Τεχνικο-Οικονομική Ανάλυση. Δρ. Ιωάννης Π. Χοχλιούρος Ηλεκτρολόγος Μηχανικός Τηλεπικοινωνιών, Ph.D., M.Sc. Εμπειρογνώμων σε Ρυθμιστικά Θέματα

Transcript

1 Τεχνικο-Οικονομική Ανάλυση Δρ. Ιωάννης Π. Χοχλιούρος Ηλεκτρολόγος Μηχανικός Τηλεπικοινωνιών, Ph.D., M.Sc. Εμπειρογνώμων σε Ρυθμιστικά Θέματα ΑΣΠΑΙΤΕ ΤΜΗΜΑ ΕΚΠΑΙΔΕΥΤΙΚΩΝ ΗΛΕΚΤΡΟΝΙΚΗΣ 5ο Μάθημα: Παρασκευή 05 Δεκεμβρίου

2 Τεχνικο-Οικονομική Ανάλυση 5ο Μάθημα: Οι Ηλεκτρονικές Υπογραφές στοσύγχρονοπεριβάλλοντης Ψηφιακής Σύγκλισης 2

3 Τεχνικο-Οικονομική Ανάλυση 5ο Μάθημα Ενδεικτικά Περιεχόμενα Θεματικών Ενοτήτων: Εισαγωγικό Πλαίσιο - Οι Ηλεκτρονικές Υπογραφές στον Τομέα των Σύγχρονων Εφαρμογών Ηλεκτρονικής Επικοινωνίας Ο Ρόλος των Ηλεκτρονικών Υπογραφών στο Σύγχρονο Περιβάλλον Ηλεκτρονικών Εφαρμογών Η Βασική Προοπτική της Νέας Θεώρησης - Σκοποί των Αναπτυσσόμενων Δράσεων. Αρχές της Ευρωπαϊκής Εσωτερικής Αγοράς - Παροχή Υπηρεσιών Πιστοποίησης. Επεξήγηση-Ερμηνεία Ερμηνεία Βασικών Δράσεων - Στοιχειώδεις Έννοιες Γενική προσέγγιση - Απαιτήσεις. Η Κρυπτογραφία ως Μέσο για τη Διασφάλιση της Εμπιστευτικότητας. Αποσαφηνιστικοί Ορισμοί. Η Έννοια της Ηλεκτρονικής Υπογραφής & Μηχανισμός για την Υλοποίησή της Η Έννοια της Ηλεκτρονικής Υπογραφής - Στοιχειώδεις Επισημάνσεις Δημιουργία & Επαλήθευση Ηλεκτρονικής Υπογραφής - Συστάσεις για Ασφαλή Επαλήθευση. Ψηφιακά Πιστοποιητικά (Διάφορες Επόψεις). Έννομες Συνέπειες των Ηλεκτρονικών Υπογραφών Απαιτήσεις για Αποτελεσματικές Δράσεις στην Αγορά - Η Καινοτομία από τη Νέα Θεώρηση Μέριμνα εκ μέρους των αρμόδιων ρυθμιστικών Αρχών Όροι που πρέπει να ισχύουν για Αναγνωρισμένα Πιστοποιητικά Πρόσβαση στην Αγορά Θεμελιώδεις Κανόνες για την Πρόσβαση στην Αγορά. Υποχρεώσεις των Παρόχων Υπηρεσιών Πιστοποίησης - Ειδική Περίπτωση. 3 Όροι για Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισμένα Πιστοποιητικά.

4 Τεχνικο-Οικονομική Ανάλυση 5ο Μάθημα Ενδεικτικά Περιεχόμενα Θεματικών Ενοτήτων: Διεθνείς Πτυχές Πλαίσιο Αναφοράς Κοινή Ευρωπαϊκή Πρακτική Συνεργασίες με Τρίτες Χώρες. Ευθύνη των Παρόχων Πιστοποίησης Κανόνες - Διαδικασίες Εφαρμοζόμενες Πρακτικές. Περιορισμοί στη Χρήση Πιστοποιητικών Προστασία των Δεδομένων Δράσεις στο Εθνικό Δίκαιο Εναρμόνιση της Οδηγίας 99/93/ΕΚ βάσει του Π.Δ.150/ /2001 Αρμοδιότητες της ΕΕΤΤ Άλλες Συμπληρωματικές Δράσεις Συνοπτική Θεώρηση Σύνοψη Διάκριση Περιπτώσεων Ηλεκτρονικής Υπογραφής Εφαρμογές 4

5 Εισαγωγικό Πλαίσιο Οι Ηλεκτρονικές Υπογραφές στον Τομέα των Σύγχρονων Εφαρμογών Ηλεκτρονικής Επικοινωνίας 5

6 Ο Ρόλος των Ηλεκτρονικών Υπογραφών στο Σύγχρονο Περιβάλλον Ηλεκτρονικών Εφαρμογών Η βασική επιδίωξη: Για τις ηλεκτρονικές επικοινωνίες και το ηλεκτρονικό εμπόριο απαιτούνται «ηλεκτρονικές υπογραφές» και συναφείς υπηρεσίες που παρέχουν τη δυνατότητα απόδειξης της γνησιότητας των δεδομένων. Η ύπαρξη αποκλινόντων κανόνων σχετικά με τη νομική αναγνώριση των ψηφιακών υπογραφών και με τη διαπίστευση «παροχών υπηρεσιών πιστοποίησης» στο κοινό ευρωπαϊκό περιβάλλον αναφοράς, μπορεί να αποτελέσει σημαντικό φραγμό για τη χρήση των ηλεκτρονικών επικοινωνιών και του ηλεκτρονικού 6 εμπορίου.

7 Ο Ρόλος των Ηλεκτρονικών Υπογραφών στο Σύγχρονο Περιβάλλον Ηλεκτρονικών Εφαρμογών Η βασική επιδίωξη: Ένα σαφές ρυθμιστικό πλαίσιο σχετικά με τις προϋποθέσεις που θα εφαρμόζονται στις ηλεκτρονικές υπογραφές ενισχύει την εμπιστοσύνη στις νέες τεχνολογίες και συμβάλει στη γενική αποδοχή τους. Ταυτόχρονα, τα αντίστοιχα νομοθετικά μέτρα δεν θα πρέπει να εμποδίζουν την ελεύθερη κυκλοφορία αγαθών και υπηρεσιών στην εσωτερική αγορά. 7

8 Η Βασική Προοπτική της Νέας Θεώρησης Η ταχεία τεχνολογική ανάπτυξη και ο παγκόσμιος χαρακτήρας του Internet επιβάλλουν: προσέγγιση που θα είναι «ανοικτή» σε διάφορες τεχνολογίες και υπηρεσίες ηλεκτρονικής αναγνώρισης της γνησιότητας δεδομένων. Οι ηλεκτρονικές υπογραφές μπορούν να χρησιμοποιηθούν σε πολλές διαφορετικές συνθήκες και εφαρμογές. Το αποτέλεσμα είναι ένα ευρύ φάσμα νέων υπηρεσιών και προϊόντων που συνδέονται άμεσα και/ή έμμεσα με ηλεκτρονικές 8 υπογραφές.

9 Η Βασική Προοπτική της Νέας Θεώρησης Ο ορισμός των «συναφών προϊόντων και υπηρεσιών» δεν περιορίζεται μόνο στην έκδοση και διαχείριση πιστοποιητικών, αλλά μπορεί να περιλαμβάνει όλες τις «ευρύτερες» εφαρμογές που χρησιμοποιούν ή σχετίζονται με ηλεκτρονικές υπογραφές, όπως: οι υπηρεσίες καταχώρησης, οι υπηρεσίες χρονοσήμανσης, οι υπηρεσίες καταλόγου, οι υπηρεσίες πληροφορικής ή οι υπηρεσίες μελετών, σχετικά με τις ηλεκτρονικές υπογραφές. 9

10 Η Βασική Προοπτική της Νέας Θεώρησης Το προτεινόμενο ρυθμιστικό μέτρο: Η θέσπιση της Κοινοτικής Οδηγίας 99/93/ΕΚ σχετικά με κοινό ευρωπαϊκό πλαίσιο για τις ηλεκτρονικές υπογραφές. Σκοπός των δράσεων: Η διευκόλυνση της χρήσης ηλεκτρονικών υπογραφών και η συμβολή στη νομική αναγνώρισή τους. Θέσπιση νομικού πλαισίου για τις ηλεκτρονικές υπογραφές και για ορισμένες υπηρεσίες πιστοποίησης, ώστε να εξασφαλίζεται η ομαλή λειτουργία της εσωτερικής αγοράς. 10

11 Η Βασική Προοπτική της Νέας Θεώρησης Σκοπός των δράσεων (συνέχεια): Δεν καλύπτονται πτυχές που αφορούν τη σύναψη (κατάρτιση και εκτέλεση) και την ισχύ συμβάσεων ή άλλων νομικών υποχρεώσεων δυνάμει του εθνικού ή του κοινοτικού δικαίου και δεν θίγονται κανόνες και περιορισμοί σχετικά με τη χρήση εγγράφων. Οι διατάξεις που αφορούν τις έννομες συνέπειες των ηλεκτρονικών υπογραφών ισχύουν με την επιφύλαξη των απαιτήσεων ως προς τον τύπο δυνάμει της εθνικής νομοθεσίας, σχετικά με τη σύναψη συμβάσεων ή τους κανόνες που καθορίζουν τον τόπο σύναψης μιας σύμβασης. 11

12 Η Βασική Προοπτική της Νέας Θεώρησης Σκοπός των δράσεων (συνέχεια): Δεν απαιτείται κανονιστικό πλαίσιο για ηλεκτρονικές υπογραφές που χρησιμοποιούνται αποκλειστικά μέσα σε συστήματα που στηρίζονται σε εθελούσιες συμφωνίες ιδιωτικού δικαίου μεταξύ συγκεκριμένου αριθμού συμμετεχόντων φορέων. Τα εμπλεκόμενα μέρη μπορούν να συμφωνούν μεταξύ τους όρους και τις προϋποθέσεις βάσει των οποίων αποδέχονται τα «ηλεκτρονικά υπογεγραμμένα δεδομένα», στο βαθμό που αυτό επιτρέπεται από την εθνική νομοθεσία. Αναγνωρίζεται η νομική ισχύς των ηλεκτρονικών υπογραφών καθώς και η αποδοχή τους ως αποδεικτικά 12 στοιχεία σε νομικές διαδικασίες.

13 Αρχές της Εσωτερικής Ευρωπαϊκής Αγοράς Η εσωτερική ευρωπαϊκή αγορά: επιτρέπει στους παρόχους υπηρεσιών πιστοποίησης την ανάπτυξη διασυνοριακών δραστηριοτήτων, αποβλέπει στην αύξηση της ανταγωνιστικότητας, προσφέρει στους καταναλωτές και τις επιχειρήσεις νέες ευκαιρίες ασφαλούς ανταλλαγής πληροφοριών και ηλεκτρονικών συναλλαγών, ανεξαρτήτως συνόρων. *Απαίτηση: Για την τόνωση της παροχής υπηρεσιών πιστοποίησης μέσω «ανοικτών δικτύων» σε κοινοτική κλίμακα, γενικά ενδείκνυται οι πάροχοι υπηρεσιών πιστοποίησης να είναι ελεύθεροι να παρέχουν τις υπηρεσίες τους χωρίς «προηγούμενη έγκριση». Ως «προηγούμενη έγκριση» νοείται, όχι μόνο κάθε άδεια για την οποία απαιτείται απόφαση των εθνικών αρχών προτού επιτραπεί στον ενδιαφερόμενο να παρέχει υπηρεσίες πιστοποίησης, αλλά 13 και κάθε άλλο μέτρο ισοδύναμου αποτελέσματος.

14 Αρχές της Εσωτερικής Ευρωπαϊκής Αγοράς Προτεινόμενη προσέγγιση: Μηχανισμοί εθελοντικής διαπίστευσης που αποσκοπούν σε βελτιωμένο επίπεδο παροχής υπηρεσιών μπορούν να προσφέρουν στους παρόχους υπηρεσιών πιστοποίησης το κατάλληλο πλαίσιο για την περαιτέρω ανάπτυξη των υπηρεσιών τους στα επίπεδα εμπιστοσύνης, ασφάλειας και ποιότητας που απαιτούνται από την εξελισσόμενη αγορά. Αυτοί οι μηχανισμοί θα πρέπει να ενθαρρύνουν την ανάπτυξη βέλτιστης πρακτικής μεταξύ των παρόχων υπηρεσιών πιστοποίησης, ενώ οι εν λόγω πάροχοι θα πρέπει να έχουν τη δυνατότητα της ελεύθερης επιλογής της εκάστοτε καταλληλότερης λύσης. 14

15 Αρχές της Εσωτερικής Ευρωπαϊκής Αγοράς Προτεινόμενη προσέγγιση: Κάθε Κράτος-Μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει κατ' εφαρμογήν της Οδηγίας 99/93/ΕΚ για παρόχους υπηρεσιών πιστοποίησης εγκατεστημένους στην επικράτειά του, καθώς και για τις υπηρεσίες που αυτοί παρέχουν. Σε κάθε περίπτωση όμως, δεν περιορίζεται η παροχή υπηρεσιών πιστοποίησης που προέρχονται και από άλλο Κράτος-Μέλος Μέλος, στους αντίστοιχους θεματικούς τομείς. Τα συναφή προϊόντα ηλεκτρονικής υπογραφής, επιτρέπεται να κυκλοφορούν ελεύθερα στην στην εσωτερική 15

16 Παροχή Υπηρεσιών Πιστοποίησης Οι υπηρεσίες πιστοποίησης μπορούν να παρέχονται είτε από δημόσιο φορέα είτε από νομικό ή φυσικό πρόσωπο, εφόσον είναι εγκατεστημένο σύμφωνα με το εθνικό δίκαιο. Κοινή ευρωπαϊκή προοπτική: Τα Κράτη-Μέλη της Ευρωπαϊκής Ένωσης δεν θα πρέπει να απαγορεύουν στους παρόχους υπηρεσιών πιστοποίησης να λειτουργούν εκτός των αντίστοιχων μηχανισμών εθελοντικής διαπίστευσης. Παράλληλα, πρέπει να διασφαλίζεται ότι οι μηχανισμοί εθελοντικής διαπίστευσης δεν περιορίζουν τον ανταγωνισμό στις υπηρεσίες πιστοποίησης. 16

17 Επεξήγηση & Ερμηνεία Βασικών Δράσεων - Στοιχειώδεις Θεματικές Έννοιες 17

18 Γενική Προσέγγιση - Απαιτήσεις Η ανάπτυξη του Διαδικτύου, το ηλεκτρονικό εμπόριο και οι συναλλαγές μέσω ανοιχτών δικτύων κάνουν επιτακτική την ανάγκη ασφάλειας στις συναλλαγές. Ο χρήστης που συναλλάσσεται ηλεκτρονικά απαιτεί τα δεδομένα (π.χ. έναμήνυμαήένακείμενο) ή που στέλνει, να μην μπορούν να αποκαλυφθούν ή να διατεθούν σε μη εξουσιοδοτημένα άτομα (εμπιστευτικότητα). Τα δεδομένα, δεν θα πρέπει να είναι δυνατόν να αλλοιωθούν κατά την μετάδοσή τους. Οπαραλήπτηςθαπρέπειναταλάβειόπωςακριβώςο πρέπει τα λάβει ακριβώς ο αποστολέας τα έστειλε και να είναι σίγουρος ότι τα δεδομένα που λαμβάνει είναι αυτά που ο αποστολέας έχει στείλει (ακεραιότητα). 18

19 Γενική Προσέγγιση - Απαιτήσεις Επιπλέον, σεμίατέτοιασυναλλαγή, συναλλαγή, είναι απαραίτητο ο παραλήπτης να είναι σίγουρος για την ταυτότητα του αποστολέα (αυθεντικότητα). (Δηλαδή, να γνωρίζει με σιγουριά ότι το μήνυμα που λαμβάνει και φαίνεται να το υπογράφει ο συγκεκριμένος αποστολέας, προέρχεται από αυτόν τον αποστολέα και όχι από κάποιον τρίτο). Τέλος, συμμετέχοντας σε μία ηλεκτρονική συναλλαγή (π.χ. ηλεκτρονικό εμπόριο) θα πρέπει να μην είναι δυνατόν τα εμπλεκόμενα μέρη να αρνηθούν εκ των υστέρων την συμμετοχή τους στη συναλλαγή αυτή (μη αποποίηση ευθύνης). 19

20 Γενική Προσέγγιση - Απαιτήσεις Σύνοψη: Οι προηγούμενες ιδιότητες, (εμπιστευτικότητα, ακεραιότητα, αυθεντικότητα, μη αποποίηση) στον ηλεκτρονικό κόσμο, αποτελούν αντικείμενο της επιστήμης που ασχολείται με την ασφάλεια των πληροφοριών. Διάφοροι μηχανισμοί, τεχνικές και τεχνολογίες έχουναναπτυχθείμέχρισήμερα, αποσκοπώντας να διασφαλίσουν τις ιδιότητες αυτές σε μία ηλεκτρονική συναλλαγή. 20

21 Η Κρυπτογραφία ως «Μέσο» για Διασφάλιση της Εμπιστευτικότητας Η ανάγκη για εμπιστευτικότητα στην ηλεκτρονική συναλλαγή ικανοποιείται με την κρυπτογραφία. Ο αποστολέας χρησιμοποιώντας κάποια μαθηματική συνάρτηση μετατρέπει το αρχικό κείμενο σε μορφή μη κατανοητή για οποιονδήποτε τρίτο (κρυπτογραφημένο κείμενο). Ο παραλήπτης έχοντας γνώση του τρόπου κρυπτογράφησης, αποκρυπτογραφεί το κείμενο στην αρχική του μορφή. Το μήνυμα παραμένει εμπιστευτικό, μέχρι να αποκρυπτογραφηθεί. Τα σύγχρονα κρυπτοσυστήματα χρησιμοποιούν αλγόριθμους και κλειδιά (σειρά από bits συγκεκριμένου μήκους) για να διατηρήσουν την πληροφορία ασφαλή. 21

22 Η Κρυπτογραφία ως «Μέσο» για Διασφάλιση της Εμπιστευτικότητας Συμμετρική κρυπτογραφία: Μία «παραδοσιακή» μέθοδος κρυπτογράφησης είναι η συμμετρική κρυπτογραφία η οποία χρησιμοποιεί το ίδιο κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση. Χαρακτηριστικά: Ο αποστολέας κρυπτογραφεί και ο παραλήπτης αποκρυπτογραφεί με το ίδιο κλειδί. Το κλειδί θα πρέπει να παραμένει μυστικό και να είναι γνωστό μόνο στους συναλλασσόμενους. Η μέθοδος αυτή παρουσιάζει μειονεκτήματα όσον αφορά την εφαρμογή της σε ανοιχτά δίκτυα με πολλούς χρήστες και τις αυξημένες απαιτήσεις της για την 22 ασφάλεια (π.χ. αποθήκευση των κλειδιών κτλ.).

23 Η Κρυπτογραφία ως «Μέσο» για Διασφάλιση της Εμπιστευτικότητας Ασύμμετρη κρυπτογραφία: Η ασύμμετρη κρυπτογραφία (ή κρυπτογραφία δημοσίου κλειδιού- public key cryptography (ΡΚΙ)) χρησιμοποιεί δύο διαφορετικά κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση. Χαρακτηριστικά: Κάθε χρήστης έχει στη διάθεσή του δύο κλειδιά. Το δημόσιο κλειδί είναι αυτό που ο χρήστης μπορεί να το γνωστοποιήσει σε τρίτους ενώ το ιδιωτικό κλειδί είναι εκείνο που το φυλάσσει με ασφάλεια και μόνο αυτός θα πρέπει να το γνωρίζει και κατέχει. Για να επιτευχθεί η εμπιστευτικότητα, ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί του παραλήπτη. Έτσι, το μήνυμα μπορεί να αποκρυπτογραφηθεί μονάχα από τον παραλήπτη (που είναι ο κάτοχος του 23 αντίστοιχου ιδιωτικού κλειδιού).

24 Αποσαφηνιστικοί Ορισμοί «Ηλεκτρονική Υπογραφή (Electronic Signature)»: Δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε, ή λογικά συσχετιζόμενα με, άλλα ηλεκτρονικά δεδομένα και τα οποία χρησιμεύουν ως μέθοδος απόδειξης της γνησιότητας. «Προηγμένη ηλεκτρονική υπογραφή»: Ηλεκτρονική υπογραφή που ανταποκρίνεται στις εξής απαιτήσεις: α) συνδέεται μονοσήμαντα με τον «υπογράφοντα», β) είναι ικανή να ταυτοποιήσει τον «υπογράφοντα», γ) δημιουργείται με μέσα τα οποία ο «υπογράφων» μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο, και δ) συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπιστεί οποιαδήποτε 24 επακόλουθη αλλοίωση των εν λόγω δεδομένων.

25 Αποσαφηνιστικοί Ορισμοί «Υπογράφων»: Φυσικό ή νομικό πρόσωπο που κατέχει διάταξη δημιουργίας υπογραφής και ενεργεί - είτε για λογαριασμό του - είτε εξ ονόματος φυσικού ή νομικού προσώπου ή φορέα που αντιπροσωπεύει. «Δεδομένα δημιουργίας υπογραφής»: Μονοσήμαντα δεδομένα όπως κώδικες ή ιδιωτικά κλειδιά κρυπτογραφίας, που χρησιμοποιούνται από τον υπογράφοντα για τη δημιουργία ηλεκτρονικής υπογραφής. «Διάταξη δημιουργίας υπογραφής»: Διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για την εφαρμογή των δεδομένων δημιουργίας της υπογραφής. 25

26 Αποσαφηνιστικοί Ορισμοί «Δεδομένα δημιουργίας υπογραφής»: Δεδομένα, όπως κώδικες ή δημόσια κλειδιά κρυπτογραφίας, τα οποία χρησιμοποιούνται για την επαλήθευση της ηλεκτρονικής υπογραφής. «Διάταξη επαλήθευσης υπογραφής»: Διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για την εφαρμογή των δεδομένων επαλήθευσης υπογραφής. «Πιστοποιητικό»: Ηλεκτρονική βεβαίωση, η οποία συνδέει δεδομένα επαλήθευσης υπογραφής με ένα άτομο που επιβεβαιώνει την ταυτότητά του. «Αναγνωρισμένο πιστοποιητικό»: Πιστοποιητικό που ανταποκρίνεται σε συγκεκριμένες απαιτήσεις και εκδίδεται από εξουσιοδοτημένο πάροχο υπηρεσιών 26 πιστοποίησης.

27 Αποσαφηνιστικοί Ορισμοί «Πάροχος υπηρεσιών πιστοποίησης»: Φορέας ή φυσικό ή νομικό πρόσωπο που εκδίδει πιστοποιητικά ή παρέχει άλλες υπηρεσίες, συναφείς με τις ηλεκτρονικές υπογραφές. «Προϊόν ηλεκτρονικής υπογραφής»: Υλικό ή λογισμικό ή συναφή συστατικά στοιχεία τους, τα οποία: προορίζονται για χρήση από τον πάροχο υπηρεσιών πιστοποίησης για την παροχή υπηρεσιών ηλεκτρονικής υπογραφής ή προορίζονται να χρησιμοποιηθούν για τη δημιουργία ή επαλήθευση ηλεκτρονικών υπογραφών. 27

28 «Εθελοντική Διαπίστευση»: Αποσαφηνιστικοί Ορισμοί Κάθε άδεια-εξουσιοδότηση, εξουσιοδότηση, στην οποία ορίζονται τα δικαιώματα και οι υποχρεώσειςς που διέπουν την παροχή υπηρεσιών πιστοποίησης, και η οποία χορηγείται κατόπιν αιτήσεως του ενδιαφερόμενου παρόχου υπηρεσιών πιστοποίησης από τον αρμόδιο δημόσιο ή ιδιωτικό φορέα ο οποίος είναι υπεύθυνος για τον καθορισμό αυτών των δικαιωμάτων και υποχρεώσεων και για τον έλεγχο της τήρησής τους, όταν ο πάροχος των υπηρεσιών πιστοποίησης δεν δικαούται να ασκεί τα δικαιώματα που απορρέουν από 28 την άδεια προτού λάβει την απόφαση του εν λόγω φορέα.

29 Η έννοια της Ηλεκτρονικής Υπογραφής και Μηχανισμός Εφαρμογής της 29

30 Η Έννοια της Ηλεκτρονικής Υπογραφής Στοιχειώδεις Επισημάνσεις-1 Οι ψηφιακές υπογραφές χρησιμοποιούν την κρυπτογραφία δημοσίου κλειδιού. Ο χρήστης διαθέτει δύο κλειδιά (το δημόσιο και το το ιδιωτικό) τα τα οποία έχουν κάποιο μαθηματικό συσχετισμό. Η σχέση των κλειδιών είναι τέτοια όπου αν αν κάποιος γνωρίζει το το ένα κλειδί να να είναι πρακτικά αδύνατον να να υπολογίσει το το άλλο. Το ένα κλειδί χρησιμοποιείται για τη τη δημιουργία της υπογραφής και το το άλλο για την επαλήθευσή της. Η διαφοροποίηση από την κρυπτογράφηση, έγκειται στο ότι για τη τη δημιουργία της ηλεκτρονικής υπογραφής οαποστολέαςχρησιμοποιείτοιδιωτικότουκλειδίκαι ο ιδιωτικό του κλειδί και για τηνεπαλήθευσήτηςοπαραλήπτηςχρησιμοποιείτο της ο παραλήπτης το 30 δημόσιο κλειδί του αποστολέα.

31 Η Έννοια της Ηλεκτρονικής Υπογραφής Στοιχειώδεις Επισημάνσεις-2 Στη διαδικασία της δημιουργίας και επαλήθευσης της υπογραφής εμπλέκεται και η έννοια της συνάρτησης κατακερματισμού (ή (ή κατατεμαχισμού -- one way hash). Με την εφαρμογή της συνάρτησης κατακερματισμού, από ένα μήνυμα ανεξαρτήτου του μεγέθους του, παράγεται η «σύνοψή» του ( digest ), ), η οποία είναι μία σειρά από bits συγκεκριμένου μεγέθους (π.χ ή 160 bits). Η σύνοψη του μηνύματος (fingerprint ή message digest) είναι μία ψηφιακή αναπαράσταση του μηνύματος, είναι μοναδική για το το μήνυμα και το το «αντιπροσωπεύει». 31

32 Η Έννοια της Ηλεκτρονικής Υπογραφής Στοιχειώδεις Επισημάνσεις-3 Η συνάρτηση κατακερματισμού είναι μονόδρομη διότι από την σύνοψη που δημιουργεί, είναι υπολογιστικά αδύνατον κάποιος να να εξάγει το το αρχικό μήνυμα! Η πιθανότητα ώστε δύο μηνύματα να να έχουν την ίδια σύνοψη είναι εξαιρετικά μικρή. Αυτό σημαίνει ότι αν αν το το μήνυμα του αποστολέα έχει κάποια συγκεκριμένη σύνοψη και το το μήνυμα που λάβει οπαραλήπτης(χρησιμοποιώντας ο την ίδια συνάρτηση κατακερματισμού) παράγει διαφορετική σύνοψη, τότε το το μήνυμα κατά την μετάδοσή του έχει αλλοιωθεί (μη ακεραιότητα). Οποιαδήποτε αλλαγή σε σε ένα μήνυμα συνεπάγεται και τη τη δημιουργία 32 διαφορετικής σύνοψης.

33 Η Έννοια της Ηλεκτρονικής Υπογραφής Στοιχειώδεις Επισημάνσεις-4 Η ηλεκτρονική υπογραφή, στην ουσία είναι η κρυπτογραφημένη, με με το το ιδιωτικό κλειδί του αποστολέα, σύνοψη. Δηλαδή, η ψηφιακή υπογραφή(σε σε αντίθεση με με την ιδιόχειρη υπογραφή) είναι διαφορετική για κάθε μήνυμα!! Θεωρώντας ότι ο αποστολέας έχει ένα συγκεκριμένο ζευγάρι κλειδιών και το το ιδιωτικό του κλειδί είναι στην πλήρη κατοχή του, τότε το το γεγονός ότι ότι ο αποστολέας χρησιμοποιεί το το ιδιωτικό του κλειδί για να να κρυπτογραφήσει το το μήνυμα, πιστοποιεί στον παραλήπτη που το το αποκρυπτογραφεί με με το το αντίστοιχο δημόσιο κλειδί (του αποστολέα) την ταυτότητα του αποστολέα (αυθεντικότητα). ). Η ψηφιακή υπογραφή είναι ένας τρόπος 33 αυθεντικοποίησης του αποστολέα του μηνύματος!!!

34 Η Έννοια της Ηλεκτρονικής Υπογραφής Στοιχειώδεις Επισημάνσεις-5 Μία ψηφιακή υπογραφή μπορεί να «πλαστογραφηθεί» ήνα«παραποιηθεί» ή εάν ο δικαιούχος του ιδιωτικού κλειδιού δεν το έχει υπό τον πλήρη έλεγχό του (π.χ. έχει χάσει το μέσο στο οποίο έχει αποθηκευτεί το ιδιωτικό κλειδί). 34

35 Η Έννοια της Ηλεκτρονικής Υπογραφής Στοιχειώδεις Επισημάνσεις-6 Πέραν των πολλαπλών και σημαντικών εφαρμογών στον τομέα των ηλεκτρονικών συναλλαγών αλλά και για την ασφαλή μετάδοση πληροφοριών στις σύγχρονες υποδομές ηλεκτρονικής επικοινωνίας, οι οι ηλεκτρονικές υπογραφές χρησιμοποιούνται επίσης και στον ευρύτερο δημόσιο τομέα, στο πλαίσιο εθνικών και κοινοτικών διοικητικών υπηρεσιών και για την επικοινωνία μεταξύ αυτών και των πολιτών και οικονομικών φορέων, π.χ. για τις τις δημόσιες συμβάσεις, τη τη φορολογία, την κοινωνική ασφάλιση, την υγεία και 35 την απονομή δικαιοσύνης.

36 Διαδικασία Δημιουργίας της Ηλεκτρονικής Υπογραφής Η χρήση της ηλεκτρονικής υπογραφής περιλαμβάνει δύο βασικές διαδικασίες: τη δημιουργία της υπογραφής και την επαλήθευση της υπογραφής. 36

37 Διαδικασία Δημιουργίας της Ηλεκτρονικής Υπογραφής Δράσεις που αφορούν τον Αποστολέα: Ο αποστολέας χρησιμοποιώντας κάποιον αλγόριθμο κατακερματισμού (one way way hash) δημιουργεί τη τη σύνοψη του του μηνύματος (message digest) που που θέλει να να στείλει. Ανεξάρτητα από από το το μέγεθος του του μηνύματος, αυτό που που θα θα παραχθεί θα θα είναι είναι μία μία συγκεκριμένου μήκους σειρά ψηφίων Με Με το το ιδιωτικό του του κλειδί, ο αποστολέας κρυπτογραφεί τη τη σύνοψη. Αυτό που που παράγεται είναι η ψηφιακή υπογραφή. Ηυπογραφήείναι ουσιαστικά μία μία σειρά ψηφίων συγκεκριμένου πλήθους Η κρυπτογραφημένη σύνοψη (ψηφιακή υπογραφή) προσαρτάται στο στο κείμενο και και το το μήνυμα με με τη τη ψηφιακή υπογραφή μεταδίδονται μέσω του του δικτύου (σημειώνεται ότι ότι ο αποστολέας αν αν επιθυμεί μπορεί να να κρυπτογραφήσει το το μήνυμά του του με με το το δημόσιο κλειδί του του παραλήπτη). 37

38 Διαδικασία Δημιουργίας της Ηλεκτρονικής Υπογραφής 38

39 Διαδικασία Δημιουργίας Ηλεκτρονικής Υπογραφής Διασφάλιση αξιοπιστίας της δημιουργίας υπογραφής Οι Οι ασφαλείς διατάξεις δημιουργίας υπογραφής πρέπει, μέσω ενδεδειγμένων τεχνικών και και διαδικαστικών μέσων, να να διασφαλίζουν τουλάχιστον ότι ότι τα τα δεδομένα δημιουργίας υπογραφής τα τα οποία χρησιμοποιούνται για για παραγωγή υπογραφών: α) α) συναντώνται κατ' κατ' ουσία, μόνο μία μία φορά και και ότι ότι το το απόρρητο είναι είναι διασφαλισμένο. β) β) δεν δεν μπορούν, με με εύλογη βεβαιότητα, να να αντληθούν από από αλλού και και ότι ότι η υπογραφή προστατεύεται από από πλαστογραφία με με τα τα μέσα της της σύγχρονης τεχνολογίας, γ) γ) μπορούν να να προστατεύονται αποτελεσματικά από από τον τον νόμιμο υπογράφοντα, κατάτηςχρησιμοποίησήςτωναπότρίτους. της των από τρίτους. Οι Οι ασφαλείς διατάξεις δημιουργίας υπογραφής δεν δεν μεταβάλλουν τα τα προς υπογραφή δεδομένα ούτε εμποδίζουν την υποβολή των δεδομένων αυτών στο υπογράφοντα πριν 39 απότηδιαδικασίαυπογραφής.

40 Διαδικασία Επαλήθευσης της Ηλεκτρονικής Υπογραφής Δράσεις που αφορούν τον Παραλήπτη: Ο παραλήπτης αποσπά από από το το μήνυμα την την ψηφιακή υπογραφή (κρυπτογραφημένη, με με το το ιδιωτικό κλειδί του του αποστολέα, σύνοψη) Εφαρμόζοντας στο στο μήνυμα που που έλαβε τον τον ίδιο ίδιο αλγόριθμο κατακερματισμού, ο παραλήπτης δημιουργεί τη τη σύνοψη του του μηνύματος Στη Στη συνέχεια, αποκρυπτογραφεί με με το το δημόσιο κλειδί του του αποστολέα, την την κρυπτογραφημένη σύνοψη του του μηνύματος (( ψηφιακή υπογραφή) Συγκρίνονται οι οι δύο δύο συνόψεις και και αν αν βρεθούν ίδιες, αυτό σημαίνει ότι ότι το το μήνυμα που που έλαβε ο παραλήπτης είναι είναι ακέραιο. Αν Αν το το μήνυμα έχει έχει μεταβληθεί, η σύνοψη που που θα θα παράγει ο παραλήπτης θα θα είναι είναι διαφορετική από από την την σύνοψη που που έχει έχει κρυπτογραφηθεί. 40

41 Διαδικασία Επαλήθευσης της Ηλεκτρονικής Υπογραφής 41

42 Διαδικασία Επαλήθευσης της Ηλεκτρονικής Υπογραφής Συστάσεις για ασφαλή επαλήθευση της υπογραφής-1 Κατά τη τη διαδικασία επαλήθευσης της υπογραφής θα θα πρέπει να να διασφαλίζεται με με εύλογη βεβαιότητα ότι: α) α) Τα Τα δεδομένα που χρησιμοποιούνται προς επαλήθευση της υπογραφής αντιστοιχούν στα δεδομένα που εμφανίζονται στον επαληθεύοντα. β) β) Η υπογραφή επαληθεύεται με με αξιοπιστία και ότι ότι το το αποτέλεσμα της επαλήθευσης εμφανίζεται με με ορθό τρόπο. γ) γ) Ο επαληθεύων μπορεί ενδεχομένως να να ορίσει με με βεβαιότητα τα τα περιεχόμενα των δεδομένων που υπογράφονται. 42

43 Διαδικασία Επαλήθευσης της Ηλεκτρονικής Υπογραφής Συστάσεις για ασφαλή επαλήθευση της υπογραφής-2 Κατά τη τη διαδικασία επαλήθευσης της υπογραφής θα θα πρέπει να να διασφαλίζεται με με εύλογη βεβαιότητα ότι: δ) δ) Η γνησιότητα και η εγκυρότητα του πιστοποιητικού που απαιτείται κατά τη τη στιγμή της επαλήθευσης της υπογραφής έχουν ελεγχθεί με με αξιοπιστία. ε) ε) Το Το αποτέλεσμα της επαλήθευσης όπως και η ταυτότητα του υπογράφοντος εμφανίζονται με με τον ορθό τρόπο. στ) Η χρησιμοποίηση ψευδωνύμου δηλώνεται εμφανώς. ζ) ζ) Μπορούν να να εντοπιστούν τυχόν τροποποιήσεις απτόμενες της ασφάλειας. 43

44 Ψηφιακά Πιστοποιητικά-1 Με Με την λήψη ενός μηνύματος με με ηλεκτρονική υπογραφή, ο παραλήπτης, προβαίνοντας σε σε επαλήθευση της της ηλεκτρονικής υπογραφής, βεβαιώνεται ότι ότι το το μήνυμα είναι ακέραιο. Διαδικασία & Βασικές Θεωρήσεις: Ο παραλήπτης για για την επαλήθευση της της ηλεκτρονικής υπογραφής, χρησιμοποιεί το το δημόσιο κλειδί του του αποστολέα. Αυτό όμως που δεν μπορεί να να γνωρίζει ο παραλήπτης με με βεβαιότητα, είναι αν αν ο αποστολέας του μηνύματος είναι όντως «αυτός που ισχυρίζεται ότι ότι είναι». Θεωρώντας ότι ότι ο κάτοχος του ιδιωτικού κλειδιού είναι πράγματι αυτός που ισχυρίζεται ότι ότι είναι (και η μυστικότητα του ιδιωτικού κλειδιού δεν έχει παραβιαστεί) ο αποστολέας του μηνύματος που υπέγραψε, δεν μπορεί να να αρνηθεί το το περιεχόμενο του μηνύματος που έστειλε (μη αποποίηση). 44

45 Ψηφιακά Πιστοποιητικά-2 Βασική Απαίτηση Πρόκληση Απαιτείται να να διασφαλιστεί ότι: ο δικαιούχος του ιδιωτικού κλειδιού, και μόνον αυτός, δημιούργησε την ηλεκτρονική υπογραφή και ότι το το δημόσιο κλειδί του αποστολέα που χρησιμοποιεί ο παραλήπτης για την επαλήθευση της υπογραφής είναι όντως εκείνο του αποστολέα. Απαιτείται, δηλαδή, η ύπαρξη ενός μηχανισμού τέτοιου, ώστε ο παραλήπτης να να μπορεί να να είναι σίγουρος για για την την ταυτότητα τουπροσώπουμετοδημόσιοκλειδί. Ο μηχανισμός αυτός θα θα πρέπει να να υλοποιείται από μία μία αρμόδια και και εξουσιοδοτημένη οντότητα που εμπνέει εμπιστοσύνη και και που εγγυάται ότι ότι «σε ένα συγκεκριμένο πρόσωπο το 45 αντιστοιχεί το συγκεκριμένο δημόσιο κλειδί».

46 Ψηφιακά Πιστοποιητικά-3 Ο Πάροχος Υπηρεσιών Πιστοποίησης είναι η οντότητα που παρέχει την υπηρεσία εκείνη με την οποία πιστοποιείται «η σχέση ενός προσώπου με το δημόσιο κλειδί του». Ο τρόπος με τον οποίο γίνεται αυτό, είναι με την έκδοση ενός πιστοποιητικού (ένα ηλεκτρονικό αρχείο) στο οποίο ο Πάροχος Υπηρεσιών Πιστοποίησης πιστοποιεί την ταυτότητα του προσώπου και το δημόσιο κλειδί του. 46

47 Ψηφιακά Πιστοποιητικά-4 Από τους σημαντικότερους τύπους ψηφιακών πιστοποιητικών είναι το το πιστοποιητικό δημοσίου κλειδιού (public-key certificate). Ο στόχος του πιστοποιητικού δημοσίου κλειδιού είναι η δημιουργία μιας σχέσης ταυτοποίησης μεταξύ του του δημοσίου κλειδιού και και του δικαιούχου του. Το Το πιστοποιητικό αναφέρει το το δημόσιο κλειδί (το (το οποίο και και είναι το το αντικείμενο του πιστοποιητικού) και και επιβεβαιώνει ότι ότι το το συγκεκριμένο πρόσωπο που αναφέρεται στο πιστοποιητικό είναι ο δικαιούχος του αντίστοιχου ιδιωτικού κλειδιού. Επομένως, ο παραλήπτης που λαμβάνει ένα μήνυμα με με ψηφιακή υπογραφή, μπορεί να να είναι σίγουρος ότι ότι το το μήνυμα έχει σταλεί από το το πρόσωπο που το το «υπογράφει». 47

48 Ψηφιακά Πιστοποιητικά-5 Η ουσιώδης σημασία των ψηφιακών πιστοποιητικών: Το Το ψηφιακό πιστοποιητικό, είναι στον ηλεκτρονικό κόσμο ότι είναι το το διαβατήριο στο φυσικό κόσμο. Η συσχέτιση ενός δημοσίου κλειδιού με με τον δικαιούχο του γίνεται με με χρήση της ψηφιακής υπογραφής του Παρόχου Υπηρεσιών Πιστοποίησης, όπου ο Πάροχος με με την ψηφιακή του υπογραφή, «υπογράφει» το το πιστοποιητικό του δικαιούχου. Εάν Εάν ένας τελικός χρήστης εμπιστεύεται έναν Πάροχο Υπηρεσιών Πιστοποίησης, εμπιστεύεται και το το πιστοποιητικό που ο Πάροχος εκδίδει. 48

49 Ψηφιακά Πιστοποιητικά-6 Πρακτικές και και Δράσεις της της Αγοράς: Ένας Πάροχος Υπηρεσιών Πιστοποίησης μπορεί να να έχει έχει πιστοποιήσει ήνα έχει έχει πιστοποιηθεί από από έναν έναν άλλον, στα στα πλαίσια μίας μίας αμοιβαία τεκμηριωμένης «σχέσης εμπιστοσύνης». Αν Αν ο χρήστης δεν δεν γνωρίζει έναν έναν Πάροχο και και δεν δεν ξέρει αν αν πρέπει να να εμπιστευθεί ένα ένα πιστοποιητικό που που αυτός έχει έχει εκδώσει, και και ο Πάροχος αυτός έχει έχει δημιουργήσει μία μία σχέση εμπιστοσύνης με με έναν έναν άλλο Πάροχο που που ο χρήστης εμπιστεύεται, τότε τότε ο χρήστης μπορεί να να εμπιστευθεί τον τον πρώτο Πάροχο. Οχρήστης, Ο μπορεί να να επαληθεύσει τη τη ψηφιακή υπογραφή του του Παρόχου Υπηρεσιών Πιστοποίησης που που έχει έχει εκδώσει ένα ένα ψηφιακό πιστοποιητικό, χρησιμοποιώντας το το δημόσιο κλειδί του του Παρόχου, για για το το οποίο (δημόσιο κλειδί) ένας άλλος Πάροχος Υπηρεσιών Πιστοποίησης μπορεί να να έχει έχει εκδώσει πιστοποιητικό, κτλ. κτλ. 49

50 Ψηφιακά Πιστοποιητικά-7 Παράδειγμα Προβολής Πιστοποιητικού: 50

51 Ψηφιακά Πιστοποιητικά-8 Ένδειξη ψηφιακής υπογραφής σε σε μήνυμα με με πιστοποιητικό: 51

52 Ψηφιακά Πιστοποιητικά-9 Παρατήρηση: Για ένα πιστοποιητικό, για το οποίο έχει διαπιστωθεί ή υπάρχει υπόνοια ότι για κάποιους λόγους δεν είναι έγκυρο (π.χ. αν το ιδιωτικό κλειδί του δικαιούχου έχει γίνει γνωστό σε τρίτους ή το πρόσωπο εξαπάτησε τον Πάροχο Υπηρεσιών Πιστοποίησης ως προς τα στοιχεία της ταυτότητάς του, κτλ.), ο αρμόδιος Πάροχος Υπηρεσιών Πιστοποίησης μπορεί να προβαίνει στην ανάκλησή του, όπως ρυθμίζεται από τη νομοθεσία. 52

53 Έννομες Συνέπειες των Ηλεκτρονικών Υπογραφών 53

54 Έννομες Συνέπειες από τη Χρήση Ηλεκτρονικών Υπογραφών Απαίτηση σε σε επίπεδο κοινής ευρωπαϊκής πολιτικής: Η ύπαρξη εναρμονισμένων κριτηρίων όσον αφορά τις τις έννομες συνέπειες των ηλεκτρονικών υπογραφών, συμβάλλει ουσιαστικά στη διαφύλαξη ενός συνεκτικού νομικού πλαισίου σε σε όλη την επικράτεια της ΕΕ και διευκολύνει όλες τις τις συναφείς δράσεις. Η προηγούμενη θεώρηση σε σε σχέση με με τη τη νέα «διάσταση»: Γενικά, στις εθνικές νομοθεσίες προβλέπονται διαφορετικές απαιτήσεις για τη τη νομική ισχύ των ιδιόχειρων υπογραφών. Τα ψηφιακά πιστοποιητικά μπορούν να να χρησιμοποιούνται αποτελεσματικά για την επιβεβαίωση της ταυτότητας προσώπου που «υπογράφει» ηλεκτρονικά. 54

55 Έννομες Συνέπειες από τη Χρήση Ηλεκτρονικών Υπογραφών Απαίτηση για αποτελεσματική δράση: Οι Οι ηλεκτρονικές υπογραφές που βασίζονται σε σε αναγνωρισμένο πιστοποιητικό, στοχεύουν σε σε υψηλότερο επίπεδο ασφάλειας. Οι Οι προηγμένες ηλεκτρονικές υπογραφές που βασίζονται σε σε αναγνωρισμένο πιστοποιητικό και έχουν δημιουργηθεί από ασφαλή διάταξη δημιουργίας υπογραφής μπορούν να να θεωρηθούν ως νομικά ισοδύναμες προς ιδιόχειρες υπογραφές μόνον εφόσον πληρούνται συγκεκριμένες και σαφείς προϋποθέσεις, σύμφωνα με με την εκάστοτε ρυθμιστική πρακτική. 55

56 Έννομες Συνέπειες - Όροι που ισχύουν για Αναγνωρισμένα Πιστοποιητικά/1 Τα Τα αναγνωρισμένα πιστοποιητικά πρέπει να να περιλαμβάνουν: α) α) Ένδειξη ότι το το πιστοποιητικό εκδίδεται ως «αναγνωρισμένο» πιστοποιητικό. β) β) Τα Τα στοιχεία αναγνώρισης του παρόχου υπηρεσιών, και το το κράτος στο οποίο είναι εγκατεστημένος. γ) γ) Το Το όνομα του υπογράφοντος ή αντίστοιχο ψευδώνυμο (που αναγνωρίζεται ως ψευδώνυμο). δ) δ) Πρόβλεψη ειδικού χαρακτηριστικού του υπογράφοντος που θα θα περιληφθεί εφόσον είναι σημαντικό σε σε σχέση με με τον σκοπό για τον οποίο προορίζεται το το πιστοποιητικό. 56

57 Έννομες Συνέπειες - Όροι που ισχύουν για Αναγνωρισμένα Πιστοποιητικά/2 Τα Τα αναγνωρισμένα πιστοποιητικά πρέπει να να περιλαμβάνουν: ε) ε) Δεδομένα επαλήθευσης υπογραφής που αντιστοιχούν σε σε δεδομένα δημιουργίας υπογραφής υπό τον τον έλεγχο του του υπογράφοντος. στ) στ) Ένδειξη της έναρξης και και τέλους της της περιόδου ισχύος του του πιστοποιητικού. ζ) ζ) Τον κωδικό ταυτοποίησης του του πιστοποιητικού. η) η) Την προηγμένη ηλεκτρονική υπογραφή του του παρόχου υπηρεσιών πιστοποίησης που το το εκδίδει. θ) θ) Ενδεχομένως, περιορισμούς του πεδίου χρήσης του του πιστοποιητικού, και και ι) ι) ενδεχομένως, όρια στο ύψος των συναλλαγών για για τις τις οποίες το το πιστοποιητικό μπορεί να να χρησιμοποιηθεί. 57

58 Έννομες Συνέπειες από τη Χρήση Ηλεκτρονικών Υπογραφών Μέριμνα εκ εκ μέρους των αρμόδιων εποπτικών αρχών Οι Οι αρμόδιες ρυθμιστικές αρχές διασφαλίζουν ότι ότι οι οι προηγμένες ηλεκτρονικές υπογραφές που βασίζονται σε σε αναγνωρισμένο πιστοποιητικό και οι οι οποίες δημιουργούνται από ασφαλή διάταξη δημιουργίας υπογραφής: α) α) ικανοποιούν τις τις νομικές απαιτήσεις υπογραφής σε σε σχέση με με τα τα δεδομένα σε σε ηλεκτρονική μορφή κατά τον ίδιο τρόπο που μια ιδιόχειρη υπογραφή ικανοποιεί τις τις απαιτήσεις αυτές σε σε σχέση με με τα τα δεδομένα που καταχωρούνται επί χάρτου, και β) β) γίνονται δεκτές ως αποδεικτικό στοιχείο σε σε νομικές διαδικασίες. 58

59 Έννομες Συνέπειες από τη Χρήση Ηλεκτρονικών Υπογραφών *Παρατήρηση: Δεν απορρίπτεται η νομική ισχύς και το το «παραδεκτό» μιας ηλεκτρονικής υπογραφής ως αποδεικτικό στοιχείο σε σε νομικές διαδικασίες, μόνο από το το γεγονός ότι: είναι υπό μορφή ηλεκτρονικών δεδομένων, ή δεν βασίζεται σε σε αναγνωρισμένο πιστοποιητικό, ή δεν βασίζεται σε σε αναγνωρισμένο πιστοποιητικό που εξεδόθη από διαπιστευμένο παροχέα υπηρεσιών πιστοποίησης, ή δεν δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής. 59

60 Πρόσβαση στην Αγορά 60

61 Θεμελιώδεις Κανόνες για την Πρόσβαση στην Αγορά Η παροχή υπηρεσιών πιστοποίησης δεν δεν εξαρτάται από συστήματα εκ εκ των προτέρων έγκρισης. Μπορούν να να τηρούνται μηχανισμοί εθελοντικής διαπίστευσης που αποσκοπούν στην επίτευξη βελτιωμένου επιπέδου παροχής υπηρεσιών πιστοποίησης. Με Με την εθελοντική διαπίστευση απονέμονται δικαιώματα και και επιβάλλονται υποχρεώσεις, συμπεριλαμβανομένων των τελών. Όλες οι οι προϋποθέσεις που συνδέονται με με τους εν εν λόγω μηχανισμούς πρέπει να να είναι αντικειμενικές, διαφανείς, ανάλογες και και να να μην οδηγούν σε σε διακρίσεις. Δεν δικαιολογούνται περιορισμοί του του αριθμού των διαπιστευμένων παρόχων υπηρεσιών πιστοποίησης. Καθιερώνεται κατάλληλο σύστημα επιτήρησης, σε σε εθνικό επίπεδο, των παρόχων υπηρεσιών πιστοποίησης οι οι οποίοι εκδίδουν, για για το το κοινό, αναγνωρισμένα πιστοποιητικά. 61

62 Θεμελιώδεις Κανόνες για την Πρόσβαση στην Αγορά Μορφή διατιθέμενων προϊόντων και παρεχόμενων πιστοποιητικών Τα διατιθέμενα προϊόντα ηλεκτρονικής υπογραφής μπορούν να να αφορούν ασφαλείς και/ή μη μη ασφαλείς διατάξεις ηλεκτρονικής υπογραφής, στο βαθμό που αυτή η προοπτική διατυπώνεται κατά τρόπο σαφή, για οποιονδήποτε τρίτο. Τα παρεχόμενα πιστοποιητικά επαλήθευσης πρέπει να να ορίζουν ρητά και με με σαφήνεια, κατά τρόπο που να να γίνεται αντιληπτός από μη μη ειδικό τρίτο πρόσωπο, το το εάν πρόκειται για αναγνωρισμένα ήμη αναγνωρισμένα πιστοποιητικά. 62

63 Θεμελιώδεις Κανόνες για την Πρόσβαση στην Αγορά Υποχρεώσεις των Παρόχων Υπηρεσιών Πιστοποίησης: Οι Οι πάροχοι υπηρεσιών πιστοποίησης οφείλουν να να μεριμνούν ιδιαίτερα για για την τήρηση των κανόνων για για την την προστασία του του ανταγωνισμού για για την αποφυγή αθέμιτων πρακτικών, για για την πνευματική και και βιομηχανική ιδιοκτησία και και για για την προστασία του καταναλωτή. Η ΕΕΤΤ ασκεί την εποπτεία και και τον τον έλεγχο όλων των νομίμως εγκατεστημένων στην ελληνική επικράτεια, φορέων πιστοποίησης. Η ΕΕΤΤ δύναται να να επιβάλλει πρόστιμα ( Ευρώ), σε σε περιπτώσεις που σχετικός πάροχος λειτουργεί ως ως «διαπιστευμένος» να 63 πάροχος πιστοποίησης, χωρίς να είναι.

64 Θεμελιώδεις Κανόνες για την Πρόσβαση στην Αγορά Ειδική περίπτωση: Σε Σε ορισμένες περιπτώσεις, η χρήση ηλεκτρονικών υπογραφών στο δημόσιο τομέα μπορεί να να εξαρτάται από ενδεχόμενες «πρόσθετες» απαιτήσεις. Οι Οι εν εν λόγω απαιτήσεις είναι αντικειμενικές, διαφανείς, «αναλογικές» και δεν οδηγούν σε σε διακρίσεις. Τέτοιες απαιτήσεις, αναφέρονται αποκλειστικά και μόνο στα ειδικά χαρακτηριστικά συγκεκριμένης εφαρμογής. Οι Οι απαιτήσεις αυτές, όταν εφαρμόζονται, δεν πρέπει να να αποτελούν εμπόδιο στις διασυνοριακές υπηρεσίες για τους πολίτες. 64

65 Όροι για Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισμένα Πιστοποιητικά -1 Οι Οι πάροχοι υπηρεσιών πιστοποίησης πρέπει: α) α) Να αποδεικνύουν την απαραίτητη αξιοπιστία για την παροχή υπηρεσιών πιστοποίησης. β) β) Να διασφαλίζουν την παροχή ασφαλών και άμεσων υπηρεσιών καταλόγου και ανάκλησης. γ) γ) Να διασφαλίζουν ότι η ημερομηνία και ο χρόνος έκδοσης ή ανάκλησης πιστοποιητικού μπορεί να να προσδιοριστεί επακριβώς. δ) δ) Να προβαίνουν, με με κατάλληλα μέσα και σύμφωνα με με το το εθνικό δίκαιο, σε σε επαλήθευση, της ταυτότητας και ενδεχομένως, τυχόν ειδικών χαρακτηριστικών του ατόμου στο όνομα του οποίου έχει εκδοθεί 65 αναγνωρισμένο πιστοποιητικό.

66 Όροι για Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισμένα Πιστοποιητικά -2 Οι Οι πάροχοι υπηρεσιών πιστοποίησης πρέπει: ε) ε) Να απασχολούν προσωπικό που διαθέτει την εμπειρογνωμοσύνη, την εμπειρία και τα τα προσόντα που είναι απαραίτητα για τις τις παρεχόμενες υπηρεσίες, ιδίως, μεταξύ άλλων, -- ικανότητα σε σε διαχειριστικό επίπεδο, -- εμπειρογνωμοσύνη στην τεχνολογία ηλεκτρονικών υπογραφών και -- εξοικείωση με με τις τις κατάλληλες διαδικασίες ασφαλείας. Πρέπει επίσης να να χρησιμοποιούν κατάλληλες διοικητικές και διαχειριστικές διαδικασίες που να να αντιστοιχούν σε σε 66 αναγνωρισμένα πρότυπα.

67 Όροι για Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισμένα Πιστοποιητικά -3 Οι Οι πάροχοι υπηρεσιών πιστοποίησης πρέπει: στ) Να χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα τα τα οποία προστατεύονται έναντι τροποποίησης και διασφαλίζουν την τεχνική και κρυπτογραφική ασφάλεια των διεργασιών πιστοποίησης οι οι οποίες υποστηρίζονται από αυτά. ζ) ζ) Να λαμβάνουν μέτρα έναντι της πλαστογράφησης πιστοποιητικών και, σε σε περίπτωση που ο πάροχος υπηρεσιών πιστοποίησης παράγει δεδομένα δημιουργίας υπογραφής, να να εγγυώνται την τήρηση του απορρήτου κατά τη τη διάρκεια της διεργασίας παραγωγής αυτών. 67

68 Όροι για Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισμένα Πιστοποιητικά -4 Οι Οι πάροχοι υπηρεσιών πιστοποίησης πρέπει: η) η) Να διαθέτουν επαρκείς χρηματικούς πόρους ώστε να να λειτουργούν σύμφωνα με με τις τις απαιτήσεις που καθορίζονται στην Οδηγία 99/93/ΕΚ, ιδίως για την ανάληψη της ευθύνης ζημιών, π.χ. με με τη τη σύναψη κατάλληλης ασφάλισης. θ) θ) Να καταγράφουν το το σύνολο των συναφών πληροφοριών που αφορούν ένα αναγνωρισμένο πιστοποιητικό για χρονικό διάστημα ετών, ιδίως για την παροχή αποδεικτικών στοιχείων πιστοποίησης σε σε νομικές διαδικασίες. [Η [Η καταγραφή αυτή μπορεί να να πραγματοποιείται με με ηλεκτρονικά μέσα]. ι) ι) Να μην αποθηκεύουν δεδομένα δημιουργίας υπογραφής του ατόμου προς το το οποίο ο πάροχος υπηρεσιών πιστοποίησης παρείχε υπηρεσίες διαχείρισης κλειδιών. 68

69 Όροι για Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισμένα Πιστοποιητικά -5 Οι Οι πάροχοι υπηρεσιών πιστοποίησης πρέπει: ια) ια) Προτού συνάψουν συμβατική σχέση με με πρόσωπο που ζητά πιστοποιητικό από αυτούς για να να κατοχυρώσει την ηλεκτρονική του υπογραφή, να να το το ενημερώνουν με με κατάλληλα μέσα επικοινωνίας σχετικά με: τους ακριβείς όρους και προϋποθέσεις χρησιμοποίησης του πιστοποιητικού, της ύπαρξης μηχανισμού εθελοντικής διαπίστευσης και των διαδικασιών υποβολής παραπόνων και επίλυσης διαφορών. Οι Οι πληροφορίες αυτές, οι οι οποίες μπορούν να να διαβιβάζονται ηλεκτρονικά, πρέπει να να παρέχονται εγγράφως, σε σε εύκολα καταληπτή γλώσσα. Σχετικά αποσπάσματα των πληροφοριών αυτών καθίστανται επίσης προσιτά κατόπιν αιτήματος τρίτων οι οι οποίοι 69 βασίζονται στο πιστοποιητικό αυτό.

70 Όροι για Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισμένα Πιστοποιητικά -6 Οι Οι πάροχοι υπηρεσιών πιστοποίησης πρέπει: ιβ) ιβ) Να χρησιμοποιούν αξιόπιστα συστήματα για την αποθήκευση πιστοποιητικών σε σε επαληθεύσιμη μορφή, έτσι ώστε: μόνο αρμόδιοι να να μπορούν να να διενεργούν εισαγωγές και τροποποιήσεις, να να μπορεί να να ελέγχεται η γνησιότητα των πληροφοριών, να να είναι δυνατή η κοινόχρηστη ανάκτηση πιστοποιητικών μόνον στις περιπτώσεις εκείνες για τις τις οποίες έχει δοθεί η συγκατάθεση του κατόχου, και οι οι τυχόν τεχνικές αλλαγές που θέτουν σε σε κίνδυνο τις τις εν εν λόγω αιτήσεις ασφαλείας να να γίνονται εμφανώς αντιληπτές 70 από τον χειριστή.

71 Διεθνείς Πτυχές 71

72 Διεθνείς Πτυχές Πλαίσιο αναφοράς: Η προσφορά υπηρεσιών πιστοποίησης εντός της ελληνικής επικράτειας από πάροχο υπηρεσιών πιστοποίησης, που είναι εγκατεστημένος στην Ελλάδα, διέπεται από την κείμενη ελληνική νομοθεσία. Συναφείς υπηρεσίες πιστοποίησης, εφόσον προέρχονται από άλλη χώρα μέλος της Ευρωπαϊκής Ένωσης, συνεπάγονται τις ίδιες έννομες συνέπειες με τις αντίστοιχες υπηρεσίες πιστοποίησης που αφορούν πάροχο εγκατεστημένο στην Ελλάδα. Και για τα διατιθέμενα στην αγορά προϊόντα ηλεκτρονικής υπογραφής υφίστανται οι ίδιες έννομες συνέπειες, ανεξάρτητα από το εάν αυτά προέρχονται από την Ελλάδα ή από άλλη χώρα της ΕΕ. 72

73 Διεθνείς Πτυχές Πλαίσιο αναφοράς: Ιδιαίτερα, η διαπίστωση συμμόρφωσης προς την κείμενη νομοθεσία της Ευρωπαϊκής Ένωσης, που αφορά προϋποθέσεις για ασφαλείς διατάξεις δημιουργίας της υπογραφής από φορέα στον οποίο έχει ανατεθεί η διαπίστωση αυτή σύμφωνα με τη νομοθεσία κράτους μέλους της Ευρωπαϊκής Ένωσης, έχει άμεση ισχύ και στην Ελλάδα. 73

74 Διεθνείς Πτυχές Τα αναγνωρισμένα πιστοποιητικά, που εκδίδονται στο κοινό από πάροχο υπηρεσιών πιστοποίησης, ο οποίοςείναι εγκατεστημένος σε χώρα εκτός της Ευρωπαϊκής Ένωσης, είναι νομικώς ισοδύναμα με τα εκδιδόμενα ευρωπαϊκά, εφόσον: α) Ο πάροχος πληροί τους όρους της κοινοτικής νομοθεσίας και έχει διαπιστευθεί εθελοντικά σε Κράτος-Μέλος της ΕΕ. β) Για το συγκεκριμένο πιστοποιητικό έχει εγγυηθεί πάροχος υπηρεσιών πιστοποίησης, που είναι εγκατεστημένος στην ΕΕ, και ο οποίος πληροί τους όρους της κοινοτικής νομοθεσίας. γ) Το αναγνωρισμένο πιστοποιητικό του παρόχου υπηρεσιών πιστοποίησης αναγνωρίζεται βάσει διμερούς ή πολυμερούς συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης και τρίτων 74 χωρώνήδιεθνώνοργανισμών. ή

75 Ευθύνη των Παρόχων Πιστοποίησης 75

76 Ευθύνη των Παρόχων Πιστοποίησης Ο πάροχος υπηρεσιών πιστοποίησης, διαπιστευμένος ή μη, που εκδίδει αναγνωρισμένο πιστοποιητικό στο κοινό ή εγγυάται για την ακρίβεια τέτοιου πιστοποιητικού, ευθύνεται έναντι οποιουδήποτεφορέαήφυσικούήνομικούπροσώπουγιατηζημία ή φυσικού ή προσώπου τη πουπροκλήθηκεσεβάροςτουεπειδήπροκλήθηκε επειδή το πρόσωπο αυτό «εύλογα» βασίσθηκε στο πιστοποιητικό, όσον αφορά: α) την ακρίβεια, κατά τη στιγμή της έκδοσής του, όλων των πληροφοριών που περιέχονται στο αναγνωρισμένο πιστοποιητικό, καθώς και την ύπαρξη όλων των στοιχείων που απαιτούνται για την έκδοσή του. β) τη διαβεβαίωση ότι ο υπογράφων, η ταυτότητα του οποίου βεβαιώνεται στο αναγνωρισμένο πιστοποιητικό, κατά τη στιγμή της έκδοσής του, κατείχε δεδομένα δημιουργίας υπογραφής, που αντιστοιχούσαν στα αναφερόμενα ή καθοριζόμενα στο πιστοποιητικό δεδομένα επαλήθευσης της υπογραφής. γ) τη διαβεβαίωση ότι αμφότερα τα δεδομένα δημιουργίας υπογραφής και επαλήθευσης υπογραφής μπορούν να χρησιμοποιηθούν συμπληρωματικά, εφόσον προέρχονται από πάροχο υπηρεσιών πιστοποίησης. 76

77 Ευθύνη των Παρόχων Πιστοποίησης Άλλες περιπτώσεις ανάληψης ευθυνών: Ο πάροχος υπηρεσιών πιστοποίησης ευθύνεται επίσης, αν παραλείψει να καταγράψει την όποια ενδεχόμενη ανάκληση του πιστοποιητικού. Γενικά, σε όλες τις προηγούμενες περιπτώσεις, ο πάροχος δεν ευθύνεται, αν αποδείξει ότι δεν τον βαρύνει πταίσμα. 77

78 Ευθύνη των Παρόχων Πιστοποίησης Περιορισμοί στη Χρήση Πιστοποιητικών-1 Στο αναγνωρισμένο πιστοποιητικό δύνανται να αναγράφονται, από τον πάροχο υπηρεσιών πιστοποίησης, περιορισμοί χρήσης αυτού, υπό την προϋπόθεση ότι οι περιορισμοί τίθενται κατά τρόπο, ο οποίος είναι αναγνωρίσιμος από οποιονδήποτε τρίτο. Τότε ο πάροχος υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκύπτει από την υπέρβαση των αναφερόμενων περιορισμών, κατά τη χρήση του αναγνωρισμένου πιστοποιητικού. 78

79 Ευθύνη των Παρόχων Πιστοποίησης Περιορισμοί στη Χρήση Πιστοποιητικών-2 Στο αναγνωρισμένο πιστοποιητικό δύνανται να αναγράφονται, από τον πάροχο υπηρεσιών πιστοποίησης, όρια για το ύψος των συναλλαγών, για τιςοποίεςμπορείναχρησιμοποιηθείτοσχετικό το σχετικό πιστοποιητικό, με την προϋπόθεση ότι τα όρια αυτά τίθενται κατά τρόπο αναγνωρίσιμο από οποιονδήποτε τρίτο. Στην περίπτωση αυτήν ο πάροχος υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκαλείται από την υπέρβαση των ορίων αυτών. 79

80 Προστασία των Δεδομένων 80

81 Προστασία των Δεδομένων Οι πάροχοι υπηρεσιών πιστοποίησης υποχρεούνται να τηρούν τις απαιτήσεις της νομοθεσίας για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ειδικότερα ο πάροχος των υπηρεσιών πιστοποίησης που εκδίδει πιστοποιητικό, μπορεί να συγκεντρώνει δεδομένα προσωπικού χαρακτήρα για την έκδοση πιστοποιητικών -- μόνο απευθείας από το ενδιαφερόμενο πρόσωπο ή κατόπιν ρητής συγκατάθεσής του -- και μόνο στο βαθμό που είναι απαραίτητο για την έκδοση και διατήρηση του πιστοποιητικού. 81

82 Προστασία των Δεδομένων Η συλλογή ή επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς απαγορεύεται, χωρίς τη σαφή συγκατάθεση του ενδιαφερόμενου προσώπου. Επιτρέπεται στους παρόχους υπηρεσιών πιστοποίησης να αναγράφουν στο αναγνωρισμένο πιστοποιητικό ένα ψευδώνυμο, αντί του ονόματος του υπογράφοντος. 82

83 Δράσεις στο Εθνικό Δίκαιο 83

84 Δράσεις στο Εθνικό Δίκαιο Το Π.Δ.150/ /2000 (ΦΕΚ Α 125, ) που εναρμόνισε την Οδηγία 99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές, καθόρισε το πλαίσιο εκείνο μέσα στο οποίο μία ψηφιακή υπογραφή αναγνωρίζεται νομικά ως ιδιόχειρη. Αυτό σημαίνει ότι υπό συγκεκριμένες προϋποθέσεις, τα πρόσωπα που συμβάλλονται σε μία ηλεκτρονική συναλλαγή, και υπογράφουν ηλεκτρονικά, δεν μπορεί να την αρνηθούν. 84

85 Δράσεις στο Εθνικό Δίκαιο Επιπλέον, το Π.Δ.150/2001,.150/2001, εκτός των άλλων: καθόρισε τους όρους που πρέπει να ισχύουν σε ψηφιακά πιστοποιητικά για να θεωρούνται αναγνωρισμένα πιστοποιητικά και τους όρους που πρέπει να πληρούν οι Πάροχοι Υπηρεσιών Πιστοποίησης για να παρέχουν αναγνωρισμένα πιστοποιητικά. έθεσε τις αρχές λειτουργίας της εσωτερικής αγοράς όσον αφορά την παροχή υπηρεσιών πιστοποίησης έθεσε τις προϋποθέσεις νομικής αναγνώρισης εντός ΕΕ των αναγνωρισμένων πιστοποιητικών που εκδίδονται από Παρόχους Υπηρεσιών Πιστοποίησης εγκατεστημένους σε χώρες εκτός ΕΕ, και άλλες σχετικές προβλέψεις που αφορούν διεθνείς πτυχές. έθεσε το πλαίσιο της ευθύνης των Παρόχων Υπηρεσιών Πιστοποίησης ανέθεσε στην ΕΕΤΤ συγκεκριμένες αρμοδιότητες. 85

86 Δράσεις στο Εθνικό Δίκαιο Αρμοδιότητες της ΕΕΤΤ, βάσει του Π.Δ.150/ /2001 Οι αρμοδιότητες της ΕΕΤΤ όπως απορρέουν από το ΠΔ 150/2001, είναι επιγραμματικά οι εξής: Η παροχή Εθελοντικής Διαπίστευσης, ύστερα από έγγραφη αίτηση του ενδιαφερόμενου Παρόχου Υπηρεσιών Πιστοποίησης, προκειμένου να επιτευχθεί βελτιωμένο επίπεδο παροχής υπηρεσιών πιστοποίησης.. (άρθρο 4 παρ.. 5 εδ.α) ήηη ανάθεση σε δημόσιους ή ιδιωτικούς φορείς του έργου αυτού. [Με την Εθελοντική Διαπίστευση απονέμονται δικαιώματα και επιβάλλονται υποχρεώσεις, συμπεριλαμβανομένων τελών, στον Πάροχο Υπηρεσιών Πιστοποίησης]. Η εποπτεία και ο έλεγχος των εγκατεστημένων στην Ελλάδα Παρόχων Υπηρεσιών Πιστοποίησης, καθώς και των φορέων διαπίστευσης και ελέγχου της συμμόρφωσης των υπογραφών προς το Παράρτημα ΙΙΙ του Π.Δ.150/ /2001 (εφόσον η ΕΕΤΤ 86 αναθέσει τέτοια καθήκοντα σε άλλους φορείς) ) (άρθρο( 4 παρ.. 8).

87 Δράσεις στο Εθνικό Δίκαιο Αρμοδιότητες της ΕΕΤΤ, βάσει του Π.Δ.150/ /2001 Οι αρμοδιότητες της ΕΕΤΤ όπως απορρέουν από το ΠΔ 150/2001, είναι επιγραμματικά οι εξής: Η διαπίστωση της συμμόρφωσης των διατάξεων δημιουργίας υπογραφής (υλικού ή λογισμικού που χρησιμοποιείται για την εφαρμογή του ιδιωτικού κλειδιού για τη δημιουργία της ηλεκτρονικής υπογραφής) προς το Παράρτημα ΙΙΙ του Π.Δ.150/ /2001 (άρθρο 4 παρ.. 2, εδ.α) ή ανάθεση σε δημόσιους ή ιδιωτικούς φορείς του έργου αυτού. Η επιβολή προστίμων σε Παρόχους Υπηρεσιών Πιστοποίησης, οι οποίοι ενεργούν ως διαπιστευμένοι, χωρίς να είναι (άρθρο 4 παρ.9). Η ενημέρωση της Ευρωπαϊκής Επιτροπής για τις επωνυμίες και τις διευθύνσεις όλων των διαπιστευμένων εθνικών Παρόχων Υπηρεσιών Πιστοποίησης, καθώς και για τυχόν αλλαγές στις 87 παραπάνω πληροφορίες (άρθρα 8 παρ.. 2 και 3).

88 Άλλες Δράσεις στο Εθνικό Δίκαιο Με την απόφαση 248/71 (ΦΕΚ Β 603, ), η ΕΕΤΤ εξέδωσε «Κανονισμό Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής», ρυθμίζοντας θέματα σχετικά με: Αναγνωρισμένα πιστοποιητικά Την εποπτεία και τον έλεγχο των εγκατεστημένων στην Ελλάδα παρόχων υπηρεσιών πιστοποίησης ηλεκτρονικής υπογραφής, οι οποίοι εκδίδουν αναγνωρισμένα ή μη πιστοποιητικά ή παρέχουν άλλες σχετικές με την ηλεκτρονική υπογραφή υπηρεσίες πιστοποίησης. Η ΕΕΤΤ τηρεί ειδικό μητρώο των εγκατεστημένων στην Ελλάδα Παρόχων Υπηρεσιών Πιστοποίησης. 88

89 Άλλες Δράσεις στο Εθνικό Δίκαιο Με μια σειρά Αποφάσεών της εντός του 2003 η ΕΕΤΤ δημιούργησε το θεσμικό πλαίσιο α) για τον ορισμό και τη λειτουργία των εντεταλμένων φορέων για την Εθελοντική Διαπίστευση (των παρόχων υπηρεσιών πιστοποίησης) και τον έλεγχο των προϊόντων (ασφαλών διατάξεων δημιουργίας υπογραφής και ασφαλών κρυπτογραφικών μονάδων) και β) για την Εθελοντική Διαπίστευση των παρόχων υπηρεσιών πιστοποίησης 89

90 Σύνοψη 90

91 Συνοπτική Θεώρηση Κύριος στόχος της Οδηγίας 99/93/ΕΚ είναι η δημιουργία κοινοτικού πλαισίου για τη χρήση ηλεκτρονικής υπογραφής, το οποίο θα καθιστά δυνατή την ελεύθερη κυκλοφορία προϊόντων και υπηρεσιών με ηλεκτρονική υπογραφή σε διασυνοριακή κλίμακα, εξασφαλίζοντας βασική νομική αναγνώρισή της. ΗΟδηγίαδεναφοράτησύναψηκαιτηνεγκυρότητα δεν αφορά την εγκυρότητα συμβάσεων ή άλλων υποχρεώσεων που προβλέπονται από την εθνική ή την κοινοτική νομοθεσία ως προς τη μορφή των συμβάσεων. Επίσης, δεν επηρεάζονται κανόνες και περιορισμοί που αναφέρονται στη χρήση εγγράφων. 91

92 Συνοπτική Θεώρηση Παρατήρηση: Δεν αποκλείεται η δυνατότητα των μερών ενός κλειστού συστήματος (π.χ. εταιρικού ενδοδικτύου ή μεταξύ παρόχου υπηρεσιών και των πελατών του) να διαπραγματεύονται τους ειδικούς όρους τους για τη χρήση ηλεκτρονικής υπογραφής στο πλαίσιο αυτού του συστήματος. 92

93 Συνοπτική Θεώρηση - Διάκριση Περιπτώσεων Στην Οδηγία 99/93/ΕΚ διακρίνονται τρεις βασικές περιπτώσεις: Η πρώτη περίπτωση είναι η απλούστερη μορφή της «ηλεκτρονικής υπογραφής» υπό την ευρεία έννοια. Χρησιμεύει στην ταυτοποίηση και τον έλεγχο γνησιότητας των δεδομένων. Μπορεί να συνίσταται απλώς στην υπογραφή μηνύματος με ονοματεπώνυμο ή χρησιμοποιώντας κωδικό PIN. Για να θεωρείται ως υπογραφή πρέπει ο έλεγχος γνησιότητας να αφορά δεδομένα και όχι να χρησιμοποιείται αποκλειστικά ως μέθοδος ή τεχνολογία για τον έλεγχο γνησιότητας μιας οντότητας. 93

94 Συνοπτική Θεώρηση - Διάκριση Περιπτώσεων Η δεύτερη μορφή είναι η η«προηγμένη ηλεκτρονική υπογραφή». Αυτή καλύπτει συγκεκριμένες απαιτήσεις και στην πράξη κυρίως αναφέρεται σε ηλεκτρονική υπογραφή που βασίζεται σε υποδομή δημόσιου κλειδιού (PKI). Στην περίπτωση αυτή χρησιμοποιείται για την υπογραφή δεδομένων τεχνολογία κρυπτοθέτησης, όπου απαιτείται δημόσιο και ιδιωτικό κλειδί. Η τρίτη περίπτωση είναι η αποκαλούμενη ως «αναγνωρισμένη ηλεκτρονική υπογραφή». Συνίσταται σε προηγμένη ηλεκτρονική υπογραφή, η οποία βασίζεται σε αναγνωρισμένο πιστοποιητικό, δημιουργείται μέσω διάταξης δημιουργίας ασφαλούς υπογραφής και πρέπει να ανταποκρίνεται σε συγκεκριμένες απαιτήσεις. πρέπει να ανταποκρίνεται σε συγκεκριμένες απαιτήσεις. 94

95 Συνοπτική Θεώρηση - Εφαρμογές Οι δύο επικρατέστερες εφαρμογές ηλεκτρονικής υπογραφής σχετίζονται με τις υπηρεσίες e-government και προσωπικές τραπεζικές ηλεκτρονικές συναλλαγές. Πολλά ευρωπαϊκά κράτη έχουν ήδη δρομολογήσει ή προγραμματίζουν εφαρμογές e-government, βασιζόμενες στη χρήση ηλεκτρονικών καρτών ταυτότητας. Η ηλεκτρονική κάρτα ταυτότητας μπορεί να χρησιμοποιηθεί τόσο ως έγγραφο ταυτοποίησης, όσο και για την παροχή, στους πολίτες, on-line πρόσβασης σε δημόσιες υπηρεσίες. Στις περισσότερες περιπτώσεις αυτές οι κάρτες ταυτότητας περιλαμβάνουν τα εξής τρία λειτουργικά χαρακτηριστικά: ταυτοποίηση, έλεγχος γνησιότητας και υπογραφή. 95