HomeTehnologieCe este semnatura electronica?

Ce este semnatura electronica?

by David Rus
0 comment434 views

O semnatura electronica reprezinta un set de date care sunt asociate logic cu alte date si care sunt utilizate de semnatar pentru a semna datele asociate. Acest tip de semnatura are acelasi statut juridic ca o semnatura de mana, atata timp cat respecta cerintele regulamentului specific in baza caruia a fost creata (de exemplu, eIDAS in Uniunea Europeana, NIST-DSS in SUA sau ZertES in Elvetia).

Semnaturile electronice sunt un concept juridic distinct de semnaturile digitale, un mecanism criptografic folosit adesea pentru implementarea semnaturilor electronice. In timp ce o semnatura electronica poate fi la fel de simpla ca un nume introdus intr-un document electronic, semnaturile digitale sunt din ce in ce mai folosite in comertul electronic si in dosarele de reglementare, pentru a implementa semnaturile electronice intr-un mod protejat criptografic.

Agentiile de standardizare precum NIST sau ETSI ofera standarde pentru implementarea lor (de exemplu, NIST-DSS, XAdES sau PAdES). Conceptul in sine nu este nou, jurisdictiile de drept comun avand semnaturi de telegraf recunoscute inca de la mijlocul secolului al XIX-lea si semnaturi prin fax din anii 1980.

Descriere

O semnatura electronica este menita sa ofere o metoda de identificare sigura si precisa pentru ca semnatarul sa ofere o tranzactie fara intreruperi. Definitiile semnaturilor electronice variaza in functie de jurisdictia aplicabila. Un numitor comun in majoritatea tarilor este nivelul de securizare al unei semnaturi electronice avansate care necesita:

  • Semnatarul sa poata fi identificat in mod unic si legat de semnatura
  • Semnatarul trebuie sa aiba controlul exclusiv asupra cheii private care a fost utilizata pentru a crea semnatura electronica
  • Semnatura trebuie sa fie capabila sa identifice daca datele care o insotesc au fost modificate dupa ce mesajul a fost semnat
  • In cazul in care datele insotitoare au fost modificate, semnatura trebuie sa fie invalidata

Semnaturile electronice pot fi create cu niveluri crescande de securitate, fiecare avand propriul sau set de cerinte si mijloace de creare, la diferite niveluri care dovedesc valabilitatea semnaturii. Pentru a oferi o valoare probanta si mai puternica decat semnatura electronica avansata descrisa mai sus, unele tari precum statele membre ale Uniunii Europene sau Elvetia au introdus semnatura electronica calificata. Este dificil sa contestati calitatea de autor a unei declaratii semnate cu o semnatura electronica calificata – declaratia este nerefudibila. Din punct de vedere tehnic, o semnatura electronica calificata este implementata printr-o semnatura electronica avansata care utilizeaza un certificat digital, care a fost criptat printr-un dispozitiv de creare a semnaturilor de securitate si care a fost autentificat de un furnizor de servicii de incredere, calificat.

Semnatura electronica avansata

O semnatura electronica avansata (AdES) este o semnatura electronica care a indeplinit cerintele prevazute de Regulamentul UE nr. 910/2014 (regulamentul eIDAS) privind identificarea electronica si serviciile de incredere pentru tranzactiile electronice in Piata Unica Europeana.

Descriere

eIDAS a creat standarde pentru utilizarea semnaturilor electronice, astfel incat acestea sa poata fi utilizate intr-o maniera sigura atunci cand desfasoara afaceri online, cum ar fi un transfer electronic de fonduri sau afaceri oficiale transfrontaliere cu statele membre ale UE. Semnatura electronica avansata este unul dintre standardele prezentate in eIDAS.

Pentru ca o semnatura electronica sa fie considerata avansata, aceasta trebuie sa indeplineasca mai multe cerinte:

  • Semnatarul poate fi identificat in mod unic si legat de semnatura
  • Semnatarul trebuie sa detina controlul exclusiv asupra datelor de creare a semnaturii (de obicei o cheie privata) care a fost utilizata pentru a crea semnatura electronica
  • Semnatura trebuie sa fie capabila sa identifice daca datele care o insotesc au fost modificate dupa ce mesajul a fost semnat
  • In cazul in care datele de insotire au fost modificate, semnatura trebuie sa fie invalidata

Semnaturile electronice avansate care sunt conforme cu eIDAS pot fi implementate din punct de vedere tehnic prin intermediul profilurilor de baza Ades care au fost dezvoltate de Institutul European de Standarde de Telecomunicatii (ETSI):

  • XAdES, XML Advanced Electronic Signatures este un set de extensii la recomandarea XML-DSig care il face potrivit pentru semnaturile electronice avansate.
  • PAdES, PDF Advanced Electronic Signatures este un set de restrictii si extensii la PDF si ISO 32000-1, care il fac potrivit pentru semnaturile electronice avansate.
  • CAdES, CMS Advanced Electronic Signatures este un set de extensii la datele semnate Cryptographic Message Syntax (CMS) care il fac potrivit pentru semnaturile electronice avansate.
  • Profilul de baza ASiC. ASiC (Associated Signature Containers) specifica utilizarea structurilor containerului pentru a lega unul sau mai multe obiecte semnate fie cu semnaturi electronice avansate, fie cu marcaje temporale intr-un singur container digital (zip).

Viziune

Implementarea semnaturilor electronice avansate conform specificatiilor eIDAS serveste mai multor scopuri. Procesele de afaceri si de servicii publice, chiar si cele care trec granite, pot fi accelerate in siguranta prin utilizarea semnarii electronice. Cu eIDAS, statelor UE li se cere sa stabileasca „puncte unice de contact” (PSC) pentru serviciile de incredere care sa asigure ca sistemele de identificare electronica pot fi utilizate in tranzactiile din sectorul public care au loc transfrontalier, inclusiv accesul la informatii privind asistenta medicala transfrontaliera.

In trecut, atunci cand semna un document sau un mesaj, semnatarul il semna si apoi il returna destinatarului vizat prin serviciul postal, prin serviciu de fax sau prin scanarea si atasarea la un e-mail.

Acest lucru ducea evident la intarzieri si, bineinteles, la posibilitatea ca semnaturile sa fie falsificate si documentele modificate, mai ales atunci cand sunt necesare semnaturi multiple de la diferite persoane aflate in locatii diferite. Procesul de utilizare a unei semnaturi electronice avansate economiseste timp, este obligatoriu din punct de vedere juridic si asigura un nivel ridicat de securitate tehnica.

Pozitia in dreptul contractelor

Cu mult inainte de inceperea razboiului civil american in 1861, codul Morse a fost folosit pentru a trimite mesaje in mod electric, prin telegraf. Unele dintre aceste mesaje au fost acorduri cu termeni care au fost mentionati pe post de contracte executorii. O acceptare timpurie a caracterului executoriu al mesajelor telegrafice ca semnaturi electronice a venit dintr-un caz al Curtii Supreme din New Hampshire, Howley v. Whipple, in 1869.

In anii 1980, multe companii si chiar unele persoane au inceput sa foloseasca aparate de fax pentru livrarea de documente cu prioritate ridicata sau sensibila la timp. Desi semnatura originala de pe documentul original era pe hartie, imaginea semnaturii si transmiterea acesteia a fost electronica.

Instantele din diferite jurisdictii au decis ca legalitatea executorie a semnaturilor electronice poate include acorduri incheiate prin e-mail, introducerea unui numar personal de identificare (PIN) intr-un bancomat bancar, semnarea unui talon de credit sau de debit cu un dispozitiv digital pen pad (o aplicatie de tableta grafica) la un punct de vanzare, instalarea de software cu un acord de licenta software clickwrap pe pachet si semnarea documentelor electronice online.

Primul acord semnat electronic de doua natiuni suverane a fost un comunicat comun care recunoaste importanta tot mai mare a promovarii comertului electronic, semnat de Statele Unite si Irlanda in 1998.

Implementari tehnologice (tehnologia de baza)

Semnaturile digitale sunt implementari criptografice ale semnaturilor electronice utilizate ca dovada a autenticitatii, integritatii datelor si nerepudierii comunicatiilor efectuate prin Internet. Atunci cand este implementata in conformitate cu standardele de semnatura digitala, semnarea digitala ar trebui sa ofere confidentialitate de la capat la capat, procesul de semnare fiind usor de utilizat si sigur. Semnaturile digitale sunt generate si verificate prin cadre standardizate, cum ar fi Digital Signature Algorithm (DSA) de catre NIST sau in conformitate cu standardele XAdES, PAdES sau CAdES, specificate de ETSI.

Exista de obicei trei algoritmi implicati in procesul de semnatura digitala:

  1. Generare cheie – Acest algoritm ofera o cheie privata impreuna cu cheia publica corespunzatoare.
  2. Semnarea – Acest algoritm produce o semnatura la primirea unei chei private si a mesajului care este semnat.
  3. Verificare – Acest algoritm verifica autenticitatea mesajului prin verificarea acestuia impreuna cu semnatura si cheia publica.

Procesul de semnare digitala necesita ca o cheie publica insotitoare sa poata autentifica apoi semnatura generata atat de mesajul fix, cat si de cheia privata. Folosind acesti algoritmi criptografici, semnatura utilizatorului nu poate fi replicata fara a avea acces la cheia privata a acestuia. Un canal securizat nu este de obicei necesar. Prin aplicarea metodelor de criptare asimetrica, procesul de semnatura digitala previne mai multe atacuri comune in care atacatorul incearca sa obtina acces.

Cele mai relevante standarde privind semnaturile digitale in ceea ce priveste dimensiunea pietelor interne sunt Digital Signature Standard (DSS) dat de catre Institutul National de Standarde si Tehnologie (NIST) si Regulamentul eIDAS adoptat de Parlamentul European. OpenPGP este un protocol neproprietar pentru criptarea e-mailurilor prin criptare cu cheie publica. Este sustinut de PGP si GnuPG si de unele dintre standardele S/MIME IETF si a evoluat in cel mai popular standard de criptare a e-mailului din lume.

Semnatura biometrica

O semnatura electronica se poate referi si la forme electronice de prelucrare sau verificare a identitatii prin utilizarea „semnaturilor” biometrice sau a calitatilor de identificare biologica ale unei persoane. Astfel de semnaturi folosesc abordarea atasarii unor masuratori biometrice la un document, ca dovada. Semnaturile biometrice includ amprentele digitale, geometria mainii (lungimea degetelor si dimensiunea palmei), modelele irisului, caracteristicile vocii, modelele retiniene sau orice alta proprietate a corpului uman. Toate acestea sunt colectate folosind senzori electronici.

Masuratorile biometrice de acest tip sunt inutile ca parole, deoarece nu pot fi modificate daca sunt compromise. Cu toate acestea, ele ar putea fi utile, cu exceptia faptului ca pana in prezent, au fost atat de usor de inselat, incat nu pot avea nicio garantie ca persoana care se presupune ca a semnat un document a fost de fapt persoana care a facut-o.

De exemplu, o redare a semnalului electronic produs si transmis catre sistemul informatic responsabil de „aplicarea” unei semnaturi pe un document, poate fi colectat prin tehnici de interceptare. De exemplu, in cazul imaginii fetei unui utilizator, cercetatorii din Vietnam au demonstrat cu succes la sfarsitul anului 2017, cum o masca special creata ar putea invinge Face ID-ul Apple, de pe iPhone X.

related articles