SlideShare a Scribd company logo

Podpis elektroniczny

Download as DOC, PDF
B
Borek12345
1 of 11
Podpis elektroniczny (ang. electronic signature, digital sign) — metoda potwierdzania autentyczności dokumentu i tożsamości jego nadawcy przy wymianie informacji drogą elektroniczną. Połączenie między dokumentem a podpisem musi być nierozerwalne i musi uniemożliwiać dokonywanie zmian w dokumencie po dołączeniu podpisu elektronicznego. Składa się z trzech członów: poufnego klucza prywatnego, jawnego klucza publicznego (identyfikującego instytucję certyfikującą) i certyfikatu potwierdzającego autentyczność. Staje się wymogiem funkcjonowania społeczeństwa informacyjnego. Podpis elektroniczny stanowi ukoronowanie osiągnięć kryptografii naszych czasów, wykorzystując zarówno szyfrowanie asymetryczne, jak i jednokierunkową funkcję skrótu. Sam podpis jest przekształceniem kryptograficznym danych i ma postać zwykle kilkunastu bajtów. Jego celem, obok potwierdzenia integralności przesyłki (dzięki zastosowaniu funkcji hash), jest również potwierdzenie autorstwa wiadomości. Zastosowanie podpisu elektronicznego nie zagraża również poufności przesyłki. Podpis elektroniczny jest często rozumiany i stosowany w najwęższym zakresie jego funkcji, służąc jedynie do identyfikacji osoby składającej ten podpis. "Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny" (Art. 3 ust. 1) W szerszym rozumieniu podpis elektroniczny posiada cztery główne cechy: • autentykacja – uniemożliwienie podszywania się pod daną osobę i wysłania w jej imieniu przesyłki, np. zlecenia dokonania przez bank operacji; • integralność – zapewnienie wykrywalności wszelkiej zmiany w danych przesyłki, zlecenia na drodze od nadawcy do odbiorcy i podczas przechowywania jej u odbiorcy; • autoryzacja – zapewnienie niemożliwości wyparcia się podpisu i treści przesyłki (zlecenia) przez autora; • umożliwienie weryfikacji podpisu przez osobę niezależną. Zalety podpisu elektronicznego:  równoważność z podpisem odręcznym,  jest związany wyłącznie z podpisującym,  umożliwia identyfikację podpisującego,  jest tworzony przez podpisującego,  brak konieczności fizycznej obecności przy dokonywaniu większości czynności prawnych,  brak konieczności przechowywania dokumentów papierowych.
Stosując bezpieczny podpis elektroniczny będzie można zdalnie zawierać umowy (również notarialne), składać dyspozycje bankowe, zamówienia, a także składać podania w urzędach, przesyłać zeznania podatkowe czy dokumenty ubezpieczeniowe. Zalety podpisu elektronicznego w stosunku do podpisu tradycyjnego:  możliwość natychmiastowej i obiektywnej identyfikacji podpisanej osoby,  sfałszowanie podpisu elektronicznego jest o wiele trudniejsze niż własnoręcznego  podpis elektroniczny chroni całość dokumentu , nie ma potrzeby parafować każdej jego strony,  nie ma oryginału i jego kopii gdyż żaden dokument, który został opatrzony podpisem elektronicznym nie może już zostać zmieniony, jest więc oryginałem,  dane skierowane do danego odbiorcy mogą zostać zaszyfrowane, w taki sposób, że tylko odbiorca dla którego zostały przeznaczone może je rozszyfrować,  podpis elektroniczny jest powiązany z dokumentem, do którego został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana danych jest rozpoznawalna. Schemat konstrukcji przesyłki podpisanej elektronicznie przez nadawcę
Jak odbywa się wysyłanie dokumentu z podpisem elektronicznym? Pan Iksiński ma już oprzyrządowanie niezbędne do złożenia elektronicznego podpisu pod dokumentem. Musi jeszcze tylko podłączyć czytnik do komputera (posiadającego jeden z wymienionych systemów: Windows 98 SE, Windows NT 4.0, Windows 2000 lub Windows XP/ME), umieścić płytę CD w CD - romie i zainstalować otrzymaną aplikację. Jak pan Iksiński powinien postąpić żeby podpisać i wysłać dokument? Skorzysta on z instrukcji, którą otrzymał od Ośrodka Certyfikujacego wraz z aplikacją, oprócz tego sama aplikacja poprzez system komunikatów informuje go co powinien zrobić w danej chwili. W uproszczeniu wygląda to tak: 1) Pan Iksiński otwiera aplikację i wskazuje plik, który chce podpisać elektronicznie. 2) Wkłada kartę do czytnika (o co jest poproszony specjalnym komunikatem), a program sprawdza ważność Certyfikatu i autentyczność karty. 3) Wprowadza numer PIN, co jest równoważne ze złożeniem podpisu elektronicznego. 4) Wysyła podpisany dokument e - mailem lub poprzez sieć internetową (możliwe jest też zgranie podpisanego dokumentu na dyskietkę i wysłanie go pocztą, ale to raczej mija się z celem). 5) Pan Iksiński dostaje zwrotnie podpisany przez drugą stronę dokument (pod warunkiem, że dany dokument tego wymaga, bo jest to np. umowa) również poprzez e - mail lub sieć internetową (analogicznie jak w poprzednim przypadku możliwe jest także wysłanie dyskietki).
W jaki sposób wykorzystać e-podpis? Podpis elektroniczny, aby w pełni zabezpieczyć aukcję pod względem prawnym powinien zostać wykorzystany w dwóch sytuacjach: • sprzedawca wystawiając towar podpisuje stosowne zobowiązanie, • potencjalny kupujący składając ofertę cenową („podbija cenę”) i podpisuje stosowne zobowiązanie. Cały proces mógłby wyglądać następująco: Podpis elektroniczny otworzył możliwość wykorzystania elektronicznej wymiany dokumentów w administracji publicznej, a co za tym idzie udostępniania przez urzędy coraz szerszego wachlarza e-usług. Wykorzystanie podpisu w sposób wynikający z u.p.e. pozwala na stworzenie mechanizmów w sposób jednoznaczny umożliwiający identyfikację osoby kontaktującej się z urzędem za pomocą Internetu, likwidując jednocześnie konieczność tworzenia skomplikowanych systemów zarządzania hasłami i uprawnieniami z nich wynikających. Jednak bez uproszczenia przepisów u.p.e. i wprowadzenia prostszych form podpisu elektronicznego w codziennych kontaktach obywatela z urzędem wdrażanie podpisu elektronicznego w administracji będzie niezwykle trudne. W relacji osoba-urząd musimy stosować bezpieczny podpis elektroniczny, a bez doprowadzenia do modyfikacji definicji bezpiecznego urządzenia do składania podpisu elektronicznego stosowanie tej formy będzie marginalne .
Certyfikat w kryptografii to dane podpisane cyfrowo przez stronę której ufamy (Certificate Authority). Dane te zawierają takie informacje jak: • Klucz publiczny właściciela certyfikatu. • Nazwę zwyczajową (np. imię i nazwisko, pseudonim, nazwa firmy) • Nazwa organizacji. • Jednostka organizacyjna. • Zakres stosowania (podpisywanie, szyfrowanie, autoryzacji dostępu itp.) • Czas w jakim certyfikat jest ważny. • Informacje o wystawcy certyfikatów. • Sposób weryfikacji certyfikatu (np. adres pod którym można znaleźć listy CRL). • Adres pod którym znajduje się polityka certyfikacji, jaką zastosowano przy wydawaniu tego certyfikatu. • Inne dane - struktura certyfikatu jest płynna i może przechowywać praktycznie dowolne dane, takie jak np. fotografia właściciela, próbka jego głosu, informacje biometryczne. "Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby" (Art. 3, ust. 8). Podpis elektroniczny i certyfikat tworzą nierozłączną parę. Techniki umożliwiające tworzenie bezpiecznego podpisu elektronicznego muszą więc zapewniać wiarygodne potwierdzenie jego ważności. Typowe zastosowania certyfikatów to potwierdzenie tożsamości serwerów / autoryzacja dostępu w protokole SSL, potwierdzenie autentyczności podpisu elektronicznego, potwierdzenie autentyczności klucza publicznego adresata wiadomości. Należy pamiętać, że samo istnienie certyfikatu nie informuje nas o poziomie bezpieczeństwa. Każdorazowo, przy korzystaniu z kanału komunikacji zabezpieczonego certyfikatem, należy również zapoznać się z informacjami przechowywanymi wewnątrz certyfikatu. Certyfikat ma za zadanie co najmniej: - identyfikować podmiot go wystawiający, - określać osobę dla której został wystawiony - zawierać klucz publiczny tej osoby, - wskazywać okres ważności certyfikatu .
Nadawca, wysyłając do odbiorcy podpisany elektronicznie dokument, dołącza do niego certyfikat, a odbiorca odszyfrowuje go, posługując się kluczem publicznym pobranym z certyfikatu, dzięki temu wie, że na pewno należy on do nadawcy. Cyfrowy certyfikat, aby był bezpieczny, musi być elektronicznie podpisany przez swojego nadawcę, czyli organizację certyfikującą dla potwierdzenia ważności i autentyczności wydawanych certyfikatów. Innymi słowy, jest zaszyfrowany przy użyciu prywatnego klucza należącego do tej organizacji . Organy certyfikujące mają więc również wydawane świadectwa wiarygodności ? certyfikaty. W taki sposób tworzy się struktura klucza publicznego (public key infrastructure, PKI). Jej organizacja polega na tym, że stojący najwyżej hierarchicznie urząd certyfikacyjny, zaświadcza o kluczach prywatnych innych podmiotów certyfikujących. W literaturze bardzo często podkreślany jest fakt, że podważenie wiarygodności klucza podmiotu stojącego najwyżej w infrastrukturze, powoduje reakcję łańcuchową, gdyż nie można wiarygodnie zweryfikować kluczy prywatnych innych podmiotów certyfikujących . Podmiotem świadczącym usługi certyfikacyjne może być również jednostka samorządu terytorialnego. By zapewnić swą wiarygodność, podmiot świadczący takie usługi sporządza tzw. politykę certyfikacji, w której może zawrzeć procedurę wystawiania, zawieszania, unieważniania certyfikatów. Może również określać przedsięwzięta środki w celu zapewnienia ich bezpieczeństwa, ochrony danych, zasady korzystania z certyfikatów, zakres deklarowanej odpowiedzialności czy też wyłączeń odpowiedzialności. Czym są certyfikaty SSL? Certyfikaty SSL są narzędziem zapewniającym ochronę witryn Internetowych, a także gwarantem zachowanie poufności przesyłanych danych drogą elektroniczną. Pełne bezpieczeństwo jest efektem zastosowania szyfrowania komunikacji pomiędzy komputerami. Certyfikaty SSL rejestrowane są na określoną nazwę domeny, zawierają informacje o właścicielu domeny, jego adresie itp. Dane te są zabezpieczone kryptograficznie i nie można ich samodzielnie zmienić. Charakterystyka protokołu SSL / TLS
Protokół SSL zapewnia: uwierzytelnienie i niezaprzeczalność serwera oraz opcjonalnie klienta, dzięki wykorzystaniu podpisów elektronicznych, poufność dzięki zastosowania szyfrowania sesji, integralność dzięki zastosowaniu MAC oraz ochronę sesji komunikacyjnej typu end-to-end. Podstawowe zalety protokołu SSL: • Uwierzytelnienie serwera możliwe jest dzięki wsparciu w programie klienta dla standardowych technologii kryptograficznych. Uwierzytelnienie to polega na weryfikacji identyfikatora cyfrowego serwera na podstawie bazy zaufanych wystawców certyfikatów. Znajduje szczególne zastosowanie w bankowości elektronicznej oraz systemach płatności online (karty płatnicze). • Uwierzytelnienie klienta możliwe jest dzięki zastosowaniu identycznych technik co w przypadku weryfikacji serwera. Dzięki certyfikatowi klucza publicznego serwer może jednoznacznie określić tożsamość podmiotu w sieci globalnej. Weryfikacja oparta jest o bazę zaufanych wystawców certyfikatów serwera usługowego. Rozwiązanie to najczęściej stosuje się w bankowości elektronicznej oraz systemach zdalnego dostępu do zasobów sieci teleinformatycznych (zdalne logowanie do systemu). • Szyfrowanie transmisji danych gwarantuje poufność przesyłanych danych. Dzięki szyfrowaniu transmisji danych możliwe staje się przesyłanie poufnych dokumentów za pośrednictwem sieci globalnej. Ponadto SSL wyposażony jest w mechanizm weryfikujący poprawność transmisji i w przypadku przekłamań lub manipulacji fakt ten jest natychmiast wykrywany. Tworzenie certyfikatu
Cykl życia certyfiaktu PKI ( Public Key Infrastructure) Zbiór standardów ustanawiających środki techniczne do wykorzystania kryptografii z kluczem publicznym (asymetrycznej) na potrzeby potwierdzania tożsamości, hierarchicznego składania podpisów cyfrowych i wymiany kluczy w protokołach kryptograficznych. Standardy PKI noszą różne nazwy, w zależności od autorów: np., dokumenty tworzone przez firmę RSA Data Security są publikowane pod nazwa PKCS, podczas gdy publikacje ITU-T używają oznaczenia X.509. Co dają nam technologie PKI? • Poufność przesyłanych danych, • Kontrolę dostępu, • Silną autentykację użytkowników, • Zapewnienie integralności danych, • Niezaprzeczalność dokonywanych transakcji, • Eliminację anonimowości.
Użytkownik źródłowy szyfruje informację, używając klucza publicznego odbiorcy. Informacja przyjmowana przez odbiorcę jest deszyfrowana kluczem prywatnym. Użytkownicy mogą dysponować szeregiem par kluczy prywatnych i publicznych w celu uzyskania możliwości utrzymywania poufnej komunikacji z rozłącznymi grupami innych użytkowników systemu informatycznego. Przy takim sposobie rozprzestrzeniania par kluczy zasadnicze znaczenie ma metoda administrowania tymi kluczami i sposób ich używania. Jest to moment, w którym do gry wchodzi PKI (Public Key Infrastructure) – infrastruktura kluczy publicznych umożliwiająca centralne tworzenie, dystrybucję, śledzenie i odwoływanie kluczy. PKI zapewnia zarządzanie kluczami oraz certyfikatami stosowanymi w kryptografii klucza publicznego. PKI można określić jako zbiór sprzętu, oprogramowania, reguł oraz procedur niezbędnych do tworzenia, zarządzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii z kluczem publicznym. Podstawowe elementy i funkcje systemu PKI: 1. Serwer certyfikatów – platforma do generowania, obsługi i zarządzania certyfikatami oraz łączenia ich z odpowiednimi kluczami publicznymi – zarówno dla podpisów, jak i szyfrowania danych. Wykonuje on także – na żądanie lub w regularnych odstępach czasu – odnawianie certyfikatów. Należy mieć na uwadze to, że w celu zapewnienia niezaprzeczalności klucze prywatne nie są obsługiwane przez ten serwer. 2. Katalog – repozytorium wszystkich informacji publicznych dotyczących PKI, w tym certyfikatów kluczy publicznych, listy odwołanych certyfikatów (CRL – Certificate Revocation Lists), certyfikaty wydawców certyfikatów (CA) itp… Ten element infrastruktury jest krytyczny w sensie dostępności i często ma postać rozproszoną. Niezbędna tu jest kompatybilność z protokołem LDAP (Lightweight Directory Access Protocol). 3. System odwołań – możliwość odwoływania klucza w celu uniemożliwienia dostępu do szyfrowania i funkcji podpisu użytkownikom pozbawionym tego prawa (np… Z powodu zmiany funkcji w organizacji lub zmiany miejsca pracy). Listy unieważnionych certyfikatów (CRL) powinny być obsługiwane automatycznie i dystrybuowane regularnie w całym systemie, w celu zapewnienia wiarygodności certyfikatów. 4. Oprogramowanie po stronie klienta – jeżeli wszystkie powyższe funkcje są w pełni implementowane przez PKI, to do ich wykorzystania jest niezbędny odpowiedni interfejs po stronie klienta (na PC). Oprogramowanie może mieć formę specjalnego klienta PKI, dostarczanego przez dostawcę usług PKI, lub różnego rodzaju aplikacji obsługujących PKI, takich jak przeglądarki czy klienty poczty elektronicznej. Model infrastruktury PKI
Man in the middle - atak polegający na przejmowaniu danych przesyłanych pomiędzy klientem a serwerem. Atakujący jest w tym wypadku ulokowany pomiędzy stronami połączenia i działa jako pośrednik, udając tego drugiego przed każdą ze stron. Przed atakiem tym nie da się zabezpieczyć wyłącznie za pomocą technik kryptograficznych - konieczne jest wykorzystanie dodatkowego, zewnętrznego systemu ochrony potwierdzania tożsamości, takiego jak PKI. Bibliografia: OpenSSL, http://www.openssl.org/ Apache-SSL, http://www.modssl.org/ OpenSSH, http://ww.openssh.com/ Stunnel, http://www.stunnel.org/ RSA Data Security http://www.rsalabs.com/ Public Key Cryptography Standards ITU Telecommunication Standardization Sector, http://info.itu.ch/ITU-T/ Helionica, http://www.helionica.pl/
Certyfikaty SSL, http://ssl.certum.pl/ Podpis elektroniczny w praktyce, http://www.networld.pl/ PKI – Infrastruktura klucza publicznego, http://www.itpedia.pl/ E-podpis, co warto wiedzieć, http://www.epodpis.pl/ Zalety i wady podpisu elektronicznego, http://www.rp.pl/

Recommended

Podpis elektroniczny
Podpis elektronicznyPodpis elektroniczny
Podpis elektronicznypawlakens
 
Dlaczego e-podpis na trwałe zagości w biurach rachunkowych?
Dlaczego e-podpis na trwałe zagości w biurach rachunkowych?Dlaczego e-podpis na trwałe zagości w biurach rachunkowych?
Dlaczego e-podpis na trwałe zagości w biurach rachunkowych?danielstachowiak
 
Konsekwencje wynikające z wprowadzenia e-dowodów osobistych
Konsekwencje wynikające z wprowadzenia e-dowodów osobistych Konsekwencje wynikające z wprowadzenia e-dowodów osobistych
Konsekwencje wynikające z wprowadzenia e-dowodów osobistych Piotr Jaworski-Grzanka
 
Alfresco Day Warsaw 2016: Podpis elektroniczny - BMS
Alfresco Day Warsaw 2016: Podpis elektroniczny - BMSAlfresco Day Warsaw 2016: Podpis elektroniczny - BMS
Alfresco Day Warsaw 2016: Podpis elektroniczny - BMSAlfresco Software
 
Problematyka identyfikacji elektronicznej (eID w rozumieniu rozporządzenia eI...
Problematyka identyfikacji elektronicznej (eID w rozumieniu rozporządzenia eI...Problematyka identyfikacji elektronicznej (eID w rozumieniu rozporządzenia eI...
Problematyka identyfikacji elektronicznej (eID w rozumieniu rozporządzenia eI...Łukasz Goździaszek
 
Mobilny ePodpis
Mobilny ePodpisMobilny ePodpis
Mobilny ePodpisprnews
 
Alfresco Day Warsaw 2016: Identyfikacja i podpiselektroniczny - Safran
Alfresco Day Warsaw 2016: Identyfikacja i podpiselektroniczny - SafranAlfresco Day Warsaw 2016: Identyfikacja i podpiselektroniczny - Safran
Alfresco Day Warsaw 2016: Identyfikacja i podpiselektroniczny - SafranAlfresco Software
 
CONTMAN - Digital Banking w procesie pozyskania i obsługi klienta
CONTMAN - Digital Banking w procesie pozyskania i obsługi klientaCONTMAN - Digital Banking w procesie pozyskania i obsługi klienta
CONTMAN - Digital Banking w procesie pozyskania i obsługi klientaAlbertZiarko
 

Recommended

Podpis elektroniczny
Podpis elektronicznyPodpis elektroniczny
Podpis elektronicznypawlakens
 
Dlaczego e-podpis na trwałe zagości w biurach rachunkowych?
Dlaczego e-podpis na trwałe zagości w biurach rachunkowych?Dlaczego e-podpis na trwałe zagości w biurach rachunkowych?
Dlaczego e-podpis na trwałe zagości w biurach rachunkowych?danielstachowiak
 
Konsekwencje wynikające z wprowadzenia e-dowodów osobistych
Konsekwencje wynikające z wprowadzenia e-dowodów osobistych Konsekwencje wynikające z wprowadzenia e-dowodów osobistych
Konsekwencje wynikające z wprowadzenia e-dowodów osobistych Piotr Jaworski-Grzanka
 
Alfresco Day Warsaw 2016: Podpis elektroniczny - BMS
Alfresco Day Warsaw 2016: Podpis elektroniczny - BMSAlfresco Day Warsaw 2016: Podpis elektroniczny - BMS
Alfresco Day Warsaw 2016: Podpis elektroniczny - BMSAlfresco Software
 
Problematyka identyfikacji elektronicznej (eID w rozumieniu rozporządzenia eI...
Problematyka identyfikacji elektronicznej (eID w rozumieniu rozporządzenia eI...Problematyka identyfikacji elektronicznej (eID w rozumieniu rozporządzenia eI...
Problematyka identyfikacji elektronicznej (eID w rozumieniu rozporządzenia eI...Łukasz Goździaszek
 
Mobilny ePodpis
Mobilny ePodpisMobilny ePodpis
Mobilny ePodpisprnews
 
Alfresco Day Warsaw 2016: Identyfikacja i podpiselektroniczny - Safran
Alfresco Day Warsaw 2016: Identyfikacja i podpiselektroniczny - SafranAlfresco Day Warsaw 2016: Identyfikacja i podpiselektroniczny - Safran
Alfresco Day Warsaw 2016: Identyfikacja i podpiselektroniczny - SafranAlfresco Software
 
CONTMAN - Digital Banking w procesie pozyskania i obsługi klienta
CONTMAN - Digital Banking w procesie pozyskania i obsługi klientaCONTMAN - Digital Banking w procesie pozyskania i obsługi klienta
CONTMAN - Digital Banking w procesie pozyskania i obsługi klientaAlbertZiarko
 
Bios, isa, pci, chipset
Bios, isa, pci, chipsetBios, isa, pci, chipset
Bios, isa, pci, chipsetBorek12345
 
Lista rozkazów, tryby adresowania
Lista rozkazów, tryby adresowaniaLista rozkazów, tryby adresowania
Lista rozkazów, tryby adresowaniaBorek12345
 
Rejestry procesora
Rejestry procesoraRejestry procesora
Rejestry procesoraBorek12345
 
Procesory
ProcesoryProcesory
ProcesoryBorek12345
 
Pamięć wirtualna oraz pamięć cache
Pamięć wirtualna oraz pamięć cachePamięć wirtualna oraz pamięć cache
Pamięć wirtualna oraz pamięć cacheBorek12345
 
Pojęcie systemu mikroprocesowego
Pojęcie systemu mikroprocesowegoPojęcie systemu mikroprocesowego
Pojęcie systemu mikroprocesowegoBorek12345
 
Pamięci ram i rom
Pamięci ram i romPamięci ram i rom
Pamięci ram i romBorek12345
 
Bramki trójstanowe i multipleksery
Bramki trójstanowe i multiplekseryBramki trójstanowe i multipleksery
Bramki trójstanowe i multiplekseryBorek12345
 
Układy z pamięcią
Układy z pamięciąUkłady z pamięcią
Układy z pamięciąBorek12345
 
Podstawy logiki
Podstawy logikiPodstawy logiki
Podstawy logikiBorek12345
 
Przetwarzanie sygnałów i struktura systemu pomiarowego
Przetwarzanie sygnałów i struktura systemu pomiarowegoPrzetwarzanie sygnałów i struktura systemu pomiarowego
Przetwarzanie sygnałów i struktura systemu pomiarowegoBorek12345
 
Media transmisyjne
Media transmisyjneMedia transmisyjne
Media transmisyjneBorek12345
 
Filtry
FiltryFiltry
FiltryBorek12345
 
System szesnastkowy
System szesnastkowySystem szesnastkowy
System szesnastkowyBorek12345
 
Układy cyfrowe
Układy cyfroweUkłady cyfrowe
Układy cyfroweBorek12345
 
Ulotka marzec2011 lo (2)
Ulotka marzec2011 lo (2)Ulotka marzec2011 lo (2)
Ulotka marzec2011 lo (2)Borek12345
 
Instrukcja dokonywania zamówień online
Instrukcja dokonywania zamówień onlineInstrukcja dokonywania zamówień online
Instrukcja dokonywania zamówień onlineBorek12345
 
Prezentacja
PrezentacjaPrezentacja
PrezentacjaBorek12345
 
Przewodnik przedstawiciela
Przewodnik przedstawicielaPrzewodnik przedstawiciela
Przewodnik przedstawicielaBorek12345
 
Plan marketingowy
Plan marketingowyPlan marketingowy
Plan marketingowyBorek12345
 

More Related Content

More from Borek12345

Bios, isa, pci, chipset
Bios, isa, pci, chipsetBios, isa, pci, chipset
Bios, isa, pci, chipsetBorek12345
 
Lista rozkazów, tryby adresowania
Lista rozkazów, tryby adresowaniaLista rozkazów, tryby adresowania
Lista rozkazów, tryby adresowaniaBorek12345
 
Rejestry procesora
Rejestry procesoraRejestry procesora
Rejestry procesoraBorek12345
 
Pamięć wirtualna oraz pamięć cache
Pamięć wirtualna oraz pamięć cachePamięć wirtualna oraz pamięć cache
Pamięć wirtualna oraz pamięć cacheBorek12345
 
Pojęcie systemu mikroprocesowego
Pojęcie systemu mikroprocesowegoPojęcie systemu mikroprocesowego
Pojęcie systemu mikroprocesowegoBorek12345
 
Pamięci ram i rom
Pamięci ram i romPamięci ram i rom
Pamięci ram i romBorek12345
 
Bramki trójstanowe i multipleksery
Bramki trójstanowe i multiplekseryBramki trójstanowe i multipleksery
Bramki trójstanowe i multiplekseryBorek12345
 
Układy z pamięcią
Układy z pamięciąUkłady z pamięcią
Układy z pamięciąBorek12345
 
Podstawy logiki
Podstawy logikiPodstawy logiki
Podstawy logikiBorek12345
 
Przetwarzanie sygnałów i struktura systemu pomiarowego
Przetwarzanie sygnałów i struktura systemu pomiarowegoPrzetwarzanie sygnałów i struktura systemu pomiarowego
Przetwarzanie sygnałów i struktura systemu pomiarowegoBorek12345
 
Media transmisyjne
Media transmisyjneMedia transmisyjne
Media transmisyjneBorek12345
 
System szesnastkowy
System szesnastkowySystem szesnastkowy
System szesnastkowyBorek12345
 
Układy cyfrowe
Układy cyfroweUkłady cyfrowe
Układy cyfroweBorek12345
 
Ulotka marzec2011 lo (2)
Ulotka marzec2011 lo (2)Ulotka marzec2011 lo (2)
Ulotka marzec2011 lo (2)Borek12345
 
Instrukcja dokonywania zamówień online
Instrukcja dokonywania zamówień onlineInstrukcja dokonywania zamówień online
Instrukcja dokonywania zamówień onlineBorek12345
 
Przewodnik przedstawiciela
Przewodnik przedstawicielaPrzewodnik przedstawiciela
Przewodnik przedstawicielaBorek12345
 
Plan marketingowy
Plan marketingowyPlan marketingowy
Plan marketingowyBorek12345
 

More from Borek12345 (20)

Bios, isa, pci, chipset
Bios, isa, pci, chipsetBios, isa, pci, chipset
Bios, isa, pci, chipset
 
Lista rozkazów, tryby adresowania
Lista rozkazów, tryby adresowaniaLista rozkazów, tryby adresowania
Lista rozkazów, tryby adresowania
 
Rejestry procesora
Rejestry procesoraRejestry procesora
Rejestry procesora
 
Procesory
ProcesoryProcesory
Procesory
 
Pamięć wirtualna oraz pamięć cache
Pamięć wirtualna oraz pamięć cachePamięć wirtualna oraz pamięć cache
Pamięć wirtualna oraz pamięć cache
 
Pojęcie systemu mikroprocesowego
Pojęcie systemu mikroprocesowegoPojęcie systemu mikroprocesowego
Pojęcie systemu mikroprocesowego
 
Pamięci ram i rom
Pamięci ram i romPamięci ram i rom
Pamięci ram i rom
 
Bramki trójstanowe i multipleksery
Bramki trójstanowe i multiplekseryBramki trójstanowe i multipleksery
Bramki trójstanowe i multipleksery
 
Układy z pamięcią
Układy z pamięciąUkłady z pamięcią
Układy z pamięcią
 
Podstawy logiki
Podstawy logikiPodstawy logiki
Podstawy logiki
 
Przetwarzanie sygnałów i struktura systemu pomiarowego
Przetwarzanie sygnałów i struktura systemu pomiarowegoPrzetwarzanie sygnałów i struktura systemu pomiarowego
Przetwarzanie sygnałów i struktura systemu pomiarowego
 
Media transmisyjne
Media transmisyjneMedia transmisyjne
Media transmisyjne
 
Filtry
FiltryFiltry
Filtry
 
System szesnastkowy
System szesnastkowySystem szesnastkowy
System szesnastkowy
 
Układy cyfrowe
Układy cyfroweUkłady cyfrowe
Układy cyfrowe
 
Ulotka marzec2011 lo (2)
Ulotka marzec2011 lo (2)Ulotka marzec2011 lo (2)
Ulotka marzec2011 lo (2)
 
Instrukcja dokonywania zamówień online
Instrukcja dokonywania zamówień onlineInstrukcja dokonywania zamówień online
Instrukcja dokonywania zamówień online
 
Prezentacja
PrezentacjaPrezentacja
Prezentacja
 
Przewodnik przedstawiciela
Przewodnik przedstawicielaPrzewodnik przedstawiciela
Przewodnik przedstawiciela
 
Plan marketingowy
Plan marketingowyPlan marketingowy
Plan marketingowy
 

Podpis elektroniczny

  • 1. Podpis elektroniczny (ang. electronic signature, digital sign) — metoda potwierdzania autentyczności dokumentu i tożsamości jego nadawcy przy wymianie informacji drogą elektroniczną. Połączenie między dokumentem a podpisem musi być nierozerwalne i musi uniemożliwiać dokonywanie zmian w dokumencie po dołączeniu podpisu elektronicznego. Składa się z trzech członów: poufnego klucza prywatnego, jawnego klucza publicznego (identyfikującego instytucję certyfikującą) i certyfikatu potwierdzającego autentyczność. Staje się wymogiem funkcjonowania społeczeństwa informacyjnego. Podpis elektroniczny stanowi ukoronowanie osiągnięć kryptografii naszych czasów, wykorzystując zarówno szyfrowanie asymetryczne, jak i jednokierunkową funkcję skrótu. Sam podpis jest przekształceniem kryptograficznym danych i ma postać zwykle kilkunastu bajtów. Jego celem, obok potwierdzenia integralności przesyłki (dzięki zastosowaniu funkcji hash), jest również potwierdzenie autorstwa wiadomości. Zastosowanie podpisu elektronicznego nie zagraża również poufności przesyłki. Podpis elektroniczny jest często rozumiany i stosowany w najwęższym zakresie jego funkcji, służąc jedynie do identyfikacji osoby składającej ten podpis. "Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny" (Art. 3 ust. 1) W szerszym rozumieniu podpis elektroniczny posiada cztery główne cechy: • autentykacja – uniemożliwienie podszywania się pod daną osobę i wysłania w jej imieniu przesyłki, np. zlecenia dokonania przez bank operacji; • integralność – zapewnienie wykrywalności wszelkiej zmiany w danych przesyłki, zlecenia na drodze od nadawcy do odbiorcy i podczas przechowywania jej u odbiorcy; • autoryzacja – zapewnienie niemożliwości wyparcia się podpisu i treści przesyłki (zlecenia) przez autora; • umożliwienie weryfikacji podpisu przez osobę niezależną. Zalety podpisu elektronicznego:  równoważność z podpisem odręcznym,  jest związany wyłącznie z podpisującym,  umożliwia identyfikację podpisującego,  jest tworzony przez podpisującego,  brak konieczności fizycznej obecności przy dokonywaniu większości czynności prawnych,  brak konieczności przechowywania dokumentów papierowych.
  • 2. Stosując bezpieczny podpis elektroniczny będzie można zdalnie zawierać umowy (również notarialne), składać dyspozycje bankowe, zamówienia, a także składać podania w urzędach, przesyłać zeznania podatkowe czy dokumenty ubezpieczeniowe. Zalety podpisu elektronicznego w stosunku do podpisu tradycyjnego:  możliwość natychmiastowej i obiektywnej identyfikacji podpisanej osoby,  sfałszowanie podpisu elektronicznego jest o wiele trudniejsze niż własnoręcznego  podpis elektroniczny chroni całość dokumentu , nie ma potrzeby parafować każdej jego strony,  nie ma oryginału i jego kopii gdyż żaden dokument, który został opatrzony podpisem elektronicznym nie może już zostać zmieniony, jest więc oryginałem,  dane skierowane do danego odbiorcy mogą zostać zaszyfrowane, w taki sposób, że tylko odbiorca dla którego zostały przeznaczone może je rozszyfrować,  podpis elektroniczny jest powiązany z dokumentem, do którego został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana danych jest rozpoznawalna. Schemat konstrukcji przesyłki podpisanej elektronicznie przez nadawcę
  • 3. Jak odbywa się wysyłanie dokumentu z podpisem elektronicznym? Pan Iksiński ma już oprzyrządowanie niezbędne do złożenia elektronicznego podpisu pod dokumentem. Musi jeszcze tylko podłączyć czytnik do komputera (posiadającego jeden z wymienionych systemów: Windows 98 SE, Windows NT 4.0, Windows 2000 lub Windows XP/ME), umieścić płytę CD w CD - romie i zainstalować otrzymaną aplikację. Jak pan Iksiński powinien postąpić żeby podpisać i wysłać dokument? Skorzysta on z instrukcji, którą otrzymał od Ośrodka Certyfikujacego wraz z aplikacją, oprócz tego sama aplikacja poprzez system komunikatów informuje go co powinien zrobić w danej chwili. W uproszczeniu wygląda to tak: 1) Pan Iksiński otwiera aplikację i wskazuje plik, który chce podpisać elektronicznie. 2) Wkłada kartę do czytnika (o co jest poproszony specjalnym komunikatem), a program sprawdza ważność Certyfikatu i autentyczność karty. 3) Wprowadza numer PIN, co jest równoważne ze złożeniem podpisu elektronicznego. 4) Wysyła podpisany dokument e - mailem lub poprzez sieć internetową (możliwe jest też zgranie podpisanego dokumentu na dyskietkę i wysłanie go pocztą, ale to raczej mija się z celem). 5) Pan Iksiński dostaje zwrotnie podpisany przez drugą stronę dokument (pod warunkiem, że dany dokument tego wymaga, bo jest to np. umowa) również poprzez e - mail lub sieć internetową (analogicznie jak w poprzednim przypadku możliwe jest także wysłanie dyskietki).
  • 4. W jaki sposób wykorzystać e-podpis? Podpis elektroniczny, aby w pełni zabezpieczyć aukcję pod względem prawnym powinien zostać wykorzystany w dwóch sytuacjach: • sprzedawca wystawiając towar podpisuje stosowne zobowiązanie, • potencjalny kupujący składając ofertę cenową („podbija cenę”) i podpisuje stosowne zobowiązanie. Cały proces mógłby wyglądać następująco: Podpis elektroniczny otworzył możliwość wykorzystania elektronicznej wymiany dokumentów w administracji publicznej, a co za tym idzie udostępniania przez urzędy coraz szerszego wachlarza e-usług. Wykorzystanie podpisu w sposób wynikający z u.p.e. pozwala na stworzenie mechanizmów w sposób jednoznaczny umożliwiający identyfikację osoby kontaktującej się z urzędem za pomocą Internetu, likwidując jednocześnie konieczność tworzenia skomplikowanych systemów zarządzania hasłami i uprawnieniami z nich wynikających. Jednak bez uproszczenia przepisów u.p.e. i wprowadzenia prostszych form podpisu elektronicznego w codziennych kontaktach obywatela z urzędem wdrażanie podpisu elektronicznego w administracji będzie niezwykle trudne. W relacji osoba-urząd musimy stosować bezpieczny podpis elektroniczny, a bez doprowadzenia do modyfikacji definicji bezpiecznego urządzenia do składania podpisu elektronicznego stosowanie tej formy będzie marginalne .
  • 5. Certyfikat w kryptografii to dane podpisane cyfrowo przez stronę której ufamy (Certificate Authority). Dane te zawierają takie informacje jak: • Klucz publiczny właściciela certyfikatu. • Nazwę zwyczajową (np. imię i nazwisko, pseudonim, nazwa firmy) • Nazwa organizacji. • Jednostka organizacyjna. • Zakres stosowania (podpisywanie, szyfrowanie, autoryzacji dostępu itp.) • Czas w jakim certyfikat jest ważny. • Informacje o wystawcy certyfikatów. • Sposób weryfikacji certyfikatu (np. adres pod którym można znaleźć listy CRL). • Adres pod którym znajduje się polityka certyfikacji, jaką zastosowano przy wydawaniu tego certyfikatu. • Inne dane - struktura certyfikatu jest płynna i może przechowywać praktycznie dowolne dane, takie jak np. fotografia właściciela, próbka jego głosu, informacje biometryczne. "Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby" (Art. 3, ust. 8). Podpis elektroniczny i certyfikat tworzą nierozłączną parę. Techniki umożliwiające tworzenie bezpiecznego podpisu elektronicznego muszą więc zapewniać wiarygodne potwierdzenie jego ważności. Typowe zastosowania certyfikatów to potwierdzenie tożsamości serwerów / autoryzacja dostępu w protokole SSL, potwierdzenie autentyczności podpisu elektronicznego, potwierdzenie autentyczności klucza publicznego adresata wiadomości. Należy pamiętać, że samo istnienie certyfikatu nie informuje nas o poziomie bezpieczeństwa. Każdorazowo, przy korzystaniu z kanału komunikacji zabezpieczonego certyfikatem, należy również zapoznać się z informacjami przechowywanymi wewnątrz certyfikatu. Certyfikat ma za zadanie co najmniej: - identyfikować podmiot go wystawiający, - określać osobę dla której został wystawiony - zawierać klucz publiczny tej osoby, - wskazywać okres ważności certyfikatu .
  • 6. Nadawca, wysyłając do odbiorcy podpisany elektronicznie dokument, dołącza do niego certyfikat, a odbiorca odszyfrowuje go, posługując się kluczem publicznym pobranym z certyfikatu, dzięki temu wie, że na pewno należy on do nadawcy. Cyfrowy certyfikat, aby był bezpieczny, musi być elektronicznie podpisany przez swojego nadawcę, czyli organizację certyfikującą dla potwierdzenia ważności i autentyczności wydawanych certyfikatów. Innymi słowy, jest zaszyfrowany przy użyciu prywatnego klucza należącego do tej organizacji . Organy certyfikujące mają więc również wydawane świadectwa wiarygodności ? certyfikaty. W taki sposób tworzy się struktura klucza publicznego (public key infrastructure, PKI). Jej organizacja polega na tym, że stojący najwyżej hierarchicznie urząd certyfikacyjny, zaświadcza o kluczach prywatnych innych podmiotów certyfikujących. W literaturze bardzo często podkreślany jest fakt, że podważenie wiarygodności klucza podmiotu stojącego najwyżej w infrastrukturze, powoduje reakcję łańcuchową, gdyż nie można wiarygodnie zweryfikować kluczy prywatnych innych podmiotów certyfikujących . Podmiotem świadczącym usługi certyfikacyjne może być również jednostka samorządu terytorialnego. By zapewnić swą wiarygodność, podmiot świadczący takie usługi sporządza tzw. politykę certyfikacji, w której może zawrzeć procedurę wystawiania, zawieszania, unieważniania certyfikatów. Może również określać przedsięwzięta środki w celu zapewnienia ich bezpieczeństwa, ochrony danych, zasady korzystania z certyfikatów, zakres deklarowanej odpowiedzialności czy też wyłączeń odpowiedzialności. Czym są certyfikaty SSL? Certyfikaty SSL są narzędziem zapewniającym ochronę witryn Internetowych, a także gwarantem zachowanie poufności przesyłanych danych drogą elektroniczną. Pełne bezpieczeństwo jest efektem zastosowania szyfrowania komunikacji pomiędzy komputerami. Certyfikaty SSL rejestrowane są na określoną nazwę domeny, zawierają informacje o właścicielu domeny, jego adresie itp. Dane te są zabezpieczone kryptograficznie i nie można ich samodzielnie zmienić. Charakterystyka protokołu SSL / TLS
  • 7. Protokół SSL zapewnia: uwierzytelnienie i niezaprzeczalność serwera oraz opcjonalnie klienta, dzięki wykorzystaniu podpisów elektronicznych, poufność dzięki zastosowania szyfrowania sesji, integralność dzięki zastosowaniu MAC oraz ochronę sesji komunikacyjnej typu end-to-end. Podstawowe zalety protokołu SSL: • Uwierzytelnienie serwera możliwe jest dzięki wsparciu w programie klienta dla standardowych technologii kryptograficznych. Uwierzytelnienie to polega na weryfikacji identyfikatora cyfrowego serwera na podstawie bazy zaufanych wystawców certyfikatów. Znajduje szczególne zastosowanie w bankowości elektronicznej oraz systemach płatności online (karty płatnicze). • Uwierzytelnienie klienta możliwe jest dzięki zastosowaniu identycznych technik co w przypadku weryfikacji serwera. Dzięki certyfikatowi klucza publicznego serwer może jednoznacznie określić tożsamość podmiotu w sieci globalnej. Weryfikacja oparta jest o bazę zaufanych wystawców certyfikatów serwera usługowego. Rozwiązanie to najczęściej stosuje się w bankowości elektronicznej oraz systemach zdalnego dostępu do zasobów sieci teleinformatycznych (zdalne logowanie do systemu). • Szyfrowanie transmisji danych gwarantuje poufność przesyłanych danych. Dzięki szyfrowaniu transmisji danych możliwe staje się przesyłanie poufnych dokumentów za pośrednictwem sieci globalnej. Ponadto SSL wyposażony jest w mechanizm weryfikujący poprawność transmisji i w przypadku przekłamań lub manipulacji fakt ten jest natychmiast wykrywany. Tworzenie certyfikatu
  • 8. Cykl życia certyfiaktu PKI ( Public Key Infrastructure) Zbiór standardów ustanawiających środki techniczne do wykorzystania kryptografii z kluczem publicznym (asymetrycznej) na potrzeby potwierdzania tożsamości, hierarchicznego składania podpisów cyfrowych i wymiany kluczy w protokołach kryptograficznych. Standardy PKI noszą różne nazwy, w zależności od autorów: np., dokumenty tworzone przez firmę RSA Data Security są publikowane pod nazwa PKCS, podczas gdy publikacje ITU-T używają oznaczenia X.509. Co dają nam technologie PKI? • Poufność przesyłanych danych, • Kontrolę dostępu, • Silną autentykację użytkowników, • Zapewnienie integralności danych, • Niezaprzeczalność dokonywanych transakcji, • Eliminację anonimowości.
  • 9. Użytkownik źródłowy szyfruje informację, używając klucza publicznego odbiorcy. Informacja przyjmowana przez odbiorcę jest deszyfrowana kluczem prywatnym. Użytkownicy mogą dysponować szeregiem par kluczy prywatnych i publicznych w celu uzyskania możliwości utrzymywania poufnej komunikacji z rozłącznymi grupami innych użytkowników systemu informatycznego. Przy takim sposobie rozprzestrzeniania par kluczy zasadnicze znaczenie ma metoda administrowania tymi kluczami i sposób ich używania. Jest to moment, w którym do gry wchodzi PKI (Public Key Infrastructure) – infrastruktura kluczy publicznych umożliwiająca centralne tworzenie, dystrybucję, śledzenie i odwoływanie kluczy. PKI zapewnia zarządzanie kluczami oraz certyfikatami stosowanymi w kryptografii klucza publicznego. PKI można określić jako zbiór sprzętu, oprogramowania, reguł oraz procedur niezbędnych do tworzenia, zarządzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii z kluczem publicznym. Podstawowe elementy i funkcje systemu PKI: 1. Serwer certyfikatów – platforma do generowania, obsługi i zarządzania certyfikatami oraz łączenia ich z odpowiednimi kluczami publicznymi – zarówno dla podpisów, jak i szyfrowania danych. Wykonuje on także – na żądanie lub w regularnych odstępach czasu – odnawianie certyfikatów. Należy mieć na uwadze to, że w celu zapewnienia niezaprzeczalności klucze prywatne nie są obsługiwane przez ten serwer. 2. Katalog – repozytorium wszystkich informacji publicznych dotyczących PKI, w tym certyfikatów kluczy publicznych, listy odwołanych certyfikatów (CRL – Certificate Revocation Lists), certyfikaty wydawców certyfikatów (CA) itp… Ten element infrastruktury jest krytyczny w sensie dostępności i często ma postać rozproszoną. Niezbędna tu jest kompatybilność z protokołem LDAP (Lightweight Directory Access Protocol). 3. System odwołań – możliwość odwoływania klucza w celu uniemożliwienia dostępu do szyfrowania i funkcji podpisu użytkownikom pozbawionym tego prawa (np… Z powodu zmiany funkcji w organizacji lub zmiany miejsca pracy). Listy unieważnionych certyfikatów (CRL) powinny być obsługiwane automatycznie i dystrybuowane regularnie w całym systemie, w celu zapewnienia wiarygodności certyfikatów. 4. Oprogramowanie po stronie klienta – jeżeli wszystkie powyższe funkcje są w pełni implementowane przez PKI, to do ich wykorzystania jest niezbędny odpowiedni interfejs po stronie klienta (na PC). Oprogramowanie może mieć formę specjalnego klienta PKI, dostarczanego przez dostawcę usług PKI, lub różnego rodzaju aplikacji obsługujących PKI, takich jak przeglądarki czy klienty poczty elektronicznej. Model infrastruktury PKI
  • 10. Man in the middle - atak polegający na przejmowaniu danych przesyłanych pomiędzy klientem a serwerem. Atakujący jest w tym wypadku ulokowany pomiędzy stronami połączenia i działa jako pośrednik, udając tego drugiego przed każdą ze stron. Przed atakiem tym nie da się zabezpieczyć wyłącznie za pomocą technik kryptograficznych - konieczne jest wykorzystanie dodatkowego, zewnętrznego systemu ochrony potwierdzania tożsamości, takiego jak PKI. Bibliografia: OpenSSL, http://www.openssl.org/ Apache-SSL, http://www.modssl.org/ OpenSSH, http://ww.openssh.com/ Stunnel, http://www.stunnel.org/ RSA Data Security http://www.rsalabs.com/ Public Key Cryptography Standards ITU Telecommunication Standardization Sector, http://info.itu.ch/ITU-T/ Helionica, http://www.helionica.pl/
  • 11. Certyfikaty SSL, http://ssl.certum.pl/ Podpis elektroniczny w praktyce, http://www.networld.pl/ PKI – Infrastruktura klucza publicznego, http://www.itpedia.pl/ E-podpis, co warto wiedzieć, http://www.epodpis.pl/ Zalety i wady podpisu elektronicznego, http://www.rp.pl/