Podstawy funkcjonowania podpisu elektronicznego mgr inż. Paweł Konarski ENIGMA Systemy Ochrony Informacji Sp. z o.o.

Plan prezentacji Co to jest podpis elektroniczny Certyfikaty i infrastruktura klucza publicznego (PKI) Weryfikacja podpisu elektronicznego Przechowywanie dokumentów podpisanych

Co to jest podpis elektroniczny Zagadnienia prawne - podpis zwykły i bezpieczny (kwalifikowany) Podstawowe pojęcia z zakresu kryptografii Porównanie podpisu elektronicznego i odręcznego

Podpis elektroniczny Niniejszym przekazuję 10 zł na … Dokument Niniejszym przekazuję 100 zł na … Dokument Podpis Jana Kowalskiego Podpis Jana Kowalskiego 89473CB91E79134E82743 A2CB7939E9173BC80134 Podpis Stanisława Nowaka Podpis Stanisława Nowaka 309488E2438700C41234D 7B02419348253948B8093 Podpis jest składany przy użyciu klucza prywatnego (karty elektronicznej zawierającej klucz prywatny) Podpis jest weryfikowany przy użyciu wskazanego w nim certyfikatu; certyfikat zawiera dane osoby, która złożyła podpis (np. imię, nazwisko, adres, PESEL) Dany podpis „pasuje” tylko do jednego, konkretnego dokumentu i do jednego klucza, którym został złożony podpis może być przesyłany i składowany niezależnie od dokumentu

Podpis „zwykły” Znany od wielu lat, stosowany w Polsce co najmniej od początku lat 90 Dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej 13. Podpis elektroniczny. Główna funkcja – silne uwierzytelnienie odbiorca wie, że wiadomość (dokument) nie została sfałszowana, ale nie ma możliwości udowodnienia tego w sądzie

Kwalifikowany podpis elektroniczny Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym Art. 5 ust. 2. Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.

Podpis zwykły a podpis kwalifikowany Podpis zwykły - uwierzytelnienie lub niezaprzeczalność w zamkniętych systemach zamknięte środowisko, małe prawdopodobieństwo celowych nadużyć, umowa cywilnoprawna Podpis kwalifikowany – niezaprzeczalność jako usługa publiczna znaczące prawdopodobieństwo celowych nadużyć konieczność precyzyjnego określenia w przepisach, kiedy podpis ma wartość dowodową i zakresu odpowiedzialności podmiotów w przypadkach brzegowych Inne procedury weryfikacji

Podpis elektroniczny – aspekty kryptograficzne Usługi ochrony informacji zapewniane przez podpis elektroniczny Uwierzytelnienie Integralność Niezaprzeczalność

Podpis elektroniczny - uwierzytelnienie Definicja: Zapewnienie, iż użytkownik jest tym za kogo się podaje Uwierzytelnienie zwykłe: Dokumenty tożsamości, podpisy odręczne itp. Uwierzytelnienie kryptograficzne: Słabe (login/hasło) Zwykłe Algorytmy symetryczne Silne Algorytmy asymetryczne

Uwierzytelnienie kryptograficzne symetryczne, zwykłe Klucz K Klucz K M = Proszę przelać 100 PLN z konta A na konto B EK(h(M)) Własności: Każdy posiadacz klucza K może przygotować wiadomość Użytkownik musi ufać bankowi, gdyż może on przygotować fałszywą wiadomość i przedstawić ją w sądzie jako przygotowaną przez użytkownika Brak ochrony przed powtórzeniem wiadomości

Kryptosystemy asymetryczne Użytkownik dysponuje parą wzajemnie ze sobą powiązanych kluczy: Kluczem prywatnym KPRV – musi pozostać tajny Kluczem publicznym KPUB – może (powinien) być znany innym użytkownikom systemu Własnością kryptosystemów asymetrycznych jest to, że: Wiadomość zaszyfrowana za pomocą KPRV może być odszyfrowana wyłącznie za pomocą KPUB KPUB(KPRV(M))=M Wiadomość zaszyfrowana za pomocą KPUB może być odszyfrowana wyłącznie za pomocą KPRV KPRV(KPUB(M))=M

Uwierzytelnienie kryptograficzne asymetryczne, zwykłe Klucz UPRV Klucz UPUB M = Proszę przelać 100 PLN z konta A na konto B UPRV(h(M)) Własności: Tylko posiadacz klucza UPRV może przygotować wiadomość Użytkownik nie musi ufać bankowi, gdyż nie może on przygotować fałszywej wiadomości i przedstawić ją w sądzie jako przygotowaną przez użytkownika Brak ochrony przed powtórzeniem wiadomości

Algorytm RSA (1975) Klucz publiczny: Klucz prywatny: Szyfrowanie: n = p x q (p,q – liczby pierwsze) e = liczba względnie pierwsza z (p-1) x (q-1) Klucz prywatny: d, taki że e x d = 1 mod (p-1) x (q-1) Szyfrowanie: c = me mod n Deszyfrowanie: m = cd mod n

Bezpieczeństwo RSA (1) Uważa się, że bezpieczeństwo RSA oparte jest o złożoność problemu faktoryzacji liczb Specjalizowany układ do faktoryzacji liczb (A.Shamir, E. Tromer 2003): 512 bitowy RSA (< 10 min, 10 tys. $) 1024 bitowy RSA (< rok, 10 mln. $) Rekomendacje firmy RSA (maj 2003) 2003-2010: 1024 2010-2030: 2048 2030- : 3072

Bezpieczeństwo RSA (2)

Podpis elektroniczny - integralność Definicja: Usługa wykrywająca modyfikacje treści wiadomości Metody realizacji: Sumy kontrolne (CRC, wynik funkcji skrótu) Możliwość podmiany wiadomości i HASH: Konieczność powiązania usługi z usługą uwierzytelnienia Wiadomość HASH

Podpis elektroniczny - niezaprzeczalność Definicja: Użytkownik nie może wyprzeć się faktu wykonania pewnej czynności np. wysłania wiadomości Rodzaje: Niezaprzeczalność nadania Niezaprzeczalność odbioru Niezaprzeczalność odczytania ... Wymagania realizacyjne: Technologiczne: Podpis cyfrowy, realizowany przy pomocy kryptosystemów asymetrycznych Prawne: Umowy cywilne Regulacje ustawowe (Ustawa o podpisie elektronicznym) Organizacyjne: Dystrybucja kluczy

Porównanie podpisu elektronicznego i podpisu odręcznego Podpis odręczny Podpis elektroniczny Cechy wspólne Przypisany jednej osobie Uniemożliwiający wyparcie się go przez autora Łatwy do weryfikacji przez osobę niezależną Łatwy do wygenerowania Różnice Trudny do przetwarzania elektronicznego Łatwy do przetwarzania elektronicznego Może być składany i transmitowany niezależnie od dokumentu Nierozłącznie związany z dokumentem Taki sam dla wszystkich dokumentów Jest funkcją dokumentu Łatwy do podrobienia Niemożliwy do podrobienia Trudny do wyłudzenia Łatwy do wyłudzenia

Certyfikaty i infrastruktura klucza publicznego Problemy dystrybucji kluczy Certyfikat – metoda na bezpieczną dystrybucję kluczy publicznych Format certyfikatu i listy CRL Infrastruktura klucza publicznego (PKI) Sposoby przechowywania kluczy prywatnych i dystrybucji certyfikatów

Podpis cyfrowy – weryfikacja podpisu M UPRV(h(M+U)) Odszukaj Upub UPUB(UPRV(h(M+U))) h(M) Oblicz własnoręcznie h’(M+U) Taki sam ? TAK NIE Podpis niepoprawny Podpis poprawny Skąd wiemy, że do użytkownika U przypisany jest klucz UPUB ?

Relacja klucz-użytkownik (1) Baza danych / Serwer kluczy Użytkownik Klucz A APUB B BPUB Baza danych / Serwer kluczy Użytkownik Klucz A IPUB B BPUB (3) (1) Intruz Użytkownik (4) (2) A M IPRV(h(M+A)) Wady: Bezpieczeństwo systemu zależne wyłącznie od bezpieczeństwa serwera Działanie systemu zależne od dostępności serwera Trudne do realizacji mechanizmy unieważnienia relacji Alternatywa: Centrum Certyfikacji Kluczy

Centrum Certyfikacji Kluczy (1) Funkcje: Identyfikcja i uwierzytelnienie użytkowników (klasycznie) Wystawianie certyfikatów potwierdzających relację klucz-użytkownik Publikowanie informacji o unieważnieniu relacji klucz-użytkownik (listy CRL) (1) CCKPRV CCKPUB (2) U-UPUB CCKPRV(h(U-UPUB)) (3) L=A-APUB, B-BPUB, ... CCKPRV(h(L))

Centrum Certyfikacji Kluczy (2) Obowiązki: Ochrona klucza prywatnego CCK Publikacja klucza klucza publicznego Niezwłoczne publikowanie informacji o unieważnieniach certyfikatów Rzetelna identyfikacja i uwierzytelnienie użytkowników W tym sprawdzenie czy użytkownik dysponuje kluczem prywatnym odpowiadającym jego kluczowi publicznemu CCK ponosi odpowiedzialność finansową za niedopełnienie obowiązków

Weryfikacja podpisu z użyciem certyfikatów UPRV(h(M)) U Odszukaj certyfikat U-Upub Zweryfikuj podpis pod certyfikatem ca pomocą CCKpub U-UPUB CCKPRV(h(U-UPUB)) Zweryfikuj podpis pod listą CRL za pomocą CCKpub Pobierz najnowszą listę CRL Nie Weź UPUB z certyfikatu Sprawdź czy U-UPUB znajduje się w CRL Zweryfikuj podpis pod wiadomością Skąd wiemy, że do CCK przypisany jest klucz CCKPUB ? Skąd wiemy że mamy najnowszą listę CRL ?

Certyfikat X.509

CRL X.509

Struktury CCK - hierarchia ROOTPRV ROOTPUB CCK3 ROOT CCK2 ROOT CCK1 ROOT CCK1PRV CCK1PUB CCK2PRV CCK2PUB CCK3PRV CCK3PUB Y CCK2 Z CCK3 X CCK1 M Ścieżki certyfikacji zaczynają się od klucza publicznego ROOT-a Dla wiadomości przesłanej od X do Z mamy: ROOTPUB  CCK1ROOT  XCCK1  Certyfikat klucza CCK1PUB wystawiony przez ROOT weryfikacja M XPRV(h(M+X)) X

Przechowywanie kluczy prywatnych Klucze prywatne powinny być używane wyłącznie z nośnikami sprzętowymi, uniemożliwiającymi dostęp do klucza z zewnątrz, oraz wymagającymi dodatkowego uwierzytelnienia przy dostępie do klucza. Stosowane obecnie nośniki to: Karty elektroniczne Sprzętowe moduły bezpieczeństwa (HSM)

Dystrybucja certyfikatów Najczęściej stosowane mechanizmy dystrybucji certyfikatów: Przesyłanie certyfikatu wraz z podpisaną wiadomością/dokumentem Dystrybucja w postaci paczek certyfikatów przesyłanych przez CCK do użytkowników Repozytoria sieciowe: np. serwery LDAP

Weryfikacja podpisów Weryfikacja podpisu zwykłego Weryfikacja podpisu kwalifikowanego

Weryfikacja podpisu zwykłego (1) Po otrzymaniu podpisanego dokumentu, odbiorca: weryfikuje podpis matematycznie sprawdza ważność certyfikatu data weryfikacji musi być zawarta w okresie ważności certyfikatu certyfikat nie może być unieważniony Unieważnienie certyfikatu weryfikuje się na podstawie „aktualnej” listy unieważnionych certyfikatów CRL przyjmuje się (za X.509) że lista CRL jest aktualna, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy CRL

Weryfikacja podpisu zwykłego (2) W przypadku unieważnienia certyfikatu występuje określony czas propagacji informacji o tym unieważnieniu nie jest jasno określone czy podpis jest wtedy ważny ani kto odpowiada za działania wynikające z przyjęcia ważności potencjalnie nieważnego podpisu ze względu na zakres zastosowań (uwierzytelnienie) ta niepewność nie jest zazwyczaj szkodliwa

Odpowiedzialność za skutki prawne podpisu kwalifikowanego Czas złożenia podpisu Unieważnienie certyfikatu Obszar odpowiedzialności weryfikującego Obszar odpowiedzialności podpisującego Podpis jest ważny jeśli został złożony przed momentem unieważnienia Unieważnienie certyfikatu wywołuje skutki prawne od momentu unieważnienia, które znajduje się w liście CRL/ARL Niezbędne jest określenie relacji między datą złożenia podpisu a datą unieważnienia (znakowanie czasem)

Znakowanie czasem Usługa polegająca na dołączaniu do danych w postaci elektronicznej logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym, oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę, Ustawodawca odniósł [...] definicję [znakowania czasem, o której mowa w art. 3 pkt 16 ustawy z 2001 r. o podpisie elektronicznym] jedynie do danych w postaci elektronicznej, które są opatrzone podpisem. Tak więc, mimo iż z technicznego punktu widzenia nie stanowi problemu znakowanie czasem danych, które nie były podpisane elektronicznie, taka usługa nie jest objęta powyższą definicją.

Weryfikacja kwalifikowanego podpisu – co jest celem ? Uzyskanie wyniku weryfikacji, który nie może już ulec zmianie (np. w wyniku odebrania nowszej listy CRL) Poprawnie zweryfikowany Negatywnie zweryfikowany Posiadanie dowodu określonego wyniku weryfikacji

Weryfikacja kwalifikowanego podpisu – co mówi prawo ? Rozporządzenie i normy EU określają trzy możliwe wyniki weryfikacji podpisu: poprawnie zweryfikowany negatywnie zweryfikowany niekompletnie zweryfikowany - gdy bezpieczny podpis elektroniczny lub poświadczenie elektroniczne jest poprawne w rozumieniu specyfikacji zastosowanego algorytmu szyfrowego, ale podczas weryfikacji nie udało się potwierdzić, że kwalifikowany certyfikat lub zaświadczenie certyfikacyjne służące do jego weryfikacji oraz użyta ścieżka certyfikacji zawiera ważne w określonym czasie poświadczenia elektroniczne, w szczególności gdy kwalifikowany certyfikat służący do weryfikacji tego podpisu jest zawieszony

Weryfikacja kwalifikowanego podpisu – jak to robić dobrze (1) ? Aby uzyskać jednoznaczny wynik weryfikacji podpisu należy: Oznakować podpis czasem Uzyskać listy CRL i ARL, które są nowsze niż znacznik czasu Tak uzyskany wynik weryfikacji nie może już ulec zmianie i ma wartość dowodową

Weryfikacja kwalifikowanego podpisu – jak to robić dobrze (2) ? Unieważnienie | CRL | Wynik 1 | i+1 | negatywnie 2 | i+1 | poprawnie 1 | i | negatywnie 2 | i | poprawnie 1 | i-1 | niekompletnie 2 | i-1 | niekompletnie

Weryfikacja kwalifikowanego podpisu – wnioski Weryfikacja kwalifikowanego podpisu elektronicznego nie odbywa tak samo jak weryfikacja podpisu zwykłego Zastosowanie oprogramowania realizującego weryfikację zwykłego podpisu do weryfikowania podpisu kwalifikowanego w niektórych sytuacjach (ściśle zależnych od nadawcy) prowadzi do błędnych wyników Do weryfikacji kwalifikowanych podpisów elektronicznych może służyć tylko oprogramowanie posiadające deklarację zgodności z wymaganiami określonymi dla bezpiecznego urządzenia do weryfikacji podpisów elektronicznych wymagania na cechy „bezpiecznego urządzenia” i ich spełnianie przez konkretne oprogramowanie odbiorca (użytkownik/audytor) powinien kontrolować

Przechowywanie dokumentów podpisanych Jak długo jest ważny podpis elektroniczny Postać archiwalna podpisu elektronicznego

Jak długo jest ważny kwalifikowany podpis elektroniczny ? Jak długo jest ważny podpis kwalifikowany ? Do końca okresu ważności certyfikatu użytkownika Do końca okresu ważności zaświadczenia certyfikacyjnego Do czasu kompromitacji klucza CCK Do czasu załamania algorytmów kryptograficznych Czy można przedłużyć ważność podpisu ? Tak, wymagana jest postać archiwalna Certyfikaty Listy CRL

Postać archiwalna podpisu Podpis wraz z kompletem informacji pozwalających na jego weryfikację (listy CRL/ARL, zaświadczenia, certyfikaty), oznakowane czasem Postać archiwalna pozwala na utrzymanie statusu podpisu poprawnie/negatywnie zweryfikowany również po przeterminowaniu certyfikatu i zaświadczenia certyfikacyjnego

Konserwacja postaci archiwalnej Postać archiwalną podpisu pozwala na jego weryfikację w dowolnym terminie, pod warunkiem że wciąż jest ważny „najbardziej zewnętrzny” znacznik czasu Ważność znacznika czasu ogranicza ważność zaświadczenia certyfikacyjnego użytego do jego wyprodukowania (obecnie 5 lat) przed utratą ważności tego znacznika czasu trzeba podpis konserwować – co oznacza ponowne znakowanie czasem konserwację podpisu trzeba powtarzać cyklicznie dopóki jest istotne dla użytkownika utrzymywanie ważności podpisów pod dokumentem

Weryfikacja kwalifikowanego podpisu – podsumowanie Operacja dość skomplikowana Procedury działania istotnie różne od sytuacji zwykłego podpisu elektronicznego Niezbędne wspomaganie oprogramowaniem, ściśle opartym na funkcjonujących w kraju przepisach dotyczących podpisu elektronicznego Dla podpisów ważnych długoterminowo niezbędna jest archiwizacja

Literatura Kryptografia dla praktyków, B. Shneier Handbook of Applied Cryptography, A. Menezes Code Breakers, D.Kahn W.R.Wiewiórowski, „Podpis elektroniczny”, WPiA Uniwersytet Gdański 2007 (wersja z 15 października 2007 r.)

ENIGMA Systemy Ochrony Informacji Sp. z o.o. Zapraszamy do współpracy www.enigma.com.pl