Електронен подпис: какво представлява и как работи

Представяне на концепцията за електронно подписване и начина, по който работи

Мобилен телефон и документи в опит за абстрактно представяне на електронно подписване на документи. Photo by Kelly Sikkema on Unsplash.


Аналогът на обикновения ръкописен подпис в света на компютрите се нарича електронен подпис. Точно както ръчния подпис се използва за удостоверяване на идентичността на човека, така и електронния се ползва за абсолютно същата цел.

За ръчния подпис може да възникнат много съмнения относно това кой, кога и при какви обстоятелства го е положил. При това в някои случай - доста основателни. Но при електронния подпис се прилага относително проста, но много сигурна технология, която гарантира 2 неща:

  • Че електронният документ не е "пипан", след като е бил подписан;
  • Че документът е подписан точно от човека, който пише, че го е подписал.

Темите в тази статия:

  1. Какви видове електронни подписи има?
  2. Кой може да издава квалифициран електронен подпис?
  3. Как се издава квалифициран електронен подпис?
  4. Винаги ли е валиден квалифицираният електронен подпис?
  5. Как се подписва?
  6. Каква технология стои зад усъвършенстваните и квалифицирани електронни подписи?
    1. Цифров сертификат, електронен подпис и удостоверение за квалифициран електронен подпис
    2. Стандарти
    3. Може ли да се обясни по-просто?
    4. Хеширане
    5. Как се прави проверка на подписа?
  7. Заключение

Какви видове електронни подписи има?

Електронният подпис е много широко понятие, което често се бърка и заменя свободно с термина "цифров подпис". За разликата между тези два вида подписи сме писали отделно.

Тук ще коментираме електронния подпис така, както е дефиниран в нормативна рамка, приложима в България.

Според закона за електронния документ и електронните удостоверителни услуги (ЗЕДЕУУ) има 3 вида подписи:

  • Обикновен
  • Усъвършенстван
  • Квалифициран

Този закон транспонира (прехвърля) понятията и рамките, наложени от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 година относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (Регламента).

Трите типа електронни подписи се различават по степента, до която може да се провери кой ги е положил.

При квалифицираните подписи, официално акредитиран издател (доставчик на удостоверителни услуги) потвърждава тяхната автентичност. Според Регламента и според ЗЕДЕУУ, и трите вида подписи имат правна стойност, като квалифицираният електронен подпис е равностоен на ръкописен подпис. Законът също така постановява, че електронният подпис и усъвършенстваният електронен подпис имат същата правна сила като ръкописния подпис, когато страните са се споразумели за това, както е посочено в член 13, алинея 4.

Обикновен електронен подпис

Обикновеният електронен подпис е най-простата форма на електронно подписване. Той не изисква някакви специални технологии. Също така не спазва никакви стандарти за сигурност.

Обикновеният подпис може да бъде името ви в края на и-мейла. Може да бъде картинка със снимано или сканирано изображение на реалния ви саморъчно изписан на хартия подпис. Вижте защо не е добре да ползваме подписване с картинка.

Но този вид подпис по никакъв начин не гарантират идентичността на подписващия и не предпазват документа от промени след подписването.

Обикновеният електронен подпис е подходящ най-вече за ситуации, където удобството и бързината на електронното подписване са по-важни от сигурността и удостоверяването на идентичността. Затова за важни документи, например договори, анекси, протоколи и други, се препоръчва използването на следващите две по-сигурните форми на електронен подпис.

Усъвършенстван електронен подпис (УЕП)

За този вид подписи сме писали по-подробно в статията “Начини за подписване с усъвършенстван електронен подпис (УЕП)”. Но съвсем накратко, това е подпис, който предлага много по-високо ниво на сигурност и гаранции за идентичността на подписващия в сравнение с обикновения електронен подпис. УЕП отговаря на следните критерии:

  • Да е уникален и лично свързан с подписващия;
  • Да може да идентифицира подписващия и да удостовери неговата идентичност с висока степен на сигурност.
  • Да гарантира, че всяка промяна в документа след подписването му може да бъде проследена. Или с други думи, подписът е свързан с документа по такъв начин, че всяка последваща модификация е откриваема.
Усъвършенстваните електронни подписи най-често изискват използването на квалифицирани сертификати за електронен подпис. Какво значи това, можете да прочетете малко по-надолу в секцията, описваща технологията на подписване.

Квалифициран електронен подпис (КЕП)

Това е най-високото ниво на електронно подписване, защото предлага максимална сигурност и най-вече юридическа стойност. Този вид подпис е строго регулиран и признат в много юрисдикции, особено в страните от Европейския съюз, където е определен и стандартизиран съгласно общоевропейски регламент: Регламент за електронната идентификация и удостоверителните услуги за електронни трансакции във вътрешния пазар (eIDAS).

КЕП предоставя следните ключови характеристики и предимства:

  • КЕП изисква използването на квалифициран сертификат за електронен подпис, който се издава от т. нар. квалифициран доставчик на удостоверителни услуги (ДУУ). Повече за тези доставчици сме написал в статията ни “Доставчиците на удостоверителни услуги - гарант в процесите, свързани с електронното подписване на документи”, но съвсем накратко - ДУУ са официални и акредитирани от държавата издатели на електронни подписи.
  • При КЕП задължително се използват криптографски технологии за защита на подписа и документа от неоторизирано изменение.
  • На много места по света, и най-вече в ЕС, квалифицираният електронен подпис има същата юридическа стойност като традиционния ръкописен подпис. Това означава, че документи, подписани с КЕП, са допустими в съдебни процеси и за официални цели.

Вижте сравнение на цените на електронни подписи в България.

Сравнение на електронните подписи

Електронен подпис (обикновен) Усъвършенстван електронен подпис (УЕП) Квалифициран електронен подпис (КЕП)
Идентификация на подписващия Слаба Може да се провери с висока степен на сигурност Гарантирана от издателя на сертификата
Интегритет (цялост) на документа Може да се променя и след като е подписан. Не може да се променя след като е подписан. Могат само да се добавят още подписи. Не може да се променя след като е подписан. Могат само да се добавят още подписи.
Издаване на подписа Самостоятелно Със специализиран софтуер или хардуер Със специализиран хардуер (Qualified Signature Creation Device - QSCD) от квалифициран доставчик
Правна валидност на подписа Само ако страните са се разбрали Само ако страните са се разбрали за ползват този вид подпис във взаимоотношенията си Замества изцяло собственоръчния подпис

Кой може да издава квалифициран електронен подпис?

КЕП може да се издаде само от акредитиран доставчик на удостоверителни услуги. Тези организации са ключов участник в екосистемата на електронните подписи, като осигуряват основата за доверие и сигурност в електронните транзакции. Следва кратко описание на основните им задължения и отговорности, а по-подробно за тяхната роля сме представили в отделна статия:

Доставчиците на удостоверителни услуги - гарант в процесите, свързани с електронното подписване на документи

  1. Издаване на сертификати за електронни подписи - те издават сертификати за електронни подписи, които удостоверяват идентичността на подписващия. Тези сертификати са цифрови документи (файлове), свързващи криптографските ключове на подписващия с неговата идентичност, което позволява на получателя на подписан документ да верифицира автентичността на подписа.
  2. Управление на ключове и сертификати - Сертификационните органи управляват жизнения цикъл на криптографските ключове и свързаните с тях сертификати. Това включва генериране, издаване, подновяване, спиране и отмяна на сертификати, както и управление на списъци с отменени сертификати (CRL - Certificate Revocation List) и услуги за проверка на статуса на сертификата (OCSP - Online Certificate Status Protocol). Вижте повече информация как се използват CRL и OCSP.
  3. Гарантиране на сигурността и надеждността - Доставчиците на удостоверителни услуги са отговорни за поддържането на високи стандарти за сигурност при обработката и съхранението на криптографски ключове и персонални данни. Те следват строги протоколи за сигурност и процедури за идентификация на заявителите за електронни подписи, за да гарантират, че електронните подписи са защитени от неправомерен достъп и манипулация.
  4. Поддържане на доверие - Сертификационните органи играят централна роля в изграждането и поддържането на доверието в електронните транзакции. Те се одитират и сертифицират от регулаторни тела, за да се уверят, че отговарят на националните и международните стандарти за електронен подпис, като например eIDAS в Европейския съюз.

Как се издава квалифициран електронен подпис?

На кратко, за да се създаде квалифициран електронен подпис, човек трябва да осъществи контакт с някой от акредитираните издатели на КЕП (т. нар. Доставчици на удостоверителни услуги).

Доставчикът, след като се увери в идентичността ви, най-малкото след съпоставка с личната ви карта, издава цифров сертификат - удостоверение за квалифициран електронен подпис.

Следва по-подробно описание на процеса по издаване на квалифициран електронен подпис (КЕП) и основните етапи, като процесът може да варира в зависимост от изискванията на различните доставчици. Силно препоръчително е да се спазват всички указания и процедури, определени от избрания сертификационен център.

  1. Заявление за издаване на КЕП - Трябва да подадете формално заявление за издаване на КЕП към някой от акредитираните доставчици. Този процес обикновено включва попълване на формуляр онлайн, през мобилно приложение или в най-краен вариант - на хартия.
  2. Представяне на документи - Трябва да предоставите всички изисквани документи, които доказват вашата самоличност и/или правомощията на фирмата, която представлявате. Това обикновено включва лични документи (лична карта, паспорт), документи на фирмата (актуално състояние), удостоверения и други, според изискванията на доставчика.
  3. Верификация и одобрение - След като представите необходимите документи, доставчикът на сертификационни услуги извършва проверка на информацията. Ако всички условия са изпълнени, заявлението се одобрява.
  4. Генериране на криптографски ключове - След одобрението на заявлението се генерират криптографски ключове - частен и публичен. Частният ключ се съхранява на сигурно място, достъпен само за притежателя на подписа, например на смарт карта или друго сигурно устройство. В случаите с мобилни или облачни КЕП-ове, този ключ се съхранява на сървър на доставчика и се достъпа чрез мобилно приложение.
  5. Издаване на сертификат за КЕП - На базата на генерираните ключове, сертификационният център издава сертификат за квалифициран електронен подпис, който удостоверява идентичността ви и асоциира частния ключ с него.
  6. Предоставяне на КЕП - След като подписа е успешно издаден, вече може да ви бъде предоставен на смарткарта (флашка), или директно да го ползвате чрез мобилното приложение на доставчика.


За детайлни указания как да си издадете мобилен квалифициран електронен подпис, можете да погледнете инструкциите на двата доставчика, които издават такива подписи:

Винаги ли е валиден квалифицираният електронен подпис?

Не. Електронният сертификат, на база на който е издаден електронният подпис, подлежи на срок на валидност, посочен в самия сертификат. След изтичането на срока на валидност, сертификатът става нищожен.

Възможно е валидността на сертификата да бъде оттеглена преди неговата дата на изтичане. Можете да поискате валидността на вашия сертификат да бъде прекратена, ако например сте загубили смарткартата, на която се съхранява или ако вашият ключ е компрометиран.

Доставчиците на удостоверителни услуги публикуват статуса на валидност на всички издадени сертификати, така че трети страни могат да проверят дали сертификатът е валиден, изтекъл или оттеглен.

Какъв е процесът по електронно подписване?

Процесът на електронно подписване обикновено включва следните стъпки:

  1. Взима се един електронен документ и се създава неговия т. нар. хеш (криптографски еквивалент). Хешът е уникален за всеки документ и всяка промяна в документа ще доведе до различен хеш.
  2. Криптиране на хеша с частния ключ на подписващия. Това е самият електронен подпис.
  3. Прикрепяне на електронния подпис към документа или изпращане на подписа заедно с документа.
  4. За да провери подписа, получателят използва публичния ключ на подписващия за дешифриране на електронния подпис и получаване на хеша. След това получателят генерира нов хеш на получения документ и го сравнява с хеша, получен от дешифрирането на електронния подпис. Ако двата хеша съвпадат, това означава, че документът не е бил променян след подписването и че подписът е валиден.

Каква технология стои зад усъвършенстваните и квалифицирани електронни подписи?

Двойка ключове

Не можем да обясним технологията без да влезем в малко технически детайли. В основата стои така нареченото асиметричното криптиране. Това включва използването на два ключа - публичен и частен.

Частният ключ се използва за генериране на подписа и е под управлението само на подписващия. Този ключ се пази в тайна.

Публичният ключ се използва за верификация на подписа, като може и трябва да бъде достъпен за всеки, който иска да провери подписа.

Накратко: частният ключ се използва за генериране на подписа, а публичният ключ - за неговата верификация.

Цифров сертификат, електронен подпис и удостоверение за квалифициран електронен подпис

Много често, когато се говори за електронни подписи се говори и за цифрови сертификати. А самите цифрови сертификати понякога се наричат удостоверение за квалифициран електронен подпис. Т.е. имаме три термина, но два от тях описват едно и също нещо.

Каква е разликата между цифровия сертификат и електронен подпис?

Цифровият сертификат удостоверява идентичността на човека, асоцииран с публичния ключ, и осигурява средства за шифроване и безопасен обмен на информация. На базата на цифровия сертификат се осъществява електронната идентификация. Сертификатът:

  • Съдържа публичния ключ, който споменахме в предишната точка, както и информация за собственика;
  • Свързва даден публичен ключ с определено лице - физическо или юридическо;
  • Може да бъде подписан от друг сертификат, а може да бъде и подписан самостоятелно (това са т. нар. self-signed сертификати).

А електронният подпис удостоверява, че конкретен документ е бил подписан от определено лице, и гарантира неговата цялост и автентичност.

Без цифров сертификат, не може да има електронен подпис.

На практика, доставчиците на удостоверителни услуги генерират цифровия ви сертификат, след като се уверят в самоличността ви.

Стандарти

На практика има един стандарт, който се прилага в контекста на цифровите сертификати и това е X.509 стандарта. Той определя съдържанието на публичните сертификати. Както вече казахме, тези сертификати се използват за установяване на самоличността на лица, организации, системи или устройства във виртуалното пространство. Стандартът X.509 включва:

  • Структура на сертификата - Определя каква информация трябва да съдържа сертификатът, включително:
    • версията
    • серийния номер
    • алгоритъма за криптиране
    • издател
    • валидност
    • субект или притежателя (личността, организацията, системата или устройството, за което е издаден сертификатът)
    • публичния ключ
    • допълнителни полета
  • Алгоритъм за подписване - Описва с какъв криптографски алгоритъм е подписан сертификатът от издателя. Например RSA.
  • Управление на сертификати - Описва процедурите за издаване, подновяване, отмяна и проверка на статуса на сертификати. Това управление се извършва чрез Центрове за сертификация (Certification Authorities, CAs) и регистрационни центрове.
  • Верига на доверие (Chain of trust) - Описва как сертификатите са свързани един с друг чрез йерархия на доверие, като най-отгоре в тази йерархия е коренният сертификат (root certificate) на доверен Център за сертификация. Това позволява на потребителите да верифицират валидността на даден сертификат чрез проверка на всички подписи по веригата до коренния сертификат.
Примерен екран с информация за цифров сертификат

Може ли да се обясни по-просто?

Можем да направим аналогия на цифровия сертификат с документ за самоличност: паспорт или лична карта.

Представете си, че вие сте граничен полицай и искате да сте сигурни, че всички хора, които влизат в страната, наистина са граждани на съответната държава. За това всеки носи лична карта или паспорт, който показва кой е тя или той.

  • Кой издава документа? Има специални държавни органи (нарекохме ги Центрове за сертификация), които издават тези документи (сертификати). В България, това са поделенията на Министерството на вътрешните работи, които издават паспорти на хората. По същия начин, във виртуалното пространство, има доверени организации, на които е поверено издаването на цифровите сертификати.
  • Как се проверява? При паспортите и личните карти, се прави визуална проверка и се изчита т. нар. машинно-четима част от документа. Ако граничният полицай иска да провери дали картата е истинска, той може да се свърже с регистрите на организацията, която я е издала (ако документът е български, значи трябва да се свърже със системите на МВР), за да потвърди и да свери данните, които се виждат на самата пластика с данните в системата: Задна част на българска лична карта

Тези документи (сертификати) помагат да се гарантира, че когато общуваме или правим нещо важно във физическия свят или във виртуалното пространство, наистина комуникираме с правилния човек, уебсайт или услуга, а не с някой, който се опитва да ни измами.

Накратко, X.509 е система, която помага на хората и организациите да докажат своята идентичност.

Хеширане

Става все по-сложно, но всъщност зад този термин от програмирането, стои просто един алгоритъм, които може да преобразува произволен набор от входни данни (например, документ за подписване) в кратък фиксиран код (хеш). Хешът служи като уникален "отпечатък" на данните. И най-малката промяна в оригиналните данни води до генерирането на различен хеш. При електронното подписване, хешът на документа се създава и след това се подписва с частния ключ на подписващия, и в това на практика се състои самото електронно подписване.

Нещо специфично за хеширането: то работи еднопосочно. Т.е. от един документ може да се създаде неговия хеш еквивалент. Но от хеша не може да се пресъздаде съдържанието на документа.

Как се прави проверка на подписа?

За да се провери даден електронен подпис, се използва публичния ключ на подписващия, който, както вече знаем, е достъпен за всеки. С публичния ключ се се дешифрира подписания вече хеш. След това се генерира нов хеш на същия документ и се сравнява с вече дешифрирания хеш. Ако двата хеша съвпадат, това потвърждава, че документът не е бил променян след подписването.

Ако отворите един подписан документ в Adobe Acrobat, последния ще се погрижи да направи проверката за вас и да ви каже дали подписът е валиден. Можете също така да проверите за валидността на подписването и в някой от сайтовете на доставчиците.

Adobe Acrobat Reader showing PDF file with valid signatures and signature pannel

В заключение

Квалифицираните електронни подписи се регулират от местни закони и международни регулации, като Регламента eIDAS и ЗЕДЕУУ, за които писахме по-горе.

Тези регулации определят строги изисквания за процесите на издаване на квалифицирани цифрови сертификати, управление на ключове, архивиране на подписи и други аспекти на електронното подписване, за да се гарантира надеждността и юридическата валидност на подписите.

Комбинацията от тези технологии и регулаторни изисквания осигурява изключително висока степен на сигурност и доверие в усъвършенстваните и квалифицираните електронни подписи, правейки ги подходящи за много широк спектър от приложения, включително финансови трансакции, юридически документи, договори, споразумения, протоколи, сертификати и много други.

Ако считате, че във вашата организация могат да се оптимизират процесите по подписване на документи - вътрешно или с външни контрагенти, то тогава Ви приканваме да се запознаете с възможностите на DigiSign: платформата, която работи с всички видове електронен подпис и позволява да съчетавате няколко различни метода за подписване върху един и същ документ, според вида подпис, с който разполагат подписващите.

Започнете да подписвате електронно Обратно към блог списъка