ΙΟΝΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Εργασία στο μάθημα ΗΛΕΚΤΡΟΝΙΚΗ ΔΗΜΟΣΙΕΥΣΗ Θέμα: Ηλεκτρονική Υπογραφή Μαρινοπούλου Μαρία Επιβλέπον καθηγητής Σαράντος Καπιδάκης

ΠΕΡΙΕΧΟΜΕΝΑ Τι είναι ηλεκτρονική υπογραφή Χρήση ηλεκτρονικής υπογραφής Ελληνική νομοθεσία Κρυπτογράφηση-Ιδιωτικό και δημόσιο κλειδί Ψηφιακά πιστοποιητικά Στάδια χρήσης Παρουσίαση PGP Pretty Good Privasy

ΗΛΕΚΤΡΟΝΙΚΗ ΥΠΟΓΡΑΦΗ Η "νομιμοποίηση" ενός εγγράφου ισοδυναμούσε ανέκαθεν με την υπογραφή που έφερε. Καθώς τα ηλεκτρονικά έγγραφα κάθε είδους τείνουν να αντικαταστήσουν τα "παραδοσιακά" χειρόγραφα, αντίστοιχα και η υπογραφή του συντάκτη γίνεται "εικονική", ηλεκτρονική

Τι είναι ηλεκτρονική υπογραφή Ως ηλεκτρονική υπογραφή, λοιπόν, νοείται κάθε "κλειδωμένη" σύντμηση ηλεκτρονικού κειμένου, η οποία παρέχει εγγύηση της αυθεντικότητας και του αναλλοίωτου του εγγράφου . Έχει επιβεβαιωτική λειτουργία (ο παραλήπτης είναι βέβαιος ότι το μήνυμα που παραλαμβάνει ανήκει στον αποστολέα χωρίς αλλοιώσεις) και εμπιστευτική λειτουργία (µόνο ο παραλήπτης µπορεί να διαβάσει το µήνυμα).

Η ανάπτυξη του Διαδικτύου, το ηλεκτρονικό εμπόριο και οι συναλλαγές μέσω ανοιχτών δικτύων καθιστούν επιτακτική την ανάγκη ασφάλειας, η οποία εξαρτάται σε μεγάλο βαθμό από την υπογραφή, την ταυτότητα δηλαδή των συναλλασσομένων. Ο χρήστης που συναλλάσσεται ηλεκτρονικά απαιτεί: επιστευτικότητα ακεραιότητα αυθεντικότητα μη αποποίηση ευθύνης

ΕΦΑΡΜΟΓΕΣ ΚΑΙ ΠΡΟΟΠΤΙΚΕΣ Τυποποιημένες εφαρμογές ηλεκτρονικών συναλλαγών, όπως η ηλεκτρονική ανταλλαγή δεδομένων (Electronic Data Interchange -EDI), Ηλεκτρονικά τιμολόγια που συντάσσονται σε μορφή άλλη από EDI, Ηλεκτρονικές δημόσιες προμήθειες, Ηλεκτρονική ψηφοφορία, Συστήματα ηλεκτρονικών πληρωμών (π.χ. πιστωτικές κάρτες EuroPay, MasterCard & VISA μέσω του κοινού πρωτοκόλλου τους EMV), Ηλεκτρονικά διαβατήρια και ηλεκτρονικές ταυτότητες (γενικής ή ειδικής χρήσης – π.χ. ναυτικές διεθνείς ταυτότητες) που συνήθως φέρουν ενσωματωμένα και κάποια βιομετρικά στοιχεία (φωτογραφία, δακτυλικά αποτυπώματα κ.τ.λ.) του κατόχου τους, Υπηρεσίες ασφαλούς ηλεκτρονικού ταχυδρομείου (S/MIME), Συστήματα υπογραφής αυθεντικότητας διακινούμενου λογισμικού (π.χ. Microsoft Authenticode), Κλειστές υποδομές PKI για εφαρμογές ασφαλείας μεγάλων οργανισμών (π.χ. NATO), Πιστοποίηση της ταυτότητας εξυπηρετητών Διαδικτύου (web servers), κ.ά..

ΕΛΛΗΝΙΚΗ ΝΟΜΟΘΕΣΙΑ Το ελληνικό Δίκαιο µε ειδική πρόβλεψη (Ν. 2672/1999) προτείνει τον όρο "ψηφιακή υπογραφή" αντί για "ηλεκτρονική", και δίνει τον ορισµό της: "Η ψηφιακής μορφής υπογραφή σε δεδομένα ή λογικά συνεχιζόμενη με αυτά, που χρησιμοποιείται από τον υπογράφοντα ως ένδειξη υπογραφής του περιεχομένου των δεδομένων αυτών, εφόσον η εν λόγω υπογραφή α) συνδέεται μονοσήμαντα με τον υπογράφοντα, β) ταυτοποιεί τον υπογράφοντα, γ) δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον έλεγχό του και δ) συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να αποκαλυφθεί οποιαδήποτε αλλοίωση των εν λόγω δεδομένων". Παρά τον ορισµό αυτό, ο εν λόγω νόµος δεν εξοµοιώνει νομικά τη ψηφιακή υπογραφή µε την ιδιόχειρη, κενό το οποίο ήρθε να καλύψει το Προεδρικό Διάταγµα 150/2001

ΚΡΥΠΤΟΓΡΑΦΗΣΗ 1/2 Η ανάγκη για εμπιστευτικότητα στις ηλεκτρονικές συναλλαγές ικανοποιείται με την κρυπτογράφηση. Ο αποστολέας, χρησιμοποιώντας συγκεκριμένη μαθηματική συνάρτηση, μετατρέπει το αρχικό κείμενο σε μορφή μη κατανοητή για οποιονδήποτε τρίτο (κρυπτογραφημένο κείμενο). Ο παραλήπτης, έχοντας γνώση του τρόπου κρυπτογράφησης, αποκρυπτογραφεί το κείμενο στην αρχική του μορφή. Το μήνυμα παραμένει εμπιστευτικό, ωσότου αποκρυπτογραφηθεί.

ΚΡΥΠΤΟΓΡΑΦΗΣΗ-ΣΥΣΤΗΜΑΤΑ 2/3 ΚΡΥΠΤΟΓΡΑΦΗΣΗ-ΣΥΣΤΗΜΑΤΑ 2/3 Αρχικά το κλειδί κρυπτογράφησης ήταν το ίδιο µε το κλειδί αποκρυπτογράφησης, δηλαδή αποστολέας και παραλήπτης χρησιμοποιούσαν το ίδιο συμμετρικό κρυπτογραφικό σύστηµα (symmetric cryptosystem). ασύμμετρο κρυπτογραφικό σύστηµα - asymmetric or public key cryptosystem. Αργότερα η εξέλιξη οδήγησε στη χρησιµοποίηση δύο κλειδιών, ενός ιδιωτικού και ενός δηµόσιου

ΚΡΥΠΤΟΓΡΑΦΗΣΗ 2/3 Το ιδιωτικό κλειδί (private key) χρησιµοποιείται για το σφράγισµα του ηλεκτρονικού µηνύματος και είναι απόρρητο δηµόσιο κλειδί (public key) αντιστοιχεί στο πρώτο, χρησιµοποιείται για την αποσφράγιση του µηνύματος και δεν είναι απόρρητο. το ιδιωτικό κλειδί το γνωρίζει µόνο ο αποστολέας και µόνο µε αυτό µπορεί κανείς να επέµβει στο κείµενο, ενώ το δημόσιο το γνωστοποιεί σε κάθε συναλλασσόµενό του για να µπορεί να αποκρυπτογραφεί/διαβάζει τα µηνύματα του πρώτου

ΚΡΥΠΤΟΓΡΑΦΗΣΗ 3/3 Οι διάφορες μέθοδοι κρυπτογράφησης βασίζονται στη χρήση ενός "κλειδιού", ενός µαθηματικού δηλαδή κώδικα - αλγόριθµου, ο οποίος διασφαλίζει το µη "αναγνώσιμο" από τρίτους, και χρησιµοποιείται στην κρυπτογράφηση και την αποκρυπτογράφηση. Κάθε αλγόριθµος παίρνει την ονοµασία του από τον αριθµό που µεταλλάσσεται και πρέπει να βρεθεί µε μια σειρά μαθηματικών πράξεων

ΔΗΜΟΣΙΟ ΚΛΕΙΔΙ Στην ηλεκτρονική υπογραφή ακολουθείται το σύστηµα της ασύµµετρης κρυπτογράφησης (δημόσιο κλειδί). Ακόμα κι αν γνωρίζει κάποιος το ένα κλειδί, είναι πρακτικά αδύνατον να υπολογίσει το άλλο. Το ένα κλειδί χρησιμοποιείται για τη δημιουργία της υπογραφής και το άλλο για την επαλήθευσή της. .

ΔΗΜΟΣΙΟ ΚΛΕΙΔΙ Στη διαδικασία της δημιουργίας και επαλήθευσης της υπογραφής υπεισέρχεται και η έννοια της μονόδρομης συνάρτησης κερματισμού (ή κατατεμαχισμού - one way hash). Με την εφαρμογή της συνάρτησης κατακερματισμού, από κάθε μήνυμα -ανεξαρτήτως μεγέθους- παράγεται μια "σύνοψη", η οποία είναι μία σειρά από bits συγκεκριμένου μεγέθους (π.χ. 128 ή 160 bits). Η σύνοψη του μηνύματος (fingerprint ή message digest) αποτελεί ψηφιακή αναπαράσταση του μηνύματος και είναι μοναδική για το μήνυμα που αντιπροσωπεύει.

ΣΤΑΔΙΑ ΧΡΗΣΗΣ η χρήση της ηλεκτρονικής υπογραφής περιλαμβάνει δύο στάδια: τη δημιουργία/μετάδοση και την επαλήθευσή της.

Αποστολέας 1. Δημιουργεί τη σύνοψη του μηνύματος (message digest) που θέλει να στείλει χρησιμοποιώντας κάποιον αλγόριθμο κατακερματισμού (one way hash). 2.Με το ιδιωτικό του κλειδί κρυπτογραφεί τη σύνοψη. Αυτό που παράγεται είναι η ψηφιακή υπογραφή 3. Η κρυπτογραφημένη σύνοψη (ψηφιακή υπογραφή) προσαρτάται στο κείμενο και το μήνυμα με τη ψηφιακή υπογραφή μεταδίδονται μέσω του δικτύου (σημειώνεται ότι ο αποστολέας αν επιθυμεί μπορεί να κρυπτογραφήσει το μήνυμά του με το δημόσιο κλειδί .

Παραλήπτης 1. Ο παραλήπτης αποσπά από το μήνυμα την ψηφιακή υπογραφή (κρυπτογραφημένη -με το δημόσιο κλειδί του αποστολέα- σύνοψη). 2. Εφαρμόζοντας στο μήνυμα που έλαβε τον ίδιο αλγόριθμο κατακερματισμού, ο παραλήπτης δημιουργεί τη σύνοψη του μηνύματος. 3. Στη συνέχεια, αποκρυπτογραφεί με το δημόσιο κλειδί του αποστολέα, την κρυπτογραφημένη σύνοψη του μηνύματος (ψηφιακή υπογραφή). 4. Συγκρίνονται οι δύο συνόψεις και, αν βρεθούν ίδιες, το μήνυμα που έλαβε ο παραλήπτης είναι ακέραιο. Αν το μήνυμα έχει μεταβληθεί, η σύνοψη που θα παράγει ο παραλήπτης θα είναι διαφορετική από τη σύνοψη που έχει κρυπτογραφηθεί.

Κατά συνέπεια, απαιτείται να διασφαλιστεί ότι ο δικαιούχος του ιδιωτικού κλειδιού, και μόνον αυτός, δημιούργησε την ηλεκτρονική υπογραφή, και ότι το δημόσιο κλειδί του αποστολέα που χρησιμοποιεί ο παραλήπτης για την επαλήθευση της υπογραφής είναι όντως του αποστολέα. ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Ο Πάροχος Υπηρεσιών Πιστοποίησης (ΠΥΠ) είναι ο "οργανισμός" που βεβαιώνει με ακρίβεια τη σχέση ενός φυσικού προσώπου με το δημόσιο κλειδί του με την έκδοση ενός ηλεκτρονικού πιστοποιητικού, στο οποίο ο ΠΥΠ πιστοποιεί την ταυτότητα του προσώπου και το δημόσιο κλειδί του.

Κύριος τύπος ψηφιακών πιστοποιητικών είναι τα πιστοποιητικά δημοσίου κλειδιού (public key certificates). Το πιστοποιητικό αναφέρει το δημόσιο κλειδί και επιβεβαιώνει ότι το συγκεκριμένο πρόσωπο είναι ο δικαιούχος του αντίστοιχου ιδιωτικού κλειδιού. Έτσι ο παραλήπτης που λαμβάνει ένα μήνυμα με ψηφιακή υπογραφή, μπορεί να είναι σίγουρος ότι το μήνυμα έχει σταλεί από το πρόσωπο που το υπογράφει. Η συσχέτιση ενός δημόσιου κλειδιού με τον δικαιούχο του γίνεται με χρήση της ψηφιακής υπογραφής του ΠΥΠ, ο οποίος υπογράφει το πιστοποιητικό του δικαιούχου. Η κατοχή του ψηφιακού πιστοποιητικού διασφαλίζεται από την αποκλειστική κατοχή συγκεκριμένων ψηφιακών δεδομένων (ιδιωτικό κλειδί) από το φυσικό πρόσωπο. Ο ΠΥΠ δημοσιεύει ψηφιακά δεδομένα σχετικά με την επαλήθευση της κατοχής του πιστοποιητικού (δημόσιο κλειδί) και εγγυάται για τα στοιχεία του φυσικού προσώπου.

Η ηλεκτρονική υπογραφή δημιουργείται με βάση τα δεδομένα αποκλειστικής κατοχής (ιδιωτικό κλειδί) και τα προς υπογραφή δεδομένα. Βασικοί στόχοι είναι: Η ταυτοποίηση του υπογράφοντος Η εγγύηση της γνησιότητας των ψηφιακών δεδομένων Η δέσμευση του υπογράφοντος ως προς την ηλεκτρονική συναλλαγή Σε αντιδιαστολή με την ιδιόχειρη υπογραφή, το ακριβές περιεχόμενο της ηλεκτρονικής υπογραφής διαφοροποιείται ανάλογα με τα προς υπογραφή δεδομένα, αφού προκύπτει και βάσει αυτών.

Συνέχεια…. Οι ΠΥΠ εκδίδουν τα πιστοποιητικά µε στόχο τη συσχέτιση του δηµόσιου κλειδιού με τον δικαιούχο του, προβαίνοντας παράλληλα και στην οργάνωση µιας αξιόπιστης "Υποδοµής Δηµόσιου Κλειδιού", (PKI Public Key Infrastructure) για την έκδοση, διάθεση και διαχείριση των σχετικών πιστοποιητικών. Κατά συνέπεια, οι ΠΥΠ επιβάλλεται να προσφέρουν µια σειρά από υπηρεσίες, που δεν περιορίζονται στην έκδοση του πιστοποιητικού, αλλά αφορούν τον "κύκλο ζωής" του.

Υπηρεσία Εγγραφής (Registration Authority) Παραλαµβάνει τις αιτήσεις και τα δικαιολογητικά για την έκδοση του πιστοποιητικού και είναι υπεύθυνη για τη συλλογή των πληροφοριών που αποτελούν το απαραίτητο περιεχόµενο του πιστοποιητικού. Τις πληροφορίες αυτές, που είναι απαραίτητες για την ταυτοποίηση του κατόχου των δεδοµένων δηµιουργίας µε τον αιτούντα το πιστοποιητικό, τις µεταβιβάζει στη συνέχεια στην Υπηρεσία Έκδοσης των πιστοποιητικών. Υπηρεσία Έκδοσης Πιστοποιητικών (Certification Authority) Εκδίδει το πιστοποιητικό σύµφωνα µε τη "Δήλωση Πρακτικής Πιστοποίησης".

Υπηρεσία Δηµοσίευσης και Διανοµής (Dissemination Service) Δηµοσιεύει τον κατάλογο µε τα εκδοθέντα πιστοποιητικά, τους ιδιαίτερους όρους χρήσης του κάθε είδους πιστοποιητικού (Πολιτικές Πιστοποιητικών) καθώς και τη Δήλωση Πρακτικής Πιστοποίησης, µε τρόπο που να τις καθιστά προσβάσιµες σε κάθε ενδιαφερόµενο. Υπηρεσία Διαχείρισης και Δηµοσίευσης Ανάκλησης (Revocation Management and Status Service) Διαχειρίζεται τον κατάλογο µε τα υπό έκδοση ή εκδοθέντα πιστοποιητικά. Δέχεται και ελέγχει αιτήµατα ανάκλησης ή παύσης των πιστοποιητικών και προβαίνει στην έγκαιρη ενηµέρωση της "Λίστας Ανακληθέντων Πιστοποιητικών ".

Προαιρετικά, ένας ΠΥΠ µπορεί να παρέχει και τις εξής υπηρεσίες: Υπηρεσίες Χρονοσήµανσης (Time Stamping Authority) των εγγράφων, ύστερα από αίτηση των συνδροµητών. Υπηρεσίες Προµήθειας Συσκευών Δηµιουργίας Υπογραφής (Device Provision Service): υπηρεσίες οι οποίες παρέχουν στο συνδροµητή το ιδιωτικό του κλειδί, συνήθως υπό τη µορφή µιας "έξυπνης κάρτας".

Authentication

ΕΜΠΟΔΙΑ Τα σημαντικότερα προβλήματα διαλειτουργικότητας μεταξύ των υπηρεσιών πιστοποίησης ηλεκτρονικών υπογραφών που παρατηρούνται, αναφέρονται κυρίως στην περιγραφή των στοιχείων του υποκειμένου των πιστοποιητικών (naming policy/conventions), στον τρόπο προσδιορισμού των επιτρεπόμενων χρήσεων των σχετικών κρυπτογραφικών κλειδιών και στα μέσα που χρησιμοποιούνται για την ενημέρωση των κατόχων και των αποδεκτών των ηλεκτρονικών πιστοποιητικών ως προς τους λοιπούς όρους έκδοσης και χρήσης που θέτονται από την εφαρμοζόμενη Πολιτική των εκδιδόμενων πιστοποιητικών Η υφιστάμενη έλλειψη διαλειτουργικότητας στις εφαρμογές ηλεκτρονικών υπογραφών, το μεγάλο κόστος δημιουργίας και διατήρησης μιας ασφαλούς Υποδομής Δημοσίου Κλειδιού και ο μεγάλος επιχειρηματικός κίνδυνος της ανάπτυξης μιας τέτοιας υποδομής την στιγμή που δεν έχουν προσδιοριστεί σαφώς οι τελικές προδιαγραφές.

ΕΜΠΟΔΙΑ ΣΤΑ ΠΛΑΙΣΙΑ ΤΗΣ ΕΕ Ορισμένες ασάφειες του ευρωπαϊκού κανονιστικού πλαισίου, το οποίο προσπαθώντας να εξισορροπήσει μεταξύ τεχνολογικής ουδετερότητας και ασφάλειας δικαίου, καταλήγει σε ορισμένες αοριστίες Η ανάπτυξη αυτόνομων εθνικών κανονιστικών πλαισίων σε ορισμένα κράτη μέλη πριν από την έκδοση της Οδηγίας, και η διαφορετική ερμηνευτική προσέγγιση της Οδηγίας από αυτά τα κράτη μέλη, ώστε να διατηρηθεί απαράλλακτη η υφιστάμενη υποδομή τους, Οι αργοί ρυθμοί ανάπτυξης της προβλεπόμενης σχετικής προτυποποίησης από τους ευρωπαϊκούς οργανισμούς, δεδομένου ότι επιχειρείται η όσο το δυνατόν μεγαλύτερη συμβατότητα με τις υφιστάμενες (διαφορετικές) υποδομές και τα εφαρμοζόμενα συστήματα στα διάφορα κράτη μέλη.

PGP Keys – Encrypt – Sign – Encrypt and sign – Decrypt/Verify – Wipe – Freespace wipe

Με το πάτημα του πλήκτρου OK κρυπτογραφείται το έγγραφο Connexion Με το πάτημα του πλήκτρου OK κρυπτογραφείται το έγγραφο Connexion.doc και δημιουργείται ένα νέο αρχείο με ονομασία Connexion.doc.pgp. Στην περίπτωση που ανοιχθεί το κρυπτογραφημένο αυτό αρχείο εμφανίζεται ο παρακάτω πίνακας όπου ζητείται να δοθεί η κωδική φράση για το ιδιωτικό κλειδί

Αφού δοθεί η κωδική φράση εμφανίζεται ο επόμενος πίνακας:

Δημιουργείται το αρχείο Connexion. doc Δημιουργείται το αρχείο Connexion.doc.sig το οποίο είναι η ηλεκτρονική υπογραφή του αρχείου Connexion.doc.

Διεύθυνση Documentation: www.pgpi.com http://developer.netscape.com/docs/manuals/security/pkin/contents.htm Download: www.gnupg.org http://web.mit.edu/network/pgp.html http://enigmail.mozdev.org/

PGP Signed Message -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 This is simply the text of the message. It has not been encrypted, simply signed -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 6.5.3 for non-commercial use <http://www.pgp.com> iEYEARECAAYFAj5Ha6AACgkQ99/KQPj2cRNHsQCffKf64LwWQMfRIiKUfs6QrokB7twAnR5gDobzGapPgyLKQ0gLklj1WIIp=gXad -----END PGP SIGNATURE-