Sunteți pe pagina 1din 12

Universitatea G. Bacovia Bacau Facultatea de management Specializarea Drept si Administratie Anul 2 Conf. univ. dr.

Andreia-Simona MELNIC

Semntura electronic Proiect la disciplina BTI

Student Pleuvu Costel Grupa DR15 -2011-

Semntura Electronic

Cuprins De ce a aprut ca necesar semntura electronic? ................. 1 Ce este semntura electronic ? .............................................. 2 Cum se realizeaz semntura electronic? ............................... 3 S vedem cum decurge acest proces de semnare elecronic ... 4 Ce sunt Autoritile de Certificare i Certificatele Digitale ....... 5

Pleuvu Costel DR15

Semntura electronic

Introducere n semntura electronic i semnatura electronic extins. Noiuni de baz

Introducere

Semntura electronic este un concept deja vechi in lumea ITului dac inem cont de evoluiile sectorului i de noile concepte care apar cu o viteza uneori ameitoare n acest domeniu. n ghidul prezent voi ncerca s prezint ntr-un limbaj accesibil , ct mai non tehnic, definiia semnturii electronice, felul n care ea este obinut i folosit , aplicaiile ei practice precum i evoluii i direcii tehnice n domeniu. V reamintii c n domeniul strict legal, semntura noastr clasic ne individualizeaz i are rolul de a autentifica un document pe care l-am creat sau cu termenii cruia am fost sau nu de acord i artm acest lucru printr -o semntur, semntura care n caz de litigiu se expertizeaza cu privire la falsitatea sau veridicitatea ei. La prima vedere, multe persoane din domenii care nu au legtur cu IT-ul, imagineaz semntura electronic ca fiind un fiier imagine care conine imaginea scanata a semnturii clasice pe hrtie ( numit semntur olograf ). Lucrurile nu stau deloc a a, aceasta digitizare prin scanare a semnturii olografe care se ataeaz uneori unor documente electronice nu are nimic de a face cu conceptul de semntur electronic. Deasemenea nici ad ugarea la un document electronic a unui header sau a unui footer contin nd numele nostru/al instituiei nu are nimic de a face cu conceptul de semntura electronic . nainte de a defini semntura electronic vreau s v amintesc pe scurt care sunt caracteristicile generale ale unei semn turi clasice, olografe:
3

Semntura Electronic

- autentic: este executata doar de mine - greu de falsificat: doar eu pot s emna n acel mod - provoac nealterabilitatea documentului semnat: un document semnat nu mai poate fi modificat dup efectuarea semn turii - nereutilizabil: semntura efectuata de mine nu poate fi mutat de mine sau de altcineva pe un alt document, ci fie care document are semntura sa- nerepudiabil: eu ca semnatar recunosc semntura mea i nu pot refuza documentul pe motiv c nu este semnat de mine

De ce a aprut ca necesar semntura electronic ?

Odat cu dezvoltarea domeniului IT organizaiile i persoanele schimb tot mai mult documente n format electronic prin e -mail, prin download/upload, prin alte mijloace de transfer de fi iere. Problema care s-a pus la un moment dat a fost aceasta: daca tot schimbm aceste informaii n mod electronic de ce s nu cutm o soluie tehnic prin care s putem semna aceste documente ca i cum ele ar fi schimbate pe hrtie n mod tradiional. Astfel am putea ncheia contracte pe cale electronic, am avea posibilitatea s asigurm destinatarul de autenticitatea documentu lui, destinatarul ar fi sigur c acest document este non repudiabil adic nu l vom putea refuza pe motiv c nu este al nostru. Aadar in general vom obine pentru un document electronic tot ceea ce avem la un document semnat n mod tradiional pe hrtie. Evident pentru a pune n practic aceste idei, pe lng soluiile tehnice a trebuit creat i cadrul legal n care astfel de operaii de semnare electronic sa fie recunoscute legal i sa poat fi considerate cu statut egal documentelor pe h rtie din punct de vedere legal. A vrea ca aceast prezentare s se bazeze pe un exemplu practic, un contract ntre dou firme, i s urm rim pas cu pas cum vom folosi semntura electronic pentru realizarea acestui contract. Vom introduce evident cteva no iuni tehnice dar fr a intra n detalii de implementare.
4

Pleuvu Costel DR15

Pentru informaii suplimentare de natur tehnic, gsii mai jos n lista bibliografica i astfel de materiale care prezint pe larg detaliile tehnice.

Aadar s presupunem c firma A dorete s semneze un contrac t cu firma B prin care se oblig s furnizeze un anumit produs. Contractul n forma unui document electronic clasic de tip text , transmis firmei B prin e-mail sau alt mijloc electronic, arat in felul urmator: Firma A se oblig s furnizeze pn la data de 10.10.2007 firmei B un numar de 100 de trandafiri la pre ul total de 1000 RON, plus TVA De ce acest document simplu, nese mnat electronic, nu este bine s fie acceptat de catre firme : - in forma de mai sus el nu are nici o valoare legala fiind un si mplu document electronic (un fi ier) - poate induce n eroare firma B aceasta nefiind sigur c documentul provine ntradevr de la firma A sau c chiar provenind de la firma A pe parcursul trimiterii prin emai l documentul nu a fost alterat i au fost schimbate anumite date, cum ar fi pre ul - firma A poate oricnd refuza contractul , putnd invoca faptul c n documentul lor original datele de con tract erau altele samd (chestiuni legate de data contractului, oricare firma put nd modifica data sistem la care a fost salvat fi ierul , etc)

Ce este semntura electronic ? Semntura electronic este pur i simplu o succesiune de date n format binar care sunt asociate unui document dup reguli clare i asigur acestuia autenticitatea ( tim sigur de unde provine el), integritatea (tim sigur c nu a fost alterat de alii) i non repudierea (originea documentului nu poate fi negat ). Semntura electronic nu asigur confidentialitatea documentului, adic n mod normal informaiile din documentul semnat nu sunt
5

Semntura Electronic

criptate, deci nu sunt protejate la citire i pot fi citite de c tre oricine. Semntura electronic extins este un tip special de semnatur electronic echivalent unei semnturi olografe (pe hrtie) atunci cnd se bazeaz pe un certificat digital calificat nesuspendat. Probabil aceste definiii nu v spun foarte mult, mai mult unii termeni v pot face sa abandonai lectura si s cutai pe Google nite definiii mai bune. V invit totui s continuai lectura, voi l muri mai jos toate aceste chestiuni, iar n exemplul practic de mai jos vei vedea c t de clare vor deveni toate aceste chestiuni. Cum se realizeaz semntura electronic ?

Semntura electronic, dei nu asigur criptarea documentului, se bazeaz ca specificaii tehnice pe algoritm i definii n teoria sistemelor criptografice. Ce este foarte pe scurt un astfel de algoritm criptografic? S presupunem c avem textul Ana are mere i dor im s l criptam, pentru ca o alta persoan s nu poat vedea acest coninut dect dac este n posesia soluiei de decriptare. Pentru criptare vom folosi a numite tehnici, de exemplu vom nlocui fiecare liter din textul de mai sus cu urm toarea litera din alfabet, astfel c textul de mai sus va ar ta asa Bob bsf nfsf. Dar o astfel de cri ptare este foarte simpl, i un interpus va putea imediat descifra mesajul. O alt abordare este aceea de a c ripta textul nostru cu o anumit cheie, adic cu o succesiune de simboluri, caractere, cifre care aplicate ntr-un anumit mod, dup un algoritm , textului nostr u i va da o alt form iar interlocutorul nostru va pu tea descifra mesajul doar aplicnd asupra rezultatului criptat din nou aceasi cheie.

Pleuvu Costel DR15

De exemplu aplicnd pe textul Ana are mere cheia 34564576657567586789 i un anumit algoritm criptografic, text ul nostru s-ar putea sa arate aa dfd!$23xyfrhgfddslkl. O astfel de criptare se numete criptare simetric (cu cheie secret), deoarece att pentru cr iptare ct i pentru decriptare se folosete o aceasi cheie. Aadar dac un ter intr n posesia cheii noastre , el va putea descripta orice mesaj; mai mult , va putea emite mesaje false c tre destinatar folosind cheia expeditorului. Exemple de algoritmi s imetrici sunt algoritmii cunoscui n informatic sub numele de DES sau AES. O alt metod de criptare, mult mai sigur i folosit ca standard n semnturile digitale este criptarea asimetric (cu chei publice). n aceast abordare se folosesc dou chei, una numit privat folosit pentru criptare i alta numit public pentru descriptare. Cheia privat este inut secret i folosit de semnatar pentru a cripta documentul, cealalt fcut public se poate folosi doar pentru descifrare. Datele cifrate cu cheia privat pot fi descrifrate doar cu cheia public sau viceversa. Astfel eu voi putea primi mes aje secrete de la orice persoan care cunoate cheia mea public dar le voi putea descifra doar eu pentru c doar eu am cheia secret . Exemple de astfel de al goritmi asimetrici sunt algoritmii RSA sau DSA. n practic, aceast metod nu se folose te pentru criptarea unor documente mari deoarece necesit un volum de calcul foarte mare, ci utilizarea ei practic o ntalnim n distributia (criptarea) unor chei secrete de la sursa la destinat ar, deci documentul se cripteaz cu o cheie simetric i aceasta din urm se trasmite criptat printr-un algoritm asimetric. Ok, vei spune , poate am neles aceste lucruri dar nu vedem ce legatur au cu semntura electronic din moment ce s-a fcut afirmatia c semnatura electronic nici mcar nu asigur confideialitatea datelor, adic criptarea lor .

Semntura Electronic

Rspunsul este urmtorul: sem ntura electronic folosete aceti algoritmi pentru a implementa o parte din procesul de semnare electronic a unui document.

S vedem cum decurge ace st proces de semnare electronic :

1. Coninutul din fiierul original pe care dorim s l semn m este transmis unui algoritm care i genereaz un aa numit rezumat , adic o combinaie de simboluri alfanumerice de lungime fix care are proprietatea c este unic pentru acest coninut, adic nici un alt coninut oricare ar fi el nu va mai avea acelai rezumat i de asemenea c pornind de la rezumat nu se poate ob ine textul original . Exemple de algoritmi pentru calcularea unor astfel de rezumate sunt algoritmul MD5 care p roduce un rezultat pe 128 de bi i sau SHA-1 cu un rezumat pe 160 de bi i sau RIPEMD 160. 2. Rezumatul este criptat cu cheia public, rezult un rezumat criptat. 3. Rezumantul criptat este pus mpreun cu documentul original i transmis destinatarului. Acest rezumat criptat este de fapt semntura electronic a documentului. 4. Destinatarul vede documentul i acum l va verifica c este autentic, non repudiabil i integru.

Cum face asta: a) folosind cheia public a expeditorului decripteaz rezumatul criptat, deci i rezult un rezumat necriptat b) calculeaz el nsui un rezumat al documentului n clar primit de la expeditor

Pleuvu Costel DR15

c) compara cele dou rezumate i dac ele coincid atunci documentul este integru, adic nu a fost modificat pe parcurs pentru c dac ar fi fost modificat , rezumatul calculat la punctul b) nu ar mai fi fost egal cu cel de la punctul a) d) documentul este deasemenea autentic i non repudiabil deoarece a putut fi decriptat rezumatul cu cheia public i rezumatele sunt egale

Aceasta este n linii mari tehnica semnturii digitale, adic semnarea documentului prin calcularea unui rezumat criptat al documentului cu ajutorul unei chei private i transmiterea acestui rezumat criptat mpreun cu documentul pe de o parte, iar pe de alt parte verificarea semn turii prin decriptarea acestui rezumat folosind informaiile publice despre expeditor (cheia sa public). Formatul cel mai utilizat al semn turii electronice este fo rmatul PKCS #7/CMS. Dupa semnarea digital este bine s se aplice i o aa numita marc temporal. Marca temporal dovedete existena unor informaii n document la un moment de timp precizat. Prin aplicarea unei astfel de m rci, numita time-stamp, se poate demonstra existena unor informa ii la momentul respectiv. Serviciile de marcare temporal pot fi furnizate de furnizorul de semntur digital al entitii care semneaz sau de teri. Acum problema se pune altfel: ok, dar cum m asigur eu c totui nu exist o entitate ru voitoare care se d drept firma X i mi trimite un astfel de document, totul functioneaz bine dar eu nu am nici o garanie ca totui informa iile sunt cele de l a firma X i nu de la o alt firm care se d drept firma X. Pentru aceasta s-au introdus aa numitele Autorit i de Certificare i Certificatele Digitale , adic instituii care certific c firma X este autentic i care stocheaz informa iile publice (cheia public i alte informaii despre firma X) sub forma unor structuri de date numite Certificate Digitale.

Semntura Electronic

Ce sunt Autoritile de Certificare i Certificatele Digitale ?

Se poate spune c ntreg conceptul din spatele semnturii electronice st n distribuia liber a cheilor publice ntre entiti, aadar n crearea unei aa numite infrastructurii de chei publice, numit PKI (public key infrastructures).Elementele acestei infractructuri sunt: c ertificatele digitale, autorita ile de certificare care le elibereaz, depozitele de certificate care stocheaz i distribuie certificatele i listele de certificate revocate precum i mecanismele de management ale acestor certificate (eliberare, renoire, revocare, verificare). Practic Autorita ile de Certificare (CA) sunt echivalente cu o structur legal de eliberare a unui act, de tipul carii de identitate sau paaportului. Eu ca firm sau persoan m voi adresa unei asemnea institu ii pentru a mi se elibera un certificat digital. Dupa ce voi fi autentificat mi se va elibera un certificat valabil o perioa da de timp, certificat care conine cheia mea public generat de Autoritate si alte inf ormaii publice despre mine i despre certificat ( numr serial, emitent, data expir rii, etc). Certificatu l este disponibil pe internet aa c oricine l va putea consulta pentru a verifica documentele semnate de mine. Dar cum voi semna documente cu certificatul? Nu voi semna cu certificatul ,el este folosit doar pentru ca alii s poata verifica ceea ce semnez eu, iar pentru semnarea electronic tot aceasta Autoritate mi va elibera cheia mea privat, cu care, a a cum ai vzut mai sus, eu voi semna docum entele.Aceast cheie privat se elibereaz pe un smart-card de tipul unui card de credit cu microprocesor, pe un element de memorie de tip eToken (similar ca aspect unui USB Stick) s au mai nou poate rezid a chiar pe un server accesibil n maniera protejata doar pentru posesor. Accesul la cheia privat stocat pe un dispozitiv se face d e obicei printr-un cod PIN, ca i la carile de credit clasice. S urmrim acum modul n care se face l egtura ntre diferite certificate eliberate de diferite Autorit ti din Romnia, din Europa, din America de Nord i a a mai departe, sau cine poate emite astfel de certificate i cum ne asigur m ca un astfel de certificat nu este el nsui n fals, emis de o fals autoritate de
10

Pleuvu Costel DR15

certificare.Exist la nivel internaional c teva Root CA, adic Autoritti care sunt considerate de ncredere, cum ar fi Verisign, Thawte, etc. Acestea emit certificate root (emise de AC sie nsei) precum i certificate altor Autori tai pe le semneaza cu semntura lor digital (a acestor Root CA), acest e Autoriti emit certificate altor Autoriti i le semneaza cu semnatura lor obtinut de la Root CA, samd pn la nivelul cel mai de jos cum ar fi de exemplu filiala unei firma care emite certificate pentru anagajaii i le semneaz cu certificatul digital al filialei ,certificat emis de exemplu de o autoritate de certificare cum ar fi sed iul central ar firmei, amd aadar verificarea certificat ului se poate face din aproape n aproape, n final este normal s se ajung la un certificat semnat de o Autoritate de ncredere de tip Root CA. Cel mai cunoscut format pentru certificatele de chei publice este formatul X.509 , folosit pe scar larg n internet. Un alt certificat, folosit mai mult la comunicaiile de tip e -mail ntre persoane fizice este certificatul de tip PGP (Pretty G ood Privacy) dupa numele unui cunoscut program de criptare a mesajelor de pot electronic.Formatul PGP este complet diferit de f ormatul X.509 , modelul sau de ncredere fiind de asemenea diferit i bazndu-se pe plase de ncredere (web of trust) adic entitaile decid ele n cine au ncredere i doar n aceste plase de ncredere se poate oferi sigurana semn rii electronice.

11

Semntura Electronic

Bibliografie:

1. Autoritatea de Reglementare i Supraveghere a Activitii Furnizorilor de Servicii de Certificare: http://www.ceris.ro 2. Ioana Vasiu i Lucian Vasiu Afaceri electronice aspecte legale,tehnice i manageriale, editura Albastr , 2007 3. Normele de aplicare a Legii Semnturii Electronice n Romnia: http://www.legi-internet.ro/normesemel.html 4. http://www.certsign.ro 5. Van Oorschot, Menezes Handbook of Applied Cryptography, John W iley & Sons, 2000 6. Victor Valeriu Patriciu i Colectiv Securitatea informatic n Unix i Internet, editura Tehnic , 1998 7. Victor Valeriu Patriciu i Colectiv Semnturi Electronice i Securitate Informatic, editura Bic All, 2006 joi, 1 noiembrie 2012

12