Ion VACIU în dialog cu Costin BURDUN, expert digitalizare ANSSI
Miercuri, 13 octombrie 2021, ora 12.00 vă invităm la un nou interviu Live (episodul 5) realizat de Ion VACIU cu COSTIN BURDUN, Expert digitalizare ANSSI, despre CÂT DE AVANSATĂ E SEMNĂTURA TA AVANSATĂ.
VIDEO INTERVIU
Episod-5-Cat-de-avansata-e-semnatura-ta-avansataCât de… avansată e semnătura ta avansată?
De Costin Burdun, expert ANSSI
Să ne amintim din episoadele precedente…
• „semnătură electronică” înseamnă date în format electronic, atașate la sau asociate logic cu alte date în format electronic și care sunt utilizate de semnatar pentru a semna;
• „semnătură electronică avansată” înseamnă o semnătură electronică ce îndeplinește cerințele prevăzute la articolul 26;
– a) face trimitere exclusiv la semnatar;
– b) permite identificarea semnatarului;
– c) este creată utilizând date de creare a semnăturilor electronice pe care semnatarul le poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său; și
– d) este legată de datele utilizate la semnare astfel încât orice modificare ulterioară a datelor poate fi detectată.
• „ semnătură electronică calificată” înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat și care se bazează pe un certificat calificat pentru semnăturile electronice
• Semnătura digitală este un mecanism tehnic pentru crearea unei semnături electronice
• Elementele de bază ale unei semnături digitale
• Formatul tehnic de semnătură
• Cheia privată a subiectului
• Certificatul digital care conţine cheia publică corespunzătoare cheii private asociată cu elemente de identificare ale subiectului
• Autoritatea de certificare emitentă
• Politica de certificare a autorităţii de certificare
• Datorită proprietatilor sale de a asigura autentificare, integritate şi non-repudiere, semnătura digitală este mecanismul tehnic specificat de Regulamentul EIDAS pentru crearea semnăturii electronice avansate şi calificate
▪ Ne putem baza pe o semnătură electronică ce a fost creată utilizând un certificat digital DACĂ ŞI NUMAI DACĂ avem încredere în acel certificat digital
▪ Avem încredere într-un certificat digital DACĂ ŞI NUMAI DACĂ avem încredere în Autoritatea de certificare care l-a emis
▪ Avem încredere într-o Autoritate de certificare DACĂ ŞI NUMAI DACĂ avem încredere în Politica de certificare
▪ La nivel european există European Trusted List (EUTL) care conţine lista autorităţilor de certificare calificate, care aplică o politică standardizată la nivel UE, numită Politica de certificare pentru emiterea de certificate calificate
▪ Pentru o semnătură electronică bazată pe certificat ne-calificat, sunt necesare costuri mari pentru a valida dacă un certificat ne-calificat este sau nu de încredere pentru că teoretic există o multitudine de autorităţi de certificare care nu emit certificate calificate
Cum ştiu că o semnătura electronică NU este avansată?
• Indiciu– Nu este realizată utilizând semnătura digitală ca mecanism tehnic
– Regulamentul EIDAS stabileşte ca formatul semnăturii electronice avansate trebuie să fie bazat pe semnătura digitală
– Acest lucru înseamnă că fiecare semnatar trebuie să aibă un certificat digital şi cheie private asociată cu care semnează electronic
– Certificatele digitale trebuie să aibă în subiect NUMELE semnatarilor
Cum ştiu că o semnătura electronică NU este avansată?
• Indiciu – Nu este realizată utilizând semnătura digitală ca mecanism tehnic, cum se vede în exemplul de mai jos, unde cei doi “semnatari” nu au certificate digitale
Cum ştiu că o semnătură electronică NU este avansată?
• Indiciu– În vederea emiterii certificatului digital, în Politica de certificare a Autorităţii de certificare, nu există specificat un proces de verificare a identităţii care să garanteze îndeplinirea cerinţelor a şi b din Art. 26 din Regulamentul EIDAS
– Pentru ca o semnătură electronică să facă trimitere exclusiv la semnatar şi să permită identificarea semnatarului, trebuie ca procesul de verificare a identităţii să fie unul corect, raportat la standarde, sau, cel puţin, la bunele practici
• Indiciu– În vederea emiterii certificatului digital, în Politica de certificare a Autorităţii de certificare, nu există specificat un proces de verificare a identităţii care să garanteze îndeplinirea cerinţelor a şi b din Art. 26 din Regulamentul EIDAS
– Exemple de modalităţi de verificare a identităţii care NU asigură crearea unei semnături electronice avansate
• Transmiterea pe mail sau printr-o aplicaţie a unui scan al cărţii de identitate!!!
• O discuţie pe skype/WhatsApp cu o persoană care face identificarea în care prezinţi cartea de identitate!!!
• Utilizarea unei aplicaţii care face comparaţie între imaginea din poza din CI şi o poză a persoanei, fără alte mecanisme suplimentare de verificare (ex. un document electronic de identitate) – conform ETSI TS 119 461 – apărut în iulie 2021
• Indiciu – În Politica de certificare a Autorităţii de certificare, nu există specificat un proces de protejare a cheii private a semnatarului, care să garanteze că semnatarul o poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său
– Exemple de modalităţi de protecţie a cheii private care NU asigură crearea unei semnături electronice avansate
• Păstrarea cheii private într-un fişier protejat cu parola
• Transmiterea cheii private către semnatar împreună cu credenţialele de acces la aceasta
Concluzii
• Semnătura avansată este o categorie de tipuri de semnături electronice ţintă, obiectiv, care, aşa cum am aratăt în discuţiile precedente, reflecta actul de voinţă al semnatarului, dacă, într-adevăr sunt îndeplinite cele 4 condiţii de la art. 26 din Regulamentul EIDAS.
• Îndeplinirea acestor condiţii nu este simplă şi nici ieftină şi este o impresie falsă că o semnătură electronică avansată ne-calificată e mai ieftin de realizat decât o semnătură calificată, din cauză că Regulamentul nu detaliază decât cerinţe pentru semnătura calificată (întotdeauna ceva foarte detaliat pare mult mai complicat decât ceva care nu este detaliat)
• Din cauză că pot exista o multitudine de tipuri de semnături electronice, nu se pot emite “reţete generale” pentru evaluarea unei semnături electronice avansate
• Putem însă să identificăm nişte indicii care arată că o semnătură electronică NU
este avansată:
– Dacă mecanismul tehnic utilizat de semnatar nu se bazează pe semnătură digitală a acestuia, atunci acea semnătură electronică NU este avansată conform Regulamentului EIDAS
– În acest sens, o semnătură electronică bazată pe autentificarea la email şi/sau pe o semnătură desenată cu mouse-ul sau cu degetul pe ecran NU este o semnătură electronică avansată
– Dacă procesul de verificare a identităţii în vederea emiterii certificatului digital al semnatarului nu demonstrează modul în care se garantează faptul că semnătura face trimitere exclusiv la semnatar şi că permite identificarea semnatarului, atunci semnătura electronică NU este avansată
– Dacă cheia privată a semnatarului nu este protejată corespunzător, astfel încât să se garanteze faptul că semnatarul o poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său, atunci semnătura electronică NU este avansată.
Urmăriţi-ne LIVE pe Youtube, LinkedIn & Facebook, portalul industriei – Comunic.ro şi Telecomtv.ro
Puteţi revedea episoadele precedente aici:
* Episodul #4 ÎNCREDEREA ÎN CERTIFICATUL DIGITAL
* Episodul #3 DE CE SEMNAM ELECTRONIC?
* Episodul #2 SEMNATURA DIGITALA SI CERTIFICATUL DIGITAL
* Episodul #1 SEMNATURA ELECTRONICA (Definitii, Categorii, Tipuri, Analogii si Exemple relevante)