Подробное руководство по цифровым подписям

Использование цифровых подписей — широко признанный передовой метод проверки электронных транзакций. Но что они собой представляют? Почему они важны? И как их можно использовать в своих интересах?

Читайте дальше, чтобы узнать всю необходимую информацию о решениях для цифровых подписей.

По данным Национального института стандартов и технологий (NIST), цифровая подпись — это результат криптографического преобразования данных, который обеспечивает механизм для проверки подлинности источника, целостности данных и неопровержимости подписавшегося лица.

Проще говоря, это математический алгоритм, используемый для криптографической привязки цифрового документа к идентификационным данным человека, машины или организации. Таким образом, цифровые подписи могут идентифицировать пользователей и (или) организации, а также защищать содержимое подписанного документа.

Почему это важно? Потому что позволяет уменьшить трудности, связанные с электронными подписями и удаленным цифровым подписанием, отвечая на три основных вопроса, связанных с подлинностью, целостностью и неопровержимостью.

• Как подтвердить, что подписывающее лицо является тем, за кого оно себя выдает?
• Как убедиться в том, что содержимое подписанного документа не было изменено или подделано?
• Как не допустить оспаривания действительности подписи?

Если вкратце, цифровые подписи прикрепляют идентификационные данные к цифровому документу или сообщению, тем самым обеспечивая доказательство подлинности и целостности, а вместе с тем и неопровержимости.

В чем разница между цифровой подписью и подписью на бумаге?

Подпись на бумаге, которая также называется «собственноручной подписью» или «мокрой подписью», означает именно то, на что указывает ее название — написанное чернилами имя на бумажном документе.

Традиционные подписи имеют два основных свойства:

1. Они должны быть связаны с конкретным лицом.
2. Как правило, они представляют собой обязательство или соглашение, особенности которых зависят от контекста. 

Хотя традиционные подписи используются на протяжении веков и, безусловно, будут использоваться и впредь, они сопряжены с присущими им рисками. Поскольку они представляют собой не более чем визуальные знаки, может быть сложно доказать подлинность собственноручной подписи без заверения свидетеля. Более того, не сразу можно узнать, изменил ли кто-либо бумажный документ.

Напротив, технология цифровой подписи автоматически обнаруживает изменения, что упрощает обеспечение целостности документа. Аналогично проверка идентификационных данных является основой подписания и, что еще лучше, не требует участия свидетелей. Кроме того, ведется электронный учет всех изменений, обеспечивая контрольный журнал на случай потенциальных споров.

В чем разница между цифровой и электронной подписями?

Электронная подпись — это способ подписания цифрового документа. Физические и юридические лица могут подписывать электронные транзакции и документы с помощью программного обеспечения для электронной подписи, а не писать свое имя в поле для подписи на бумаге.

Примечательно, что «электронная подпись» — это общий термин, который охватывает множество различных типов электронных подписей, включая цифровые. Ключевое различие между электронными и цифровыми подписями заключается в том, что первые предлагают гораздо более низкий уровень доверия. Почему? Потому что электронные подписи не всегда служат доказательством подлинности и не могут быть проверены компьютерами.

К примеру, большинство программ или служб электронной подписи используют визуальный знак для представления подписи на бумаге, например нарисованный символ или загруженное изображение. На самом деле поставить электронную подпись может практически любой человек, а значит, она не представляет достаточных доказательств подлинности. Для того чтобы электронной подписи можно было доверять, обычно требуется дополнительная информация, такая как подробный и безопасный контрольный журнал подписания.

С другой стороны, решение для цифровых подписей использует криптографическую операцию, которая прикрепляет точное содержимое документа к цифровому сертификату, содержащему сведения, позволяющие проверить идентификационные данные подписывающего лица. В свою очередь, цифровые подписи считаются гораздо более безопасными, чем другие электронные подписи, обеспечивая надежную и неоспоримую гарантию.

Свойство

Может применяться к электронным документам и транзакциям

Подтверждение подписи может быть автоматизировано

Автоматически выявляет наличие изменений в документе

Может использоваться для обозначения обязательства согласно договору или документу

Может быть подтверждена свидетелями процесса подписания

Признается законом *

Обычные подписи

Может применяться к электронным документам и транзакциям

Подтверждение подписи может быть автоматизировано

Автоматически выявляет наличие изменений в документе

Может использоваться для обозначения обязательства согласно договору или документу

Может быть подтверждена свидетелями процесса подписания

Признается законом *

Электронные подписи

Может применяться к электронным документам и транзакциям

Подтверждение подписи может быть автоматизировано

Автоматически выявляет наличие изменений в документе

Может использоваться для обозначения обязательства согласно договору или документу

Может быть подтверждена свидетелями процесса подписания

Признается законом *

Цифровые подписи

Может применяться к электронным документам и транзакциям

Подтверждение подписи может быть автоматизировано

Автоматически выявляет наличие изменений в документе

Может использоваться для обозначения обязательства согласно договору или документу

Может быть подтверждена свидетелями процесса подписания

Признается законом *

* Компания Entrust не предоставляет юридических консультаций; обязательно уточняйте требования к подписи у местного юриста.

Что такое усовершенствованная электронная подпись?

Усовершенствованная электронная подпись — это особый класс подписей, используемый в Европейском союзе (ЕС). Если вкратце, то в большинстве стран и регионов существуют собственные уникальные схемы электронной подписи, то есть у них разные правила и нормы в отношении того, как должна создаваться электронная подпись, чтобы быть признанной законом.

В 2016 г. государства — члены ЕС приняли Регламент об электронной идентификации, аутентификации и доверительных услугах (eIDAS). Согласно eIDAS, существует три типа подписей.

1. Простая электронная подпись. Не требует строгой аутентификации или проверки идентификационных данных, так что это подпись с самым низким уровнем гарантии.
2. Усовершенствованная электронная подпись. Может требовать от подписывающего лица подтвердить идентификационные данные с помощью электронных средств, таких как биометрия, коды доступа или цифровые сертификаты.
3. Квалифицированная электронная подпись. Предоставляет максимальную гарантию, предъявляя наиболее строгие технические требования, такие как использование устройства для создания квалифицированных подписей (QSCD).

Несмотря на то что нормы отличаются в зависимости от юрисдикции, регламент eIDAS поднял планку для цифровых подписей во всем мире. В частности, если вы работаете в ЕС, на вас могут распространяться его требования. Для получения дополнительной информации ознакомьтесь с нашим руководством по соблюдению нормативно-правовых требований регламента eIDAS.

Рынок цифровых подписей процветает. По прогнозам, его стоимость, составляющая в 2024 г. 7 млрд долл. США, к 2032 г. резко возрастет до более чем 66 млрд долл. США, то есть совокупный среднегодовой темп роста составит поразительные 32 %.

Почему программное обеспечение для цифровых подписей вызывает такой большой ажиотаж? Потому что эти подписи становятся все более необходимыми. Электронные транзакции стали нормой в нашем цифровом мире, но традиционные подписи просто не обеспечивают достаточного уровня безопасности. При отсутствии личных встреч споры возникают гораздо чаще, а многие организации не имеют возможности обнаруживать изменения в электронных документах.

Цифровые подписи решают обе эти проблемы, обладая дополнительными свойствами безопасности и защиты. По сравнению с другими электронными подписями, их, безусловно, наиболее легко проверить и они надежны в отношении целостности документов.

Преимущества цифровых подписей

Правильно подобранное решение для цифровых подписей предоставит множество ключевых преимуществ, описанных ниже.

• Повышенный уровень безопасности. Самое главное, что цифровая подпись обеспечивает более надежную гарантию подлинности и целостности данных. С помощью криптографии создаются цифровые подписи, которые невозможно подделать или изменить, что гарантирует юридическую силу документа. Это не только защищает от мошенничества, но и повышает доверие к транзакции.
• Оптимизированное подписание документов. Цифровые подписи ускоряют подписание, устраняя ручные рабочие процессы в бумажной форме. Можно не собирать все собственноручные подписи отдельно, а разослать цифровой документ всем сторонам и быстро ускорить процесс.
• Снижение транзакционных издержек. Заменив бумажные процессы, можно также устранить необходимость в печати, сканировании и отправке документов по почте, что в конечном итоге способствует экономии средств.
• Встроенный контрольный журнал. Цифровые подписи встраивают в метаданные подписанного документа электронные записи, включая идентификационные данные подписывающего лица, дату и время подписания документа, а также все внесенные изменения. Этот контрольный журнал обеспечивает прозрачность и подотчетность, помогая сторонам соблюдать нормативно-правовые требования и разрешать споры с использованием конкретных доказательств.
• Упрощенная проверка идентификационных данных. Правильно подобранное решение позволит получать цифровые идентификационные учетные данные от сертифицированных органов, устранив необходимость в проверках вручную. Это повышает эффективность и одновременно снижает риск мошенничества.

Технология цифровой подписи основана на трех компонентах:

1. Криптография с открытым ключом.
2. Цифровые сертификаты.
3. Хеширование.

Давайте рассмотрим каждый из них более подробно, чтобы понять, как они работают.

1. Криптография с открытым ключом

Цифровые подписи создаются с использованием криптографии с открытым ключом, также известной как асимметричная криптография. Этот метод работает путем создания пары математически связанных ключей для шифрования и расшифровки — открытого и закрытого ключей.

Физическое или юридическое лицо, которое создает цифровую подпись, использует закрытый ключ для шифрования информации, связанной с подписью, такой как идентификационные данные, метки времени и многое другое. Как следует из названия, этот ключ хранится в секрете, тогда как его аналог можно свободно распространять. Единственный способ расшифровать зашифрованные данные — использовать открытый ключ, который позволяет получателю проверить цифровую подпись подписывающего лица.

Если получатель не может открыть документ с помощью открытого ключа подписывающего лица, это может указывать на недействительность подписи.

2. Цифровые сертификаты

Инфраструктура открытых ключей (PKI) — это система учетных данных, которая выпускает криптографические активы, называемые цифровыми сертификатами. Цифровой сертификат — это электронный документ, содержащий открытый ключ цифровой подписи. В нем хранятся идентификационные данные, связанные с подписывающим лицом, что позволяет получателям подтвердить принадлежность открытого ключа конкретной организации.

Крайне важно, чтобы цифровой сертификат был выпущен публично проверенным центром сертификации (CA). Центры CA, включая Entrust, — это сторонние организации, ответственные за выпуск цифровых сертификатов и проверку идентификационных данных владельцев сертификатов. Они играют важнейшую роль в PKI и цифровом подписании, гарантируя всем участвующим сторонам защиту их ключей от подделки и злонамеренного использования.

3. Хеширование

Программное обеспечение для цифровых подписей также использует процесс, называемый хешированием, в результате которого к документу прикрепляется уникальный цифровой отпечаток пальца. По сути, хеш — это текстовая строка фиксированной длины, созданная математическим алгоритмом.

Перед подписанием решение для цифровых подписей подписывающего лица вычисляет хеш-значение документа с помощью криптографии. Затем оно шифрует хеш с помощью закрытого ключа подписывающего лица, тем самым создавая цифровую подпись.

После получения подписанного документа получатель может вычислить его хеш-значение и использовать открытый ключ подписывающего лица для расшифровки подписи. Если вычисленное хеш-значение совпадает с расшифрованным, это доказывает, что документ не был изменен с момента его подписания.

Хотя цифровые подписи обладают высокой степенью безопасности, есть несколько способов, с помощью которых злоумышленники обходят их защиту. Ниже приведены некоторые из наиболее заметных факторов риска.

• Подделка и кража ключей. Киберпреступники могут украсть криптографические ключи, что позволит им подделывать подписи на цифровых документах. Аналогично они могут использовать украденные ключи для хищения идентификационных данных и несанкционированных транзакций, поскольку цифровая подпись считается юридическим представлением личности подписывающего лица.
• Вредоносное ПО. Некоторые хакеры встраивают в цифровые документы вредоносное ПО, которое используется для заражения устройств подписывающего лица, кражи конфиденциальных данных и запуска более масштабных и злонамеренных атак.
• Слабые алгоритмы. Более старые криптографические схемы со временем могут стать уязвимыми для попыток взлома. Действительно, с появлением квантовых вычислений многие современные схемы шифрования устареют — это лишь вопрос времени.

В чем заключается хорошая новость? В компании Entrust мы предлагаем широкий спектр решений для безопасных цифровых подписей, которые помогут вам защитить свои криптографические активы и идентификационные данные пользователей. Независимо от того, работаете ли вы в государственном секторе или управляете частной организацией, наши службы сертификатов, аппаратные модули безопасности (HSM) и платформа проверки идентификационных данных, которым доверяют во всем мире, могут удовлетворить ваши уникальные потребности. В целом наше портфолио проверенных решений для подписей включает в себя перечисленное далее.

• Entrust Signhost. Облачный портал электронной подписи, доступный через веб-браузеры, мобильные телефоны и REST API. Полностью интегрирован со службой удаленного подписания, службой автоматизации подписей и Identity as a Service.
• Служба удаленного подписания Entrust. Облачное решение для выпуска цифровых сертификатов, а также создания безопасных цифровых подписей.
• Служба автоматизации подписей Entrust. Облачная служба, позволяющая выпускать фирменные сертификаты и электронные печати.
• Сертификаты подписи документов Entrust. Специальные сертификаты для создания доверенных подписей с помощью защищенных USB-токенов или модулей HSM.
• Entrust Identity as a Service. Предлагаемая нами управляемая служба предоставляет возможности управления доверенными идентификационными данными сотрудников, потребителей и граждан с помощью многофакторной аутентификации, устойчивой к фишингу.
• Аппаратные модули безопасности nShield. Наши безопасные аппаратные решения для создания и хранения криптографических ключей, цифровых подписей и многого другого.

Благодаря нашей ведущей в отрасли высоконадежной технологии цифровой подписи, основанной на мировых стандартах безопасности, можно использовать Entrust в качестве компетентного источника знаний в области цифрового подписания. Наша команда находится в авангарде в области PKI, HSM и проверки идентификационных данных, поэтому мы можем предложить вам решения, которые помогут легко управлять ландшафтом угроз.