Podpis cyfrowy i certyfikat cyfrowy – prosty przewodnik

Zanim świat zaczął cyfryzować, w dużej mierze opierał się na podpisanych dokumentach, aby zatwierdzać, uwierzytelniać i pociągać do odpowiedzialności różne strony w transakcjach i różnego rodzaju umowach. Podpis cyfrowy i certyfikat cyfrowy to nowoczesny zamiennik podpisów standardowych. 

Znacznie szybciej niż wysyłanie dokumentów pocztą i wysyłanie dokumentów faksem, podpis cyfrowy przydał się różnym firmom. 

Co to jest podpis cyfrowy? 

Podpis cyfrowy to elektroniczna weryfikacja nadawcy dokumentu, która pozwala odbiorcy określić, czy oryginalna treść została zmieniona przez pośrednika. 

Klucz prywatny i klucz publiczny to dwa zasadnicze elementy podpisu cyfrowego, tworzone jednocześnie przez dedykowany algorytm. Mimo że zostały stworzone, aby być matematycznie powiązane, z wyglądu będą się różnić. 

Podpis cyfrowy służy trzem celom: 

1. Uwierzytelnianie – odbiorca może ustalić autorstwo wiadomości i ustalić, czy nadawca jest tym, za kogo się podaje. 
2. Niezaprzeczalność – nadawca nie może zaprzeczyć, że wysłał wiadomość później i może zostać pociągnięty do odpowiedzialności za niezmienioną wiadomość. 
3. Integrość – wiadomość nie została zmieniona. 

W rzeczywistości podpis cyfrowy ma moc prawną w Stanach Zjednoczonych, Unii Europejskiej, Szwajcarii, RPA, Algierii, Turcji, Indiach, Brazylii, Indonezji, Meksyku, Arabii Saudyjskiej, Urugwaju i Chile. 

Jak utworzyć podpis cyfrowy? 

Aby utworzyć podpis cyfrowy, musisz podpisać wiadomość swoim kluczem prywatnym.  

Klucz prywatny jest elementem tego równania, który posiadasz tylko Ty, a dostarczając go, pokazujesz dowód, że to Ty podpisałeś dokument. 

Najpierw mieszasz zwykły tekst, aby zachować zapis niezmienionej wersji wiadomości, którą zamierzasz wysłać.  

DYGRESJA. Haszowanie to przekształcenie określonej treści o dowolnej długości w krótszą wartość o stałej długości. 

Obecnie najbardziej preferowanym algorytmem haszującym jest SHA256 (Secure Hashing Algorithm). Należy pamiętać, że haszowanie jest procesem jednokierunkowym, a niewielka zmiana danych wejściowych zmienia cały wynik.  

Następnie szyfrujesz skrót zwykłego tekstu swoim kluczem prywatnym, co spowoduje powstanie podpisu cyfrowego. 

Dołączasz podpis cyfrowy do dokumentu tekstowego i wysyłasz go. 

Przez szyfrowanie asymetryczne, odbiorca będzie mógł odszyfrować Twój podpis cyfrowy i porównać skrót zwykłego tekstu z podanym przez Ciebie hashem.  

Więc możesz się zastanawiać, jak hashujesz dokument. Na szczęście program na twoim komputerze zrobi to automatycznie.  

W ten sposób możesz wygenerować skrót dokumentu w systemie Windows 7/8/10: 

1. Uzyskaj dostęp do „Wiersza polecenia”;  
2. Wpisz „certutil – plik haszujący” 
3. Upuść dokument w „Wierszu polecenia”. 
4. Dodaj „SHA256” na końcu wiersza. 

Twoja ostatnia linia powinna wyglądać mniej więcej tak: 

certutil -hashfile „C:\Użytkownik\Komputer\Desktop\Plik.docx” SHA256 

W ten sposób konsola wyświetli kod 256 bitów / 64 znaków szesnastkowych, który reprezentuje zawartość twojego pliku. 

Ale skąd wziąć klucz prywatny i klucz publiczny? 

To też jest całkiem proste.  

Możesz je wygenerować za pomocą oprogramowania, platformy internetowej lub infrastruktury klucza publicznego (PKI) zarejestrowanej w urzędzie certyfikacji. 

DYGRESJA. PKI to zaakceptowany format do zarządzania szyfrowaniem z kluczem publicznym, który zapewnia najwyższy poziom bezpieczeństwa i powszechną akceptację.  

Jak zatem dodać podpis cyfrowy z kluczem prywatnym do dokumentu? 

W tym celu ponownie musisz skorzystać z dedykowanego oprogramowania, takiego jak Sign Server, Safe pdf, czy DocuSign. 

Jak to pomaga? 

Weźmy fikcyjny scenariusz, w jaki sposób podpis cyfrowy może Cię chronić.  

Podpisujesz cyfrowo umowę z zagranicznym dostawcą usług outsourcingowych.  

Po uzgodnieniu warunków i stawki 20 USD za godzinę zaszyfrowałeś dokument i podpisałeś go, a następnie odesłałeś do dostawcy. 

I tu pojawia się problem.  

Podpisana umowa musi trafić do kierownika firmy outsourcingowej, ale chciwy sprzedawca zmienia stawkę na 30 USD/godz., aby zarobić większą prowizję. Kiedy nadchodzi czas zapłaty, nagle odkrywasz, że stawka jest wyższa niż uzgodniłeś. 

Jak udowodnić, że dokument został naruszony?  

Kierownik był nieświadomy, ale był gotów wyjaśnić sytuację. Więc prosisz go, aby użył klucza publicznego do odszyfrowania twojego podpisu i sprawdzenia skrótu. W ten sposób będzie mógł dostrzec różnicę w wynikach skrótu i ​​stwierdzić, że umowa została zmieniona.  

A nawet jeśli menedżer nie chce współpracować, możesz pozwać go do sądu, udowodnić, że masz rację i pociągnąć go do odpowiedzialności. 

Podpis cyfrowy w Blockchain 

Łańcuch bloków Bitcoina wykorzystuje algorytm SHA256 i podpis cyfrowy, aby zapewnić niezmienność informacji przechowywanych na blockchain. Podpis cyfrowy pomaga śledzić transakcje i zapobiegać podwójnym wydatkom. 

Transakcje są traktowane jako dane wejściowe i są przetwarzane przez algorytm mieszający, a następnie zwracane jako dane wyjściowe o ustalonej długości. Dane są następnie dodawane wewnątrz bloku. Blok zawiera również wskaźnik skrótu, który wskazuje na poprzedni blok.  

Wskaźnik skrótu zawiera skrót wszystkich danych w poprzednim bloku. Każda drobna modyfikacja danych zawartych w bloku pociągnie za sobą drastyczną modyfikację w hashu. Modyfikacja nie dotyczy tylko bieżących, ale również wszystkich poprzednich bloków, co powoduje ich unieważnienie. 

Co to jest certyfikat cyfrowy? 

Jak już zapewne zgadłeś, wykonanie podpisu cyfrowego i jego użycie nie jest tak skomplikowane. W tym właśnie tkwi jego słabość.  

Złośliwa strona może próbować utworzyć podpis cyfrowy i klucz publiczny, aby udawać kogoś innego. Jeśli dana osoba otrzyma taką cyfrowo podpisaną wiadomość i uzna, że ​​dokument jest zgodny z prawem, zostanie narażona na atak informacyjny ze strony złośliwej strony.  

Sam podpis cyfrowy nie weryfikuje prawdziwej tożsamości nadawcy i jego klucza publicznego, dlatego nie jest uwierzytelniany. 

Jednak ten problem rozwiązuje certyfikat cyfrowy. Certyfikat cyfrowy to elektroniczne poświadczenie wydane przez urząd certyfikacji.  

Urząd certyfikacji rejestruje za pośrednictwem PKI tożsamość właściciela, a także sprawdza, czy właściciel faktycznie jest właścicielem klucza publicznego. 

Certyfikat cyfrowy zwykle zawiera nazwę właściciela, klucz publiczny, urząd certyfikacji i podpis cyfrowy. W ten sposób znacznie zmniejsza się ryzyko otrzymania podpisu cyfrowego od złośliwej strony. 

Jak stworzyć certyfikat cyfrowy? 

Głównie istnieją dwa sposoby tworzenia certyfikatu cyfrowego: 

1. Tworzysz certyfikat z podpisem własnym. 
2. Poprosisz o to urząd certyfikacji (CA). 

1. Certyfikat z podpisem własnym 

Istnieje kilka metod tworzenia certyfikatu z podpisem własnym, ale aby zrozumieć ten proces, odwołamy się do certyfikatu z podpisem własnym X509. Możesz to wszystko stworzyć samodzielnie w OpenSSL. 

Wystarczy otworzyć wiersz polecenia i wpisać „openssl”. 

Następnie wpisz 'OpenSSL req -x509 -days 365 -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem'. 

I choć niektórym z was może to wyglądać jak bełkot, zobaczmy, co to wszystko oznacza: 

• „Req” oznacza, że ​​jest to żądanie certyfikatu; 
• „x509” oznacza rodzaj certyfikatu; 
• „365” oznacza liczbę dni, przez które będzie ważny; 
• „nowy klucz” oznacza, że ​​będzie to nowy certyfikat;
• Kluczem będzie 'Keyout'.

Następnie będziesz mógł utworzyć klucz prywatny i dodać informacje identyfikacyjne.  

Możesz znaleźć przewodnik krok po kroku tutaj. 

Jednak certyfikat cyfrowy z podpisem własnym zapewnia tylko szyfrowanie, ale nie zapewnia zaufania. Taki certyfikat jest łatwym celem dla hakerów. Mogą je replikować i udawać „wydawcę” i rozpocząć phishing w celu uzyskania danych osobowych. 

W rzeczywistości strony internetowe korzystające z certyfikatów SSL z podpisem własnym są oznaczane przez przeglądarki internetowe jako „niezaufane”. 

2. Certyfikat wydany przez CA 

Certyfikat cyfrowy walidowany przez urząd certyfikacji jest metodą bardziej godną zaufania i bezpieczniejszą. Jest również łatwiejszy do uzyskania, ale może wiązać się z opłatą.  

Urząd certyfikacji zwykle pobiera opłatę za wydanie certyfikatu, a Ty możesz poprosić tylko o jego certyfikat lub poprosić o obsługę wszystkich PKI. 

Jeśli potrzebujesz prostego certyfikatu, możesz skontaktować się z nimi telefonicznie lub e-mailem. Zweryfikują Twoją tożsamość, a następnie wydadzą certyfikat, który powinien zawierać klucz publiczny, identyfikator urzędu certyfikacji oraz identyfikator użytkownika. 

Oprócz certyfikacji cyfrowej możesz poprosić niektóre firmy o obsługę wszystkich aspektów PKI, tokenów dostępu i uwierzytelniania wieloskładnikowego dla użytkowników, urządzeń i maszyn. 

W przypadku strony internetowej żądanie podpisania certyfikatu przychodzi jako polecenie serwera WWW. 

Na wynos 

• Podpis cyfrowy to elektroniczna weryfikacja nadawcy. Opiera się na szyfrowaniu asymetrycznym i używa klucza prywatnego do zaszyfrowania wiadomości oraz klucza publicznego do jej odszyfrowania. 
• Treść wiadomości jest haszowana w celu zachowania integralności. Jednak hash jest procesem jednokierunkowym i służy do sprawdzania, czy zawartość nie została zmieniona. 
• Otrzymana wiadomość jest deszyfrowana kluczem publicznym, a hash zawartości musi być zgodny z wartością hash podaną przez nadawcę. W przeciwnym razie odbiorca ma powody, by sądzić, że treść została zmieniona. 
• Sam podpis cyfrowy nie jest uwierzytelniany. Dlatego musi być poparty certyfikatem cyfrowym wydanym przez urząd certyfikacji. 

* Informacje zawarte w tym artykule i podane łącza służą wyłącznie do celów informacyjnych i nie powinny stanowić porady finansowej ani inwestycyjnej. Radzimy zrobić własne badania lub skonsultować się z profesjonalistą przed podjęciem decyzji finansowych. Proszę potwierdzić, że nie ponosimy odpowiedzialności za jakiekolwiek straty spowodowane przez jakiekolwiek informacje zawarte na tej stronie.