Икономически университет – ВАРНА

Център „Магистърско обучение”

Катедра: Информатика

Реферат

по дисциплина: Безопасност и защита на комютърни системи и

приложения

Тема: Цифровият подпис - теория и практика

Изготвил: Проверил:

Боряна Тонева Грудова Доц.д-р Стефан Дражев

СИН: 12701, гр.64 Ас. Радка Начева

Дата: 02.04.2015г.

Варна, 2015

Съдържание:

Увод.....................................................................................................................................................2

I. Същност на електронния подпис..............................................................................................3

II. Видове електронен подпис.........................................................................................................4

1. Усъвършенстван......................................................................................................................4

2. Квалифициран..........................................................................................................................4

III. Удостоверение за електронен подпис...................................................................................4

1. Същност на удостоверението за електронен подпис...........................................................4

2. Предимства на удостоверението за електронен подпис......................................................5

3. За какво служи УЕП................................................................................................................6

IV. Частен и публичен ключ.........................................................................................................6

1. Частен ключ.............................................................................................................................6

2. Публичен ключ........................................................................................................................6

V. Защита на ключа за подписване................................................................................................7

VI. Хардуер за използване на УЕП..............................................................................................7

VII. Проблеми при използването на електронен подпис............................................................8

VIII. Общо приложение на електронния подпис за физически и юридически лица.................9

1. Физически лица.......................................................................................................................9

2. За фирми...................................................................................................................................9

3. Специални приложения........................................................................................................10

IX. Сравнителна таблица на предлаганите услуги за физически и юридически лица от B-

TRUST и StampIt:.............................................................................................................................10

Заключение.......................................................................................................................................13

Използвана литература....................................................................................................................14

1

Увод

Електронният обмен на съобщения през затворени и отворени мрежи като Интернет е

част от съвременния начин на живот. Ежедневно се разменят милиарди електронни

съобщения. Предимствата са безспорни: икономичност, бързина, улеснение, възможност за

неограничено съхраняване на съобщения, различни форми за комуникация,

видеоконференции, електронна поща, чат, форуми, мейлинг листи и др.

Същевременно комуникационните мрежи се превръщат в среда за размяна на

изявления между потребители, което открива възможност за встъпване в различни

санкционирани от правото отношения и особено за размяна на блага.

Проблемът, с който потребителите се сблъскват при този начин на комуникация, е

свързан със сигурността, целостта и автентичността на изпращаните електронни изявления.

С други думи, поставя се въпросът как да се установи кой точно е автор на изпратеното

съобщение, как да се постигне увереност, че съобщението не е променяно от момента на

изпращането до момента на получаването.

Сигурно средство за удостоверяването на автентичността при традиционните средства

за комуникация е полагането на саморъчен подпис.

С развитието на информационните технологии като аналог на саморъчния подпис за

осигуряване на същата степен на сигурност и възможност за доказване на авторство на

електронните изявления е разработена концепцията за електронен подпис.

2

I. Същност на електронния подпис

В Европейския съюз е създадена Директива N 93 от 1999 г., целта на която е правното

признание на електронния подпис. Аналогични закони действат в Германия, Италия, Индия,

някои щати на САЩ и други страни. Анализът на националната и международна

законодателна база свидетелства за наличие на различни подходи в регулирането и

използването на електронните подписи. Различия се установяват най-вече при използване на

електронния подпис (например в публичната администрация, при банкови операции, между

организации и др.).

Като термин от Закона за електронния документ и електронен подпис,

електронният подпис (електронен ключ) се определя като информация в електронна

форма, която е присъединена към друга информация в електронна форма (подписвана

информация) или в друг вид, свързана с такава информация, която се използва от

определени лица, подписващи информацията. Електронният подпис е информация, която

свързва два обекта (субекта): подписаният документ и подписващото лице. Сертификат на

електронния ключ за проверка на електронния подпис се издава от акредитиран

удостоверяващ център или доверено лице на такъв център, упълномощени да издават и

контролират електронни цифрови подписи.

Според информатизацията в електронния бизнес, все по-остро се поставя въпосът за

законодателни права, които значително да разширят областта на приложения на електронния

подпис и да позволят воденето на юридически значим електронен документооборот. Във

връзка с това и редица други обстоятелства се стига до промяна в Закона за електронния

документ и електронен подпис, която влиза в сила от 1 юли 2011 г.

Електронният подпис като реквизит на електронен документ е предназначен за

защитата му от фалшификация. Това е криптографски подпис или по-точно, математическа

функция, получена в резултат на криптографска обработка на информацията, извършена с

цел да се удостовери самоличността на изпращача и да се гарантира, че информацията не е

била променяна по пътя между изпращането и получаването. Електронните подписи се

използват при дистрибуция на софтуер, при финансови транзакции и навсякъде, където се

обменя важна информация по електронен път и е много важно евентуално фалшифициране

или опит за фалшифициране да бъдат открити навреме.

Електронният подпис използва за криптирането алгоритъм, с една степен по-сигурен

от алгоритмите, използващи хеш-функция за удостоверяване на самоличността на

изпращача. Използва се асиметрична криптография с двойка ключове - частен и публичен,

3

като с единия се криптира, а с другия се декриптира.

II. Видове електронен подпис

Съществуват два вида електронен подпис - усъвършенстван и квалифициран:

1. Усъвършенстван е електронен подпис, който:

дава възможност за идентифициране на автора;

е свързан по уникален начин с автора;

е създаден със средства, които са под контрола единствено на автора;

е свързан с електронното изявление по начин, който осигурява

установяването на всякакви последващи промени.

2. Квалифициран е усъвършенстван електронен подпис, който отговаря на две

допълнителни изисквания:

придружен е от издадено от доставчик на удостоверителни услуги (ДУУ)

удостоверение за квалифициран електронен подпис, удостоверяващо връзката

между автора и публичния ключ за проверка на подписа;

създаден е посредством устройство за сигурно създаване на подписа.

Квалифицираният електронен подпис има значението на саморъчен подпис.

III. Удостоверение за електронен подпис

1. Същност на удостоверението за електронен подпис

Удостоверението за електронен подпис (УЕП) е средство, което дава възможност на

дадено лице, което участва в електронна транзакция да докаже самоличността си пред

другите участници в тази транзакция. Наричано е още цифров сертификат, който

представлява форматирани данни, които свързват определен абонат (физическо или

юридическо лицe) с неговия публичен ключ, записани върху смарт карта.

Удостоверението е цифров сертификат, издаден и подписан от доставчика на

удостоверителни услуги, който съдържа:

наименованието, адреса, единния граждански номер или единния

идентификационен код на доставчика на удостоверителни услуги, както и

указание за националността му;

4

името или фирмата, адреса, данни за регистрацията на титуляра на УЕП;

основанието на овластяването, името и адреса на физическото лице (автора),

което е овластено да извършва електронни изявления от името на титуляря на

УЕП;

публичния ключ, който съответства на частния ключ на титуляря на УЕП;

идентификаторите на алгоритмите, с помощта на които се използват

публичните ключове на титуляря на УЕП и на доставчика на

удостоверителни услуги;

датата и часа на издаването, спирането, възобновяването и прекратяването на

действието;

срока на действие;

ограниченията на действието на подписа;

уникалния идентификационен код на удостоверението;

отговорността и гаранциите на доставчика на удостоверителни услуги;

препратка към удостоверението за електронен подпис на доставчика на

удостоверителни услуги, както и към регистрацията на доставчика в КРС.

2. Предимства на удостоверението за електронен подпис

Удостоверението за електронен подпис осигурява:

автентичност – знае се с кого се кореспондира;

цялостност - документът не е променян по пътя до получателя през Интернет;

конфиденциалност - може да се изпраща конфиденциална информация,

известна само на общуващите страни;

неотменяемост - кореспондентът е автор и не може да се отрече от направено

изявление;

икономия на времето - изразходваното за дейността време е драстично

намалено, което резултира в по-ниски разходи.

3. За какво служи УЕП

С помощта на УЕП може да се извършат следните дейности:

5

подписване на документи;

използване на електронни услуги1, включително тези на НАП, Агенция

митници и други;

криптиранe на електронни транзакции, включително изпращане на

съобщения по електронна поща, така че да се гарантира сигурност, че

обменяната информация ще може да бъде прочетена единствено и само от

адресата на дадено съобщение;

ако има сървър, с който се предлагат някакви услуги, да се осигури

идентичността му в интернет пространството и да се гарантира, че

обменяната със сървъра информация не може да бъде прочетена

(разшифрована) от никого освен от идентифицирания сървър и неговите

администратори;

подписване на софтуерен обект, с което се доказва авторство върху него, и

други.

IV. Частен и публичен ключ

Електронният подпис е уникална двойка цифрови ключове.

1. Частен ключ

Ключ, известен само на притежателя му. Самосъхраняването на тайната на частния

ключ гарантира невъзможността за фалшификация от злоумишленици на документа и

цифровият подпис от името на подписващия. Според българския закон това е „единият от

двойка ключове, използван в асиметрична криптосистема за създаване на електронен

подпис“.

2. Публичен ключ

PKI (на английски: Public Key Infrastructure) - на български се среща като

„инфраструктура на публичния ключ", „публична ключова идентификация" - е технология за

проверка на автентичността на електронен документ с помощта на публичен ключ. Това е

съвкупността от хардуер, софтуер, хора, политики и процедури, необходими за издаването,

управлението, разпределението, използването, съхранението и отнемането на цифрови

сертификати.

1 https://www.stampit.org/bg/page/816

6

V. Защита на ключа за подписване

Ключът за подписване може да се защити от компрометиране по два начина:

Авторът сам генерира ключовата двойка (подписващ/проверяващ ключ)

и предоставя ключа за проверка на електронния подпис за удостоверяване от

доставчик на удостоверителни услуги. По този начин ключът за подписване

остава под контрол на автора.

Доставчикът на удостоверителни услуги генерира ключовата двойка

(подписващ/проверяващ ключ) като използва смарт карта. От картата технически

може да се получи само ключът за проверка на електронен подпис. Доставчикът

извлича и удостоверява този ключ. Ключът за подписване може да се използва

само след въвеждане на ПИН от автора. Авторът получава първоначално ПИН от

Доставчика и е задължен да го промени.

По този начин доставчикът на удостоверителни услуги няма достъп до ключа за

подписване и авторът има изключителния контрол върху ключа за подписване в

съответствие със ЗЕДЕП.

VI. Хардуер за използване на УЕП

За ползването на УЕП са необходими:

смарт карта (вж.фиг.1, вж.фиг.2), на която се записва удостоверениeто за

електронен подпис;

Фиг.1 Смарт карта Фиг.2 Смарт карта

7

карточетец - на фиг.3 и фиг.4 са показани два типа каточетци.

фиг.3 Карточетец фиг.4 Карточетец

VII. Проблеми при използването на електронен подпис

При прилагането на ЗЕДЕП в България се констатират два сериозни проблема:

Използването на електронен подпис не гарантира еднозначно

самоличността на титуляра на подписа.

Процедурата за издаване на електронен подпис не гарантира напълно отсъствието на

копия на използвания за подписването криптографски ключ. Стандартната практика е

титулярът да получава смарт карта, където ключът е вече записан. Тъй като не е предвидена

възможност за контрол — дали ключът е генериран от самата карта, или е създаден извън

нея и записан впоследствие — съществува теоретическа и практическа възможност

удостоверителят или негов служител да се сдобият с копие на ключа. Единствените гаранции

за отсъствието на копия са юридически (забрана в текста на закона).

Не е създаден механизъм за удостоверяване на подписите на

удостоверителите.

Регистрираните удостоверители използват самоподписани сертификати. Не е

предвиден практически приложим стандартен начин за дистанционно получаване на

гарантирано автентични копия от тези сертификати. Както КРС, така и самите

удостоверители инструктират онези, които желаят да се сдобият с копие на сертификатите,

да ги инсталират ръчно от сайтовете на удостоверителите. При това се използва или

незащитена връзка или връзка, защитена чрез сървърен сертификат, удостоверен със същия

самоподписан сертификат, чиято автентичност трябва да бъде проверена. За желаещите да се

сдобият с копия на сертификатите е възможно периодично да ги получават лично в офиса на

всеки от регистрираните удостоверители, но поради липсата на удостоверяване от страна на

КРС този вариант също не гарантира безспорно автентичността им.

8

В резултат на тези проблеми използването на електронни подписи и сървърни

сертификати по смисъла на ЗЕДЕП е неприложимо като метод за практическо

удостоверяване на самоличност. Действащото законодателство обаче постановява, че

титулярът носи отговорност за всяко действие, подписано с копие на ключа му. Аналогично

всеки, който инсталира непроверени, самоподписани сертификати, отговаря сам за

евентуалните последици от действията си. Това позволява системата да се използва както от

държавната администрация, така и от множество фирми, които предлагат услуги, изискващи

удостоверяване на самоличността, въпреки непълноценната и реализация.

VIII. Общо приложение на електронния подпис за физически и

юридически лица

1. Физически лица

Обмен на документи с администрацията - данъчни декларации, молби,

жалби и всякакви други документи, които обменяте с държавните структури.

Сигурно онлайн банкиране – осигурява най-висока степен на сигурност.

Банките препоръчват използването на електронен подпис, защото той в най-

голяма степен изключва злоупотреби и възможност за манипулации.

Наличието на електронен подпис е едно от задължителните изисквания, при

активни операции, включително плащания по Интернет. Осигурява

възможност за използване на различни системи с електронен подпис, което

опростява работата, пести време и доставя достъп независимо от

местоположението.

За защитен обмен на информация – подписването на кореспонденция с

електронен подпис гарантира, че тя остава непроменена по пътя си в

Интернет до достигане на точния получател. Електронните подписи

предлагат механизъм за криптиране на  информацията, така че тя да остане

напълно конфиденциална.

2. За фирми

Подаване на данъчни, осигурителни и трудови документи: справки-

декларации и дневници по ДДС (към НАП, НОЙ, Митници, Интрастат и

други), регистриране на трудови и граждански договори;

Издаване на електронни фактури, които са признати електронни документи,

което пести разходи и време, подобрява отношенията с партньори и клиенти;

9

Преминаване към безхартиен документооборот и съхранение. Намаляне на

разходите и ускоряване на бизнес процесите;

Въвеждане на политика на подписване на вътрешния документооборот, което

води до повишаване прозрачността и осигуряване на достоверност и

неотменност на фирмените процеси.

3. Специални приложения

Специализирани подписи се използват за различни приложения като:

удостоверяване на автентичността на данните на сървър;

защита на електронна поща;

криптиране/декриптиране на информация;

удостоверяване на самоличност във виртуални частни мрежи (VPN).

IX. Сравнителна таблица на предлаганите услуги за физически и

юридически лица от B-TRUST и StampIt:

Сравнителната таблица за физически лица (табл.1) показва, че двете органицазии

предлагат услугите си за период от 1 или 3 години, а цените им са конкурентни. StampIt

предлага закупуване само на две от услугите си за прериод от 3 години.

Прави впечатление, че B-TRUST предоставя част от услугите си срещу еднократно

плащане, което липсва при StampIt, които предлагат същите услуги срещо едногодишно или

тригодишно заплащане.

Като извод от направеното сравнение може да се каже, че и двете организации

предоставят разнообразни услуги както самостоятелно, така и в пакети за различен период от

време. Това позволява възможност за избор от страна на клиента да се възползва от тях за

желяния от него период.

10

Таблица 1

Сравнителна таблица на предлагани услуги на B-TRUST и StampIt за физически лица.

Физически лица B-TRUST StampIt

1г. Еднократно плащане

3г. 1г. Еднократно плащане

3г.

Цена без карта и четец 12.00лв. - 34.20лв. 12.00лв. - 32.40лв.

Издаване с карта и четец

38.40лв. - 60.60лв. 36.00лв. - -

Подновяване 12.00лв. - - 12.00лв. - 32.40лв.

Смарт карта - 12.00лв. - 9.60лв. - -

Четец за смарт карти - 14.40лв. - 14.40лв. - -

Комплект:смарт карта и четец

- 26.40лв. - 36.00лв. - -

Четец PinPad - 81.60лв. - - - -

Абонамент за ползване на електронна пощeнска кутия

12.00лв. - 34.20лв. 12.00лв. - -

Сървърен 144.00лв. - 300.00лв. 90.00лв. - -

Консултантски услуги/Технически услуги от офис

- 12.00лв./човеко-час

- - 12.00лв./човеко-час

-

Консултантски услуги/Технически услуги на адрес с транспорт

- 42.00лв./човеко-час

- - 42.00лв./човеко-час

-

Консултантски услуги/Технически услуги на адрес без транспорт

- 36.00лв./човеко-час

- - - -

11

Услугите предлагани от B-TRUST и StampIt за юридически лица (Табл.2) се

предоставят за една или три години, като единствената услуга, която StampIt предлага за

период от 3г. е издаване/подновяване на е-подпис без карта и четец. В това отношение B-

TRUST притежава предимство пред конкурентната фирма. Освен възможността за по-

дългосрочно закупуване на услуги B-TRUST предлага част от тях срещу еднократна такса.

Практика, която липсва при StampIt.

Въпреки наблюдаваните различията между двата доставчика на удостоверителни

услуги в цените и валидността на услугите, те са съобразени спрямо нуждите на клиентите, с

цел удовлетворяване на различни изисквания.

Таблица 2

Сравнителна таблица на предлагани услуги на B-TRUST и StampIt за юридически лица.

Юридически лица B-TRUST StampIt

1г. Еднократно плащане

3г. 1г. Еднократно плащане

3г.

Цена без карта и четец 50.40лв. - 132.30лв. 48.00лв. - 126.00лв.

Издаване с карта и четец

76.80лв. - 158.70лв. 72.00лв. - -

Подновяване 48.00лв. - - 48.00лв. - 126.00лв.

Смарт карта - 12.00лв. - 9.60лв. - -

Четец за смарт карти - 14.40лв. - 14.40лв. - -

Комплект: смарт карта и четец

- 26.40лв. - 36.00лв. - -

Четец PinPad - 81.60лв. - - - -

Абонамент за ползване на електронна пощeнска кутия

12.00лв. - 34.20лв. 12.00лв. - -

Сървърен 144.00лв. - 300.00лв. 90.00лв. - -

Консултантски услуги/Технически услуги от офис

- 12.00лв./човеко-час

- - 12.00лв./човеко-час

-

Консултантски услуги/Технически услуги на адрес с транспорт

- 42.00лв./човеко-час

- - 42.00лв./човеко-час

-

Консултантски услуги/Технически услуги на адрес без транспорт

- 36.00лв./човеко-час

- - - -

12

Заключение

Използването на електронен подпис не е технологичен лукс. Е-подписът спестява

разходи на бизнеса и гражданите и позволява оптимизиране на работата на администрацията.

Предимствата от използването на електронен подпис се наблюдават в различни направления.

По правило при използването на цифров подпис се ограничава корупцията, намаляват се

бюджетните разходи за издръжка на институциите. От една страна, се спестява време на

самите държавни служители, а от друга използването на тонове хартия и канцеларски

материали става ненужно, както и съхранението на купища хартиени документи. Като друго

предимство може да се посочи, че се понижават разходите за потребителите за работа с

администрацията.

Предоставянето на ясна информация за възможностите и предимствата от

използването на е-подпис трябва да е сред приоритетите на всяка администрация, която

предлага такива услуги.

13

Използвана литература

1. Парушева, Силвия, Несторов, Кольо. Електронен бизнес Втора част, 2014. 219с.

2. https :// bg . wikipedia . org / wiki /

3. https://www.b-trust.org

4. https://www.stampit.org

5. http://www.esign.bg/

6. http://www.ngobg.info

7. https://support.office.com/bg-bg/article/%D0%9A%D0%B0%D0%BA-

%D0%B4%D0%B0-%D1%80%D0%B0%D0%B7%D0%BF%D0%BE%D0%B7%D0%BD

%D0%B0%D0%B5%D0%BC-%D0%B4%D0%B0%D0%BB%D0%B8-

%D0%B5%D0%B4%D0%B8%D0%BD-%D1%86%D0%B8%D1%84%D1%80%D0%BE

%D0%B2-%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81-%D0%B5-

%D0%B4%D0%BE%D1%81%D1%82%D0%BE

%D0%B2%D0%B5%D1%80%D0%B5%D0%BD-0464f8ab-fefa-4bc7-af0d-

e07a12f7097e?ui=bg-BG&rs=bg-BG&ad=BG#top

14