Ion VACIU în dialog cu Costin BURDUN, expert digitalizare ANSSI
LIVE
Digital Transformation Council, Revista COMUNICAŢII Mobile şi TelecomTV.ro iniţiază o serie de interviuri video cu Profesioniştii, Liderii şi Decidenţii industriei ICT şi ai celor convergente pentru a dezvălui multiplele implicaţii ale Transformării Digitale.
Miercuri, 15 decembrie 2021, ora 12.00 vă invităm la un nou interviu Live (episodul 10) realizat de Ion VACIU cu COSTIN BURDUN, Expert digitalizare ANSSI, privind MITURILE DESPRE SEMNĂTURA ELECTRONICĂ ŞI IDENTITATEA ELECTRONICĂ.
Episodul-10-Mituri-despre-semnatura-electronica-si-identitatea-electronicaMituri despre semnătura electronică şi identitatea electronică
de Costin Burdun
Mit 1: Regulamentul EIDAS defineşte trei categorii separate de semnătură electronică
• „semnătură electronică” înseamnă date în format electronic, ataşate la sau asociate logic cu alte date în format electronic şi care sunt utilizate de semnatar pentru a semna;
• „semnătură electronică avansată” înseamnă o semnătură electronică ce îndeplineşte cerinţele prevăzute la articolul 26;
– a) face trimitere exclusiv la semnatar;
– b) permite identificarea semnatarului;
– c) este creată utilizând date de creare a semnăturilor electronice pe care semnatarul le poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său; şi
– d) este legată de datele utilizate la semnare astfel încât orice modificare ulterioară a datelor poate fi detectată.
• „ semnătură electronică calificată” înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat şi care se bazează pe un certificat calificat pentru semnăturile electronice
SAU, ECHIVALENT,
Mit 2: Orice semnătură electronică ne-calificată este automat semnătură electronică avansată
• Îndeplinirea celor 4 condiţii din definiţia semnăturii avansată nu este uşoară, astfel că, în foarte multe dintre situaţii, de fapt, foarte puţine tipuri de semnături electronice ne-calificate sunt avansate
Mit 3: Semnătura electronică are la bază o tehnologie unică
• „semnătură electronică” este un concept abstract, nu referă nici o tehnologie specifică, ea se poate realiza prin diferite tehnologii, aşa cum se vede şi din exemplele de mai jos:
– simpla precizare a numelui semnatarului la sfârşitul unui document electronic se încadrează la definiţia semnăturii electronice, sau
– ataşarea unei poze a semnăturii olografe, sau chiar a pozei semnatarului la un document se încadrează în definiție, sau
– un scan după un document semnat olograf de semnatar ataşat la un e-mail se încadrează în definiţie
• O semnătură electronică nu poate fi evaluată/înţeleasă dacă nu se precizează tehnologia (mecanismele tehnice şi procedurale) prin care se realizează
• Deci un tip de semnătură electronică se identifică prin tehnologia prin care se creează, prin tehnologie înţelegându-se mecanismele tehnice şi procedurale
Mit 4: Semnătura electronică este acelaşi lucru cu semnătura digitală
• „semnătură electronică” este un concept abstract, nu se referă nici o tehnologie specifică (mecanism tehnic şi procedural)
• Semnătura digitală este un mecanism tehnic pentru crearea unei semnături electronice
• Semnătura digitală este bazată pe criptarea cu chei publice generate cu ajutorul unei Infrastructuri cu chei publice – PKI (Public Key Infrastructure)
• Semnătura digitală ataşată unui document este de fapt rezultatul criptării acelui document, mai precis al unui hash al acestuia cu o cheie aşa numită privată pe care se presupune că numai semnatarul o are
• Această criptare poate fi decriptată cu o cheie publică, unică asociată acelei chei
private
• Datorită proprietăţilor sale de a asigura autentificare, integritate şi non-repudiere, semnătura digitală este mecanismul tehnic specificat de Regulamentul EIDAS pentru crearea semnăturii electronice avansate şi calificate
Mit 5: Semnătura electronică avansată are la bază o tehnologie unică
• „semnătură electronica avansata” este un concept abstract, nu se referă la o tehnologie specifică, ci se poate realiza prin diferite tehnologii (mecanisme tehnice şi procedurale) şi aceste tehnologii trebuie să asigure îndeplinirea celor 4 cerinţe din definiţia semnăturii electronice avansate
• Un tip de semnătură electronică avansată nu poate fi evaluată dacă este avansată dacă nu se precizează tehnologia (mecanismele tehnice şi procedurale) prin care se realizează şi nu se demonstrează îndeplinirea celor 4 condiţii
• Este corect ca semnătura electronică avansată se bazează pe semnătura digitală ca mecanism tehnic
Mit 6: Semnătura calificată nu este o semnătura electronică avansată
• Semnătura electronică calificată este o semnătură avansată identificată foarte clar prin tehnologia (mecanismul tehnic şi procedural) prin care este creată, utilizând certificatul calificat şi dispozitivul calificat de creare a semnăturii
• Această tehnologie de creare a semnăturii calificate este descrisă şi reglementată în detaliu în Regulamentul EIDAS, tocmai în scopul îndeplinirii celor 4 condiţii ale semnăturii avansate
• Semnătura calificată este UNICUL tip de semnătură avansată pentru care Regulamentul 910/2014 precizează în mod complet tehnologia (mecanismele tehnice şi procedurale) utilizată pentru crearea ei
Mit 7: Există situaţii în care este suficientă o semnătură electronică ne-avansată (simplă) pentru a stabili actul de voinţă al semnatarului
• Un tip de semnătură electronică simplă, care nu îndeplineşte condiţiile pentru semnătura avansată, nu are cum să fie suficient pentru a stabili actul de voinţă al semnatarului
• Exprimarea corectă este: un anumit mecanism tehnic de creare a unei semnături electronice, utilizat într-un anumit context foarte bine definit, poate duce la crearea unei semnături avansate, dovedindu-se astfel că reprezintă actul de voinţă al semnatarului
• Dar dacă acel context se modifică, calitatea de semnătură avansată se pierde
Mit 8: Exista o listă prestabilită cu tipuri de semnături avansate, altele decât cele calificate
• Nu există o astfel de listă nici la nivel european şi nici la nivel naţional
• Există o listă de mecanisme tehnice la nivel European care specifică formate de semnătură electronică pentru semnătura avansată, dar partea procedurală nu este reglementată în Regulament decât pentru semnătura calificată
• Multitudinea de tehnologii posibile (mecanisme tehnice + PROCEDURALE) pentru crearea unei semnături electronice, fac ca, în lipsa unor reglementări sau standarde clare, calitatea de avansat a unei semnături electronice să nu poată fi stabilită a priori
• Mai mult, o aceeaşi tehnologie de creare a unei semnături electronice, utilizată într-un anumit context, poate duce la obţinerea calităţii de semnătură avansată, iar într-un alt context nu
Mit 9: Semnătura calificată este mai “birocratică” şi mai scumpă decât semnătura avansată ne-calificată
• Semnătura avansată este o categorie de tipuri de semnături electronice ţintă obiectiv, care reflectă actul de voinţă al semnatarului, dacă într-adevăr sunt îndeplinite cele 4 condiţii de la art. 26 din Regulamentul EIDAS
• Îndeplinirea acestor condiţii nu este simplă şi nici ieftină şi este o impresie falsă că o semnătură electronică avansată ne-calificată e mai ieftin de realizat decât o semnătură calificată, din cauză că Regulamentul nu detaliază decât cerinţe pentru semnătura calificată (întotdeauna ceva foarte detaliat pare mult mai complicat decât ceva care nu este detaliat)
• Cerinţele privind identificarea semnatarului sunt aceleaşi în cazul unei semnături electronice avansate ne-calificate ca şi în cazul unei semnături electronice calificate
• După identificarea semnatarului, utilizând semnătura electronică calificată în cloud, procesul de semnare calificat este foarte facil şi costul unei tranzacţii este sub 1 EUR pentru semnături ocazionale, ajungând până la câteva zeci de eurocenţi per tranzacţie în cazul volumelor mari de tranzacţii realizate de organizaţii mari cu multe procese digitalizate
• Validarea unei semnături calificate de către o parte terţă este mult mai ieftină decât validarea semnăturilor avansate ne-calificate, din cauza eterogenităţii tehnologiilor pentru crearea semnăturilor avansate ne-calificate
Mit 10: Identitatea electronică este reglementată de Regulamentul EIDAS
• Identitatea electronică sau mijlocul de identificare electronică reprezintă asocierea între un set de date personale şi un mecanism de autentificare
• Regulamentul EIDAS se aplică DOAR mijloacelor de identificare electronică notificate de către statele membre
• Regulamentul pleacă de la premisa ca statele membre au legislaţie proprie de reglementare a mijloacelor de identificare electronică cu care se accesează servicii on-line
• Scopul notificării este acela de a permite utilizarea unui mijloc de identificare electronică pentru accesarea oricărui alt serviciu on-line furnizat de organisme publice, din orice altă ţară UE, şi care este accesibil deja printr-un mijloc de identificare electronică
• În vederea notificării, sunt definite la nivel tehnic şi procedural trei nivele de asigurare de referinţă
• Nivel de asigurare scăzut
• Nivel de asigurare substanţial
• Nivel de asigurare ridicat
Mit 11: Identificarea video reprezintă o identitate electronică
• Nu putem avea o identitate electronică fără identificare
• Identificarea video este o modalitate de identificare la distanţă, dar nu reprezintă o identitate electronică
• Ne interesează ca soluţia de identificare video pe care o utilizăm să fie certificată ca fiind echivalentă cu identificarea faţă în faţă
• Identificarea video trebuie să fie reglementată – ADR a emis DECIZIA nr. 564 din 11 noiembrie 2021 – “Norme privind reglementarea, recunoaşterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanţă utilizând mijloace video”
Mit 12: Identitatea electronică şi semnătura electronică înseamnă acelaşi lucru
• Identitatea electronică ţine doar de persoana fizică cu care este asociată
• Semnătura electronică ţine atât de:
– Un document electronic (date în formă electronică) care se semnează
cât şi de
– Persoana fizică a semnatarului
• Este corect să spui despre o persoană fizică: “are o identitate electronică”
• Dar este incorect să spui că o persoană fizică “are semnătura electronică” (deşi se foloseşte foarte mult în limbajul de zi cu zi….”mi-am cumpărat semnătură electronică”), pentru ca semnătura electronică nu este ceva ce deţii, ci este ceva ce generezi în legătură cu un anumit document electronic
* Episodul #9 IDENTITATEA ELECTRONICĂ vs. SEMNĂTURA ELECTRONICĂ
* Episodul #8 IDENTITATEA ELECTRONICĂ Vs. IDENTIFICAREA VIDEO
* Episodul #7 IDENTITATEA ELECTRONICĂ ŞI REGULAMENTUL EIDAS
* Episodul #6 IDENTITATEA ELECTRONICĂ – DEFINIŢII ŞI CONCEPTE
* Episodul #5 CÂT DE AVANSATĂ E SEMNĂTURA TA AVANSATĂ
* Episodul #4 ÎNCREDEREA ÎN CERTIFICATUL DIGITAL
* Episodul #3 DE CE SEMNAM ELECTRONIC?
* Episodul #2 SEMNATURA DIGITALA SI CERTIFICATUL DIGITAL
* Episodul #1 SEMNATURA ELECTRONICA (Definitii, Categorii, Tipuri, Analogii si Exemple relevante)
