Podpis elektroniczny - jak to działa ?

Dla użytkownika

Używanie podpisu elektronicznego jest bardzo proste. Aby najlepiej go zrozumieć - musisz myśleć o nim dokładnie tak,jak o swoim zwykłym, odręcznym podpisie. Najpierw musisz mieć dokument (plik), który chcesz podpisać. Następnie uruchamiasz program SZAFIR (do podpisywania) i wskazujesz ten dokument. Wkładasz kartę kryptograficzną do czytnika, podajesz swój PIN, chwilę czekasz i.... gotowe ! Podpisany plik zmienia swoje rozszerzenie na ".sig" (ang. "signature" = podpis). Na przykład dokument "faktura.pdf" zmieni nazwę na "faktura.pdf.sig". Tak podpisany dokument możesz nagrać na płytę, pendrive lub przeslać e-mailem kontrahentowi, żeby też podpisał (jeden dokument może być podpisany przez wiele osób - zupełnie jak z prawdziwym podpisem). Podpisany dokument możesz kopiować. Nie możesz tylko zmienić jego treści. Jakakolwiek zmiana spowoduje unieważnienie podpisu. Natomiast jeśli to Ty otrzymałeś podpisany elektronicznie dokument - powinieneś go zweryfikować - czyli sprawdzić, czy podpisała go właściwa osoba i czy jej podpis jest wiarygodny (np.czy nie stracił ważności lub nie został unieważniony).

Brzmi to być może nieco skomplikowanie, ale program SZAFIR jest prosty w obsłudze i już po kilku chwilach nie będziesz mieć z tym żadnych problemów. Niektóre programy (np. Płatnik, niektóre programy pocztowe) posiadają wbudowaną funkcjonalność podpisywania dokumentów - w takim przypadku program SZAFIR nie będzie Ci potrzebny.

Opis techniczny*

Podpis elektroniczny w swym dzisiejszym kształcie opiera się na szyfrowaniu asymetrycznym. Schemat szyfrowania asymetrycznego wykorzystuje parę kluczy szyfrujących: klucz publiczny, jawny i dostępny do pobrania dla wszystkich zainteresowanych oraz klucz prywatny - dostępny tylko dla jego właściciela. Dane zaszyfrowane jednym kluczem z pary mogą zostać odczytane wyłącznie przy użyciu drugiego klucza z pary. Jednocześnie znając jeden z kluczy, nie można odtworzyć klucza drugiego. Szyfrowanie asymetryczne pozwala na bezpieczne przesyłanie informacji za pośrednictwem anonimowego medium jakim jest Internet. Wymieniając dane nie musimy wcześniej "umawiać się" z odbiorcą jakiego szyfru (klucza szyfrującego) użyjemy. Jeśli chcemy, by wiadomość dotarła bezpiecznie do adresata i nikt po drodze nie mógł jej odczytać, to wystarczy że użyjemy klucza publicznego odbiorcy. W ten sposób mamy pewność, że dokument odczyta wyłącznie posiadacz odpowiedniego klucza prywatnego, czyli adresat informacji. Skąd jednak mamy mieć pewność, że klucz publiczny należy faktycznie do osoby, z którą chcemy się komunikować? Odpowiedzią na to pytanie jest certyfikat. Certyfikat to zbiór danych jednoznacznie identyfikujących użytkownika posługującego się danym kluczem. Zawierać on może informację o tożsamości użytkownika, jego adresie e-mail, dacie ważności certyfikatu oraz o podmiocie wystawiającym certyfikat (centrum certyfikacji). Certyfikat jest podpisany elektronicznie przez jego wystawcę. Centra certyfikacji pełnią zatem istotną rolę, pozwalając m.in. na jednoznaczne stwierdzenie tożsamości użytkowników korzystających z kluczy szyfrujących.

Złożenie podpisu elektronicznego pod cyfrowym dokumentem odbywa się w dwóch krokach:

Odbiorca podpisanej wiadomości, aby dowiedzieć się czy informacja dotarła do niego niezmieniona i czy nadawca jest faktycznie tym, za kogo się podaje musi dokonać weryfikacji podpisu elektronicznego. Odbywa się to następująco:

*Źródło: bankier.pl