Razlika med digitalnim potrdilom in elektronskim podpisom
Blogs
Človeštvo se že od iznajdbe kolesa pred 6000 leti vseskozi trudi čim bolj poenostaviti življenje in delo. In v 21. stoletju ni nič drugače.
Poslovna in vedno bolj tudi zasebna plat življenja se selita v digitalno okolje. Da kakovostno opravimo svoje delo, nam ni treba biti fizično na delovnem mestu, različno dokumentacijo pa lahko prav tako udobno in hitro uredimo od doma.
Taka selitev pa za sabo potegne številne izzive. Ko podpisujete pogodbe, potrjujete finančne transakcije ali pošiljate zaupne dokumente, se zagotovo srečujete z dvema besednima zvezama:
osebno digitalno potrdilo
in
elektronski podpis
. In čeprav sta oba ključna pri zagotavljanju pristnosti in neokrnjenosti digitalnih komunikacij, vsak od njiju služi svojemu namenu in vključuje drugačne mehanizme.
V tem zapisu bomo vstopili v svet digitalnih potrdil in elektronskih podpisov, raziskali razlike in podobnosti med njima ter pogledali, na kakšen način prispevata k spletni varnosti.
Digitalno potrdilo: temelj zaupanja na spletu
Kaj je digitalno potrdilo? V svojem jedru je digitalno potrdilo neke vrste kriptografska poverilnica, nadomestek osebne izkaznice, s katero v digitalnem svetu osebe ali organizacije izkazujejo svojo identiteto. Je računalniški zapis, ki vsebuje podatke o imetniku, njegov javni ključ in podatke o izdajatelju digitalnega potrdila (ponudniku kvalificiranih storitev zaupanja) ter obdobje veljavnosti.
Kako deluje digitalno potrdilo
Digitalno potrdilo deluje na podlagi infrastrukture javnih ključev (public key infrastructure, PKI), ki omogoča varno komuniciranje prek spleta s pomočjo asimetričnega šifriranja oziroma enkripcije. Poteka v naslednjih korakih:
1. Ustvarjanje para ključev: varno spletno mesto za novega imetnika digitalnega potrdila ustvari par kriptografskih ključev, enega javnega in enega zasebnega. Javni je vključen v digitalnem potrdilu, zasebni pa je varno shranjen in dostopen samo imetniku.
2. Zahtevek potrdila: spletno mesto izdajatelju digitalnega potrdila posreduje zahtevek za podpis potrdila (certificate signing request, CSR), ki vključuje javni ključ spletnega mesta in identifikacijske informacije.
3. Validacija: izdajatelj digitalnega potrdila potrdi identiteto imetnika (tistega, ki je zahteval izdajo potrdila) in zahtevek za podpis potrdila.
4. Izdaja potrdila: izdajatelj po uspešni validaciji imetniku izda digitalno potrdilo, podpisano z njegovim zasebnim ključem, ki poveže identiteto imetnika in imetnikov javni ključ.
5. Distribucija potrdila: digitalno potrdilo postane javno dostopno in omogoča preverbo identitete imetnika.
6. Varno poslovanje: imetnik digitalnega potrdila lahko z zasebnim ključem varno podpisuje elektronske dokumente. Vsakdo lahko (verodostojno) preveri veljavnost podpisa z imetnikovim javnim ključem in identiteto imetnika (prek digitalnega potrdila, ki povezuje javni ključ z imetnikom).
7. Veriga zaupanja: ker obiskovalci zaupajo izdajatelju digitalnega potrdila, ki ga vsebujejo njihovi brskalniki, posledično zaupajo tudi potrdilu imetnika.
Primeri uporabe digitalnih potrdil
Digitalna potrdila se uporabljajo za različne namene. Za varno identifikacijo spletnega mesta. Ali za varno identifikacijo imetnika, ki želi varno poslovati v spletu.
Digitalna potrdila se uporabljajo tudi za šifriranje elektronskih sporočil, ki jih lahko dešifrirajo in preberejo prejemniki sporočil, katerim so dejansko namenjena. In nenazadnje, digitalna potrdila uporabljamo za varno elektronsko podpisovanje elektronskih dokumentov.
Razvijalci programske opreme lahko uporabljajo digitalna potrdila recimo za podpisovanje kode, s čimer jamčijo, da vanjo ni posegal nihče in jo lahko brez skrbi zaženemo.
Zdaj nam je jasno, kaj je in kako deluje digitalno potrdilo. Kaj pa elektronski podpis?
Elektronski podpis (tudi e-podpis)
je niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani in jih podpisnik uporablja za podpisovanje (tako nam to določa uredba eIDAS).
Elektronski podpis omogoča preverbo identitete podpisnika in pomeni nekakšno digitalno različico lastnoročnega podpisa (več o tem lahko preberete v zapisu
Kako vem, da je elektronski podpis varen
).
Z elektronskim podpisom označujemo strinjanje, odobritev ali potrditev vsebine digitalnega dokumenta ali transakcije. E-podpis omogoča udoben in učinkovit način podpisovanja dokumentov.
Po uredbi eIDAS ločimo tri tipe e-podpisov:
elektronski podpis (electronic signature – ES) predstavlja najpogostejšo vrsto elektronskega podpisa, ker je najenostavnejši za uporabo in ne zahteva preverjanja identitete (recimo vaše ime in priimek, ki ju natipkate na koncu elektronskega sporočila) in uporablja zgolj osnovna orodja za e-podpisovanje;
napredni elektronski podpis (advanced electronic signature – AES) je ustvarjen na podlagi podatkov za generiranja elektronskega podpisa, ki jih podpisnik z visoko stopnjo zaupanja lahko uporablja izključno pod svojim nadzorom, z njim ga lahko identificiramo, vsaka kasnejša sprememba podatkov se opazi;
kvalificirani elektronski podpis (qualified electronic signature – QES) je nekoliko nadgrajen napredni elektronski podpis in temelji na kombinaciji kvalificiranega digitalnega potrdila kvalificiranega ponudnika storitev zaupanja (overitelja) ter posebnega elektronskega sredstva oziroma namenske naprave za varno hrambo zasebnega ključa in ustvarjanje podpisa, na primer pametne kartice, SIM kartice, USB-ključka ali rešitve podpisa na daljavo (v oblaku).
Kvalificirani elektronski podpis ima popolnoma enako pravno veljavnost kot lastnoročni podpis na klasičnem papirnem dokumentu.
Seveda pa odločitev, kateri elektronski podpis boste uporabili, temelji na vrsti dokumentacije in poslovnem tveganju, povezanem z dokumentacijo. Za določene dokumente boste, če tako določa specifična zakonodaja, izbrali kvalificirani elektronski podpis, medtem ko pri sodelovanju s stranko, s katero sodelujete redno oziroma ste jo v preteklosti že avtenticirali, več kot zadostuje napredni elektronski podpis, ki deluje na enaki osnovi kot kvalificirani.
Kako deluje elektronski podpis v praksi
Logika sklepanja dogovora v digitalnem svetu je praktično enaka klasičnemu načinu sestavljanja in podpisovanja dokumentov - če odštejemo odvečne pisarniške aktivnosti, ki običajno požrejo največ časa (in denarja): tiskanje, podpisovanje, skeniranje, vnovično tiskanje, pošiljanje po pošti, čakanje na podpis ... Zajema naslednje preproste korake:
1. Ustvarjanje dokumenta: dokument ustvarite, kakor ste navajeni, v svojem najljubšem pisarniškem programu, namesto da bi ga natisnili, pa ga shranite kot PDF.
2. Priprava dokumenta na podpis: v okolju za elektronsko podpisovanje izberete podpisnike, določite tip avtentikacije in podpisa ter svoj PDF opremite s podpisnimi oznakami in morebitnimi interaktivnimi polji za pridobivanje dodatnih informacij.
3. Avtentikacija: vaš podpisnik bo glede na tip podpisa in avtentikacijo, ki ste ju zanj izbrali v prejšnjem koraku, za dostop do dokumenta izkazal svojo identiteto.
4. Podpis: ko pridopi pravico za dostop do dokumenta, se podpisnik podpiše.
5. Zaključek postopka podpisovanja: ko dokument podpišejo vsi podpisniki, ga vsak od njih tudi prejme na svoj elektronski naslov.
Digitalno potrdilo in elektronski podpis igrata ključni vlogi pri zagotavljanju varnosti, nedotakljivosti in avtentičnosti spletnih komunikacij in transakcij.
Digitalna potrdila vzpostavljajo zaupanje na spletnih mestih in šifrirajo podatke, ki se prenašajo prek spleta, s čimer zagotavljajo varnost identitete in povezave.
Elektronski podpisi
, od enostavnih do kvalificiranih, pa po drugi strani nudijo učinkovit in zakonsko skladen način podpisovanja dokumentov in sklepanja digitalnih transakcij.
S kombinacijo obojih boste odlično opremljeni za potovanje po digitalni krajini varnosti in skladnosti z zakonodajo, vaš posel pa bo dobil pospešek.
