Podpis cyfrowy, czemu warto używać?

Wstęp

Jesteśmy w dobie powszechnej informatyzacji społeczeństwa - to już truizm, powtarzany na każdym kroku. Komputery wdzierają się do wszelkich możliwych dziedzin życia. Podobnie jak w kontaktach międzyludzkich, także w Internecie istnieje potrzeba uwiarygodnienia swojej tożsamości, tak aby korespondent miał pewność, że komunikuje się z właściwą osobą.

O ile przyzwyczailiśmy się do bezpiecznych stron (szyfrowanych) bankowych, pocztowych, to jakoś ciągle jest problem ze zrozumieniem potrzeby podpisywania swoich wiadomości podpisem cyfrowym. A szkoda, zwiększa to bowiem zaufanie do nas, kiedy go używamy (niezależnie od wiedzy technicznej drugiej strony).

Tutaj należy wspomnieć różnicę pomiędzy podpisem cyfrowym a elektronicznym. O ile pierwszy jest ściśle związany z komputerami i technologiami informatycznymi, to podpis elektroniczny jest bardziej ogólnym pojęciem, obejmującym zarówno podpis cyfrowy, jak i wszelkie inne (marginalne dziś) elektroniczne sposoby poświadczania autentyczności danych [6].

Zasadniczym problemem w naszym kraju jest topornie wprowadzana informatyzacja, wszystko wskazuje na to, że przed 2008 rokiem nie mamy co liczyć na masowe wykorzystanie podpisu elektronicznego w polskiej administracji. Z drugiej strony osoby często komunikujące się z zachodnimi firmami mogą już mieć potrzebę jego używania. W tym artykule zamierzam się skupić nad zaletami podpisu elektronicznego w przypadku zwykłych użytkowników.

Nie będę zajmował się technicznymi aspektami, gdyż nie wniosą nic praktycznego do artykułu. Sam sposób otrzymania certyfikatu został opublikowany już wcześniej. Moim celem jest zachęcenie do szerszego wykorzystania podpisu cyfrowego w komunikacji elektronicznej.

Dlaczego?

Osoby, które często korzystają z takiego medium jakim jest Internet i poczta elektroniczna wcześniej czy później padły ofiarą spamerów - ludzi masowo wysyłających różnego rodzaju reklamy przez sieć. Ponieważ taki proceder jest często na granicy legalności bądź jednoznacznie sprzeczny z prawem, to autorzy reklam często podszywają się pod obce osoby. Raz miałem przyjemność dostać spam ze sfałszowanymi nagłówkami wiadomości, gdzie jako nadawca widniał mój adres e-mail...

Rodzi się pytanie; jak zapewnić innych o autentyczności swojego listu? Jak zabezpieczyć dokument przed niepowołanymi zmianami? W listach "analogowych" (papierowych) normalną rzeczą jest podpisywanie się na końcu tekstu. Czemu tego nie przenieść do korespondencji elektronicznej? Podpis elektroniczny, aby go wykorzystać w praktyce, musi być:

- przypisany jednej osobie,
- niemożliwy do podrobienia (w realnym czasie),
- uniemożliwiający wyparcie się go przez autora,
- łatwy do weryfikacji przez osobę niezależną,
- łatwy do wygenerowania.

Różni się jednak od podpisu tradycyjnego kilkoma właściwościami:

- może być składowany i przesyłany niezależnie od dokumentu (niemożliwe w podpisie tradycyjnym),
- jest funkcją dokumentu (czyli zmiana dokumentu unieważnia podpis elektroniczny, zapewnienie o autentyczności dokumentu jest niekiedy ważniejsze od autentyczności nadawcy),
- obejmuje cały dokument.

Rozwiązania

Najbardziej popularnymi technikami podpisywania wiadomości są PGP (np. OpenPGP) [4] oraz certyfikaty X.509 [3]. Nie chcę wdawać się w dyskusję wyższości jednego nad drugim i tylko krótko je scharakteryzuję w podpunktach.

OpenPGP:
- niezależny od dużych firm,
- zdecentralizowana baza podpisów, działa na zasadzie zaufanej sieci [2]: uczestnicy wzajemnie podpisują sobie klucze, istnieje ryzyko, że któryś z kluczy nie będzie zaufany,
- bezpłatny.

X.509:
- hierarchiczny sposób nadawania certyfikatów, istnieją główne ośrodki certyfikacji, swojego czasu certyfikat wymagał opłaty, obecnie można uzyskać go bezpłatnie,
- obsługuje go zdecydowana większość programów pocztowych.


Wygodniejszy jest w obsłudze X.509 i ten polecam czytelnikom. Obydwa rozwiązania istnieją na większość dostępnych platform i systemów operacyjnych (OpenPGP także pod DOSa) i są "wolne" technologicznie.

Czy podpis elektroniczny jest dla mnie?

Zalety podpisu cyfrowego powinni dostrzec właściciele firm rozsyłających dokumenty do współpracowników, kontrahentów czy klientów. Obecność podpisu - w takim przypadku - podnosi znacząco wiarygodność adresata (już nie może się wyprzeć wysłania dokumentu!).

A zwykli użytkownicy? Od dnia 7 sierpnia 2006 r. Narodowy Fundusz Zdrowia umożliwia przesyłanie korespondencji i dokumentów podpisanych elektronicznie. Powyższe dokumenty powinny być kierowane na adres kancelaria.elektroniczna@nfz.gov.pl. Przyjmowane będą tylko dokumenty sygnowane podpisem cyfrowym (certyfikatem elektronicznym). "Klienci" ZUS często już mają (niekiedy nieświadomie) do czynienia z podpisem cyfrowym.

Kupujesz coś w serwisie aukcyjnym lub sklepie internetowym? Nie ma lepszego potwierdzenia transakcji jak zaświadczenie autentyczności listu za pomocą podpisu cyfrowego. Na zachodzie Europy niektóre duże koncerny przy większych zakupach ignorują niepodpisane listy!

Ponadto możesz łatwo szyfrować listy. Wystarczy, że nadawca ma certyfikat, prześle do nas list podpisany tym certyfikatem i możemy szyfrować listy wysyłane do niego.

Microsoft i inne firmy chciały wprowadzić nowe metody uwierzytelniania nadawcy, zapominając zupełnie, że ich rozwiązanie uniemożliwiłoby korzystanie z list dyskusyjnych, aliasów pocztowych itp. A przecież mamy podpis cyfrowy, który łatwo dostać i używać.

Pod nasz adres pocztowy może podszyć się nie tylko spamer, ale także wirus czy trojan, czy złośliwy "kolega". Otrzymując podpisany list mamy pewność, że nie został zmieniony i jednocześnie nadawca nie może się wyprzeć jego wysłania. Zobacz [9] jak łatwo podszyć się pod inną osobę.


Warto poczytać:

[1] http://pl.wikipedia.org/wiki/Podpis_cyfrowy
[2] http://pl.wikipedia.org/wiki/Sie%C4%87_zaufania
[3] http://pl.wikipedia.org/wiki/X.509
[4] http://pl.wikipedia.org/wiki/PGP_%28program_kryptograficzny%29
[5] http://ipsec.pl/podpis_elektroniczny/
[6] http://www.republika.pl/podpis_elektroniczny/
[7] http://ipsec.pl/pk/index.php?title=Faktura_elektroniczna
[8] http://spam.jogger.pl/tag/podpis-cyfrowy
[9] http://spam.jogger.pl/2006/04/10/e-mail-nie-mozna-mu-ufac/