Digitalni potpis

Potraj lipnja predsjednik Clinton potpisao je zakon o elektronskom potpisu kojim se taj oblik potpisa u formalnopravnom smislu u potpunosti izjednačava s potpisom tintom na papiru. Potpis je kao dokaz autorstva ili stanovit iskaz suglasnosti sa sadržajem nekog dokumenta jedna od ključnih komponenti u pravnom reguliranju brojnih svakodnevnih aktivnosti. Sve šira primjena informacijskih tehnologija, a samim tim i uporaba dokumenata u elektronskom obliku dovela je do sve veće potrebe za realizacijom nekog oblika elektronskog potpisa.

Riječ je dakle o strateškom problemu, tako da su u posljednjih desetak godina ponuđena mnoga rješenja, koja u manjoj ili većoj mjeri zadovoljavaju sve osobine potpisa tintom na papiru, odnosno vlastoručnog potpisa. Za ilustraciju veličine i kompleksnosti problema valja podsjetiti na osnovna svojstva potpisa: autentičnost, minimalna mogućnost krivotvorenja, nemogućnost uporabe jer je potpis nedjeljiv dio dokumenta i nemogućnost nijekanja.

Javni i privatni ključ

Digitalni potpis samo je jedno od mogućih tehnoloških rješenja izvedbe elektronskog potpisa, no prema mišljenju stručnjaka po svojim karakteristikama on u najvećoj mjeri udovoljava gore navedenim svojstvima koja potpis mora imati. Na izvedbenoj razini riječ je o tehnološkom rješenju čiji se rad zasniva na tehnici šifriranja podatka pomoću privatnog i javnog ključa. U osnovnoj izvedbi, kada je potrebno zaštititi neki korisni sadržaj od neovlaštena pristupa, ta metoda šifriranja podataka provodi se tako da se podaci šifriraju pomoću javnog ključa, u šifriranom obliku šalju na odredište, dok je dešifriranje moguće tek uporabom privatnoga ključa koji ima samo primalac poruke.

U konkretnom slučaju digitalnog potpisa valja odmah uočiti da se mehanizmom šifriranja primjenjuje samo potpis, odnosno spomenuta metoda šifriranja koristi na upravo obrnut način, tako što se privatnim ključem koristi tijekom procesa potpisivanja dokumenta, dok se javni ključ, koji je svima dostupan, rabi za verifikaciju potpisa. Dakako u slučaju potpisa samo određena osoba smije staviti potpis na dokument, dok u općem slučaju svatko mora imati mogućnost provjere tog potpisa.

Konkretno uporaba digitalnoga potpisa moguća je tek uz uporabu posebnih programa pri čemu su brojni gore spomenuti detalji skriveni od korisnika. U načelu postupak digitalnoga potpisivanja pomoću takvih programa svodi se na to da korisnik na računalu odabere dokument koji želi potpisati, odnosno staviti na njega digitalni potpis, nakon čega prije pokretanja same procedure dodavanja digitalnog potpisa na dokument program traži unos zaporke, čime je zapriječeno da bilo tko osim vlasnika privatnoga ključa koji jednoznačno određuje potpis potpisnika neovlašteno stavi potpis na dokument.

U biti procedura stavljanja potpisa na dokument izvodi se tako da se primjenom određene matematičke transformacije na osnovi sadržaja dokumenta izračunava posebna vrijednost — sažetak (digest), koja na jedinstven način određuje taj sadržaj, te se ta vrijednost šifrira pomoću privatnoga ključa i uključuje u sam dokument. Valja svakako obratiti pozornost da sadržaj dokumenta ostaje nešifriran, no u koliko netko pokuša promijeniti tako potpisan dokument tijekom verifikacije digitalnog potpisa pomoću javnog ključa ustanovit će se da sadržaj dokumenta jednostavno ne odgovara sažetku koji je uključen u potpis, odnosno da sadržaj dokumenta nije onaj sadržaj koji je netko drugi potpisao. Posebno je kritičan dio cijeloga postupka postupak unosa zaporke kojim se priječi neovlašteno stavljanje digitalnog potpisa.

Stručnjaci su itekako svjesni toga problema, tako da se pored mogućnosti unosa zaporke preko tastature preporučuju bitno sigurniji načini unosa zaporke koji se svode na uporabu posebnih pametnih kartica u kojima je na poseban način pohranjena zaporka ili posebnih biometrijskih uređaja koji očitavaju otisak prsta, uzorak oka i sl. Pri potpisu zakona o digitalnom potpisu predsjednik Clinton upotrijebio je upravo pametnu karticu. Slično kao u slučaju kreditnih kartica vlasnik privatnoga ključa odgovoran je za zaštitu ključa od zlouporabe.

Pravi problem

Na kraju ostaje možda i najveći problem osiguranja autentičnosti parova privatnih i javnih ključeva, koji znače osnovne komponente funkcioniranja digitalnog potpisa, odnosno kako osigurati da određeni par ključeva pripada stvarnom potpisniku. Taj problem riješen je tako da za svakog korisnika postoji određeni elektronski zapis koji se naziva certifikat, u kome se pored uobičajenih osobnih podataka o potpisniku nalazi njegov javni ključ, rok trajanja certifikata, kao i podaci o instituciji koja je izdala certifikat. Sam elektronski zapis dodatno je zaštićen digitalnim potpisom, koji je također moguće verificirati pomoću posebnoga javnog ključa. Postupak izdavanja certifikata znatno je veći pravni i organizacijski negoli tehnološki problem. Zakonom o digitalnom potpisu koji je potpisao predsjednik Clinton predviđeno je da certifikate mogu izdavati posebne institucije (certification authority) koje ispunjavaju zakonom propisane uvjete.

Postupni proces

Prezentirani sustav digitalnoga potpisa svakako je zaokružen sustav, no oko njegove primjene u praksi postoje još brojna otvorena pitanja. Na Internetu se može naći velik broj članaka i analiza o toj problematici, no sve to može se podijeliti u dvije osnovne skupine. Prvu skupinu čine proizvođači rješenja za izvedbu sustava digitalnoga potpisa, kao i sustava za poslovanje na Internetu koji pokušavaju istaknuti brojne prednosti uvođenja sustava digitalnog potpisa.

S druge pak strane nalaze se brojni analitičari koji u biti ne osporavaju način izvedbe i opravdanost sustava, koliko upozoravaju na nedovoljnu provjerenost i kvalitetu tehnoloških rješenja koja bi se konkretno trebala primjenjivati u praksi, ponajprije svega u smislu sigurnosti i pouzdanosti. Zasigurno takvo stajalište proizlazi i iz činjenice da zakonska regulativa izrijekom ne propisuje koja tehnološka rješenja valja primjenjivati, odnosno barem kojim standardima ona moraju udovoljavati.

Primjena sustava digitalnog potpisa u budućnosti neupitna je, no sigurno je, uzevši u obzir brojna otvorena pitanja, da će biti riječ o postupnom procesu tijekom kojega će prvi konkretni pomaci biti ostvareni u nekim segmentima poslovanja na Internetu, a tek poslije u znatno većem opsegu i na ostalim područjima.

Dodatne informacije o pravnim i tehnološkim aspektima digitalnog potpisa raspoložive su preko sljedećih hiperveza:

http://www.entrust.com/

http://www.verisign.com/

http://www.youdzone.com/ signature.html

http://www.abanet.org/scitech/ec/isc/ dsg-tutorial.html

http://rechten.kub.nl/simone/ ds-lawsu.htm

Slaven Batnožić