Электронная подпись.
По смыслу подпись под документом подтверждает согласие подписанта (человека, ставящего под документом свою подпись) с его содержимым.
Проверка подписи устанавливает 2 факта:
1) неизменность самого подписанного документа (аутентичность документа);
2) соответствие подписи личности подписанта (авторизация).
Проверка обоих этих фактов с использованием системы электронной подписи обеспечивается следующим образом:
Создание электронной подписи.
Сначала из подписываемого документа устраняется избыточность. В результате образуется его сжатая копия, которая называется дайджестом или хэш-суммой. Хеширование (преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины) применяется для сравнения данных: если у двух массивов хеш-коды разные, массивы гарантированно различаются; если одинаковые — массивы с высокой вероятностью одинаковы.
Затем дайджест шифруется при помощи приватного (секретного) ключа подписанта. Этот зашифрованный дайджест называется электронной или цифровой подписью. Электронная подпись может сохраняться в виде отдельного файла, как это делается в системе PGP, или встраиваться в файл, как это делается, например, в MS Word.
Файл документа и файл электронной подписи или файл документа со встроенной электронной подписью передаются (или пересылаются по компьютерным сетям) тем, для кого эта подпись важна.
Проверка электронной подписи.
Проверка электронной подписи состоит из расшифровки дайджеста из файла электронной подписи при помощи парного секретному публичного ключа. Кроме того, на месте проверки подписи повторно находится дайджест подписанного документа. Затем эти два дайджеста (дайджест, полученный путем расшифровки подписи, и дайджест, полученный непосредственно из документа) сравниваются между собой. В случае их совпадения делается вывод о неизменности (аутентичности) подписанного документа (отсутствия в нем искажений или подделки). Авторство же подписанта (его авторизация) подтверждается самой возможность расшифровки дайджеста.
Безопасность
Надо отметить, что, несмотря на большое количество всевозможных операций, выполняемых в процессе шифрования, создания и проверки электронных подписей, пользователи (люди, использующие эти технологии), избавлены от необходимости непосредственного их выполнения. Эти операции выполняются автоматически. Важно при этом быть уверенным в том, что в процессы их выполнения не включены так называемые «черные входы», позволяющие посторонним действовать во вред пользователям. Отсутствие «черных входов» гарантируется открытостью текстов программ, с помощью которых все эти операции выполняются, и мнениями специалистов, пользующихся доверием общества и глубоко изучивших эти программы.
Кроме того, есть опасность подмены открытого ключа. Для борьбы с ней предложено много средств, одно из которых – отпечаток открытого ключа. О нем и его применении говорится ниже.
Использование программы pgp для создания и проверки электронных подписей
Одной из наиболее известных открытых программ защиты информации при помощи системы из двух ключей является программа PGP (Pretty Good Privacy), разработанная в США Филипом Циммерманом (Philip Zimmermann) в начале 90-х годов. Программа постоянно совершенствуется и к настоящему времени (2012 г.) выпущено уже 10 ее версий. Довольно совершенный вариант программы распространяется бесплатно. Бесплатный вариант программы можно получить по адресу http://www.pgpi.org/. Программа в России не сертифицирована, поэтому использование заложенных в ней возможностей шифрования сообщений является в нашей стране противозаконным. Здесь изучается не средства шифрования (скрытия) сообщений, а технология электронных подписей. Программа PGP существует в разных версиях. Здесь дается описание применения PGP последней на настоящее время (февраль 2012) версии 10.2, причем в тестовом варианте – в варианте, допускающем бесплатное использование программы для ознакомления с ней. В этом тестовом варианте отключены некоторые важные функции, однако изучаемая нами функция электронной подписи поддерживается полностью.