Podpis cyftowy - o co właściwie chodzi

No właśnie - słyszymy tekst "podpis elektroniczny", ale właściwie o co chodzi?

Podpis elektroniczny to w zasadzie taki fajny zwrot określający operację kryptograficzną, która ma za zadanie "coś" zrobić z naszymi danymi.
W praktyce zwykle chodzi nam o dwie możliwe czynności:

• zabezpieczenie danych - nie chcemy, aby ktoś je odczytał (szyfrowanie)
• potwierdzenie autentyczności danych - chcemy, aby odbiorca (przykładowo wysłanego przez nas maila) miał pewność, że to my go wysłaliśmy oraz, że nikt nie zmodyfikował jego treści

Przykładem podpisu elektronicznego, mającego na celu tylko potwierdzenie autentyczności nadawcy wiadomości mogą być faktury elektroniczne czy potwierdzenia bankowe (rozsyłane mailem przez Orange/mBank i inne instytucje). Załączniki tych wiadomości są podpisane cyfrowo (w mailu mamy dwa pliki, z których ten mniejszy używany jest przez podpis cyfrowy) niestety w celu weryfikacji autentyczności potrzebujemy dodatkowy soft.

Wiadomości, które są tylko podpisane można więc normalnie odczytać - nie są w żaden sposób zabezpieczone.

Dopiero wiadomość, która zostanie zaszyfrowana jest bezpieczna - mamy wtedy jeden plik, który zawiera wszystko - informację o tym, kto podpisał wiadomość oraz dane, których nie powinna być w stanie odczytać postronna osoba.

W praktyce, zawsze kiedy jest mowa o podpisie cyfrowym potrzebny jest nam certyfikat oraz odpowiednie oprogramowanie, które użyjemy do zabezpieczenia informacji czy jej odczytu/weryfikacji.
Jest wiele firm oferujących rozwiązania kryptograficzne, jednak firm oferujących certyfikaty podpisu cyfrowego, działających na polskim rynku podpisu elektronicznego jest dość mało i można tutaj wymienić:

• CenCert - www.cencert.pl 
• Eurocert - www.eurocert.pl
• KIR (Krajowa Izba Rozliczeniowa) - www.elektronicznypodpis.pl
• PWPW/Sigillum (Polska Wytwórnia Papierów Wartościowych) - sigillum.pl
• Certum/Unizeto - www.certum.pl

O tym jak to wygląda w naszym kraju postaram się napisać w kolejnym poście.