Лічбавы подпіс і лічбавы сертыфікат – простае кіраўніцтва

Да таго, як свет пачаў алічбоўку, ён у значнай ступені абапіраўся на падпісаныя дакументы для зацвярджэння, аўтэнтыфікацыі і прыцягнення да адказнасці розных бакоў у транзакцыях і розных тыпах пагадненняў. Лічбавы подпіс і лічбавы сертыфікат прыходзяць як сучасная замена стандартным подпісам. 

Значна хутчэй, чым перасылка дакументаў па пошце і адпраўка дакументаў па факсе, лічбавы подпіс прыйшоў на дапамогу розным прадпрыемствам. 

Што такое лічбавы подпіс? 

Лічбавы подпіс - гэта электронная праверка адпраўніка дакумента, якая дазваляе атрымальніку вызначыць, ці быў зыходны кантэнт зменены пасярэднікам. 

Закрыты ключ і адкрыты ключ з'яўляюцца двума важнымі элементамі лічбавага подпісу, створаных спецыяльным алгарытмам адначасова. Нягледзячы на ​​тое, што яны створаны, каб быць матэматычна звязанымі, з выгляду яны будуць адрознівацца. 

Лічбавы подпіс служыць тром мэтам: 

1. Ідэнтыфікацыя – атрымальнік можа ўсталяваць аўтарства паведамлення і вызначыць, ці з'яўляецца адпраўнік тым, за каго сябе выдае. 
2. Неабрэдаванне – адпраўнік не можа адмаўляць, што адправіў паведамленне пазней, і можа быць прыцягнуты да адказнасці за нязмененае паведамленне. 
3. Цэласнасць – паведамленне не было зменена. 

На самай справе лічбавы подпіс мае юрыдычную сілу ў Злучаных Штатах, Еўрапейскім Саюзе, Швейцарыі, Паўднёвай Афрыцы, Алжыры, Турцыі, Індыі, Бразіліі, Інданезіі, Мексіцы, Саудаўскай Аравіі, Уругваі і Чылі. 

Як стварыць лічбавы подпіс? 

Каб стварыць лічбавы подпіс, неабходна падпісаць паведамленне сваім закрытым ключом.  

Закрыты ключ - гэта элемент гэтага раўнання, якім валодаеце толькі вы, і, прадастаўляючы яго, вы паказваеце доказ таго, што менавіта вы падпісалі дакумент. 

Спачатку вы хэшуеце звычайны тэкст, каб захаваць нязмененую версію паведамлення, якое вы збіраецеся адправіць.  

САЙДЭТА. Хэшаванне - гэта пераўтварэнне пэўнага змесціва любой даўжыні ў больш кароткае значэнне фіксаванай даўжыні. 

Найбольш пераважным алгарытмам хэшавання ў нашы дні з'яўляецца SHA256 (алгарытм бяспечнага хэшавання). Майце на ўвазе, што хэшаванне - гэта аднабаковы працэс, і невялікая змена ўваходных дадзеных змяняе ўвесь выхад.  

Затым вы шыфруеце хэш звычайнага тэксту сваім закрытым ключом, што прывядзе да лічбавага подпісу. 

Вы прымацоўваеце лічбавы подпіс да тэкставага дакумента і адпраўляеце яго. 

Праз асіметрычнае шыфраванне, атрымальнік зможа расшыфраваць ваш лічбавы подпіс і параўнаць хэш звычайнага тэксту з хэшам, які вы падаеце.  

Такім чынам, вы можаце задацца пытаннем, як хэшаваць дакумент. На шчасце, праграма на вашым кампутары зробіць гэта аўтаматычна за вас.  

Вось як вы можаце стварыць хэш дакумента ў Windows 7/8/10: 

1. Доступ да «Каманднага радка»;  
2. Увядзіце «certutil – хэш-файл» 
3. Перанясіце дакумент у «Камандны радок». 
4. Дадайце «SHA256» у канцы радка. 

Ваш канчатковы радок павінен выглядаць прыкладна так: 

certutil -хэш-файл “C:\User\Computer\Desktop\File.docx” SHA256 

Робячы гэта, кансоль будзе адлюстроўваць 256 біт / 64 шаснаццатковы код, які прадстаўляе змесціва вашага файла. 

Але дзе ўзяць прыватны і адкрыты ключ? 

Гэта таксама даволі проста.  

Вы можаце стварыць іх з дапамогай праграмнага забеспячэння, онлайн-платформы або праз інфраструктуру адкрытых ключоў (PKI), зарэгістраваную ў цэнтры сертыфікацыі. 

САЙДЭТА. PKI - гэта прыняты фармат для кіравання шыфраваннем з адкрытым ключом, які забяспечвае самы высокі ўзровень бяспекі і ўсеагульнае прызнанне.  

Тады, як дадаць лічбавы подпіс з прыватным ключом да дакумента? 

Для гэтага вам зноў трэба выкарыстоўваць спецыяльнае праграмнае забеспячэнне, такое як Sign Server, Safe pdf або DocuSign. 

Як гэта дапамагае? 

Давайце возьмем выдуманы сцэнар таго, як лічбавы подпіс можа абараніць вас.  

Вы падпісваеце ў лічбавым выглядзе кантракт з пастаўшчыком за мяжой на аўтсорсінг паслуг.  

Пасля ўзгаднення ўмоў і тарыфу 20 долараў за гадзіну вы хэшавалі дакумент і падпісвалі яго, а потым адпраўлялі назад пастаўшчыку. 

І тут узнікае праблема.  

Падпісаны кантракт павінен трапіць да кіраўніка аўтсорсінгавай кампаніі, але сквапны прадавец мяняе тарыф на 30 долараў за гадзіну, каб зарабіць большую камісію. Калі надыходзіць час аплаты, вы раптам выяўляеце, што стаўка большая, чым вы дамовіліся. 

Як даказаць, што дакумент быў падроблены?  

Менеджэр не ведаў, але быў гатовы праясніць сітуацыю. Такім чынам, вы просіце яго выкарыстоўваць адкрыты ключ, каб расшыфраваць ваш подпіс і праверыць хэш. Робячы гэта, ён зможа заўважыць розніцу ў вывадзе хэша і вызначыць, што кантракт быў зменены.  

І нават калі менеджэр не жадае супрацоўнічаць, вы можаце прыцягнуць яго да суда, даказаць сваю рацыю і прыцягнуць да адказнасці. 

Лічбавы подпіс у блокчейне 

Блокчейн Bitcoin выкарыстоўвае алгарытм SHA256 і лічбавы подпіс для забеспячэння нязменнасці інфармацыі, якая захоўваецца на blockchain. Лічбавы подпіс дапамагае адсочваць транзакцыі і прадухіляць падвойныя выдаткі. 

Транзакцыі прымаюцца ў якасці ўваходных дадзеных і запускаюцца праз алгарытм хэшавання, затым вяртаюцца ў якасці вываду з фіксаванай даўжынёй. Затым даныя дадаюцца ў блок. Блок таксама змяшчае хэш-указальнік, які паказвае на папярэдні блок.  

Хэш-паказальнік змяшчае хэш усіх даных у папярэднім блоку. Любая нязначная мадыфікацыя дадзеных, якія змяшчаюцца ў блоку, прывядзе да рэзкай змены хэша. Мадыфікацыя распаўсюджваецца не толькі на бягучы, але і на ўсе папярэднія блокі, а значыць, анулюючы іх. 

Што такое лічбавы сертыфікат? 

Як вы ўжо здагадаліся, зрабіць лічбавы подпіс і выкарыстоўваць яго не так ужо і складана. Як раз у гэтым яго слабасць.  

Зламыснік можа паспрабаваць стварыць лічбавы подпіс і адкрыты ключ, каб выдаць сябе за кагосьці іншага. Калі асоба атрымае такое паведамленне з лічбавым подпісам і прыйдзе да высновы, што дакумент з'яўляецца законным, яна падвергнецца інфармацыйнай атацы з боку зламысніка.  

Лічбавы подпіс сам па сабе не правярае сапраўдную асобу адпраўніка і яго адкрыты ключ, таму не мае аўтэнтыфікацыі. 

Аднак гэтую праблему вырашае лічбавы сертыфікат. Лічбавы сертыфікат - гэта электронныя ўліковыя дадзеныя, выдадзеныя Цэнтрам сертыфікацыі.  

Цэнтр сертыфікацыі рэгіструе праз PKI асобу ўладальніка, а таксама правярае, што ўладальнік сапраўды валодае адкрытым ключом. 

Лічбавы сертыфікат звычайна змяшчае імя ўладальніка, адкрыты ключ, цэнтр сертыфікацыі і лічбавы подпіс. Такім чынам істотна зніжаецца рызыка атрымання лічбавага подпісу ад зламысніка. 

Як стварыць лічбавы сертыфікат? 

У асноўным ёсць два спосабы стварэння лічбавага сертыфіката: 

1. Вы ствараеце самазавераны сертыфікат. 
2. Вы запытваеце яго ў Цэнтра сертыфікацыі (CA). 

1. Самазавераны сертыфікат 

Ёсць некалькі метадаў стварэння самазаверанага сертыфіката, але каб зразумець працэс, мы звернемся да самазаверанага сертыфіката X509. Вы можаце стварыць усё гэта самастойна ў OpenSSL. 

Проста адкрыйце камандны радок і ўвядзіце «openssl». 

Далей увядзіце «OpenSSL req -x509 -days 365 -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem». 

І хаця некаторым з вас гэта можа здацца тарабаршчынай, давайце паглядзім, што ўсё гэта значыць: 

• 'Req' азначае, што гэта запыт сертыфіката; 
• 'x509' пазначае тып сертыфіката; 
• '365' паказвае колькасць дзён, якія ён будзе сапраўдны; 
• 'newkey' азначае, што гэта будзе новы сертыфікат;
• "Keyout" будзе ключавым файлам.

Пасля гэтага вы зможаце стварыць прыватны ключ і дадаць ідэнтыфікацыйную інфармацыю.  

Вы можаце знайсці пакрокавае кіраўніцтва тут. 

Аднак самападпісаны лічбавы сертыфікат забяспечвае толькі шыфраванне, але не давер. Такі сертыфікат - лёгкая мішэнь для хакераў. Яны могуць паўтарыць яго і прыкінуцца «эмітэнтам» і пачаць фішынг для асабістай інфармацыі. 

Фактычна, вэб-сайты, якія выкарыстоўваюць самазавераныя сертыфікаты SSL, пазначаюцца інтэрнэт-браўзерамі як "ненадзейныя". 

2. Сертыфікат, выдадзены ЦС 

Лічбавы сертыфікат, пацверджаны цэнтрам сертыфікацыі, з'яўляецца больш надзейным і бяспечным метадам. Гэта таксама лягчэй атрымаць, але гэта можа азначаць плату.  

Цэнтр сертыфікацыі звычайна патрабуе плату за выдачу сертыфіката, і вы можаце альбо запытаць толькі іх сертыфікат, альбо папрасіць іх апрацоўваць усе PKI. 

Калі вам патрэбен просты сертыфікат, вы можаце звязацца з імі па тэлефоне або электроннай пошце. Яны правераць вашу асобу, затым выдадуць вам сертыфікат, які павінен змяшчаць адкрыты ключ, ідэнтыфікацыю цэнтра сертыфікацыі і ідэнтыфікацыю карыстальніка. 

Акрамя лічбавай сертыфікацыі, вы можаце папрасіць некаторыя кампаніі апрацоўваць усе аспекты PKI, маркераў доступу і шматфактарнай аўтэнтыфікацыі для карыстальнікаў, прылад і машын. 

У выпадку вэб-сайта запыт на подпіс сертыфіката паступае ў выглядзе каманды вэб-сервера. 

Ключавыя вынас 

• Лічбавы подпіс - гэта электронная праверка адпраўніка. Ён абапіраецца на асіметрычнае шыфраванне і выкарыстоўвае прыватны ключ для шыфравання паведамлення і адкрыты ключ для яго расшыфроўкі. 
• Змест паведамлення хэшуецца для захавання цэласнасці. Аднак хэш з'яўляецца аднабаковым працэсам і выкарыстоўваецца для праверкі таго, што змесціва не было зменена. 
• Атрыманае паведамленне расшыфроўваецца з дапамогай адкрытага ключа, а хэш змесціва павінен адпавядаць хэш-значэнню, пададзенаму адпраўніком. У адваротным выпадку атрымальнік мае падставы меркаваць, што змест быў зменены. 
• Адной толькі лічбавай подпісы не хапае аўтэнтыфікацыі. Такім чынам, ён павінен быць падмацаваны лічбавым сертыфікатам, выдадзеным цэнтрам сертыфікацыі. 

* Інфармацыя ў гэтым артыкуле і прадстаўленыя спасылкі прызначаны толькі для агульных інфармацыйных мэт і не павінны з'яўляцца фінансавымі або інвестыцыйнымі парадамі. Мы раім вам правесці ўласнае даследаванне або пракансультавацца са спецыялістам, перш чым прымаць фінансавыя рашэнні. Калі ласка, пацвердзіце, што мы не нясем адказнасці за любыя страты, выкліканыя любой інфармацыяй, прысутнай на гэтым сайце.