Než svět začal s digitalizací, spoléhal se silně na podepsané dokumenty při schvalování, ověřování a nesení odpovědnosti různých stran v transakcích a různých typech dohod. Digitální podpis a digitální certifikát jsou moderní náhradou standardních podpisů.
Digitální podpis, který byl výrazně rychlejší než posílání dokumentů poštou a faxem, pomohl různým podnikům.
Co je digitální podpis?
Digitální podpis je elektronické ověření odesílatele dokumentu, které příjemci umožňuje určit, zda původní obsah byl pozměněn zprostředkovatelem.
Soukromý klíč a veřejný klíč jsou dva základní prvky digitálního podpisu, vytvořené vyhrazeným algoritmem současně. I když jsou vytvořeny tak, aby byly matematicky příbuzné, vzhledem se budou lišit.
Digitální podpis slouží ke třem účelům:
- Ověřování – příjemce může určit autorství zprávy a určit, zda je odesílatel tím, za koho se vydává.
- Nevypovědení – odesílatel nemůže popřít, že zprávu odeslal později, a může nést odpovědnost za nezměněnou zprávu.
- Integrita – zpráva nebyla změněna.
A ve skutečnosti má digitální podpis právní hodnotu ve Spojených státech, Evropské unii, Švýcarsku, Jižní Africe, Alžírsku, Turecku, Indii, Brazílii, Indonésii, Mexiku, Saúdské Arábii, Uruguayi a Chile.
Jak vytvořit digitální podpis?
Chcete-li vytvořit digitální podpis, musíte zprávu podepsat svým soukromým klíčem.
Soukromý klíč je prvkem této rovnice, který držíte pouze vy, a jeho poskytnutím prokazujete, že jste to vy, kdo podepsal dokument.
Nejprve zahašujete prostý text, abyste si zachovali záznam o nezměněné verzi zprávy, kterou se chystáte odeslat.
SIDENOTE. Hašování je transformace konkrétního obsahu libovolné délky na kratší hodnotu s pevnou délkou.
Nejpreferovanějším hashovacím algoritmem je v současnosti SHA256 (Secure Hash Algorithm). Mějte na paměti, že hašování je jednosměrný proces a malá změna na vstupu změní celý výstup.
Dále zašifrujete hash prostého textu svým soukromým klíčem, což povede k digitálnímu podpisu.
Digitální podpis připojíte k dokumentu ve formátu prostého textu a odešlete jej.
Přes asymetrické šifrování, bude příjemce schopen dešifrovat váš digitální podpis a porovnat hash prostého textu s hashem, který poskytnete.
Možná vás tedy zajímá, jak hashujete dokument. Naštěstí to program ve vašem počítači udělá automaticky za vás.
Takto můžete vygenerovat hash dokumentu ve Windows 7/8/10:
- Otevřete „Příkazový řádek“;
- Zadejte „certutil – hashfile“
- Přetáhněte dokument do „Příkazového řádku“.
- Na konec řádku přidejte „SHA256“.
Váš poslední řádek by měl vypadat nějak takto:
certutil -hashfile “C:\User\Computer\Desktop\File.docx” SHA256
Tímto způsobem konzola zobrazí kód o velikosti 256 bitů / 64 hexadecimálních znaků, který představuje obsah vašeho souboru.
Ale kde získáte soukromý klíč a veřejný klíč?
To je také docela jednoduché.
Můžete je generovat prostřednictvím softwaru, online platformy nebo prostřednictvím infrastruktury veřejného klíče (PKI) registrované u certifikační autority.
SIDENOTE. PKI je akceptovaný formát pro správu šifrování veřejného klíče, který poskytuje nejvyšší úroveň zabezpečení a univerzální přijetí.
Jak potom přidáte digitální podpis se soukromým klíčem k dokumentu?
K tomu musíte opět použít vyhrazený software, jako je Sign Server, Safe pdf nebo DocuSign.
Jak to pomáhá?
Vezměme si fiktivní scénář, jak vás může digitální podpis ochránit.
Digitálně podepíšete smlouvu s poskytovatelem v zahraničí na outsourcing služeb.
Po odsouhlasení podmínek a sazby 20 $/hodinu jste dokument hashovali a podepsali a poté jej odeslali zpět poskytovateli.
A tady nastává problém.
Podepsaná smlouva se musí dostat k manažerovi outsourcingové společnosti, ale chamtivý obchodník změní sazbu na 30 USD/hodinu, aby mohl získat větší provizi. Když je čas zaplatit, najednou zjistíte, že sazba je vyšší, než na jaké jste se dohodli.
Jak prokážete, že s dokumentem bylo manipulováno?
Manažer nic nevěděl, ale byl ochoten situaci objasnit. Takže ho požádáte, aby použil veřejný klíč k dešifrování vašeho podpisu a zkontroloval hash. Díky tomu bude schopen rozpoznat rozdíl ve výstupu hash a určit, že smlouva byla změněna.
A i když manažer nebude ochoten spolupracovat, můžete je dát k soudu, dokázat, že máte pravdu, a pohnat je k odpovědnosti.
Digitální podpis v blockchainu
Blockchain bitcoinu využívá algoritmus SHA256 a digitální podpis k zajištění neměnnosti informací uložených na blockchain. Digitální podpis pomáhá sledovat transakce a zabránit dvojímu utrácení.
Transakce jsou brány jako vstup a jsou prováděny pomocí hashovacího algoritmu a poté vráceny jako výstup s pevnou délkou. Data jsou poté přidána do bloku. Blok také obsahuje hash ukazatel, který ukazuje na předchozí blok.
Ukazatel hash obsahuje hash všech dat v předchozím bloku. Jakákoli drobná úprava dat obsažených v bloku s sebou přinese drastickou úpravu hashe. Úprava nedopadá pouze na aktuální, ale i na všechny předchozí bloky, a tím je ruší.
Co je digitální certifikát?
Jak už možná tušíte, vytvořit digitální podpis a používat jej není tak složité. Právě v tom spočívá jeho slabina.
Strana se zlými úmysly se může pokusit vytvořit digitální podpis a veřejný klíč, aby předstírala, že je někdo jiný. Pokud osoba obdrží takovou digitálně podepsanou zprávu a dojde k závěru, že dokument je legitimní, bude tato osoba vystavena informačnímu útoku ze strany se zlými úmysly.
Samotný digitální podpis neověřuje skutečnou identitu odesílatele a jeho veřejný klíč proto postrádá autentizaci.
Tento problém však řeší digitální certifikát. Digitální certifikát je elektronické pověření vydané certifikační autoritou.
Certifikační autorita zaregistruje prostřednictvím PKI identitu vlastníka a také ověří, že vlastník skutečně vlastní veřejný klíč.
Digitální certifikát obvykle obsahuje jméno vlastníka, veřejný klíč, certifikační autoritu a digitální podpis. Tímto způsobem je výrazně sníženo riziko přijetí digitálního podpisu od škodlivé strany.
Jak vytvořit digitální certifikát?
Digitální certifikát lze vytvořit především dvěma způsoby:
- Vytvoříte certifikát podepsaný svým držitelem.
- Požadujete jej od certifikační autority (CA).
1. Certifikát s vlastním podpisem
Existuje několik metod, jak vytvořit certifikát s vlastním podpisem, ale abychom porozuměli procesu, odkážeme na certifikát X509 s vlastním podpisem. Vše si můžete vytvořit sami v OpenSSL.
Stačí otevřít příkazový řádek a zadat „openssl“.
Dále zadejte 'OpenSSL req -x509 -days 365 -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem'.
A i když to pro některé z vás může vypadat jako blábol, pojďme se podívat, co to všechno znamená:
- 'Požadavek' znamená, že se jedná o žádost o certifikát;
- „x509“ označuje typ certifikátu;
- '365' označuje počet dní, po které bude platit;
- „nový klíč“ znamená, že se bude jednat o nový certifikát;
- Klíčovým souborem bude 'Keyout'.
Poté budete moci vytvořit soukromý klíč a přidat identifikační údaje.
Můžete najít průvodce krok za krokem zde.
Digitální certifikát s vlastním podpisem však poskytuje pouze šifrování, ale žádnou důvěru. Takový certifikát je pro hackery snadným cílem. Mohou to replikovat a předstírat, že jsou „vydavatelem“ a začít phishingem pro osobní údaje.
Webové stránky, které používají certifikáty SSL s vlastním podpisem, jsou ve skutečnosti internetovými prohlížeči označeny jako „nedůvěryhodné“.
2. Certifikát vydaný CA
Digitální certifikát ověřený certifikační autoritou je důvěryhodnější a bezpečnější metodou. Je také jednodušší jej získat, ale může to znamenat poplatek.
Certifikační autorita obvykle vyžaduje za vydání certifikátu poplatek a můžete buď požádat pouze její certifikát, nebo ji požádat o zpracování všech PKI.
Pokud potřebujete jednoduchý certifikát, můžete je kontaktovat telefonicky nebo e-mailem. Ověří vaši identitu, poté vám vydá certifikát, který by měl obsahovat veřejný klíč, identifikaci certifikační autority a identifikaci uživatele.
Kromě digitální certifikace můžete některé společnosti požádat, aby zpracovávaly všechny aspekty PKI, přístupové tokeny a vícefaktorové ověřování pro uživatele, zařízení a stroje.
V případě webu přichází žádost o podpis certifikátu jako příkaz s webovým serverem.
Key Takeaways
- Digitální podpis je elektronické ověření odesílatele. Spoléhá na asymetrické šifrování a k zašifrování zprávy používá soukromý klíč a k dešifrování veřejný klíč.
- Obsah zprávy je hašován, aby byla zachována integrita. Hash je však jednosměrný proces a používá se k ověření, že obsah nebyl změněn.
- Přijatá zpráva je dešifrována pomocí veřejného klíče a hash obsahu musí odpovídat hodnotě hash poskytnuté odesílatelem. V opačném případě má příjemce důvod se domnívat, že obsah byl změněn.
- Samotný digitální podpis postrádá ověření. Proto musí být podložen digitálním certifikátem vydaným certifikační autoritou.
* Informace v tomto článku a uvedené odkazy slouží pouze pro obecné informační účely a neměly by představovat žádné finanční nebo investiční poradenství. Před finančním rozhodnutím vám doporučujeme udělat si vlastní průzkum nebo se poradit s odborníkem. Prosím, vezměte na vědomí, že neneseme odpovědnost za žádné ztráty způsobené jakýmikoli informacemi přítomnými na této webové stránce.
Zdroj: https://coindoo.com/digital-signature/