Что такое электронная подпись?
- Категория: Что такое?
- – Автор: Игорь (Администратор)
В рамках данной статьи, я расскажу вам что такое электронная подпись, а так же для чего она нужна и как применяется.
Представьте, что вы составили некий электронный документ и вам необходимо его как-то подтвердить. То есть, что бы у человека, который будет его читать, не возникло вопросов вида "а не менял ли его содержимое посторонний". Если с бумажными документами вполне можно оставить свою подпись ручкой (в крайнем случае можно узнать почерк), то вот что делать с файлами? Ведь, например, сегодня практически любой средний графический редактор позволяет даже самым простым обывателям быстренько состряпать изображение на свой вкус и цвет. Для решения этой ситуации была придумана электронная цифровая подпись. Но, что это такое и как применяется знают далеко не все. Поэтому далее я постараюсь восполнить этот пробел в знаниях. Начну с определения.
Электронная подпись (ЭП), цифровая подпись (ЦП), электронная цифровая подпись (ЭЦП) - это специальным образом составленная информационная метка (реквизит), обычно с помощью криптографических средств и алгоритмов, которая прикрепляется к документу и, как минимум, позволяет проверить целостность (то есть, что документ не был изменен) и авторство (что документ составлен одним и тем же лицом). Простыми словами, аналог обычной подписи.
Как создается и применяется электронная цифровая подпись
В целом, существует всего две схемы создания электронной цифровой подписи - это на основе симметричного и асимметричного шифрования. Однако, наиболее распространен именно вариант асимметричного шифрования, так как он имеет ряд преимуществ, таких как:
1. Нет особых проблем с передачей ключа для проверки электронной подписи, ведь открытый ключ для дешифрования легко можно передавать вместе с самой подписью.
2. Одни и те же ключи могут использоваться в течении длительного времени. В симметричной схеме, ключи одноразовые. Так как подтвердить подпись можно только зная ключ. Из этого следует, что повторное использование ключа невозможно.
Конечно, реализация симметричной схемы встречается, однако это все же более редкая ситуация и обычно специфическая. Поэтому далее я расскажу именно о электронной подписи, основанной на асимметричных шифрах.
Общая схема выглядит примерно так:
Как воспринимается обычными пользователями:
1. Вы создаете документ.
2. Подписываете его закрытым ключом.
3. Прикладываете к документу электронную цифровую подпись и открытый ключ (делается специальными средствами или программами, которые поддерживают это).
4. Любой человек может прочитать этот документ и удостовериться в его валидности (то есть, кем он составлен и что его содержимое целостное).
Как электронная подпись создается и используется с технической стороны:
С технической стороны все несколько сложнее. При чем схема может отличаться от приведенной.
1. Вы получает ключи и сертификат у специального представителя (обычно сервера лицензий). При этом ключи и сертификат актуальны какое-то время (месяцы, годы). В сертификате содержится открытый ключ, различные дополнительные артефакты (например, время валидности ключей), а так же указание сервера, который может подтвердить действительность ключей и сертификата.
2. Пишите документ.
3. На основе данных документа формируется хэш (что-то вроде сжатой версии документа - некий набор цифр). Этот хэш вместе с другими полезными данными (например, имя автора, дата и все тому подобное) шифруется закрытым ключом. Тем самым формируется электронная цифровая подпись.
4. К документу прикрепляется полученная подпись, а так же сертификат.
5. Отсылаете документ.
6. Человек, которому предназначался документ, открывает его у себя.
7. Вначале проверяется сертификат у сервера лицензий.
8. Затем цифровая подпись расшифровывается.
9. У документа снова вычисляется его хэш (но не шифруется). И этот хэш сравнивается с тем, который был указан в электронной подписи.
10. Если все корректно, то получатель видит, что документ нормальный.
Если же на каком-то шаге возникают проблемы. Например, сервер лицензий не подтверждает сертификат или хэш не совпадает, то документ считается не подписанным.
Проблемы электронных цифровых подписей
Как бы в теории не были сложны криптографические шифры, многое еще зависит от того как была организована вся цепочка от создания ключей и выписки электронных цифровых подписей до их применения. И тут проблем может быть много. Вот несколько из них.
1. Подписываться может только текст, без различных дополнительных полей. Это означает, что часть информации в документе злоумышленник может заменить без применения каких-либо особых действий.
2. В одном из узлов могут содержаться технические ошибки, позволяющие обходить основной процесс проверки. Например, проверка ключа только на каком-то этапе, что может давать возможность негодяю подменить основной документ другим.
3. Атака типа "человек в середине" (man in middle). Когда получателю отправляется документ с электронной цифровой подписью, сделанной злоумышленником. И в момент проверки сертификата, трафик перехватывается и фиктивный сервер лицензий подтверждает эту липовую подпись.
4. Ну и, пожалуй, самое очевидное - это вопрос хранения и использования закрытого ключа, в частности вопросы социальной инженерии. К примеру, отошли от компьютера, а кто-то в этот момент скопировал ваш закрытый ключ или же просто подписал им свой документ.
Теперь, вы знаете что такое электронная подпись, для чего она нужна, как применяется и какие могут быть проблемы с ее применением.
Комментарии / отзывы