TIPURI SE SEMNĂTURĂ ELECTRONICĂ

O semnătură electronica calificată (așa numitul digital ID) funcţionează ca un fel de pașaport sau buletin digital care probează identitatea ta. Prin urmare, documentele electronice care conțin o astfel de semnătură electronica probează ”actul tău de voință” legat de cele cuprinse în respectivul document.

O semnătură electronică de obicei conține de obicei numele său complet, adresa ta de email și numele organizației (companiei) care a emis-o. De asemenea semnătura electronică calificată conține o dată de expirare și un identificator unic numit (așa numitul serial number).

Semnăturile electronice au 2 mari componente: o cheie publică care se folosește pentru a încripta date și o cheie privată care se folosește pentru a decripta datele încriptate anterior cu cheia publică asociată. Cheia publică se mai numește și certificat și se distribuie către toate părțile implicate. De exemplu poți trimite aceasta cheie publică către toate părțile care ar putea dori la un anumit moment să valideze semnătura ta digitală.

Cheia ta privată este de regulă stocată într-o zonă privată la care doar tu, titularul (fie pe dispozitivul fizic pe care îl primești de la compania care ți-a furnizat semnătura electronica, fie în cloud, accesibil doar după ce în prealabil ai parcurs niște paşi de autentificare.

În afaceri se pot folosi trei tipuri de semnături electronice:

Semnătura electronică de nivelul unu 

Ce reprezintă: Vorbim de o semnătură olografă scanată, aplicată peste un document PDF. Documentele semnate cu acest tip de semnătură par unui utilizator neavizat că ar fi fost tipărite, semnate, scanate de către chiar persoana identificată în document. Dar o persoană răuvoitoare (altcineva decât semnatarul) poate foarte ușor să genereze alte documente, cu conținut similar fără ca semnatarul clamat să aibă cunoștință.  

Variante: semnătura pictată prin mijloace electronice de către utilizator, o semnătură stilizată (ca un logo) pe care ai realizat-o pe calculator (de exemplu Acrobat Reader-ul permite să faci așa ceva) și pe care o aplici, ca o ștampilă, pe anumite documente. 

Utilizare: O astfel se semnătură poate ”funcționa” din punct de vedere business doar pentru semnături de mică  importanță (de exemplu un angajat care își semnează cererea de concediu adresată departamentului de resurse umane, un manager care semnează o ofertă de angajare transmisă unui candidat, etc.). În cazul unei dispute legale care ajunge în instanță, partea interesată să se folosească de respectivul document nu poate proba în vreun fel că acel document a fost în realitate semnat de cel a cărui semnătură este incorporată în document. De ce? Pentru că orice altă persoană care avea anterior acces la semnătura olografă a titularului semnăturii putea să ”plastografieze” respectiva semnătură pe respectivul document. În mod evident această semnătură electronică nu respectă standardul anunțat anterior. Nu există nici o cheie publică și nici una privată. Nu există nici in proces de încriptare. Am listat acest nivel de semnături electronic pentru că multă lume le utilizează, crezând în mod eronat că acestea ar fi semnături electronic în toată puterea cuvântului.

Semnătura electronică de nivelul doi

AES = advanced electronic signature

Ce reprezintă: este o semnătură electronică care respectă standardul cheie privată / cheie publică.  Sunt așa numitele semnături auto-generate. 

Cum o obții: Ele sunt generate de anumite aplicații informatice de pe calculatorul personal. Odată creată o astfel se semnătură, dacă titularul o folosește regulat, vor exista nenumărate documente pe internet, în căsuța sa poștală, în căsuțele poștale ale partenerilor de afaceri sau pe calculatoarele partenerilor de afaceri. 

De ce este mai puternică decât semnătura de tip unu: În cazul unei dispute legale, un expert ar putea compara semnătura de pe documentul a cărui valabilitate se contestă cu semnăturile de pe alte documente emise anterior sau ulterior de către persoana care se presupune că a semnat documentul. Dacă semnătura este identică, se poate trage concluzia că acel document a fost semnat utilizându-se aceeași cheie privată iar cum respectiv cheie privată cel mai probabil este instalată doar pe calculatorul unde semnătura electronică respectivă a fost self-generată, se poate trage concluzia că „cel mai probabil”  cel care a aplicat semnătura pe document este chiar cel care a mai aplicat de nenumărate ori, semnătura pe celelalte documente, deci, cel mai probabil, chiar titularul. 

Limitări: Această concluzie nu este însă 100% certă, Se prea poate ca un terț răuvoitor să fi accesat la un anumit moment calculatorul titularului să exporte atât cheia publică cât și cea privată pe un memory stick, să instaleze respectiva semnătură în alt calculator iar apoi să emită documente în numele titularului fără ca titularul să aibă cunoștință.  Prin urmare, deși acest tip de semnături oferă un nivel mult mai mare de încredere nu sunt 100% sigure. 

Utilizare: Aceste semnături autogenerate se folosesc masiv în interiorul organizațiilor, de exemplu în cazul semnării fișierelor executabile care rulează pe serverele respectivei organizații (codul nesemnat nu poate rula, iar astfel organizațiile sunt mai bine protejate în fașa hackerilor). De asemenea se utilizează pe scară largă, între parteneri între care există o încredere mutuală pentru semnarea contractelor, pentru semnarea comenzilor, facturilor, samd. 

Cum poți obține: Puteți genera chiar dvs. o semnătură de tipul AES cu Adobe Acrobat (un exemplu aici) sau cu SELFCERT.EXE de la Microsoft (un exemplu aici)

Semnătura electronică de nivelul trei

Semnătură electronică calificată (QES = qualified electronic signature)

Recunoaștere legală: Aceste semnături sunt recunoscute din punct de vedere legal de către statul român, Uniunea Europeană și majoritatea țărilor lumii. Această recunoaștere se datorează faptului că falsificarea ei este imposibilă pentru publicul larg (chiar și informaticieni) fiind posibilă, cel mai probabil, doar în cazul serviciilor secrete. 

De ce este mai puternică decât semnătura de tip doi:  Această recunoaștere se datorează faptului că în cazul semnăturii electronice calificate, șansele ca un terț răuvoitor să semneze în numele tău sunt aproape nule, în măsura în care respecți minime măsuri de securitate (nu divulgi parola de acces, nu o scrii și o lași pe birou, nu o ții în portofel de unde ar putea fi citită, păstrezi dispozitivul fizic care conține semnătura ta ferit de accesul altor persoane)

Cum poți obține:  Acest tip de semnătură este emis de către companii de încredere (trusted) care se numesc autorități de certificare. Există, la nivel global foarte puține astfel de autorități de certificare. Fiecare dintre ele se certifică printr-un lanț de încredere stabilit intre ele. Lista companiilor autorizate să emită semnături electronice în România se poate consulta aici

Pași necesari pentru obținere: O astfel de semnătură este emisă unei persoane fizice doar în baza unei prealabile identificări. Identificarea se poate face fie față în față [persoana se prezintă la ghișeul autorității de certificare cu actul de identitate (buletin, pașaport) primind pe bază de semnătura tokenul fizic care conține semnătura electronica si scrisoarea care conține codul PIN al semnăturii electronice] fie la distanta, prin internet (se face un apel de video in care, din nou, viitorul titular al semnăturii electronice se identifica cu actul de identitate) iar apoi tokenul fizic si, separat scrisoare care conține codul PIN se transmit prin curier, si se înmânează doar in baza de semnătură si cod SMS) titularului

Obligațiile tale ca utilizator de semnătură electronică: Există o responsabilitate implicita a titularului de a nu divulga codul PIN cu care se accesează semnătura electronica si de a lua toate masurile de a păstra dispozitivul electronic (care seamănă cu un memory stick dar nu este memory stick) cat mai protejat (de exemplu înțepat in desktop-ul de acasă unde, evident, foarte putina lume are acces sau chiar in seif / caseta de valori daca tokenul nu este utilizat)