Χρήστος Ε. Σιουλής Δικηγόρος Νομικοτεχνικός Σύμβουλος

Transcript

1 Η χρήση Ηλεκτρονικών Υπογραφών στο διαδίκτυο & οι έννομες συνέπειές τους Εισηγητής: Χρήστος Ε. Σιουλής Δικηγόρος Νομικοτεχνικός Σύμβουλος

2 Εισαγωγή Θεσμικές και νομοθετικές πρωτοβουλίες για τις Ηλ. Υπογραφές Διεθνείς πρωτοβουλίες για την τυποποίηση και την ασφάλεια των ηλεκτρονικών επικοινωνιών μεταξύ οργανισμών και εταιριών από Ηνωμένα Έθνη, Ευρωπαϊκή Ένωση & διεθνείς οργανισμούς τυποποίησης (προγράμματα EDI, UNCITRAL, EDIFACT, TEDIS) ( ). Πρώτος νόμος για ηλεκτρονικές υπογραφές από την Πολιτεία Utah των Η.Π.Α. (1995) και έπεται αντίστοιχος από την Πολιτεία της Florida (1996) Πρώτοι σχετικοί εθνικοί νόμοι σε Ευρώπη το 1997 από Ιταλία και Ομοσπονδιακή Δημοκρατία της Γερμανίας.

3 Εισαγωγή Διεθνής θεσμοθέτηση των Ηλεκτρονικών Υπογραφών Η.Π.Α. Electronic Signature Law Ευρώπη Directive 1999/93/EC European Electronic Signature Standardization Initiative EESSI Ευρωπαϊκοί Οργανισμοί Προτυποποίησης + Νομοθετικές Πράξεις Πολιτειών + Πράξεις Προσαρμογής Κρατών-Μελών Άλλα Κράτη με σχετική νομοθεσία: Ιαπωνία, Καναδάς, Αυστραλία, Σιγκαπούρη, Αργεντινή, Μαλαισία, κ.ά.

4 Εισαγωγή Ιδιότητες Υπογραφών ΤΑΥΤΟΠΟΙΗΣΗ ΥΠΟΓΡΑΦΟΝΤΑ (Ποιος υπογράφει ανάγνωση της υπογραφής) ΑΥΘΕΝΤΙΚΟΤΗΤΑ ΥΠΟΓΡΑΦΟΝΤΑ (Ότι πράγματι είναι αυτός δεν μπορεί να την θέσει άλλος ) ΠΡΟΣΔΙΟΡΙΣΜΟΣ ΑΝΤΙΚΕΙΜΕΝΟΥ ΥΠΟΓΡΑΦΗΣ (Τι καλύπτει η υπογραφή του δεν μεταφέρεται αλλού) ΔΙΑΤΗΡΗΣΗ ΓΙΑ ΜΗ ΜΕΛΛΟΝΤΙΚΗ ΑΠΟΚΗΡΥΞΗ (Διάρκεια των παραπάνω συνεπειών - δέσμευση του υπογράφοντα)

5 Εισαγωγή Παραδοσιακή & Ηλεκτρονική Υπογραφή n BEGIN SIGNATURE IQB1AwUBMVSiA5QYCuMfgNYjAQFAKgL/ZkBfbe NEsbthba4BlrcnjaqbcKgNv+4537y8RCd+RHm75 yyh5xxa1ojelwnhhb7cltrp2v7llonaelws4s87ux 80ctBcN6AACf11qymC2h+Rb2j5SU+rmXWru+= QMx n END SIGNATURE------

6 Πως λειτουργεί Συμμετρική Ασύμμετρη Κρυπτογραφία Συμμετρική κρυπτογράφηση Χ Υ Ένα κλειδί: Ίδιο για κρυπτογράφηση και αποκρυπτογράφηση Ασύμμετρη κρυπτογράφηση Χ Υ Δύο κλειδιά: Ότι κρυπτογραφεί το ένα, αποκρυπτογραφείται μόνο από το άλλο και αντίστροφα

7 Πως λειτουργεί Ηλεκτρονικά Πιστοποιητικά (Χ.509) Τύπος (Έκδοση) Σειριακός Αριθμός Πιστοποιητικού Χρησιμοποιούμενος Αλγόριθμος Εκδότης (Πιστοποιητικού) Έγκυρο από (ημ/νία Έκδοσης) Έγκυρο έως (ημ/νία Λήξης) Θέμα (Υποκείμενο-Υπογράφων) Δημόσιο κλειδί Περιορισμοί χρήσης κλειδιού Πολιτική - Όρια Συναλλαγών Αλγόριθμος αποτύπωσης άλλες πληροφορίες Απεικόνιση Πιστοποιητικού στον Υπολογιστή = Υποχρεωτικά πεδία = Προαιρετικά πεδία = Τυπικά (απαραίτητα) πεδία

8 Πως λειτουργεί Λειτουργίες - Υπηρεσίες Παρόχου Υπηρεσιών Πιστοποίησης Θεμελιώδης Εκδότης Πιστοποιητικού (Root CA) Εκδίδει τα αρχικά Κλειδιά, τον Κανονισμό Πιστοποίησης & τις Πολιτικές και επιβλέπει όλη την υποδομή Εκδότης Πιστοποιητικών (CA - Certification Authority) Εκδίδει Πιστοποιητικά Συνδρομητών σύμφωνα με τα στοιχεία που παίρνει από την Υπηρεσία Εγγραφής Υπηρεσία Εγγραφής (RA - Registration Authority) Ελέγχει & επιβεβαιώνει την ταυτότητα (& τυχόν άλλα στοιχεία) του Συνδρομητή Υποκειμένου πιστοποίησης Υπηρεσία Δημοσίευσης και Διανομής (Dissemination Service) Δημοσιεύει τα πιστοποιητικά, τον Κανονισμό και τους όρους χρήσης των στο Αποθετήριο (Repository) Υπηρεσία Διαχείρισης Ανάκλησης (Revocation Management & Status Service) Διαχειρίζεται αιτήματα ανάκλησης και φροντίζει για την έγκαιρη δημοσίευση Λίστας Ανάκλησης (CRL) Υπηρεσία Χρονοσήμανσης (Time Stamping Authority) Παρέχει αξιόπιστες ηλεκτρονικές σημάνσεις χρόνου σε έγγραφα των Συνδρομητών μετά από αίτησή τους Υπηρεσία Προμήθειας Συσκευών (Device Provision Service) Προμηθεύει τους Συνδρομητές του με Ασφαλείς Διατάξεις Δημιουργίας Υπογραφών (π.χ. smart cards) = Υποχρεωτικές Υπηρεσίες = Προαιρετικές Υπηρεσίες

9 Πως λειτουργεί Υποδομή Δημοσίου Κλειδιού (Public Key Infrastructure - PKI) Έλεγχος Ταυτότητας και έκδοση πιστοποιητικού Υπογράφων Έμπιστη Τρίτη Οντότητα (Πάροχος Υπηρεσιών Πιστοποίησης) Ταυτοποίηση & Εγγραφή Δημοσίευση Κανονισμού & Πολιτικών Έκδοση Πιστοποιητικού Προμήθεια συσκευής? Υπογραφή εγγράφου με το ιδιωτικό κλειδί Έλεγχος & Δημοσίευση Ανάκλησης Χρονοσήμανση? Αποστολή υπογεγραμμένου εγγράφου μαζί με πιστοποιητικό του δημοσίου κλειδιού Επιβεβαίωση εγγράφου με το δημόσιο κλειδί Έλεγχος πιστοποιητικού για τυχόν ανάκλησή του Βασιζόμενος

10 Θεσμικό πλαίσιο Θεσμικό πλαίσιο στην Ελλάδα Π.Δ. 150/ για ηλεκτρονικές υπογραφές (Οδηγία 93/1999) Ορίζονται δύο κατηγορίες ηλεκτρονικών υπογραφών (3 1 και 3 2) Ορίζεται η ΕΕΤΤ ως αρμόδια για την διαπίστευση και την επίβλεψη των ΠΥΠ Δεν αλλοιώνεται το υφιστάμενο καθεστώς για τον τύπο των συμβάσεων Άρθρο 14 του Ν. 2867/98 για ηλεκτρονική διακίνηση εγγράφων Επιτρέπει την διακίνηση ηλεκτρονικών εγγράφων στο ευρύτερο δημόσιο τομέα Προσδιορίζει στοιχεία που πρέπει να έχει ένα αποδεκτό ηλεκτρονικό μήνυμα Εξουσιοδοτεί υπουργικές αποφάσεις για διεύρυνση του πεδίου εφαρμογής Διάφορα άρθρα του ΑΚ, του ΚΠολΔ καθώς και συναφείς νόμοι o o o o o ά. 160 ΑΚ, για τον έγγραφο τύπο και την ιδιόχειρη υπογραφή ά ΚΠολΔ, για τις μηχανικές απεικονίσεις ως ιδιωτικά έγγραφα ά. 457 ΚΠολΔ, για τους αποδεικτικούς κανόνες γνησιότητας υπογραφής Ν. 2472/97 για προστασία δεδομένων προσωπικού χαρακτήρα Ν. 2251/1994 για την προστασία καταναλωτών, κ.λ.π.

11 Θεσμικό πλαίσιο Κατηγορίες Ηλεκτρονικών Υπογραφών (π.δ. 150/01) A. Άρθρου 3 1 π.δ. 150/2001 (αναγνωρισμένες<=>ιδιόχειρες) Προηγμένη Ηλεκτρονική Υπογραφή Συνδέεται μονοσήμαντα με τον υπογράφοντα Καθορίζει αποκλειστικά την ταυτότητα του υπογράφοντα Δημιουργείται με μέσα που διατηρούνται υπό τον αποκλειστικό έλεγχο Συνδέεται με τα δεδομένα έτσι ώστε δεν μπορεί να γίνει αλλοίωση Αναγνωρισμένο Πιστοποιητικό Πληροί τους όρους του Παραρτήματος Ι του π.δ. Εκδίδεται από Πάροχο Υπηρεσιών Πιστοποίησης που πληροί τους όρους του Παραρτήματος ΙΙ του π.δ. Ασφαλή Διάταξη Δημιουργίας Υπογραφής Διάταξη Δημιουργίας Υπογραφής (φορέας ιδιωτικού κλειδιού π.χ. smart card) που πληροί τους όρους του Παραρτήματος ΙΙΙ του π.δ. B. Άρθρου 3 2 π.δ. 150/2001 (υπόλοιπες => + Αποδείξεις) (όσες δεν τηρούν όλες τις παραπάνω προϋποθέσεις)

12 Θεσμικό πλαίσιο Εφαρμογές Ηλεκτρονικών Υπογραφών Έγκυρη (νομικά) υπογραφή Ηλεκτρονικών Εγγράφων Απαιτείται να καλύπτονται οι προϋποθέσεις του άρθρου 3 1 του π.δ. Ελεγχόμενη (προσωπική) πρόσβαση σε Τηλεματικές Υπηρεσίες Απομακρυσμένη αναγνώριση και αυθεντικότητα προσώπων & υπολογιστών σε εφαρμογές ηλεκτρονικού εμπορίου, internet banking, συνδρομητικές υπηρεσίες κ.λ.π. Κρυπτογράφηση Δεδομένων (διασφάλιση απορρήτου) Ότι κρυπτογραφείς με το δημόσιο κλειδί κάποιου, το βλέπει μόνο αυτός! Ότι κρυπτογραφείται με το δημόσιο κλειδί σου, το βλέπεις μόνο εσύ! Υπογραφή άλλων ψηφιακών αντικειμένων (για τη μη αλλοίωσή τους) Όπως Software, ψηφιακή μουσική, ηλεκτρονικά βιβλία, ψηφιακές ταινίες, κ.ά. Αξιόπιστες διαβεβαιώσεις τρίτων (Παρόχων Υπηρεσιών Πιστοποίησης) Υπογραφή πιστοποιητικών δημοσίων κλειδιών (PKC), πιστοποιητικών χρονοσήμανσης, (timestamps) πιστοποιητικών ιδιοτήτων υποκειμένου (Attribute Certificates), κ.λ.π. Πιστοποίηση άλλων βιομετρικών στοιχείων (φωτογραφία, δακτυλικό αποτύπωμα κ.λπ.)

13 Θεσμικό πλαίσιο Υποκείμενα δεκτικά πιστοποίησης - Φυσικά πρόσωπα με το ονοματεπώνυμό τους? - Φυσικά πρόσωπα με κάποια πιστοποιημένη ιδιότητα? - Φυσικά πρόσωπα με ψευδώνυμο - Νομικά πρόσωπα (!) - Υπολογιστές Εξυπηρετητές (servers) - Software και άλλα ψηφιακά αντικείμενα

14 Θεσμικό πλαίσιο Εμπλεκόμενα μέρη Πάροχος Υπηρεσιών Πιστοποίησης Τριμερείς Σχέσεις Υπογράφων Βασιζόμενος

15 Θεσμικό πλαίσιο Υποχρεώσεις Παρόχου Υπηρεσιών Πιστοποίησης Να επαληθεύει πλήρως την ταυτότητα του πιστοποιούμενου Να επαληθεύει την κατοχή από τον πιστοποιούμενο του ζεύγους κλειδιών που χρησιμοποιεί (Proof of Possession) Να αναγράφει ακριβή στοιχεία στο εκδιδόμενο πιστοποιητικό (χωρίς λάθη) Να δημοσιεύει Κανονισμό Πιστοποίησης (Certification Practice Statement C.P.S.) και Πολιτικές (όροι χρήσης) για τα πιστοποιητικά που εκδίδει Να ανακαλεί τα πιστοποιητικά που έχει εκδώσει αμέσως μόλις προκύψει λόγος, σύμφωνα με τον Κανονισμό Πιστοποίησής του (C.P.S.) και την σχετική Πολιτική Πιστοποιητικού (C.P.) Να παρέχει δημοσίευση (24ωρη 7 ημ./εβδ.) ενημερωμένης Λίστας Ανακληθέντων Πιστοποιητικών (C.R.L.) προς οποιοδήποτε τρίτο Να διατηρεί αρχείο με τα δεδομένα εξακρίβωσης της ταυτότητας του συνδρομητή για μεγάλο χρονικό διάστημα (30 χρόνια) για χρήση σε δικαστική ή εξώδικη επίλυση διαφορών

16 Θεσμικό πλαίσιο Υποχρεώσεις Υπογράφοντα (Πιστοποιούμενου) Να γνωρίζει καλά τον τρόπο λειτουργίας των ηλεκτρονικών υπογραφών και την υποδομής δημοσίου κλειδιού (P.K.I.) Να παρέχει ακριβή στοιχεία κατά την εγγραφή του και να ενημερώνει την Υπηρεσία Εγγραφής εάν αλλάξει κάποιο από αυτά Να προστατεύει το ιδιωτικό του κλειδί (και τον φορέα που το περιέχει) από έκθεσή του σε τρίτους Να ζητήσει άμεσα από τον εκδότη την ανάκληση του πιστοποιητικού εάν υπάρχει υποψία για έκθεσή του σε τρίτους Να συμμορφώνεται, ως προς την χρήση του πιστοποιητικού, με τους όρους που αναφέρονται στον Κανονισμό Πιστοποίησης (C.P.S.) και στην Πολιτική του συγκεκριμένου Πιστοποιητικού (Certificate Policy) Να μην χρησιμοποιήσει το πιστοποιητικό (και τα κλειδιά υπογραφής του) μετά την λήξη του ή την ανάκλησή του.

17 Θεσμικό πλαίσιο Υποχρεώσεις Τρίτου-(Βασιζόμενου στο Πιστοποιητικό) Δύο (2) μόνο υποχρεώσεις: Να γνωρίζει καλά τους όρους χρήσης και τα όρια ανάληψης ευθύνης που δημοσιεύει ο Εκδότης του χρησιμοποιούμενου Πιστοποιητικού (ώστε να μην δεχτεί πιστοποιητικά που υπερβαίνουν αυτά) Να ελέγξει, πριν βασισθεί στις πληροφορίες του πιστοποιητικού, την υπογραφή του Εκδότη του και τις σχετικές Λίστες Ανάκλησης Πιστοποιητικών (CRL) (ώστε να μην δεχτεί πιστοποιητικά που έχουν ανακληθεί)

18 Επίλογος Μελλοντικές Δυνατότητες Ηλεκτρονικών Υπογραφών Χρησιμοποίηση των Ηλεκτρονικών Υπογραφών με κάθε ψηφιακό μέσο (κινητό τηλέφωνο, αμφίδρομη τηλεόραση κ.ά.)? Επιλεκτική προβολή πιστοποιημένων ιδιοτήτων σε απομακρυσμένες επικοινωνίες διατηρώντας επιλεκτικά την ανωνυμία (χρήση ψευδώνυμου)! Κίνδυνος! Η πιθανή μεγάλη εξάρτησή από μία πλαστική (έξυπνη) κάρτα -φορέα των ηλεκτρονικών υπογραφών μας-, με την οποία θα ψωνίζουμε, θα επικοινωνούμε, θα εκτελούμε κάθε είδους συναλλαγή και θα αποκτάμε πρόσβαση, -όχι μόνο σε απομακρυσμένα δίκτυα-, αλλά ακόμη και στο αυτοκίνητό μας και στο ίδιο μας το σπίτι!

19 Επίλογος Συμπεράσματα Οι ηλεκτρονικές υπογραφές, προσφέροντας μια αξιόπιστη λύση στην ανάγκη για ασφάλεια στον Κυβερνοχώρο, αποτελούν, στα πλαίσια του ηλεκτρονικού εμπορίου, το μέλλον. Η χώρα μας, πρέπει άμεσα να ενεργοποιήσει τις θεσμικές προβλέψεις που ήδη υπάρχουν και, με σωστή ενημέρωση του πολίτη, να προωθήσει προσεχτικά την ελληνική κοινωνία στην Κοινωνία της Πληροφορίας του 21ου αιώνα.- Χρήστος Σιουλής