Czym jest podpis cyfrowy i jak działa?
W formie zakodowanej wiadomości podpis cyfrowy bezpiecznie łączy osobę podpisującą z dokumentem w zarejestrowanej transakcji. Podpisy cyfrowe wykorzystują znormalizowany i powszechnie akceptowany format znany jako infrastruktura klucza publicznego (PKI), aby zapewnić najwyższy poziom bezpieczeństwa i powszechną akceptację. PKI obejmuje wykorzystanie certyfikatu cyfrowego do weryfikacji tożsamości.
Jak działa podpis cyfrowy?
Podpisy cyfrowe, podobnie jak podpisy odręczne, są unikalne dla każdego podpisującego. Dostawcy rozwiązań podpisu cyfrowego, tacy jak InfoCert, przestrzegają określonego protokołu znanego jako infrastruktura klucza publicznego (PKI). PKI wymaga, aby dostawca wykorzystywał algorytm matematyczny do generowania dwóch długich liczb, zwanych kluczami. Jeden klucz jest publiczny, a drugi prywatny.
Gdy podpisujący elektronicznie podpisuje dokument, podpis jest tworzony przy użyciu klucza prywatnego podpisującego, który jest bezpiecznie przechowywany przez podpisującego. Algorytm matematyczny działa jak szyfr, tworząc dane odpowiadające podpisanemu dokumentowi, znane jako hash, i szyfrując te dane. Wynikowe zaszyfrowane dane stanowią podpis cyfrowy. Dodatkowo podpis jest opatrzony znacznikiem czasu z godziną podpisania dokumentu. Jeśli dokument zostanie zmieniony po podpisaniu, podpis cyfrowy stanie się nieważny.
Na przykład John podpisuje umowę sprzedaży timeshare przy użyciu swojego klucza prywatnego. Kupujący otrzymuje dokument wraz z kopią klucza publicznego Johna. Jeśli klucz publiczny nie może odszyfrować podpisu (za pomocą szyfru użytego do wygenerowania kluczy), oznacza to, że podpis albo nie należy do Johna, albo został zmieniony od czasu jego podpisania. W takich przypadkach podpis uznaje się za nieważny.
Aby zachować integralność podpisu, PKI wymaga, aby klucze były tworzone, zarządzane i przechowywane w bezpieczny sposób. Często wiąże się to z usługami renomowanego urzędu certyfikacji (CA). Dostawcy podpisów cyfrowych, tacy jak InfoCert, spełniają wymagania PKI, aby zapewnić bezpieczne podpisywanie cyfrowe.
Jaka jest różnica między podpisem elektronicznym a podpisem cyfrowym?
Podpis cyfrowy to forma podpisu elektronicznego, która wymaga wyższego poziomu weryfikacji tożsamości za pomocą certyfikatów cyfrowych.
Szersza kategoria podpisów elektronicznych (e-podpisów) obejmuje różne rodzaje podpisów elektronicznych. Kategoria ta obejmuje podpisy cyfrowe, które stanowią konkretną implementację technologiczną podpisów elektronicznych. Zarówno podpis cyfrowy, jak i inne rozwiązania podpisu elektronicznego umożliwiają podpisywanie dokumentów i uwierzytelnianie osoby podpisującej. Istnieją jednak różnice pod względem celu, wdrożenia technicznego, wykorzystania geograficznego oraz prawnej i kulturowej akceptacji podpisów cyfrowych w porównaniu z innymi rodzajami podpisów elektronicznych.
Warto zauważyć, że wykorzystanie technologii podpisu cyfrowego do podpisów elektronicznych różni się znacznie między krajami stosującymi otwarte, neutralne technologicznie przepisy dotyczące podpisów elektronicznych, takimi jak Stany Zjednoczone, Wielka Brytania, Kanada i Australia, a tymi, które przyjmują wielopoziomowe modele podpisów elektronicznych, faworyzujące lokalnie zdefiniowane standardy oparte na technologii podpisu cyfrowego. Obejmuje to wiele krajów w Unii Europejskiej, Ameryce Południowej i Azji. W Unii Europejskiej, regulowanej rozporządzeniem eIDAS, istnieją dwa poziomy podpisów cyfrowych: Zaawansowany podpis elektroniczny (AES) i Kwalifikowany podpis elektroniczny (QES).
Co więcej, niektóre branże wspierają również określone standardy zakorzenione w technologii podpisu cyfrowego