Seperti semua orang, pelanggan jaringan data mungkin tidak percaya satu sama lain atau berperilaku tidak jujur. Mereka dapat memalsukan pesan orang lain, menyangkal kepengarangannya, atau menyamar sebagai orang lain. Masalah-masalah ini menjadi sangat relevan sehubungan dengan perkembangan e-commerce dan kemungkinan membayar layanan melalui Internet. Oleh karena itu, dalam banyak sistem komunikasi, penerima surat menyurat harus dapat memverifikasi keaslian dokumen, dan pembuat pesan elektronik harus dapat membuktikan kepengarangannya kepada penerima atau pihak ketiga. Oleh karena itu, dokumen elektronik harus memiliki tanda tangan fisik yang setara. Dalam hal ini, tanda tangan harus memiliki properti berikut:
- tanda tangan hanya diperbanyak oleh satu orang, dan keasliannya dapat disertifikasi oleh banyak orang;
- tanda tangan terkait erat dengan pesan ini dan tidak dapat dialihkan ke dokumen lain;
- Setelah suatu dokumen ditandatangani, dokumen tersebut tidak dapat diubah;
- tidak mungkin menolak tanda tangan, artinya orang yang menandatangani akta itu nantinya tidak dapat menyatakan bahwa ia tidak menandatanganinya.
Algoritma Asimetris enkripsi dapat digunakan untuk membentuk tanda tangan digital (elektronik).(tanda tangan digital) – tambahan numerik unik pada informasi yang dikirimkan, memungkinkan Anda memverifikasi kepengarangannya. Tanda tangan digital elektronik(EDS) adalah urutan bit dengan panjang tetap, yang dihitung dengan cara tertentu menggunakan isi informasi yang ditandatangani dan kunci rahasia.
Saat membuat tanda tangan digital, seluruh pesan atau hasil penghitungan fungsi hash pesan dienkripsi dengan cara khusus. Metode yang terakhir biasanya lebih disukai, karena pesan yang ditandatangani mungkin memilikinya ukuran yang berbeda, terkadang cukup besar, dan kode hash selalu memiliki panjang yang konstan, tidak terlalu panjang. Mari kita lihat lebih dekat kedua opsi untuk menghasilkan tanda tangan elektronik.
Metode paling sederhana, seperti halnya enkripsi terbuka, didasarkan pada penggunaan sepasang kunci yang saling berhubungan (publik dan pribadi). Namun, peran kunci privat dan publik berubah - kunci penandatanganan menjadi rahasia, dan kunci verifikasi menjadi publik. Jika pada saat yang sama properti dipertahankan bahwa hampir tidak mungkin menemukan kunci pribadi menggunakan kunci publik, maka pesan itu sendiri, yang dienkripsi dengan kunci rahasia, dapat bertindak sebagai tanda tangan. Dengan demikian, hanya pemilik kunci privat yang dapat menandatangani pesan, namun siapa pun yang memiliki kunci publiknya dapat memverifikasi tanda tangan tersebut.
Misalnya, pengguna A ingin mengirim pesan bertanda tangan ke pengguna B. Tata cara pembuatan dan verifikasi tanda tangan terdiri dari langkah-langkah sebagai berikut:
- Pengguna A mengenkripsi pesan M dengan kunci pribadinya R dan menerima pesan terenkripsi C.
- Pesan terenkripsi dikirim ke pengguna B.
- Pengguna B mendekripsi pesan yang diterima C menggunakan kunci publik pengguna A. Jika pesan didekripsi, maka pesan tersebut ditandatangani oleh pengguna A.
beras. 9.2.
Beras. 9.2.
Selama pengguna A menyimpan kunci pribadinya dengan aman, tanda tangannya sah. Selain itu, tidak mungkin mengubah pesan tanpa memiliki akses ke kunci pribadi pelanggan A; Ini memastikan keaslian dan integritas data.
Representasi fisik dari pasangan kunci bergantung pada sistem spesifik yang mendukung penggunaan tanda tangan digital. Paling sering, kunci ditulis ke file, yang, selain kunci itu sendiri, mungkin berisi, misalnya, informasi tentang pengguna - pemilik kunci, masa berlaku kunci, serta kumpulan tertentu data yang diperlukan untuk pengoperasian sistem tertentu (untuk informasi lebih lanjut, lihat " Tanda tangan digital elektronik"). Data tentang pemilik kunci memungkinkan penerapan fungsi penting lainnya dari tanda tangan digital - menetapkan kepengarangan, karena ketika memeriksa tanda tangan, segera menjadi jelas siapa yang menandatangani pesan ini atau itu. Biasanya, produk perangkat lunak yang melakukan verifikasi tanda tangan digital dikonfigurasi sehingga hasil eksekusi muncul di layar dalam bentuk yang mudah dibaca yang menunjukkan pengguna yang menandatangani, misalnya seperti ini:
"Tanda tangan file order.doc sudah benar (
Pada Gambar. 9.2 menunjukkan diagram pembentukan yang disebut tanda tangan digital dengan pemulihan dokumen. Tanda tangan digital dengan pemulihan dokumen tampaknya berisi dokumen yang ditandatangani: dalam proses verifikasi tanda tangan, badan dokumen dihitung secara otomatis. Jika pesan dipulihkan dengan benar saat didekripsi, maka tanda tangannya sudah benar. Tanda tangan digital dengan pemulihan dokumen dapat diimplementasikan, misalnya, menggunakan salah satu algoritma pembuatan tanda tangan digital paling populer - RSA.
Saat menggunakan tanda tangan digital dengan pemulihan dokumen, seluruh pesan ditandatangani, yaitu dienkripsi. Saat ini, hal ini biasanya tidak dilakukan dalam praktik. Algoritma enkripsi dengan kunci publik cukup lambat, selain itu, mengonfirmasi integritas pesan memerlukan banyak memori. Selain itu, hampir semua algoritma penghitungan tanda tangan digital yang digunakan digunakan untuk menghitung pesan dengan panjang standar yang telah ditentukan. Misalnya, dalam algoritma pembuatan tanda tangan digital Rusia, GOST R34.10-94, ukuran ini didefinisikan sebagai 32 byte. Oleh karena itu, untuk menghemat waktu dan sumber daya komputasi, serta kemudahan pengoperasian, algoritma asimetris biasanya digunakan bersama dengan beberapa jenis fungsi hash satu arah. Dalam hal ini, pertama-tama, dengan menggunakan fungsi hash, kode hash dengan ukuran yang diperlukan dihitung dari pesan dengan panjang sewenang-wenang, dan kemudian, untuk menghitung tanda tangan digital, kode hash yang diperoleh dari pesan pada tahap sebelumnya dienkripsi.
Tanda tangan digital yang dihitung menggunakan kode hash dokumen disebut tanda tangan digital yang dilampirkan. Tanda tangan digital tersebut merupakan kode numerik tertentu yang harus dilampirkan pada dokumen yang ditandatangani. Pesan itu sendiri tidak dienkripsi dan dikirimkan dalam bentuk teks yang jelas bersama dengan tanda tangan digital pengirim.
Jika pengguna A ingin mengirimkan pesan M kepada pengguna B, dilengkapi dengan tanda tangan digital terlampir, maka prosedur pembuatan dan verifikasi tanda tangan harus terdiri dari langkah-langkah berikut:
- Pengguna A mengirimkan kunci publik U-nya kepada pengguna B melalui saluran komunikasi apa pun, misalnya, melalui email.
- Pengguna A, menggunakan beberapa fungsi hash H yang andal, menghitung kode hash pesannya h = H(M) .
- Pengguna A kemudian mengenkripsi kode hash pesan h dengan kunci pribadinya R dan menerima tanda tangan digital C.
- Pesan asli M bersama dengan tanda tangan digital C dikirim ke pengguna B.
- Pengguna B menghitung kode hash h dari pesan yang diterima M dan kemudian memverifikasi tanda tangan digital C menggunakan kunci publik pengguna A.
Protokol ini dapat digambarkan dalam bentuk diagram, seperti pada
Tanda tangan digital elektronik (EDS) mungkin merupakan aplikasi kriptografi kunci publik yang paling menarik. Dasar dari tanda tangan digital elektronik adalah transformasi matematis dari data yang ditandatangani menggunakan kunci pribadi (rahasia) pembuatnya. Tanda tangan digital elektronik, seperti data lainnya, dapat ditransfer bersama dengan tanda tangan, yaitu data yang dilindungi olehnya. Misalnya, Anda dapat menulis email, menandatanganinya dengan kunci rahasia dan meneruskannya ke teman melalui komunikasi terbuka (melalui Internet). Tanda tangan digital mempunyai sifat sedemikian rupa sehingga jika sedikit saja informasinya diubah (sengaja atau tidak sengaja), maka tanda tangan tersebut menjadi tidak dapat diandalkan (invalid). Jika tanda tangan digital tersebut asli, teman Anda dapat yakin: surat tersebut tidak terdistorsi dan terlebih lagi penulis surat tersebut adalah Anda, bukan orang lain.
Pada 10 Januari 2002, Presiden Federasi Rusia menyetujui Undang-Undang Federal “Tentang Tanda Tangan Digital Elektronik”. Penerapan undang-undang tersebut memberikan persyaratan hukum untuk penggunaan tanda tangan digital elektronik dalam dokumen elektronik, yang tunduk pada tanda tangan digital elektronik di dokumen elektronik diakui setara dengan tanda tangan tulisan tangan dalam dokumen kertas dan meletakkan dasar bagi terciptanya manajemen dokumen elektronik yang signifikan secara hukum.
Di akhir surat atau dokumen kertas, pelaksana atau penanggung jawab biasanya membubuhkan tanda tangannya. Tindakan seperti ini mempunyai dua tujuan. Pertama, penerima mempunyai kesempatan untuk memverifikasi keaslian surat dengan membandingkan tanda tangan dengan sampel yang dimilikinya. Kedua, tanda tangan pribadi merupakan jaminan hukum atas kepenulisan suatu dokumen. Aspek terakhir ini sangat penting ketika menyelesaikan berbagai jenis transaksi perdagangan, menyusun surat kuasa, kewajiban, dll. EDS (tanda tangan digital elektronik) juga memiliki tujuan yang sama, hanya dokumen (surat) dan tanda tangan itu sendiri dalam hal ini diasumsikan dalam bentuk elektronik.
Tujuan yang dikejar
Jadi, misalkan ada dua pengguna "A" dan "B". Pelanggaran dan tindakan penyerang apa yang harus dilindungi oleh sistem autentikasi?
Penolakan
"A" mengaku tidak mengirimkan pesan tersebut ke "B", padahal sebenarnya dia yang mengirim. Untuk menghilangkan pelanggaran ini, digunakan tanda tangan elektronik (atau digital).
Modifikasi
"B" memodifikasi pesan tersebut dan mengklaim bahwa pesan (yang dimodifikasi) ini dikirimkan kepadanya oleh "A".
Palsu
"B" menghasilkan pesan dan mengklaim bahwa pesan (yang dimodifikasi) ini dikirimkan kepadanya oleh "A".
Intersepsi aktif
"B" mencegat pesan antara "A" dan "B" untuk tujuan modifikasi rahasia mereka.
Tanda tangan digital digunakan untuk melindungi terhadap modifikasi, pemalsuan, dan penyamaran.
Kamuflase (imitasi)
"B" mengirimkan "B" pesan atas nama "A". Dalam hal ini, tanda tangan elektronik juga digunakan untuk perlindungan.
Mengulang
"B" mengulangi pesan yang dikirimkan sebelumnya yang dikirim "A" sebelumnya ke "B". Terlepas dari kenyataan bahwa semua tindakan yang mungkin diambil untuk melindungi dari pengulangan, metode inilah yang menyebabkan sebagian besar kasus penarikan ilegal dan pemborosan uang dalam sistem pembayaran elektronik.
Inti dari tanda tangan digital
Telah diketahui bahwa tanda tangan digital pada file atau pesan surat elektronik dilakukan menggunakan algoritma kriptografi yang menggunakan kunci asimetris: “kunci rahasia” digunakan untuk tanda tangan itu sendiri, dan “kunci publik” digunakan untuk memverifikasi tanda tangan orang lain. Kunci adalah angka dengan panjang yang cukup besar (dari 512 hingga 4096 bit), yang secara matematis berhubungan satu sama lain.
Tanda tangan digital suatu pesan (file, email, paket jaringan) adalah urutan bit dengan panjang tetap yang dihasilkan dari teks pesan menggunakan kunci rahasia pembuatnya. Kebenaran tanda tangan diverifikasi menggunakan kunci publik (lihat gambar "Pembuatan dan verifikasi tanda tangan digital"). Biasanya, bersama dengan pesan, beberapa “detail” ditandatangani: tanggal dan waktu pembuatan pesan, (mungkin) nomor versi pesan, “masa pakai” pesan. Anda dapat memikirkan parameter pesan “penting aplikasi” lainnya. Tanda tangan digital dikirimkan bersama dengan pesan, dan biasanya menjadi bagian yang tidak terpisahkan dari pesan tersebut. Penerima pesan harus memiliki salinan kunci publik pengirim. Skema distribusi kunci publik dapat berkisar dari pertukaran kunci pribadi yang sederhana hingga “infrastruktur kunci publik” (PKI) yang kompleks dan berlapis-lapis. Jika, ketika memeriksa tanda tangan digital, penerima memastikan kebenarannya, maka ia dapat yakin tidak hanya akan kekekalan dan “relevansi” pesan tersebut, tetapi, yang paling penting, bahwa pesan tersebut benar-benar “ditandatangani” oleh penulis atau pengirimnya. . Sebuah pesan dapat membawa beberapa tanda tangan yang memiliki tujuan berbeda. Dalam hal ini, setiap tanda tangan berikutnya “ditumpangkan” pada pesan bersama dengan semua tanda tangan sebelumnya. Misalnya, di beberapa sistem bank klien perintah pembayaran ditandatangani oleh “penulis” (akuntan, klien atau orang lain yang berwenang untuk melakukan pembayaran) dan “pengirim” (operator, operator tugas atau orang lain yang melakukan pekerjaan teknis transfer).
Otoritas Sertifikasi
Kata “kunci rahasia” dan “kunci publik” telah disebutkan di atas. Dari mana asalnya? Mereka harus dihasilkan oleh otoritas sertifikasi. Otoritas sertifikasi adalah struktur (organisasi) yang mengelola sertifikat. Sertifikat kunci publik/pribadi mewakili kumpulan data berikut:
Nama subjek atau objek sistem, yang secara unik mengidentifikasinya dalam sistem;
Kunci publik/pribadi dari subjek atau objek sistem;
Atribut tambahan ditentukan oleh persyaratan penggunaan sertifikat dalam sistem;
Tanda tangan digital elektronik dari Penerbit (Pusat Sertifikasi), yang mengesahkan totalitas data ini.
Jadi, misalnya, sertifikat kunci privat berisi kunci privat itu sendiri dan informasi tambahan.
Untuk setiap pengguna sistem informasi yang terdaftar, pusat sertifikasi menghasilkan dua sertifikat - sertifikat kunci pribadi dan sertifikat kunci publik. Selain itu, CA mengeluarkan sertifikat pertama secara pribadi hanya kepada pengguna terdaftar (misalnya, pada floppy disk) dan tidak kepada orang lain - ini adalah "tanda tangan". Sertifikat kedua terbuka; CA menerbitkannya di repositori publik sehingga setiap pengguna yang tertarik dapat menemukannya tanpa banyak kesulitan.
Pembuatan dan verifikasi tanda tangan digital
Pengirim informasi, menggunakan kunci rahasia dan algoritma asimetris (algoritma tanda tangan digital), yang telah dipilih sebelumnya berdasarkan kesepakatan antara pelanggan, mengenkripsi informasi yang dikirimkan, disajikan dalam bentuk digital, dan dengan demikian menerima tanda tangan digital dari data tersebut. Selanjutnya, pengirim informasi mengirimkan informasi tidak terenkripsi dan tanda tangan digital yang diperoleh dengan cara yang dijelaskan di atas kepada penerima melalui saluran komunikasi terbuka.
Penerima pesan, menggunakan kunci publik (yang tersedia untuk umum) dan algoritma tanda tangan digital yang dipilih berdasarkan kesepakatan antara pelanggan, mendeklasifikasi tanda tangan digital tersebut. Selanjutnya, ia membandingkan informasi tidak terenkripsi yang diterimanya dan informasi yang diperoleh saat mendekripsi tanda tangan digital. Jika tanda tangan digital belum dipalsukan dan dikirimkan informasi terbuka, maka kedua informasi ini harus benar-benar sesuai. Jika tanda tangan dipalsukan, maka informasi jelas yang diterima dan informasi yang diperoleh selama dekripsi akan sangat berbeda.
Kesimpulan seperti itu dapat dijamin hanya jika algoritma kriptografi yang dipilih untuk tanda tangan digital sangat aman, yaitu berdasarkan pengetahuan tentang pesan yang dikirimkan dan pengetahuan tentang kunci publik, tidak mungkin untuk memulihkan kunci rahasia (the kunci yang digunakan oleh penandatangan) dengan cara apa pun.
Di sebagian besar negara maju, terdapat praktik menentukan algoritma tanda tangan digital dalam bentuk standar negara. Standar seperti itu juga ada di Federasi Rusia. Algoritma enkripsi yang dipilih di dalamnya adalah hasilnya kerja bagus kriptografer dari berbagai organisasi.
Kurva elips
Algoritme kurva elips merupakan penyempurnaan dari skema El Gamal, yang sebelumnya sering digunakan untuk bekerja dengan tanda tangan digital. Pilihan baru Skema El Gamal menggunakan peralatan kurva elips pada bidang elemen p yang berhingga, yang didefinisikan sebagai himpunan pasangan bilangan (x, y) (masing-masing terletak pada rentang dari 0 hingga p-1) yang memenuhi perbandingan (angka a dan b tetap dan memenuhi beberapa kondisi tambahan): y^2 = x^3 + ax + b mod p.
Undang-undang baru Federasi Rusia “Tentang Tanda Tangan Digital Elektronik” justru didasarkan pada prosedur untuk menghasilkan dan memverifikasi tanda tangan berdasarkan peralatan matematika kurva elips. Kualitas kriptografi yang tinggi telah dikonfirmasi sebelumnya, menjamin, sambil menjaga rahasia kunci tanda tangan pribadi, ketidakmungkinan memalsukannya selama beberapa dekade, bahkan dengan mempertimbangkan perkembangan teknologi komputer dan algoritma matematika yang sesuai.
Kunci rahasia dan publik
Tanda tangan digital elektronik dapat menjalankan fungsinya hanya jika penandatangan memiliki beberapa informasi yang tidak dapat diakses oleh orang asing. Informasi ini mirip dengan kunci enkripsi dan oleh karena itu disebut “kunci pribadi dari tanda tangan digital elektronik.” Tugas menjaga rahasia kunci pribadi pada dasarnya mirip dengan menjaga rahasia kunci enkripsi, karena pengetahuan tentang kunci tanda tangan pribadi berhubungan dengan selembar kertas kosong dengan tanda tangan pemilik kunci pribadi, di mana penyerang dapat menulis apa pun. teks yang akan dikaitkan dengan pemilik kunci pribadi. Pemilik kunci tanda tangan harus menjaga rahasia kunci pribadinya dan segera meminta penangguhan sertifikat kunci tanda tangan jika ada alasan untuk meyakini bahwa rahasia kunci tanda tangan pribadi telah dibobol.
Seperti sandi lainnya, kunci, kunci rahasia harus memenuhi persyaratan yang diterima dalam kriptografi. Secara khusus, kemungkinan pemilihan kunci harus dikecualikan. Dalam kriptografi modern, peralatan khusus digunakan untuk menghasilkan kunci, yang memungkinkan untuk menghasilkan kunci, kemungkinan pemilihan acak adalah sekitar 10-70-10-80, yaitu pemilihan praktis dikecualikan.
Setiap “kunci rahasia” mempunyai “kunci publik” sendiri, yang digunakan oleh orang yang menerima pesan. Kunci publik yang sesuai dengan kunci rahasia tertentu dihasilkan oleh pengirim pesan menggunakan kunci khusus perangkat lunak, tertanam dalam alat tanda tangan digital, dan dikirim terlebih dahulu ke pelanggan jaringan lain, atau disertakan dalam pesan yang ditandatangani, atau tersedia di beberapa server.
Pengguna yang menggunakan kunci publik tanda tangan digital untuk memverifikasi tanda tangan pelanggan jaringan lain harus dapat dengan jelas menentukan kunci publik mana yang dimiliki pengguna tersebut. Jika terjadi kesalahan pada tahap operasi tanda tangan digital ini, sumber pesan mungkin salah ditentukan dengan segala konsekuensinya. Informasi tentang kepemilikan kunci publik kepada pengguna tertentu harus didokumentasikan, dan pendaftaran ini harus dilakukan oleh otoritas bertanggung jawab yang ditunjuk secara khusus.
Dokumen yang mengesahkan tanda tangan disebut sertifikat kunci publik EDS (sertifikat tanda tangan). Ini mengonfirmasi bahwa kunci tanda tangan digital publik adalah milik pemilik kunci tanda tangan pribadi. Dokumen tersebut harus dikeluarkan oleh otoritas sertifikasi tanda tangan kunci publik.
Kehadiran dokumen semacam itu penting ketika menyelesaikan perselisihan mengenai pembuatan dokumen tertentu oleh orang tertentu. Untuk mengecualikan kemungkinan perubahan sertifikat kunci oleh pengguna ketika ditransmisikan melalui saluran komunikasi, sertifikat dalam bentuk data elektronik ditandatangani dengan tanda tangan digital dari pusat sertifikasi. Dengan demikian, pusat sertifikasi menjalankan fungsi notaris elektronik, harus mengkonfirmasi keabsahan dokumen elektronik yang ditandatangani. Oleh karena itu, notaris sebagaimana halnya notaris negara pada umumnya, harus menjalankan fungsinya berdasarkan izin yang dikeluarkan oleh suatu instansi pemerintah.
Algoritma tanda tangan digital yang bagus
Pertama-tama, algoritma tanda tangan digital harus “kuat” dalam hal tingkat perlindungan terhadap pemalsuan tanda tangan. Dibandingkan dengan enkripsi informasi, yang mana algoritma “lemah” menyebabkan informasi dibaca, algoritma tanda tangan digital yang “lemah” menyebabkan pemalsuan tanda tangan. Pemalsuan tanda tangan elektronik mungkin sama dampaknya dengan pemalsuan tanda tangan tulisan tangan.
Jadi, agar algoritma tanda tangan digital menjadi baik, algoritma tersebut harus kuat. Algoritme “Kuat”, tentu saja, mencakup algoritme yang diadopsi sebagai standar negara. Mereka sepenuhnya memenuhi berbagai persyaratan, termasuk persyaratan untuk memberikan bantuan mereka level tinggi perlindungan terhadap pemalsuan tanda tangan.
Standar tanda tangan digital Rusia pertama disetujui oleh Standar Negara Rusia dan mulai berlaku pada tahun 1994.
Membandingkan algoritme tanda tangan digital dalam standar Rusia dan AS, orang dapat mencatat kebetulan keduanya dalam hal ide yang mendasari algoritme ini. Hal ini berlaku baik untuk standar tanda tangan lama maupun standar baru. Keadaan ini dapat dianggap sebagai konfirmasi tidak langsung atas kualitas khusus yang tinggi dari algoritma tanda tangan digital domestik yang dipilih dan ketidakmungkinan memalsukan tanda tangan secara real time.
Agar algoritme tanda tangan digital menjadi baik, algoritme tersebut juga harus dapat diterapkan dengan mudah di komputer. Prosedur penandatanganannya sendiri harus memakan waktu minimal dan tidak menunda pemrosesan dokumen dalam pengelolaan dokumen elektronik. Algoritma yang diadopsi sebagai standar negara umumnya memenuhi persyaratan ini.
Maksudnya tanda tangan digital
Sekian penjelasan tentang sarana teknis penerapan tanda tangan digital. Transformasi matematis kompleks yang dibahas di atas (mengenkripsi informasi, melakukan hashing, mengonfirmasi keaslian tanda tangan digital, menghasilkan kunci tanda tangan digital) harus dilakukan dalam waktu yang relatif singkat dan, biasanya, diimplementasikan oleh perangkat lunak atau perangkat keras, yang disebut alat tanda tangan digital.
Anti-imitasi
Seperti disebutkan di atas, penggunaan tanda tangan digital memecahkan masalah peniruan. Peniruan perlindungan data dalam sistem pemrosesan berarti perlindungan terhadap pengenaan data palsu. Hampir selalu, pada tahap tertentu dalam siklus hidupnya, informasi berada di luar zona kendali langsungnya. Hal ini terjadi, misalnya, ketika data ditransmisikan melalui saluran komunikasi atau ketika disimpan pada media komputer magnetik, yang hampir tidak pernah memungkinkan untuk mencegah akses fisik oleh orang yang tidak berwenang.
Dengan demikian, secara fisik mencegah perubahan tidak sah pada data dalam sebagian besar kasus sistem nyata pemrosesan, transmisi, dan penyimpanannya tidak dimungkinkan. Oleh karena itu, sangat penting untuk segera mendeteksi fakta dari perubahan tersebut - jika distorsi yang tidak disengaja atau disengaja terdeteksi tepat waktu, kerugian pengguna sistem akan minimal dan hanya terbatas pada biaya transmisi "kosong" atau penyimpanan informasi palsu. data, yang, tentu saja, dalam semua situasi nyata jauh lebih kecil daripada kemungkinan kerusakan akibat penggunaannya. Tujuan penyerang yang memasukkan informasi palsu ke dalam sistem adalah untuk menyebarkannya sebagai informasi asli, dan ini hanya mungkin terjadi jika fakta dari pengenaan tersebut tidak terdeteksi pada waktunya, jadi mencatat fakta ini akan meniadakan semua upaya penyerang. .
Fungsi hash kriptografi
Fungsi hash kriptografi biasanya digunakan untuk menghasilkan intisari pesan saat membuat tanda tangan digital. Fungsi hash memetakan pesan ke nilai hash berukuran tetap sehingga seluruh rangkaian pesan yang mungkin didistribusikan secara merata ke seluruh rangkaian nilai hash. Namun, fungsi hash kriptografi melakukan hal ini sedemikian rupa sehingga hampir tidak mungkin untuk menyesuaikan dokumen dengan nilai hash tertentu. Banyak fungsi hash kriptografi yang baik telah ditemukan saat ini, seperti MD5 dan SHA.
Fungsi hash yang digunakan harus mampu mengubah pesan dengan panjang berapa pun menjadi urutan biner dengan panjang tetap. Selain itu, memerlukan properti berikut:
Pesan setelah menerapkan fungsi hash harus bergantung pada setiap bit pesan asli dan urutan kemunculannya;
Dengan menggunakan versi pesan yang di-hash, tidak ada cara untuk merekonstruksi pesan itu sendiri.
Perlindungan pesan yang komprehensif
Karena enkripsi melindungi pesan agar tidak dibaca, dan tanda tangan digital tidak diganti, maka masuk akal untuk menggunakan tanda tangan digital dan enkripsi gabungan untuk memastikan keamanan yang lebih lengkap. Untuk melakukan ini, Anda perlu melakukan hal berikut.
Pada tahap persiapan, dua orang teman, misalnya, membuat dua pasang kunci: kunci rahasia dan kunci publik untuk enkripsi asimetris, serta kunci EDS rahasia dan publik. Mereka bertukar kunci publik, dan kemudian salah satu mengirimkan pesan yang ditandatangani dengan kunci pribadinya.
Teman pertama kemudian membuat kunci enkripsi simetris acak K, yang dia gunakan untuk mengenkripsi email yang dia kirim, dan hanya yang itu.
Selanjutnya, agar pesan tersebut dapat didekripsi, dia mengenkripsi kunci K (dan mengirimkan kunci enkripsi simetris dalam teks biasa sama sekali tidak dapat diterima) dengan kunci publik enkripsi asimetris temannya dan menambahkannya ke surat terenkripsi.
Teman kedua, setelah menerima pesan terenkripsi, mendekripsi kunci K dengan kunci enkripsi asimetris rahasianya, yang kemudian mendekripsi surat itu sendiri.
Dan terakhir, dia memeriksa tanda tangan digitalnya di surat ini menggunakan kunci publik temannya dan memastikan bahwa itu benar-benar berasal dari temannya dan dalam bentuk yang tidak diubah.
Mungkin terasa merepotkan jika harus membuat terlalu banyak kunci. Untuk mengatasi masalah ini, algoritma Diffie-Hellman disediakan (dinamai menurut penulisnya Diffie dan Hellman), yang memungkinkan, khususnya, untuk menggunakan pasangan kunci tanda tangan digital yang sama baik untuk tanda tangan digital itu sendiri maupun untuk enkripsi simetris.
XML dan format tanda tangan digital
Saat ini, XML, atau eXtensible Markup Language, sedang berkembang dengan cara standar"mengangkut" informasi ke Web. Tujuan utama XML adalah untuk mendeskripsikan struktur dan semantik suatu dokumen. Di dalamnya uraian tentang penyajian luar suatu dokumen dipisahkan dari struktur dan isinya. XML adalah bahasa fleksibel yang dapat digunakan untuk berbagai tujuan dan dapat berinteraksi dengan banyak sistem dan database. Namun format ini juga memiliki masalah - terkait dengan masalah keamanan.
Untuk sepenuhnya menggunakan XML, perlu untuk memastikan perlindungan informasi dari distorsi yang tidak disengaja atau disengaja baik dari pihak pengguna sistem informasi maupun ketika ditransmisikan melalui saluran komunikasi. Perlindungan harus didasarkan pada fungsi-fungsi berikut:
Otentikasi pihak-pihak yang berinteraksi;
Konfirmasi keaslian dan integritas informasi;
Penutupan kriptografi dari data yang dikirimkan.
Untuk memastikan perlindungan informasi ini, disarankan untuk menggunakan tanda tangan digital elektronik (EDS) dan metode enkripsi data. Selain itu, sebagai aturan, tanda tangan digital menyediakan otentikasi, konfirmasi keaslian dan integritas, dan penutupan data menyediakan enkripsi. Kami lebih tertarik pada tanda tangan digital dokumen XML.
W3C saat ini sedang mengembangkan XML - Sintaks Tanda Tangan dan spesifikasi Pemrosesan serta dokumen terkait lainnya. Sekarang memiliki status rekomendasi (http://www.w3.org/TR/xmldsig-core/). Dokumen ini menyediakan penandatanganan seluruh dokumen XML dan sebagiannya. Dokumen lain terkait penandatanganan XML tersedia di: http://www.w3.org/Signature/.
Keamanan XML (Apache)
Keamanan XML (Phaos): http://phaos.com/products/category/xml.html
Kesimpulan
Sebagai kesimpulan, saya ingin mencatat bahwa saat ini kondisi yang menguntungkan telah berkembang untuk solusi komprehensif terhadap masalah implementasi dan penggunaan sistem berbasis tanda tangan digital. Penting untuk ditekankan bahwa algoritma tanda tangan digital yang diterapkan dengan benar adalah cara yang ampuh untuk melindungi dokumen elektronik dari pemalsuan, dan ketika mekanisme kriptografi tambahan digunakan, dari penghancuran dokumen-dokumen ini tanpa izin.
literatur
ME Smead, DK Brunsted. Standar enkripsi data: masa lalu dan masa depan. /Trans. dari bahasa Inggris/ M., Mir, TIIER. - 1988. - T.76. - N5.
BV Berezin, PV Doroshkevich. Tanda tangan digital berdasarkan kriptografi tradisional//Perlindungan Informasi, edisi 2., M.: MP "Irbis-II", 1992.
W.Diffie. Sepuluh tahun pertama kriptografi kunci publik. /Trans. dari bahasa Inggris/ M., Mir, TIIER. - 1988. - T.76. - N5.
|
Hubungan di bidang penggunaan tanda tangan elektronik ketika melakukan transaksi sipil, menyediakan layanan negara bagian dan kota, menjalankan fungsi negara bagian dan kota, ketika melakukan tindakan penting secara hukum lainnya, termasuk dalam kasus yang ditetapkan oleh undang-undang federal lainnya, diatur oleh Undang-Undang Federal tentang 06/04/2011 No. 63-FZ “Tentang Tanda Tangan Elektronik” (selanjutnya disebut UU No. 63-FZ).
Tanda tangan elektronik (ES)– ini adalah informasi dalam bentuk elektronik yang dilampirkan pada informasi lain dalam bentuk elektronik (informasi yang ditandatangani) atau dikaitkan dengan informasi tersebut dan digunakan untuk menentukan orang yang menandatangani informasi tersebut (pasal 1 pasal 2 UU No. 63- Undang-Undang Federal).
Ini adalah tanda tangan elektronik yang dapat membuat dokumen elektronik setara dengan dokumen kertas yang ditandatangani dengan tangan sendiri, yaitu. memberikan kekuatan hukum.
Ingatlah bahwa hingga 1 Juli 2013, hubungan serupa diatur oleh Undang-Undang Federal 10 Januari 2002 No. 1-FZ “Tentang Tanda Tangan Digital Elektronik”.
Artikel ini memberikan jawaban atas pertanyaan: “Seperti apa tanda tangan elektronik”, “Bagaimana cara kerja tanda tangan elektronik”, membahas kemampuan dan komponen utamanya, serta menyajikan visual instruksi langkah demi langkah proses penandatanganan file dengan tanda tangan elektronik.
Apa itu tanda tangan elektronik?
Tanda tangan elektronik bukanlah suatu benda yang dapat diambil, melainkan suatu dokumen yang diperlukan untuk memastikan bahwa tanda tangan digital itu milik pemiliknya, serta mencatat keadaan informasi/data (ada atau tidaknya perubahan) pada tanda tangan elektronik tersebut. dokumen elektronik sejak ditandatangani.
Sebagai referensi:
Nama singkatannya (menurut Undang-Undang Federal No. 63) adalah ED, tetapi lebih sering mereka menggunakan singkatan EDS (tanda tangan digital elektronik) yang sudah ketinggalan zaman. Hal ini, misalnya, memudahkan interaksi dengan mesin pencari di Internet, karena EP juga dapat berarti kompor listrik, lokomotif listrik penumpang, dll.
Menurut undang-undang Federasi Rusia, tanda tangan elektronik yang memenuhi syarat setara dengan tanda tangan tulisan tangan yang mempunyai kekuatan hukum penuh. Selain tanda tangan digital yang memenuhi syarat, ada dua jenis tanda tangan digital lagi yang tersedia di Rusia:
- tidak memenuhi syarat - memastikan signifikansi hukum dari dokumen tersebut, tetapi hanya setelah kesimpulan dari perjanjian tambahan antara para penandatangan mengenai aturan penggunaan dan pengakuan tanda tangan digital, memungkinkan Anda untuk mengkonfirmasi kepenulisan dokumen dan mengontrol kekekalannya setelah penandatanganan,
- sederhana - tidak memberikan signifikansi hukum pada dokumen yang ditandatangani sampai perjanjian tambahan dibuat antara para penandatangan tentang aturan penggunaan dan pengakuan tanda tangan digital dan tanpa mematuhi persyaratan yang ditetapkan secara hukum untuk penggunaannya (tanda tangan elektronik sederhana harus terkandung dalam dokumen itu sendiri, kuncinya harus digunakan sesuai dengan persyaratan sistem informasi di mana dokumen itu digunakan, dll. sesuai dengan Undang-undang Federal-63, Pasal 9), tidak menjamin kekekalannya sejak saat penandatanganan, mengizinkan Anda untuk mengonfirmasi kepenulisan. Penggunaannya tidak diperbolehkan dalam hal-hal yang berkaitan dengan rahasia negara.
Kemampuan tanda tangan elektronik
Bagi individu, tanda tangan digital menyediakan interaksi jarak jauh dengan pemerintah, pendidikan, medis dan lainnya sistem Informasi melalui internet.
Tanda tangan elektronik memberikan izin kepada badan hukum untuk berpartisipasi dalam perdagangan elektronik dan memungkinkan pengorganisasian yang signifikan secara hukum pengelolaan dokumen elektronik(EDI) dan penyampaian pelaporan elektronik kepada otoritas pengatur.
Peluang yang diberikan tanda tangan digital kepada pengguna telah menjadikannya komponen penting dalam kehidupan sehari-hari baik warga biasa maupun perwakilan perusahaan.
Apa arti ungkapan “tanda tangan elektronik telah diberikan kepada klien”? Seperti apa tanda tangan digitalnya?
Tanda tangan itu sendiri bukanlah sebuah objek, melainkan hasil transformasi kriptografi dari dokumen yang ditandatangani, dan tidak dapat diterbitkan “secara fisik” pada media apapun (token, smart card, dll). Selain itu, hal itu tidak dapat dilihat, dalam arti harfiahnya; itu tidak terlihat seperti goresan pena atau cetakan kiasan. Tentang, seperti apa “bentuk” tanda tangan elektronik, Kami akan memberi tahu Anda sedikit di bawah ini.
Sebagai referensi:
Transformasi kriptografi adalah enkripsi yang dibangun berdasarkan algoritma yang menggunakan kunci rahasia. Proses pemulihan data asli setelah transformasi kriptografi tanpa kunci ini, menurut para ahli, akan memakan waktu lebih lama dari masa berlaku informasi yang diekstraksi.
Media flash adalah media penyimpanan kompak yang mencakup memori flash dan adaptor (USB flash drive).
Token adalah perangkat yang bodinya mirip dengan flash drive USB, namun kartu memorinya dilindungi kata sandi. Token berisi informasi untuk membuat tanda tangan elektronik. Untuk menggunakannya, Anda perlu menyambungkan ke konektor USB komputer Anda dan memasukkan kata sandi.
Kartu pintar adalah kartu plastik, memungkinkan operasi kriptografi dilakukan menggunakan chip bawaan.
Kartu SIM dengan chip adalah sebuah kartu operator seluler, dilengkapi dengan chip khusus, di mana aplikasi java diinstal dengan aman pada tahap produksi, sehingga memperluas fungsinya.
Bagaimana kita memahami ungkapan “tanda tangan elektronik telah diterbitkan”, yang tertanam kuat dalam percakapan sehari-hari para pelaku pasar? Terdiri dari apa tanda tangan elektronik?
Tanda tangan elektronik yang diterbitkan terdiri dari 3 unsur:
1 - sarana tanda tangan elektronik, yang diperlukan untuk implementasi serangkaian algoritma dan fungsi kriptografi sarana teknis. Ini bisa berupa penyedia kripto yang diinstal di komputer (CryptoPro CSP, ViPNet CSP), atau token independen dengan penyedia kripto bawaan (EDS Rutoken, JaCarta Gost), atau “cloud elektronik”. Anda dapat membaca lebih lanjut tentang teknologi tanda tangan digital terkait penggunaan “cloud elektronik” di artikel Portal Tanda Tangan Elektronik Terpadu berikutnya.
Sebagai referensi:
Penyedia kripto adalah modul independen yang bertindak sebagai “perantara” antara keduanya sistem operasi, yang, dengan menggunakan serangkaian fungsi tertentu, mengontrolnya, dan kompleks program atau perangkat keras yang melakukan transformasi kriptografi.
Penting: token dan tanda tangan digital yang memenuhi syarat harus disertifikasi oleh FSB Federasi Rusia sesuai dengan persyaratan hukum federal № 63.
2 - pasangan kunci, yang terdiri dari dua set byte impersonal yang dihasilkan oleh alat tanda tangan elektronik. Yang pertama adalah kunci tanda tangan elektronik, yang disebut “pribadi”. Ini digunakan untuk membentuk tanda tangan itu sendiri dan harus dirahasiakan. Menempatkan kunci “pribadi” pada komputer dan media flash sangatlah tidak aman; pada token agak tidak aman; pada token/kartu pintar/kartu sim dalam bentuk yang tidak dapat dilepas adalah yang paling aman. Yang kedua adalah kunci verifikasi tanda tangan elektronik, yang disebut “publik”. Ini tidak dirahasiakan, terikat secara unik pada kunci “pribadi” dan diperlukan agar siapa pun dapat memverifikasi kebenaran tanda tangan elektronik.
3 - Sertifikat kunci verifikasi EDS yang dikeluarkan oleh pusat sertifikasi (CA). Tujuannya adalah untuk mengasosiasikan sekumpulan byte kunci “publik” yang dianonimkan dengan identitas pemilik tanda tangan elektronik (orang atau organisasi). Dalam praktiknya, tampilannya seperti ini: misalnya, Ivan Ivanovich Ivanov ( individu) datang ke pusat sertifikasi, menunjukkan paspornya, dan CA memberinya sertifikat yang mengonfirmasi bahwa kunci "publik" yang dinyatakan adalah milik Ivan Ivanovich Ivanov. Hal ini diperlukan untuk mencegah skema penipuan, yang selama penerapannya penyerang, dalam proses mengirimkan kode "terbuka", dapat mencegatnya dan menggantinya dengan miliknya sendiri. Hal ini akan memberikan peluang bagi penjahat untuk menyamar sebagai penandatangan. Di masa depan, dengan menyadap pesan dan membuat perubahan, dia akan dapat mengonfirmasinya dengan tanda tangan digitalnya. Itulah sebabnya peran sertifikat kunci verifikasi tanda tangan elektronik sangat penting, dan pusat sertifikasi memikul tanggung jawab finansial dan administratif atas kebenarannya.
Sesuai dengan undang-undang Federasi Rusia, ada:
— “sertifikat kunci verifikasi tanda tangan elektronik” dibuat untuk tanda tangan digital yang tidak memenuhi syarat dan dapat diterbitkan oleh pusat sertifikasi;
— “sertifikat kunci verifikasi tanda tangan elektronik yang memenuhi syarat” dibuat untuk tanda tangan digital yang memenuhi syarat dan hanya dapat diterbitkan oleh Kementerian Komunikasi dan Informatika yang terakreditasi Komunikasi massa universitas.
Secara konvensional, kita dapat menunjukkan bahwa kunci verifikasi tanda tangan elektronik (kumpulan byte) adalah konsep teknis, dan sertifikat kunci “publik” serta otoritas sertifikasi adalah konsep organisasi. Bagaimanapun, CA adalah unit struktural yang bertanggung jawab untuk mencocokkan kunci “publik” dan pemiliknya dalam kerangka aktivitas keuangan dan ekonomi mereka.
Untuk meringkas hal di atas, frasa “tanda tangan elektronik telah diberikan kepada klien” terdiri dari tiga komponen:
- Klien membeli alat tanda tangan elektronik.
- Dia menerima kunci “publik” dan “pribadi”, yang dengannya tanda tangan digital dibuat dan diverifikasi.
- CA mengeluarkan sertifikat kepada klien yang mengonfirmasi bahwa kunci "publik" dari pasangan kunci adalah milik orang tersebut.
Masalah keamanan
Properti yang diperlukan dari dokumen yang ditandatangani:
- integritas;
- keandalan;
- keaslian (keaslian; “tidak adanya penyangkalan” terhadap kepenulisan informasi).
Mereka disediakan oleh algoritma dan protokol kriptografi, serta solusi perangkat lunak dan perangkat keras-perangkat lunak berdasarkan pada mereka untuk menghasilkan tanda tangan elektronik.
Dengan tingkat penyederhanaan tertentu, kita dapat mengatakan bahwa keamanan tanda tangan elektronik dan layanan yang disediakan berdasarkan fakta bahwa kunci “pribadi” dari tanda tangan elektronik dirahasiakan, dalam bentuk yang dilindungi, dan bahwa setiap pengguna secara bertanggung jawab menyimpannya dan tidak mengizinkan terjadinya insiden.
Catatan: saat membeli token, penting untuk mengubah kata sandi pabrik, sehingga tidak ada yang dapat mengakses mekanisme tanda tangan digital kecuali pemiliknya.
Bagaimana cara menandatangani file dengan tanda tangan elektronik?
Untuk menandatangani file tanda tangan digital, Anda perlu menyelesaikan beberapa langkah. Sebagai contoh, mari kita lihat cara membubuhkan tanda tangan elektronik yang memenuhi syarat pada sertifikat merek dagang Portal Tanda Tangan Elektronik Terpadu dalam format .pdf. Perlu:
1. Klik kanan pada dokumen dan pilih penyedia kripto (dalam hal ini CryptoARM) dan kolom “Tanda”.
2. Ikuti jalur di kotak dialog penyedia kripto:
Pada langkah ini, jika perlu, Anda dapat memilih file lain untuk ditandatangani, atau lewati langkah ini dan langsung ke kotak dialog berikutnya.
Bidang Pengkodean dan Ekstensi tidak memerlukan pengeditan. Di bawah ini Anda dapat memilih di mana file yang ditandatangani akan disimpan. Pada contoh, dokumen dengan tanda tangan digital akan ditempatkan di desktop.
Di blok “Properti Tanda Tangan”, pilih “Ditandatangani”; jika perlu, Anda dapat menambahkan komentar. Bidang lainnya dapat dikecualikan/dipilih sesuai keinginan.
Pilih yang Anda perlukan dari penyimpanan sertifikat.
Setelah memeriksa apakah kolom “Pemilik Sertifikat” sudah benar, klik tombol “Berikutnya”.
Di kotak dialog ini, pemeriksaan terakhir terhadap data yang diperlukan untuk membuat tanda tangan elektronik dilakukan, dan kemudian setelah mengklik tombol "Selesai", pesan berikut akan muncul:
Penyelesaian operasi yang berhasil berarti bahwa file tersebut telah dikonversi secara kriptografis dan berisi rincian yang mencatat kekekalan dokumen setelah ditandatangani dan memastikan signifikansi hukumnya.
Lantas, seperti apa tanda tangan elektronik pada suatu dokumen?
Misalnya, kami mengambil file yang ditandatangani dengan tanda tangan elektronik (disimpan dalam format .sig) dan membukanya melalui penyedia kripto.
Fragmen desktop. Kiri: file yang ditandatangani dengan tanda tangan digital, kanan: penyedia kripto (misalnya, CryptoARM).
Visualisasi tanda tangan elektronik pada dokumen itu sendiri pada saat pembukaannya tidak disediakan karena merupakan suatu keharusan. Namun ada pengecualian, misalnya tanda tangan elektronik dari Layanan Pajak Federal ketika menerima kutipan dari Daftar Badan Hukum Negara Terpadu/Daftar Pengusaha Perorangan Negara Terpadu melalui layanan daring ditampilkan secara kondisional pada dokumen itu sendiri. Tangkapan layar dapat dilihat di
Tapi bagaimana pada akhirnya EDS “terlihat”, atau lebih tepatnya, bagaimana fakta penandatanganan ditunjukkan dalam dokumen?
Dengan membuka jendela “Kelola data yang ditandatangani” melalui penyedia kripto, Anda dapat melihat informasi tentang file dan tanda tangan.
Ketika Anda mengklik tombol “Lihat”, sebuah jendela muncul berisi informasi tentang tanda tangan dan sertifikat.
Tangkapan layar terakhir menunjukkan dengan jelas seperti apa tanda tangan digital pada dokumen?"dari dalam".
Anda dapat membeli tanda tangan elektronik di.
Ajukan pertanyaan lain tentang topik artikel di komentar, para ahli Portal Tanda Tangan Elektronik Terpadu pasti akan menjawab Anda.
Artikel ini disiapkan oleh editor situs Portal Tanda Tangan Elektronik Terpadu menggunakan materi dari SafeTech.
Saat menggunakan materi secara penuh atau sebagian, hyperlink ke www..
