Podpis cyfrowy, czemu warto używać?
Wstęp
Jesteśmy w dobie powszechnej informatyzacji społeczeństwa - to już
truizm, powtarzany na każdym kroku. Komputery wdzierają się do
wszelkich możliwych dziedzin życia. Podobnie jak w kontaktach
międzyludzkich, także w Internecie istnieje potrzeba uwiarygodnienia
swojej tożsamości, tak aby korespondent miał pewność, że komunikuje się
z właściwą osobą.
O ile przyzwyczailiśmy się do bezpiecznych stron (szyfrowanych)
bankowych, pocztowych, to jakoś ciągle jest problem ze zrozumieniem
potrzeby podpisywania swoich wiadomości podpisem cyfrowym. A szkoda,
zwiększa to bowiem zaufanie do nas, kiedy go używamy (niezależnie od
wiedzy technicznej drugiej strony).
Tutaj należy wspomnieć różnicę pomiędzy podpisem cyfrowym a
elektronicznym. O ile pierwszy jest ściśle związany z komputerami i
technologiami informatycznymi, to podpis elektroniczny jest bardziej
ogólnym pojęciem, obejmującym zarówno podpis cyfrowy, jak
i wszelkie inne (marginalne dziś) elektroniczne sposoby poświadczania
autentyczności danych [6].
Zasadniczym problemem w naszym kraju jest topornie wprowadzana
informatyzacja, wszystko wskazuje na to, że przed 2008 rokiem nie mamy
co liczyć na masowe wykorzystanie podpisu elektronicznego w polskiej
administracji. Z drugiej strony osoby często komunikujące się z
zachodnimi firmami mogą już mieć potrzebę jego używania. W tym artykule
zamierzam się skupić nad zaletami podpisu elektronicznego w przypadku
zwykłych użytkowników.
Nie będę zajmował się technicznymi aspektami, gdyż nie wniosą nic
praktycznego do artykułu. Sam sposób otrzymania certyfikatu
został opublikowany już wcześniej. Moim celem jest zachęcenie do
szerszego wykorzystania podpisu cyfrowego w komunikacji elektronicznej.
Dlaczego?
Osoby, które często korzystają z takiego medium jakim jest
Internet i poczta elektroniczna wcześniej czy później padły
ofiarą spamerów - ludzi masowo wysyłających różnego
rodzaju reklamy przez sieć. Ponieważ taki proceder jest często na
granicy legalności bądź jednoznacznie sprzeczny z prawem, to autorzy
reklam często podszywają się pod obce osoby. Raz miałem przyjemność
dostać spam ze sfałszowanymi nagłówkami wiadomości, gdzie jako
nadawca widniał mój adres e-mail...
Rodzi się pytanie; jak zapewnić innych o autentyczności swojego listu?
Jak zabezpieczyć dokument przed niepowołanymi zmianami? W listach
"analogowych" (papierowych) normalną rzeczą jest podpisywanie się na
końcu tekstu. Czemu tego nie przenieść do korespondencji
elektronicznej? Podpis elektroniczny, aby go wykorzystać w praktyce,
musi być:
- przypisany jednej osobie,
- niemożliwy do podrobienia (w realnym czasie),
- uniemożliwiający wyparcie się go przez autora,
- łatwy do weryfikacji przez osobę niezależną,
- łatwy do wygenerowania.
Różni się jednak od podpisu tradycyjnego kilkoma właściwościami:
- może być składowany i przesyłany niezależnie od dokumentu (niemożliwe w podpisie tradycyjnym),
- jest funkcją dokumentu (czyli zmiana dokumentu unieważnia podpis
elektroniczny, zapewnienie o autentyczności dokumentu jest niekiedy
ważniejsze od autentyczności nadawcy),
- obejmuje cały dokument.
Rozwiązania
Najbardziej popularnymi technikami podpisywania wiadomości są PGP (np.
OpenPGP) [4] oraz certyfikaty X.509 [3]. Nie chcę wdawać się w dyskusję
wyższości jednego nad drugim i tylko krótko je scharakteryzuję w
podpunktach.
OpenPGP:
- niezależny od dużych firm,
- zdecentralizowana baza podpisów, działa na zasadzie zaufanej
sieci [2]: uczestnicy wzajemnie podpisują sobie klucze, istnieje
ryzyko, że któryś z kluczy nie będzie zaufany,
- bezpłatny.
X.509:
- hierarchiczny sposób nadawania certyfikatów, istnieją
główne ośrodki certyfikacji, swojego czasu certyfikat wymagał
opłaty, obecnie można uzyskać go bezpłatnie,
- obsługuje go zdecydowana większość programów pocztowych.
Wygodniejszy jest w obsłudze X.509 i ten polecam czytelnikom. Obydwa
rozwiązania istnieją na większość dostępnych platform i systemów
operacyjnych (OpenPGP także pod DOSa) i są "wolne" technologicznie.
Czy podpis elektroniczny jest dla mnie?
Zalety podpisu cyfrowego powinni dostrzec właściciele firm
rozsyłających dokumenty do współpracowników,
kontrahentów czy klientów. Obecność podpisu - w takim
przypadku - podnosi znacząco wiarygodność adresata (już nie może się
wyprzeć wysłania dokumentu!).
A zwykli użytkownicy? Od dnia 7 sierpnia 2006 r. Narodowy Fundusz
Zdrowia umożliwia przesyłanie korespondencji i dokumentów
podpisanych elektronicznie. Powyższe dokumenty powinny być kierowane na
adres [email protected]. Przyjmowane będą tylko
dokumenty sygnowane podpisem cyfrowym (certyfikatem elektronicznym).
"Klienci" ZUS często już mają (niekiedy nieświadomie) do czynienia z
podpisem cyfrowym.
Kupujesz coś w serwisie aukcyjnym lub sklepie internetowym? Nie ma
lepszego potwierdzenia transakcji jak zaświadczenie autentyczności
listu za pomocą podpisu cyfrowego. Na zachodzie Europy niektóre
duże koncerny przy większych zakupach ignorują niepodpisane listy!
Ponadto możesz łatwo szyfrować listy. Wystarczy, że nadawca ma
certyfikat, prześle do nas list podpisany tym certyfikatem i możemy
szyfrować listy wysyłane do niego.
Microsoft i inne firmy chciały wprowadzić nowe metody uwierzytelniania
nadawcy, zapominając zupełnie, że ich rozwiązanie uniemożliwiłoby
korzystanie z list dyskusyjnych, aliasów pocztowych itp. A
przecież mamy podpis cyfrowy, który łatwo dostać i używać.
Pod nasz adres pocztowy może podszyć się nie tylko spamer, ale także
wirus czy trojan, czy złośliwy "kolega". Otrzymując podpisany list mamy
pewność, że nie został zmieniony i jednocześnie nadawca nie może się
wyprzeć jego wysłania. Zobacz [9] jak łatwo podszyć się pod inną osobę.
Warto poczytać:
[1] http://pl.wikipedia.org/wiki/Podpis_cyfrowy
[2] http://pl.wikipedia.org/wiki/Sie%C4%87_zaufania
[3] http://pl.wikipedia.org/wiki/X.509
[4] http://pl.wikipedia.org/wiki/PGP_%28program_kryptograficzny%29
[5] http://ipsec.pl/podpis_elektroniczny/
[6] http://www.republika.pl/podpis_elektroniczny/
[7] http://ipsec.pl/pk/index.php?title=Faktura_elektroniczna
[8] http://spam.jogger.pl/tag/podpis-cyfrowy
[9] http://spam.jogger.pl/2006/04/10/e-mail-nie-mozna-mu-ufac/