Przeskocz do zawartości

2 maja 2005

View Comments

Podpis elektroniczny – cz. I

W elektronicznym świecie ? tak jak w prawdziwym ? ktoś może próbować podrobić Twój podpis bądź podszyć się pod Ciebie w celu zdobycia korzyści. Coraz więcej spraw możemy dziś załatwić za pomocą poczty elektronicznej, jednak z drugiej strony koszty cyber-pomyłki są dziś znacznie większe niż kiedyś. Warto zatem dowiedzieć się więcej o metodach zabezpieczenia swoich maili przed modyfikacją bądź podejrzeniem przez osoby do tego nieuprawnione.


Podpis elektroniczny
Podpis elektroniczny nie różni się wiele od prawdziwego podpisu. Uwiarygadnia składaną przez Ciebie dyspozycję, a narzędzia oferowane do obsługi tych podpisów zapewniają, że sygnowana przez Ciebie przesyłka dotrze do adresata w nienaruszonej formie. Każda ingerencja w treść przesyłki automatycznie unieważni złozony na niej podpis. Jeśli chcesz, możesz także zaszyfrować przesyłkę do konkretnego odbiorcy w taki sposób, aby tylko on był w stanie ją odczytać.

Odrobina teorii
Podpisy elektroniczne opierają się na znanym z kryptografii mechanizmie klucza prywatnego i klucza publicznego. Istnieje kilka implementacji tej technologii ? najpopularniejszymi są PGP (Pretty Good Privacy) oraz GPG (GNU Privacy Guard). Ze względu na politykę licencyjną (PGP jest protokołem opatentowanym, a GPG dostępny jest dla każdego), zajmiemy się pracą z tą ostatnią implementacją. Omówieniem zagadnień programowych zajmiemy się niżej, w tej chwili ważne jest poznanie filozofii działania podpisów elektronicznych.

Do poprawnej pracy potrzebne nam będą trzy pliki:

  • klucz publiczny
  • klucz prywatny
  • certyfikat odwołania

Oba klucze mogą mieć ustalony przy ich generowaniu ?termin ważności? ? dla utrzymania wysokiego bezpieczeństwa zaleca się okresową wymianę kluczy. Jednak zwykle będziemy chcieli wygenerować klucze bez terminu ważności. Do ich wymiany (w przypadku gdy zapomnimy hasła bądź uznamy, że ktoś mógł je poznać) służy certyfikat odwołania. Za jego pomocą możemy zniszczyć nasze klucze tak, aby nikt już nie mógł z nich skorzystać.

Klucz publiczny można porównać do ?wzoru podpisu?, który składamy w banku. Rozprowadzamy go wśród wszystkich osób, które będą otrzymywać od nas podpisane przesyłki. Dobrym pomysłem jest umieszczenie klucza np. na swojej firmowej (bądź prywatnej) stronie WWW lub wysłanie go na specjalny ?serwer kluczy?, w którym inni będą mogli go odszukać.
Klucz publiczny posiada zabezpieczenie przed modyfikacją, tzw. cyfrowy odcisk palca. Po przekazaniu klucza publicznego osobie trzeciej powinniśmy się upewnić, że posiada on taki sam ?odcisk palca? jak klucz, który posiadamy u siebie ? dzięki temu mamy pewność, że klucz nie został zmodyfikowany. Procedury kryptograficzne zalecają, aby do weryfikacji ?odcisku? użyć innej drogi niż ta, którą przekazaliśmy klucz. Jeśli więc wysyłamy klucz mailem, odciski powinniśmy uzgodnić telefonicznie. Tak samo postępujemy, gdy otrzymamy klucz publiczny od kogoś ? za pomocą innego kanału potwierdzamy jego autentyczność.

Klucz prywatny trzymamy w bezpiecznym miejscu. Jest on zabezpieczony hasłem, którego powinniśmy strzec. Plik klucza i hasło są jak karta kredytowa i numer PIN ? po zdobyciu obu można bez problemu podszywać się pod kogoś innego. Zatem jeśli mamy najmniejsze podejrzenia, że ktoś mógł poznać nasze hasło bądź wejść w posiadanie klucza prywatnego ? odwołujemy go za pomocą certyfikatu.

Strony: 1 2

Przeczytaj więcej o 04. Komputery itp.

Powiedz, co myślisz, wpisz komentarz.

(required)
(required)

Uwaga:Znaczniki HTML są dozwolone. Twój adres nigdy nie będzie udostępniony.

Zapisz się na powiadomienia o komentarzach

blog comments powered by Disqus