Základy kryptografie pro manažery: elektronický podpis
V tomto příspěvku se dozvíte, co to znamená opatřit dokument nebo zprávu elektronickým podpisem.
Pokud má dojít k podepsání zprávy, obvykle se nepodepisuje celá zpráva, ale pouze její hash. To proto, že při podepisování se používají algoritmy, které jsou výpočetně mnohem náročnější než algoritmy, které používají hashovací funkce, se kterými jste měli možnost se seznámit v prvním díle našeho seriálu. V případě, že chcete podepsat jen jednu zprávu za hodinu, nemusí vás rychlost podepisování příliš trápit, ale v okamžiku, kdy budete chtít automaticky podepisovat třeba tisíce zpráv, musíte tento problém řešit. V praxi se proto tento požadavek řeší tak, že se nejdříve spočte pro danou zprávu hash a až ten se zašifruje soukromým klíčem odesílatele. Výsledkem této operace je tzv. digitální podpis (digital signature), který je následně připojen ke zprávě a spolu s ní je poslán.
Elektronický podpis vs. klasický podpis
Na tomto místě bych chtěl zdůraznit, že výsledkem podepsání dvou různých dokumentů za použití stejného soukromého klíče je pokaždé naprosto rozdílný el. podpis, protože obsah zprávy a tedy i její hash je jiný. Toto je zásadní rozdíl oproti klasickému rukou psanému podpisu, který je na pohled víceméně pořád stejný, bez ohledu na to, co podepisujeme. Je zajímavé, že spousta lidí, včetně těch, kteří o el. podpisu mluví, a kteří ho běžně používají, si tuto skutečnost neuvědomují. Nevýhoda klasického podpisu spočívá v tom, že ho lze snadno napodobit, zkopírovat a přenést na jiný dokument. Klasický podpis nám prakticky nedává žádnou záruku, že obsah dokumentu nebyl změněn. Samozřejmě, že je možné porovnávat sklon, tvar a napojení jednotlivých písmen, přítlak, použitý inkoust apod. ale na takovouto expertízu už je potřeba speciální vybavení.
Jak používat elektronický podpis
Pokud je dokument nebo zpráva elektronicky podepsána, máte jistotu, že jejím autorem je opravdu daná osoba, samozřejmě za předpokladu, že jí privátní klíč nebyl zcizen. Z pohledu informační bezpečnosti můžeme hovořit o dalším atributu bezpečnosti, tzv. neodmítnutelnosti nebo nepopiratelnosti (nonrepudiation) autorství podepsaného textu. Ověření podpisu za vás obvykle automaticky provede aplikace, ve které zprávu nebo dokument otevíráte, ta použije veřejný klíč odesílatele k dešifrování elektronického podpisu a tím získá původní hash. Pro obdrženou zprávu pak sama spočte hash a následně oba hashe porovná. Pokud se hashe shodují, je vše v pořádku, pokud ne, tak vás aplikace upozorní, že podpis nesouhlasí. To by poukazovalo na to, že byla narušena integrita dokumentu, resp. že jeho obsah byl změněn nebo poškozen.
Proč používat elektronický podpis
V případě, že dokument nebo zpráva, která vám byla zaslána do vaší schránky, nebyla podepsána, nevíte, zda se nejedná o podvrh. Této skutečnosti může zneužít sociotechnik, který vám např. zašle zprávu včetně kontaktu na sekretářku (svou přítelkyni nebo virtuální asistentku kdesi v Indii), že schůzka, které jste se měl zúčastnit, byla zrušena, nebo vám může napsat jménem jiného uchazeče, že odstupuje z výběrového řízení a danému uchazeči zase napsat, že ve výběrovém řízení nepostoupil do dalšího kola. Tímto způsobem pak zůstane ve výběrovém řízení sám s firmou, která je výrazně horší. Anebo se bude jen vydávat za oprávněnou osobu a požádá vás o zaslání důvěrných informací.
Ověřování elektronického podpisu v praxi
Divili byste se, kolik lidí se spokojí s tím, že zpráva nebo dokument obsahuje vůbec nějaký el. podpis. Dost lidí si bohužel zvyklo na skutečnost, že spousta firem si zavedla interní certifikační autoritu, rozuměj, sama si pro vlastní potřeby začala vydávat certifikáty a tím výrazně zvýšila bezpečnost interní komunikace a tedy i zefektivnila workflow ve své firmě. Problém však nastal v okamžiku, kdy takto podepsaný e-mail přišel do jiné firmy, kde pochopitelně neměli certifikát dané certifikační autority nainstalovaný, a proto se jim nepodařilo odesílatele e-mailu ověřit. Vzhledem k tomu, že s danou firmou komunikovali už delší dobu, byli managementem ubezpečeni, že si hlášek o tom, že se el. podpis nepodařilo ověřit, nemají vůbec všímat a s danou firmou dál komunikovat stejně jako s ní komunikovali předtím. Uživatelé se tak naučili zprávy o neplatném el. podpisu ignorovat, což ostatně dělají dodnes a je velký problém jejich chování v tomto směru změnit.
Poznámka: Pokud se v tomto příspěvku hovoří o elektronickém podpisu, máme na mysli zaručený elektronický podpis.
Štítky: informační bezpečnost, kryptografie
K článku “Základy kryptografie pro manažery: elektronický podpis” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.