Overitelj digitalnih potrdil na Ministrstvu za javno upravo
Tržaška cesta 21
1000 Ljubljana
Slovenija

 

Vlada RS MJU Domov English Domov

OSNOVE TEHNOLOGIJE ELEKTRONSKEGA POSLOVANJA
IN ELEKTRONSKEGA PODPISA

 

 

Digitalno potrdilo

Digitalno potrdilo (angl.: Digital Certificate) je sodobna alternativa klasičnim osebnim identifikatorjem (osebna ali zdravstvena izkaznica, potni list, bančna kartica, ...), s specifičnim namenom - zagotavljanju varnega in legitimnega e-poslovanja. Predstavljen kot računalniški zapis vsebuje podatke o imetniku (ime, e-naslov, enolična številka,...), njegov javni ključ, podatke o overitelju oz. izdajatelju digitalnega potrdila ter obdobje veljavnosti digitalnega potrdila, ki je digitalno podpisan z zasebnim ključem izdajatelja potrdila (SIGOV-CA oz. SIGEN-CA).

Digitalna potrdila so sestavni del tehnoloških rešitev, ki nudijo dve osnovni možnosti za zasebnost v elektronskem poslovanju in komuniciranju:

  • šifriranje podatkov, ki zagotavlja zaupnost, in
  • digitalni podpis, ki predstavlja sodobno alternativo klasičnemu podpisu, zagotavlja pa:

    • identiteto imetnika digitalnega potrdila

    • nezatajljivost lastništva poslanih e-podatkov, in

    • celovitost (integriteto) sporočila, kar pomeni, da samo dela podatkov ni mogoče spremeniti ali drugače popraviti brez (vednosti) podpisnika.

Overitelj tako predstavlja ustanovo, kateremu zaupajo njegovi komitenti - imetniki digitalnih potrdil. S tem ga tudi pooblaščajo, da upravlja z njihovimi digitalnimi potrdili. Slika 1 prikazuje princip zaupanja med lastniki digitalnih potrdil preko tretje osebe - overitelja (več o namenu overitelja na MJU).


Slika 1

Podobno je overitelj ustanova, ki ji lahko zaupajo tudi ostali overitelji ali posamezniki in posredno s tem tudi lastnikom vseh digitalnih potrdil, ki jih je overitelj izdal in potrdil. Tako se lahko različni overitelji povezujejo na različne načine, bodisi horizontalno, kjer se medsebojno overijo in s tem omogočijo varno in zanesljivo komunikacijo med lastniki digitalnih potrdil obeh ustanov (npr. podobno kot pri medsebojnem priznanju potnih listov med državama) ali vertikalno, ko nek overitelj pooblasti neko drugo ustanovo za izdajanje digitalnih potrdil v njegovem imenu, kar je seveda potrebno pri upravljanju z velikim številom digitalnih potrdil, poleg tega pa se z medsebojnim priznavanjem veča nabor e-storitev, ki so možne s posameznimi digitalnimi potrdili.

 


Slika 2

 

Osnovne lastnosti digitalnih potrdil SIGOV-CA in SIGEN-CA

Digitalna potrdila so namenjena tako za interno e-poslovanje oz. komuniciranje v javni upravi (SIGOV-CA) kot za storitve, ki jih nudi javna uprava državljanom in pravnim osebam na elektronski način (SIGEN-CA). Zato obstajajo med obema vrstama digitalnih potrdil - posebnimi in spletnimi - nekatere specifične razlike, pogojene z namenom uporabe. Le-to omogoča posebna tehnologija in specifične lastnosti programske opreme ter infrastrukture.

Medtem ko pripada spletnim digitalnim potrdilom en par ključev (javni in zasebni), pripadajo posebnim digitalnim potrdilom dva ločena para ključev - za digitalno podpisovanje oz. overjanje ter za šifriranje oz. dešifriranje. Vsak par sestavljata zasebni in javni ključ. Pri tem javnost ključa pomeni, da je le-ta javno dostopen oz. objavljen v t.i. javnem imeniku, zasebnost pa, da ima dostop do tega ključa samo imetnik digitalnega potrdila.


Slika 3

Par ključev za šifriranje/dešifriranje sestavljata:

  • zasebni ključ za dešifriranje ter
  • javni ključ za šifriranje.

Par ključev za podpisovanje/overjanje sestavljata:

  • zasebni ključ za podpisovanje ter
  • javni ključ za overjanje podpisa.

Oba para ključev sta prikazana na sliki 3.


Slika 4

Postopek šifriranja in dešifriranja je shematsko prikazan na sliki 4. A želi poslati B šifrirano sporočilo. Uporabi B-jev javni ključ za šifriranje, ki se nahaja v imeniku javne uprave. A nato pošlje šifrirano sporočilo B-ju. Ko le-ta prejme šifrirano sporočilo, ga s svojim zasebnim ključem dešifrira. Pod pogojem, da je A izbral B-ja kot edinega naslovnika njegovega sporočila, ga lahko edino le-ta dešifrira.

Postopek digitalnega podpisovanja je prikazan na sliki 5. A digitalno podpiše svoje sporočilo. Digitalni podpis je narejen tako, da se najprej po posebnem postopku naredi t.i. "seštevek" sporočila - zgoščena vsebina (ki zagotavlja, da sporočila kasneje ni mogoče spremeniti, saj bi ta seštevek ne bil več isti), to število pa je potem zašifrirano z zasebnim ključem podpisnika (A). Ker svoj zasebni ključ pozna izključno A, je to jamstvo, da je podpis res A-jev. Digitalno podpisano sporočilo, ki ga prejme B, sestavljajo čistopis, šifrirana zgoščena vsebina in A-jev javni ključ za overjanje podpisa.


Slika 5

Ko želi B preveriti A-jev digitalni podpis - postopek prikazuje slika 6 - B najprej z A-jevim javnim ključem dešifrira zgoščeno vsebino. Ponovno izračuna povzetek sporočila iz čistopisa z istim zgostitvenim algoritmom, kot ga je uporabil A. Če se zgoščeni vsebini ujemata, pomeni, da je poslano sporočilo res podpisal A.


Slika 6

Podpisano elektronsko sporočilo lahko bere vsakdo, vendar pa ne more spreminjati njegove vsebine, ne da bi se spremembe zabeležile. Glede na dejstvo, da pozna svoj zasebni ključ samo in izključno podpisnik (imetnik digitalnega potrdila), pa je zagotovljeno, da je on dejansko tudi podpisal sporočilo.

Dva para ključev pri posebnih digitalnih potrdilih omogočata dostop oz. dešifriranje šifriranih podatkov tudi v primerih, ko digitalno potrdilo, s katerim so podatki zašifrirani, ni več veljavno oz. ni mogoča normalna uporaba tega digitalnega potrdila zaradi različnih vzrokov. To omogoča dostop (berljivost) e-podatkov tudi v nepredvidenih in nezaželenih primerih, kot npr. izguba gesla za dostop do zasebnega ključa za dešifriranje podatkov, poškodovanje pametne kartice, na kateri je shranjen zasebni dešifrirni ključ, ... . Pri tem se zasebni ključ za dešifriranje podatkov po posebnem režimu varno hrani znotraj infrastrukture overitelja na MJU in se izdaja izključno na zahtevo imetnika digitalnega potrdila, predstojnika (v primeru službenih digitalnih potrdil ali digitalnih potrdil za pravne osebe) ali na zahtevo pristojnega sodišča, sam postopek izdaje zasebnega ključa za dešifriranje podatkov pa je natančno določen s Politikami delovanja SIGOV-CA in SIGEN-CA. Na osnovi omenjenih značilnosti so posebna digitalna potrdila v prvi vrsti namenjena službeni uporabi (za javno upravo in za pravne osebe), spletna digitalna potrdila pa za državljane.

Druga bistvena razlika med posebnimi in spletnimi digitalnimi potrdili je v veljavnosti in obnavljanju njihovih ključev. Medtem ko je veljavnost ključev pri posebnih digitalnih potrdilih za podpisovanje, šifriranje in dešifriranje največ tri leta ter za overjanje pet let, je veljavnost spletnih digitalnih potrdil pet let. Pri tem se ključi posebnih digitalnih potrdil avtomatično obnavljajo pred pretekom veljavnosti, pri spletnih pa obnavljanje ne poteka avtomatsko, ampak je potrebno vsakič ponoviti postopek pridobitve digitalnega potrdila.

 

Več o tehničnih osnovah elektronskega poslovanja in podpisa