Digitálny podpis vs elektronický podpis: vysvetlenie rozdielov
•
18 min
Čítajte
Čas čítania:
Dátum zverejnenia:
Dátum aktualizácie:
Digitálny podpis je špeciálny typ elektronického podpisu, ktorý ponúka pokročilú autorizáciu vďaka technológii PKI (Public Key Infrastructure) - overuje identitu podpisujúceho a vydáva digitálne certifikáty prostredníctvom certifikovaných dôveryhodných strán.
Hoci zjednodušený názov "digitálne podpisy" môže naznačovať úkon jednoduchý ako podpísanie dokumentu na papieri, digitálne podpisy idú nad rámec tohto konceptu, aby zabezpečili, že identita podpisujúceho je riadne overená a že dokument nebude možné zmeniť v žiadnom bode jeho digitálnej cesty.
Do kategórie digitálnych podpisov patria dva typy elektronických podpisov: AES (zdokonalený elektronický podpis) a QES (kvalifikovaný elektronický podpis).
V tomto článku:
- sa podrobne pozrieme na to, ako presne digitálne podpisy fungujú,
- dotkneme sa právnej histórie digitálnych podpisov,
- rozlúštime zložitosti kryptografických technológií, ktoré používajú,
- vysvetlíme AES a QES podpisy spolu s príkladmi použitia,
- nakoniec si prejdeme Autenti ako príklad kvalifikovaného poskytovateľa dôveryhodných služieb.
Obsah
1. Ako vlastne fungujú digitálne podpisy?
2. Digitálne certifikáty, integrita dokumentov a certifikačné autority
3. Časové pečiatky pre dodatočnú bezpečnosť
4. Digitálne podpisy: právna história a regulácie
5. Digitálny podpis: AES
6. Digitálny podpis: QES
7. Autenti ako kvalifikovaný poskytovateľ dôveryhodných služieb
8. Často kladené otázky
Ako vlastne fungujú digitálne podpisy?
Aj keď pochopenie digitálnych podpisov môže vyzerať zložito vzhľadom na to, že fungujú na vysoko technických princípoch, pri jednoduchom vysvetlení môže byť celý koncept ľahko pochopiteľný.
Technológia infraštruktúry verejného kľúča (PKI)
Najprv, digitálne podpísanie dokumentu vyžaduje, aby poskytovateľ digitálneho podpisu vydal súkromný kľúč, ktorý je priamo spojený s osobou podpisujúcou dokument a samotným dokumentom.
Následne, pre zaistenie správnej bezpečnosti, sa súkromný kľúč používa na zašifrovanie hash údajov - vygenerovaného reťazca čísel spojeného s dokumentom.
Súkromný kľúč môže používať len osoba podpisujúca dokument. Na overenie, či podpis nebol po podpísaní pozmenený, používajú overovatelia druhú sadu kľúčov vydaných v súlade s PKI - verejné kľúče.
Verejné kľúče dešifrujú digitálne podpísaný dokument, v podstate kontrolujú, či sa jedinečné reťazce čísel (hash kódy) dokumentu zhodujú. Ak nie, podpis na dokumente sa považuje za neplatný.
Keďže technológia PKI generuje jedinečné kódy pre každý podpis, ktoré možno bezpečne overiť, môžeme ich prirovnať k odtlačkom prstov - jedinečným pre každého podpisujúceho.
Pre porovnanie, najjednoduchšie elektronické podpisy, ako napríklad zaškrtnutie políčka "Súhlasím" alebo podpis v pätičke vášho e-mailu, neponúkajú tieto pokročilé metódy overenia.
To však neznamená, že všetky jednoduché riešenia elektronického podpisu, ako napríklad SES (jednoduché elektronické podpisy), nie sú bezpečné. Naopak, podpisy SES sú právne záväzné a bezpečné, pričom sú najuniverzálnejším typom elektronických podpisov - umožňujú podpísať 90% dokumentov v obchodných transakciách.
Digitálne certifikáty, integrita dokumentov a certifikačné autority
Súčasťou digitálnych podpisov spojenou s technológiou PKI sú digitálne certifikáty.
Digitálny certifikát je elektronický dokument, skutočný súbor, ktorý obsahuje verejný kľúč vygenerovaný prostredníctvom technológie PKI, ktorý sa následne používa na overenie identity podpisujúceho.
Digitálne certifikáty sa však nevydávajú samy od seba. Tu vstupujú do hry certifikačné autority.
Certifikačné autority sú dôveryhodné subjekty alebo organizácie, ktoré vydávajú digitálne certifikáty a bezpečne ich uchovávajú. Overujú identitu osoby podpisujúcej dokument a viažu túto overenú identitu k samotnému dokumentu pomocou kľúčov, o ktorých sme hovorili skôr.
Viazanie identity na digitálny certifikát zabezpečuje neporušiteľnú integritu dokumentu a ochranu pred akýmkoľvek falšovaním alebo neoprávnenými zmenami počas jeho digitálnej cesty.
Časové pečiatky pre dodatočnú bezpečnosť
Dodatočnou, hoci nie povinnou súčasťou digitálneho podpisu je aj časová pečiatka s dátumom a časom - konkrétne kvalifikované elektronické časové pečiatky.
Odporúča sa dodatočne označiť elektronický podpis časovou pečiatkou, aby sa ďalej zabezpečilo, že nedošlo k žiadnej manipulácii.
Je to preto, že elektronická časová pečiatka funguje ako digitálna pečať, ktorá potvrdzuje, že dokument existoval v konkrétnom čase a odvtedy nebol zmenený. Môže sa aplikovať na akýkoľvek typ elektronických údajov, či už ide o súbor alebo dokument.
Kvalifikovaná elektronická časová pečiatka spája dokument s presným časom jeho vytvorenia na základe hash čísla vygenerovaného skôr pomocou technológie PKI, ale nemusí mať nevyhnutne prístup k obsahu podpísaného dokumentu alebo identite podpisujúceho.
Akékoľvek zmeny v dokumente alebo zaznamenanom čase budú ľahko zistiteľné vďaka označenému času, čo je známe ako ochrana integrity.
Kvalifikované elektronické časové pečiatky sú definované predpismi a prinášajú silný predpoklad, že dátum a čas sú presné a že integrita dokumentu bola zachovaná. Tieto časové pečiatky sú univerzálne uznávané vo všetkých členských štátoch EÚ, čo ich robí spoľahlivými a interoperabilnými.
Digitálne podpisy: právna história a regulácie
Keď už vieme, ako digitálne podpisy fungujú, môžeme sa pozrieť na pozadie ich právnej histórie, so zameraním na predpisy v Európskej únii.
Oba typy digitálnych podpisov, AES aj QES, boli oficiálne uznané Európskou úniou v roku 2014 prijatím nariadenia eIDAS v členských štátoch.
eIDAS znamená elektronickú iDentifikáciu, Autentifikáciu a Dôveryhodné Služby a toto nariadenie stanovilo štandardy pre bezpečné elektronické a digitálne podpisovanie dokumentov.
Najnovším dodatkom k nariadeniu eIDAS bolo eIDAS 2.0, ktoré oficiálne nadobudlo právnu účinnosť v máji 2024.
Stručné zhrnutie eIDAS 2.0: prináša významné aktualizácie vrátane nových požiadaviek pre nekvalifikovaných poskytovateľov dôveryhodných služieb, čo v konečnom dôsledku zvyšuje ich uznanie a dôveryhodnosť. Navyše, v reakcii na rastúce kybernetické hrozby, presadzuje prísnejšie bezpečnostné štandardy a certifikačné procesy, pričom poskytovatelia dôveryhodných služieb musia teraz spĺňať požiadavky smernice NIS2.
Pre podrobnejší pohľad na eIDAS 2.0 si prečítajte tento článok.
Ale elektronické a digitálne podpisy nie sú regulované len v Európskej únii. Ekvivalentom eIDAS je zákon E-Sign Act v Spojených štátoch, federálny zákon ZertES vo Švajčiarsku alebo zákon o elektronických transakciách v Austrálii.
Digitálny podpis: AES
Zdokonalené elektronické podpisy sú výborným príkladom digitálnych podpisov, pretože overujú identitu podpisujúceho o niečo pokročilejším spôsobom ako jednoduché elektronické podpisy (SES).
Pri AES si môžete byť istí, že podpisujúci preukáže svoju identitu overením svojho dokladu totožnosti online.
Príklad: povedzme, že vlastníte spoločnosť, ktorá funguje primárne na diaľku, a preto podpisujete pracovné zmluvy alebo zmluvy o spolupráci s vašimi dodávateľmi úplne vzdialene.
Samozrejme, mohli by ste dokumentáciu poslať poštou každému zamestnancovi, čakať, kým podpíšu papiere a pošlú ich späť, alebo naskenujú svoj podpis. Ale oveľa rýchlejšou a bezpečnejšou možnosťou by bolo použiť AES podpisovanie.
Ak si vyberiete Autenti, získate jednu platformu na jednoduché zhromažďovanie AES podpisov od vašich zamestnancov, pričom máte 100% istotu, že ich identity boli overené.
V takom prípade by každý nový zamestnanec dostal e-mail s výzvou na podpísanie dokumentácie. Pred podpísaním by však museli potvrdiť svoju identitu pomocou občianskeho preukazu. Po vykonaní overenia dostane podpisujúci SMS potvrdzovací kód a môže dokončiť proces podpisovania.
Bežné prípady použitia AES podpisov
Bežné prípady použitia AES podpisov zahŕňajú:
- mandátne zmluvy a zmluvy o dielo, ktoré neprenášajú práva duševného vlastníctva,
- dohody o spolupráci,
- zmluva o predaji hnuteľného majetku,
- výmenná dohoda,
- nájomná zmluva (za predpokladu, že je na obdobie do jedného roka).
Digitálny podpis: QES
Ale povedzme, že vaše zmluvy podpisované na diaľku sú o niečo náročnejšie, napríklad zahŕňajú prevod práv duševného vlastníctva.
V takom prípade AES podpisy nebudú postačujúce a vzniká potreba použitia kvalifikovaných elektronických podpisov.
Ako stanovuje eIDAS, QES podpisy sú ekvivalentné skutočným vlastnoručným podpisom, čo ich robí maximálne bezpečnými.
Kvalifikované elektronické podpisy sú oblasťou, kde digitálne certifikáty prichádzajú v plnej sile, zabezpečujúc správnu integritu dokumentov.
Ak využívate službu QES od Autenti, získate prístup k viac ako 170 poskytovateľom QES podpisov v celej Európskej únii, pričom si môžete vybrať toho, ktorý vyhovuje vašej lokalizácii alebo preferenciám.
Čo sa týka samotného procesu, vytvorenie digitálneho podpisu ako QES vyžaduje dodatočné overenie identity vykonané dôveryhodnou treťou stranou. Toto overenie môže zahŕňať potvrdenie vašej identity prostredníctvom elektronického bankovníctva alebo dokončenie procesu video verifikácie na diaľku.
Bežné prípady použitia QES podpisov
Bežné prípady použitia QES podpisov zahŕňajú:
- Pracovná zmluva s prevodom práv duševného vlastníctva
- Konkurenčná doložka
- Udelenie plnej moci zamestnancovi
- Ukončenie pracovného pomeru
- Poistná zmluva
- Zmluva o bankovom účte
Ak si nie ste istí, ktorý typ elektronického podpisu by ste mali zvoliť, môžete ich vždy porovnať tu.
Autenti ako kvalifikovaný poskytovateľ dôveryhodných služieb
Aby bolo absolútne isté, že digitálne podpisy sú vykonávané bezpečným spôsobom a dodržiavajú stanovené vládne predpisy, bežné osoby a subjekty nevykonávajú podpisy samostatne. Používajú poskytovateľov dôveryhodných služieb (TSP).
Podľa predpisov musia poskytovatelia dôveryhodných služieb implementovať technické a organizačné opatrenia na riadenie rizík a zabezpečenie bezpečnosti svojich služieb, predchádzanie a minimalizáciu dopadu bezpečnostných incidentov.
Poskytovatelia sú povinní oznámiť dozorným orgánom významné porušenia alebo straty integrity do 24 hodín, v prípade potreby informovať dotknuté osoby a spolupracovať pri cezhraničných incidentoch.
Navyše, dozorné orgány musia predkladať agentúre ENISA ročné súhrny porušení a Európska komisia môže prostredníctvom vykonávacích aktov stanoviť konkrétne opatrenia a postupy.
Autenti je zapísaná v registri poskytovateľov dôveryhodných služieb, čo zaručuje bezpečnosť a právne uznanie. Okrem toho je bezpečnosť zaručená úplným súladom s nariadeniami eIDAS, súladom s GDPR, správnou archiváciou elektronicky podpísaných dokumentov a súladom so štandardom PDF.
Platforma Autenti sa zameriava na jednoduché používateľské rozhranie, aby skutočne uľahčila elektronické a digitálne podpisovanie.
Philippe Enjalbal, viceprezident Credit Agricole hovorí o ich partnerstve s Autenti:
"Proces otvárania účtu v našej banke úplne na diaľku je odpoveďou na potreby našich klientov a ďalším krokom v rozvoji našich služieb elektronického bankovníctva [...]. Tieto nové riešenia klienti vítajú a ochotne ich využívajú."
Často kladené otázky
Čo je digitálny podpis?
Digitálny podpis je špeciálny typ elektronického podpisu, ktorý poskytuje zvýšenú úroveň autorizácie s dodatočnými kryptografickými technikami používanými na ochranu podpísaného dokumentu pred manipuláciou. Digitálne podpisy sú založené na technológii PKI s matematickými algoritmami, hash kódmi, súkromnými a verejnými kľúčmi, ako aj digitálnymi certifikátmi, ktoré slúžia ako skutočný odtlačok prsta pre každý podpísaný dokument.
Ako prebieha overenie identity pri AES podpisoch?
Overenie identity pri AES podpisoch prebieha úplne online overením dokladu totožnosti podpisujúceho. Po overení dokladu totožnosti dostane podpisujúci SMS kód na dokončenie procesu podpisovania.
Ako prebieha overenie identity pri QES podpisoch?
Overenie identity pri QES podpisoch prebieha rôznymi spôsobmi, v závislosti od poskytovateľa kvalifikovaného elektronického podpisu. Môže ísť o jednoduché prihlásenie do vášho bankového účtu elektronicky alebo o náročnejší proces vyžadujúci video stretnutie s certifikačnou autoritou.
Čím sa AES a QES podpisy líšia od SES podpisov?
AES a QES podpisy sa od SES podpisov líšia hlavne v procese, ktorý vyžadujú na podpísanie dokumentov. Napríklad, SES podpisy overujú identitu podpisujúceho prostredníctvom jednoduchého overovacieho kódu zaslaného e-mailom, zatiaľ čo AES overuje doklad totožnosti podpisujúceho online a QES môže dokonca vyžadovať video stretnutie na potvrdenie identity podpisujúceho.
Ako overím platnosť digitálneho podpisu na dokumente?
Najbezpečnejším spôsobom overenia platnosti digitálneho podpisu na dokumente je použitie na to určeného nástroja, ako je validátor Autenti. Autenti Validator zabezpečuje, že váš dokument je úplne autentický a nebol s ním manipulované. Navyše si môžete stiahnuť Potvrdenie o validácii - podrobnú správu o overení - ideálnu na použitie ako dôkaz v právnych záležitostiach.
