Technologie informacyjne w biznesie Dr Małgorzata Ganczar Wykład 4
Zagrożenia w Internecie Podsłuchiwanie Fałszowanie Zaprzeczanie
Kryptografia Symetryczna Asymetryczna Szyfrowanie Podpisywanie Weryfikacja podpisu
ALGORYTM o Kryptografia symetryczna – używają tego samego klucza do szyfrowania i do deszyfrowania wiadomości, albo klucz deszyfrujący da się bezpośrednio wyprowadzić z klucza szyfrującego. Znajomość zatem dobrego klucza służącego do zakodowania wiadomości umożliwia także jej odczytanie. Są szybsze od asymetrycznych. o Kryptografia asymetryczna (z kluczem publicznym) – używają odmiennego klucza do szyfrowania i deszyfrowania, a klucza deszyfrującego nie da się wyprowadzić z klucza szyfrującego. Klucz szyfrujący jest zwykle udostępniany publicznie tak, iż każdy może zakodować informację jednak jej odczytanie możliwe jest jedynie przez adresata, który posiada odpowiedni klucz deszyfrujący – nie ujawniany.
ALGORYTM Systemy kryptograficzne z jednym kluczem wymagają stworzenia bezpiecznego kanału transmisji dla klucza, co często bywa niewykonalne.
ALGORYTM Schemat szyfrowania asymetrycznego
Szyfrowanie Zapobiega podsłuchiwaniu danych Szyfrujemy wiadomość kluczem publicznym odbiorcy Można ją rozszyfrować wyłącznie kluczem prywatnym odbiorcy Zatem tylko odbiorca może odebrać naszą przesyłkę
Podpisywanie Zapobiega fałszowaniu danych Szyfrujemy wiadomość kluczem prywatnym nadawcy Można ją rozszyfrować wyłącznie kluczem publicznym nadawcy A ten klucz jest powszechnie dostępny Praktyka – funkcja skrótu
Podpisywanie c.d. Dokument oryginalny Klucz prywatny nadawcy wiadomości Skrót dokumentu Szyfrujemy skrót Dokument + podpis skrót dokumentu zaszyfrowany kluczem prywatnym nadawcy podpis cyfrowy =
Weryfikacja podpisu Dokument + podpis Klucz publiczny nadawcy Podpis Deszyfrujemy skrót Certyfikat nadawcy wiadomości Dokument Obliczamy skrót Zgadza się? ponownie obliczamy funkcję skrótu i porównujemy ją z otrzymaną T N
Podpis elektroniczny Warunki i skutki prawne stosowania podpisu elektronicznego, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi określa ustawa o podpisie elektronicznym. Legalizacja e-podpisu nie zmierza do przypisania mu atrybutów podpisu własnoręcznego. Z przyczyn obiektywnych podpis elektroniczny nie będzie w stanie ich zrealizować, chodzi jedynie o przypisanie mu prawnej doniosłości podpisu własnoręcznego. Regulacje prawne mają na celu stworzenie warunków prawnych do stosowania w obrocie prawnym podpisu elektronicznego, jako równorzędnego podpisowi własnoręcznemu.
Podpis elektroniczny Podpis elektroniczny traktowany jest jako sposób podpisywania dokumentu w postaci elektronicznej. Można uznać, że jest to każdy sposób zastąpienia podpisu własnoręcznego (tzw. tradycyjnego) w rzeczywistości elektronicznej. W literaturze funkcjonuje wiele pojęć określających podpis elektroniczny. Najczęstszym rodzajem podpisu elektronicznego jest podpis cyfrowy. Jest jednak zasadnicza różnica między nimi: podpis elektroniczny reprezentuje dowolną formę podpisu utworzonego za pomocą komputera, podpis cyfrowy zakłada korzystanie z określonych technik kryptograficznych służących do tworzenia tego podpisu, najczęściej z technologii asymetrycznej pary klucza publicznego i prywatnego.
Podpis elektroniczny Podpis elektroniczny wykorzystuje wszelkie możliwe techniki służące do identyfikacji podpisującego w sposób elektroniczny. Przykładem podpisu elektronicznego może być: obraz podpisu własnoręcznego, otrzymany za pomocą skanera, podpis sporządzony elektronicznym piórem, kod PIN karty elektronicznej, użyty do podjęcia pieniędzy z bankomatu, imię lub nazwisko umieszczone w zakończeniu wiadomości wysyłanej pocztą elektroniczną, Faksymile,
Podpis elektroniczny W Dyrektywie Parlamentu Europejskiego i Rady Unii Europejskiej z dnia r. w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego (99/93 WE) za podpis elektroniczny uznano dane elektroniczne, które są dołączane do innych danych, albo są z nimi związane logicznie i służą uwierzytelnieniu, a więc ustaleniu tożsamości sygnatariusza. Natomiast ustawa o podpisie elektronicznym stanowi prawie dokładne tłumaczenie Dyrektywy. Pierwsza istotna modyfikacja polega na odmiennym określeniu pojęcia podpisu elektronicznego. W myśl ustawy są nim dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.
Podpis elektroniczny - rodzaje Ustawa rozróżnia: zwykły podpis elektroniczny bezpieczny podpis elektroniczny Ze względu na rodzaje certyfikatów, jakie mogą zostać na mocy ustawy wystawione, rozróżniamy: podpis bez certyfikatu, podpis z certyfikatem podpis z kwalifikowanym certyfikatem,
Podpis elektroniczny Stosowanie podpisu elektronicznego będzie miało sens, jeżeli zostaną spełnione określone warunki: Po pierwsze musi zapewniać bezpieczeństwo wymiany dokumentów elektronicznych, ugruntować zaufanie do technologii. Po drugie, musi posiadać przewagę ekonomiczną nad tradycyjnym obrotem dokumentów papierowych (por. koszt używania kartek, kopert, znaczków). Po trzecie, powinien także zapewniać oszczędność czasu (por. czas stracony na druk, pakowanie, dostarczanie, wysyłkę dokumentów). Po czwarte, musi istnieć wzajemna kompatybilność między systemami informatycznymi i narzędziami służącymi stronom do posługiwania się e-podpisem.
Bezpieczny podpis elektroniczny Bezpieczny podpis elektroniczny jest szczególną formą podpisu elektronicznego. Ustawa o podpisie elektronicznym definiuje bezpieczny podpis elektroniczny jako podpis elektroniczny, który spełnia trzy zasadnicze warunki: jest przyporządkowany wyłącznie do osoby składającej ten podpis, jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego jest powiązany z danymi, do których został dołączony w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Bezpieczny podpis elektroniczny O fakcie przyporządkowania tego podpisu wyłącznie do jednej osoby zaświadcza kwalifikowany certyfikat. Ma on zapewnić, iż ta konkretna osoba rzeczywiście podpisała określone dane. Natomiast jeżeli chodzi o bezpieczne urządzenie służące do składania podpisu elektronicznego, powinno ono spełniać określone w ustawie wymogi, zgodnie z którymi: uniemożliwi pozyskiwanie danych służących do składania podpisu jako poświadczenia elektronicznego, nie zmieni danych, które mają zostać podpisane lub poświadczone elektronicznie umożliwi przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą jego złożenia.
Bezpieczny podpis elektroniczny Należy następnie przeprowadzić analizę i stwierdzić, że podpis został złożony za pomocą danych służących do składania podpisu elektronicznego przyporządkowanych do tej osoby i w końcu upewnić się, że dane które zostały opatrzone tym podpisem nie uległy zmianie po złożeniu podpisu elektronicznego. Aby przekonać się, czy dany podpis elektroniczny spełnia warunki stawiane bezpiecznym podpisom elektronicznym, należy dokonać jego weryfikacji, czyli czynności, które pozwalają na zidentyfikowanie osoby, która składa podpis elektroniczny.
Bezpieczny podpis elektroniczny Dla realizacji tego celu należy posłużyć się urządzeniem służącym do weryfikacji bezpiecznego podpisu elektronicznego, które powinno spełniać następujące wymagania, mianowicie: dane używane do weryfikacji podpisu elektronicznego odpowiadają danym, które są uwidaczniane osobie weryfikującej ten podpis, podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji prawidłowo wykazany, osoba weryfikująca może w sposób niebudzący wątpliwości ustalić zawartość podpisanych danych, autentyczność i ważność certyfikatów lub innych danych poświadczonych elektronicznie jest rzetelnie weryfikowana, wynik weryfikacji identyfikacji osoby składającej podpis elektroniczny jest poprawnie i czytelnie wykazywany, użycie pseudonimu jest jednoznacznie wskazane, istotne dla bezpieczeństwa zmiany w urządzeniu służącym do weryfikacji podpisu elektronicznego są sygnalizowane.
Bezpieczny podpis elektroniczny Bezpieczny podpis elektroniczny, odmiennie niż jego zwykła postać, obwarowany został ostrzejszymi warunkami, jakie powinien spełniać, gdyż odgrywa on istotną rolę w prawnym obrocie pomiędzy różnymi podmiotami. Ustawa o podpisie elektronicznym stanowi bowiem, że dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.
Procedura certyfikacji Kwalifikowany podmiot świadczący usługi certyfikacyjne Podmiot występujący o kwalifikowany certyfikat Pisemna umowa Lista wydanych certyfikatów Lista zawieszonych certyfikatów Lista unieważnionych certyfikatów Notarialne poświadczenie tożsamości występującego o certyfikat Zabezpieczony zbiór dokumentów związanych ze świadczeniem usług certyfikacyjnych Polityka certyfikacji Warunki użycia certyfikatu Pisemna zgoda na stosowanie danych zawartych w certyfikacie do weryfikacji podpisu elektronicznego Pisemne potwierdzenie zapoznania się z warunkami użycia certyfikatu Kwalifikowany certyfikat
Urząd certyfikacyjny (CA) Instytucja zajmująca się potwierdzaniem certyfikatów Zadania –Wystawianie –Przechowywanie –Udostępnianie –Odwoływanie Rola certyfikatu CA
Fizyczna postać certyfikatu Certificate: Data: Version: 3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: md5WithRSAEncryption Issuer: C=PL, L=Torun, O=PL, OU=MEN, OU=UMK, OU=WMiI, CN=CA_WMiI/ unstructuredName=Urzad Certyfikacyjny WMiI Validity Not Before: Nov 10 17:59: GMT Not After : Aug 2 17:59: GMT Subject: C=PL, L=Torun, O=PL, OU=MEN, OU=UMK, OU=WMiI, CN=muflon/ Rychcik Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b4:eb:09:9d:fe:08:2b:4a:4e:b5:a0:d5:19:10: (...) Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment Netscape Base Url: Netscape CA Revocation Url: /crl.crl Signature Algorithm: md5WithRSAEncryption 6c:02:e3:81:6b:bd:cc:4f:33:32:2d:bc:e8:26:4d:b9:ee:48: (...)
PODPIS CYFROWY Prezydent RP Aleksander Kwaśniewski podpisał ustawę na dwa sposoby: tradycyjnie (pi ó rem) oraz elektronicznie - z wykorzystaniem specjalnej karty z mikroprocesorem.
KARTY ELEKTRONICZNE Karty elektroniczne czyli karty stykowe (znane pod nazwą karty chipowe) pamięciowe i procesorowe oraz karty zbliżeniowe w dzisiejszych czasach znajdują szerokie zastosowanie w wielu dziedzinach życia. Pojawiają się jako karty identyfikacyjne, karty ubezpieczenia zdrowotnego, karty do kontroli dostępu do pomieszczeń, identyfikacji do systemów informatycznych, obiektów sportowych, karty wykorzystujące podpis elektroniczny lub wykorzystywane w systemach lojalnościowych itd. itp.
KARTY ELEKTRONICZNE Przykład karty elektronicznej
Alternatywy dla podpisu elektronicznego w kontaktach z administracją publiczną Nowelizacja ustawy o informatyzacji 2010 podpis potwierdzony profilem zaufanym ePUAP - podpis złożony przez użytkownika konta ePUAP, do którego zostały dołączone informacjeidentyfikujące zawarte w profilu zaufanym ePUAP, a także: a) jednoznacznie wskazujący profil zaufany ePUAP osoby, która wykonała podpis, b) zawierający czas wykonania podpisu, c) jednoznacznie identyfikujący konto ePUAP osoby, która wykonała podpis, d) autoryzowany przez użytkownika konta ePUAP, e) potwierdzony i chroniony podpisem systemowym ePUAP;
Alternatywy dla podpisu elektronicznego w kontaktach z administracją publiczną Nowelizacja ustawy o informatyzacji 2010 profil zaufany ePUAP – zestaw informacji identyfikujących i opisujących podmiot lub osobę będącą użytkownikiem konta na ePUAP, który został w wiarygodny sposób potwierdzony przez organ podmiotu określonego w art. 2; podpis systemowy ePUAP - podpis cyfrowy utworzony w bezpiecznym środowisku systemu ePUAP, zapewniający integralność i autentyczność wykonania operacji przez system ePUAP;