktorý sa používa na šifrovanie údajov pri komunikácii s druhou stranou) a ďalšie údaje týkajúce sa certifikátu ako aj jeho držiteľa - sériové číslo certifikátu, meno majiteľa, typ certifikátu (pre obchodníkov, servery, platobné portály a pod.), meno certifikačnej autority, dobu platnosti certifikátu. Certifikát je teda akýmsi elektronickým preukazom totožnosti, v paralele s bežným životom občiansky preukaz. V skutočnosti je to dátová štruktúra (reťazec bitov), pomocou ktorej sa zverejňujú údaje o užívateľovi a hlavne užívateľov verejný kľúč.

Certifikáty sa vydávajú spravidla na dobu pol roka. Po tejto dobe strácajú svoju platnosť. Certifikát sa môže zneplatniť aj skôr, napríklad v prípade vyzradenia, či straty súkromného kľúča užívateľa. Tento zneplatnený certifikát sa potom zverejní na zozname zneplatnených certifikátov, tzv. CRL zoznam (Certificate Revocation List). Udržiavanie a publikovanie zneplatnených ako aj vydaných certifikátov patrí medzi základné povinnosti certifikačnej autority. Môže byť diskutabilné, či pojem certifikačná autorita je úplne slovensky správny, možno by sa skôr hodil pojem poskytovateľ certifikačných služieb. Výraz "poskytovateľ certifikačných služieb" je definovaný v Direktíve o elektronickom podpise (právna norma Európskeho parlamentu) ako aj v nemeckom a francúzskom práve. Naša právna norma nepoužíva tento europeizovaný výraz, ale americký výraz "certifikačná autorita".

Nakoniec si povieme stručný postup pri získaní certifikátu. Po podaní žiadosti a zaplatení poplatku, certifikačná autorita overí našu žiadosť a totožnosť. Vydá certifikát spolu s vlastným párom kľúčov, pričom súkromný kľúč si musíme uchovať v čo najväčšej tajnosti (disketa, čipová karta, token) a verejný kľúč môžeme zverejniť. Zvyčajne ho však certifikačná autorita zverejní sama na svojom zozname vydaných certifikátov.

Časová pečiatka

Právna norma zavádza pojem časová pečiatka. Používa sa v prípade, keď je dôležité určiť, kedy sa s daným dokumentom niečo robilo. Bude to mať význam napríklad pri presnom určení termínu podania daňového priznania. Časová pečiatka sa vytvorí pripojením časového údaja k elektronickému dokumentu nezávislou treťou stranou (môže byť aj certifikačná autorita). Je to len potvrdenie, že nejaký dokument existoval v čase. Navyše certifikačná autorita môže vydať aj tzv. certifikát transakcie, ktorý potvrdzuje, že sa daná transakcia uskutočnila a tým sa znemožňuje popretie tejto transakcie v budúcnosti.

Na záver

Na obr. 3 je znázornený proces vytvárania elektronického podpisu. Celý postup si teraz priblížime:

Na strane adresanta sa z správy (ktorá sa ma odoslať) pomocou hash funkcie vypočíta digitálny odtlačok správy (fingerprint). Z tohto digitálneho odtlačku sa pomocou asymetrického RSA algoritmu vygeneruje elektronický podpis (zašifrovaním súkromným kľúčom adresanta). Tento elektronický podpis sa spolu so správou zašifruje verejným kľúčom adresáta, ktorý sme získali z certifikátu adresáta. Tým dostaneme dôvernú, podpísanú správu. Takto zašifrovaná správa sa prostredníctvom Internetu doručí adresátovi. Adresát ju dešifruje pomocou svojho súkromného RSA kľúča, čím získa elektronický podpis a pôvodnú správu. Elektronický podpis potom dešifruje verejným RSA kľúčom adresanta (ktorý sa získa z certifikátu adresanta), výsledkom čoho je pôvodný digitálny odtlačok. Na prijatú, pôvodnú správu sa aplikuje hash funkcia, čím vznikne (nový) kontrolný digitálny odtlačok. Tieto dva odtlačky sa porovnajú. Komparáciou sa overí integrita správy. Ak sú tieto odtlačky rovnaké, znamená to, že správa, ktorú adresant odoslal, je skutočne to, čo adresát dostal.

Samozrejme, vymenované postupy bude vykonávať program vo vašom počítači (napr. MS Outlook Express). Používateľ sa rozhodne, či správu chce len podpísať, alebo aj zašifrovať pre konkrétneho adresáta. Elektronicky podpísať správu je potrebné, ak chceme, aby adresát mal jednoznačnú istotu kto mu tú správu poslal a jej obsah je identický s tým, čo mu adresant odoslal.



Top  Slovník základných pojmov
Adresant
odosielateľ, ten ktorý správu odosiela.
Adresát
prijímateľ, ten ktorý správu prijíma.
Asymetrické šifrovanie
technika šifrovania, ktorá využíva jeden kľúč na zašifrovanie správy a druhý kľúč na jeho dešifrovanie.
Autentifikácia
proces overovania informácií o totožnosti, vlastníctve a oprávnení.
Certifikát
elektronický doklad totožnosti majiteľa certifikátu.
Certifikát transakcie
potvrdenie, že daná transakcia sa naozaj uskutočnila a tým znemožňuje popretie tejto transakcie v budúcnosti.
Certifikačná autorita
dôveryhodný orgán, ktorý vyhotovuje a zrušuje certifikáty.
Časová pečiatka
zápis, ktorý určuje dátum a čas podpísania elektronického dokumentu.
Dešifrovanie
proces, ktorým sa pretvára šifrovaný text do pôvodnej podoby.
Digitálny odtlačok
abstrakt, hodnota alebo výsledok vytvorený hashovacou funkciou a je pevnej dĺžky.
Elektronický podpis
technika, spôsob, ktorým sa podpisujú elektronické dokumenty.
Hashovacia funkcia
algoritmus, ktorý zo vstupného reťazca znakov vyprodukuje iný reťazec znakov.
Integrita
proces, ktorým sa zabezpečuje súdržnosť údajov, aby neboli pozmenené či zničené.
Kľúč
špeciálne vygenerovaný kód určitej dĺžky znakov.
Kryptografia
odbor v kryptológii, ktorý sa zaoberá vývojom šifier a techník šifrovania.
Nepopierateľnosť
princíp v elektronickej komunikácii, ktorý chráni jedného účastníka komunikácie pred falošným tvrdením druhého účastníka, že komunikácia sa neuskutočnila.
Súkromný kľúč
jeden z párov kľúčov v systéme asymetrického šifrovania, ktorý by mal byť vždy utajený a známy len majiteľovi. Majiteľ ho používa najmä na vytvorenie elektronického podpisu.
Symetrické šifrovanie
šifrovacia technika, ktorá používa ten istý kľúč na šifrovanie aj dešifrovanie.
Šifrovanie
kryptografické pretváranie údajov, ktorého výsledkom je šifrovaný text.
Verejný kľúč
jeden z páru kľúčov, ktorý sa používa v systéme asymetrického šifrovania.

Branislav Zumrík

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

obr. 1
obr. 1 Šifrovanie symetrickým kľúčom

 

 

obr. 2
obr. 2 Šifrovanie asymetrickým kľúčom

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

obr. 3
obr. 3 Proces vytvárania elektronického podpisu