ΕΘΝΙΚΟ ΚΑΙ ΚΑΠΟΔΙΣΤΡΙΑΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΚΡΥΠΤΟΓΡΑΦΙΑ & Γιώργος Ν.Γιαννόπουλος Λέκτορας στο Πανεπιστήμιο Αθηνών gyannop@law.uoa.gr 1 ΥΠΟΓΡΑΦΗ ΑΚ 160 και ΚΠολΔ 443 α Το έγγραφο πρέπει να έχει ιδιόχειρη υπογραφή ΚΠολΔ 457 παρ. 3: Αν αναγνωριστεί ή αποδειχτεί η γνησιότητα της υπογραφής θεωρείται ότι έχει διαπιστωθεί η γνησιότητα του περιεχομένου Μηχανικά μέσα - απεικονίσεις ΑΚ 163: Αποτύπωση της υπογραφής με μηχανικό μέσο ισχύει ως ιδιόχειρη υπογραφή, αν πρόκειται για ανώνυμους τίτλους που εκδίδονται σε μεγάλο αριθμό ΚΠολΔ 444: Ιδιωτικά έγγραφα θεωρούνται και...3) φωτογραφικές ή κινηματογραφικές αναπαραστάσεις, φωνοληψίες και κάθε άλλη μηχανική απεικόνιση. 2 Ηλεκτρονική επικοινωνία Ν. 2251/94 (Οδηγία 2005/29 Ν.3587/07) αρ. 3: «...παραλαβή εγγράφου...έγγραφη άσκηση...» αρ. 4 & 4α: έγγραφος τύπος Εξομοίωση ηλεκτρονικού εγγράφου Αρ. 10 παρ 1 ΠΔ 131/03 (11 παρ.1 Οδηγίας 31/2000) ο φορέας παροχής υπηρεσιών οφείλει να αποστέλλει αποδεικτικό παραλαβής της παραγγελίας ΠΔ 150/2001 (Οδηγία 99/93) Ηλεκτρονική επικοινωνία με το δημόσιο & διακίνηση εγγράφων με ηλεκτρονικές υπογραφές Αρ. 14 Ν. 2672/1998 ΠΔ 342/02 & αρ. 10 Ν. 3230/04 (βλ. επικύρωση «από τον εξουσιοδοτημένο υπάλληλο» άρθρ.16 παρ. 12 Ν.3345/2005) 3 1
ΣΥΜΜΕΤΡΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Αποστολέας και δέκτης έχουν το ίδιο κλειδί: κοινό μυστικό Το ίδιο κλειδί χρησιμοποιείται για κρυπτογράφηση και αποκρυπτογράφηση Προβλήματα Δεν υπάρχει βεβαιότητα για το πρόσωπο το κλειδί πρέπει να ανταλλαγεί τουλάχιστο μία φορά «Μη - αποκήρυξη» Εμπιστοσύνη του ενός προς τον άλλο 4 ΣΥΜΜΕΤΡΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Ασφαλής ανταλλαγή! Κρυφό κλειδί Κρυφό κλειδί ΑΠΛΟ ΚΕΙΜΕΝΟ ΜΗ ΚΡΥΠΤΟΓΡΑΦΗΜΕΝΟ ΠΡΩΤΟΤΥΠΟ ΚΕΙΜΕΝΟ ΜΗ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ ΚΡΥΠΤΟΓΡΑΦΗΜΕΝΟ Ασδφ δξφσκσδξ ΚΡΥΠΤΟΓΡΑΦΗΣΗ 3764φθδ σιξδφσι δσφισδοφ δσξφηδσκξφηκσδ σδφκησκφ 5 ΦΟΡΕΙΣ ΠΙΣΤΟΠΟΙΗΣΗΣ Τρίτος έμπιστος φορέας Trusted Third Party - TTP Φορέας Πιστοποίησης Certification Authority Trusted third party = Certification Authority 6 2
ΚΡΥΠΤΟΓΡΑΦΙΑ ΜΕ ΔΗΜΟΣΙΟ ΚΛΕΙΔΙ Δημόσιο και ιδιωτικό κλειδί Το περιεχόμενο που κρυπτογραφείται με το ένα κλειδί, αποκρυπτογραφείται με το άλλο Μόνο ο εκδότης - κάτοχος γνωρίζει το ιδιωτικό κλειδί Το δημόσιο κλειδί μπορεί να το βρεί και να το αποθηκέυσει οποιοσδήποτε Προβλήματα Ποιός είναι ο χρήστης Ευρετήριο δημοσίων κλειδιών 7 Εφαρμογές με «Δημόσιο κλειδί» Ψηφιακή υπογραφή με «Ιδιωτικό κλειδί» εγγυάται: Αυθεντικότητα Ακεραιότητα Μη-αποκήρυξη Κρυπτογράφηση με «Δημόσιο κλειδί» Εγγυάται εμπιστευτικότητα 8 Υποδομή για «Δημόσιο κλειδί» Public Key Infrastructure (PKI) συνδυασμός τεχνικών επιλογών (X.509 v3, PKCS, ) διαδικαστικών (πχ. επιβεβαίωση ταυτότητας, ) νομικών (πχ. ΠΔ150/01, σύμβαση - ΑΚ 160, ΚΠολΔ. 444) ηλεκτρονική εφαρμογή για ασφαλή: επικοινωνία και ανταλλαγή μηνυμάτων συναλλαγές σε δίκτυα Προστασία των «Ιδιωτικών κλειδιών» με υλικό: «έξυπνες» κάρτες με λογισμικό: κρυπτογραφημένη βάση δεδομένων με βιομετρικές μεθόδους πχ. αποτύπωμα, ίριδα 9 3
ΨΗΦΙΑΚΟ ΠΙΣΤΟΠΟΙΗΤΙΚΟ 10 ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Ταυτίζουν το δημόσιο κλειδί με μία οντότητα φυσικό ή νομικό πρόσωπο, υπολογιστή, δεδομένα Είναι το ψηφιακό ισοδύναμο άλλων ειδών ταυτότητας πχ. αστυνομική, διαβατήριο, πιστωτική κάρτα, άδεια οδήγησης 11 ΑΡΧΕΣ / ΦΟΡΕΙΣ ΠΙΣΤΟΠΟΙΗΣΗΣ (Certfication Authorities) Ρυθμίζουν τον «κύκλο» των πιστοποιητικών ΕΚΔΟΣΗ ΣΥΝΤΗΡΗΣΗ & ΔΗΜΟΣΙΕΥΣΗ ΑΝΑΚΛΗΣΗ 12 4
ΑΡΧΗ ΚΑΤΑΧΩΡΙΣΗΣ REGISTRATION AUTHORITY Οντότητα (ιδιωτική ή δημόσια) (πχ. επιμελητήρια, επαγγελματικές ενώσεις, κλειστή ομάδα χρηστών κλπ.) ΗΑρχήΚαταχώρισης(RA) έχει ΔΙΑΠΙΣΤΕΥΘΕΙ από την Αρχή Πιστοποίησης (CA). Καθήκοντα: Να επιβεβαιώσει ποιος κάνει αίτηση για πιστοποιητικό Να συγκεντρώσει και να αρχειοθετήσει τα έγγραφα (διαπιστευτήρια) Να προκαλέσει την έκδοση πιστοποιητικών Να επεκτείνει τις διαβαθμίσεις Τοπικές αρχές καταχώρισης (LRA) 13 ΕΚΔΟΣΗ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ RA RA CA Romeo Juliet 14 ΠΔ 150/01 - Ορισμοί Δεδομένα δημιουργίας (επαλήθευσης) υπογραφής signature-creation data Διάταξη δημιουργίας (επαλήθευσης) υπογραφής signature-creation device Ασφαλής διάταξη δημιουργίας υπογραφής secure signature-creation-device (Παράρτημα ΙΙΙ) Πιστοποιητικό Αναγνωρισμένο πιστοποιητικό Πάροχος υπηρεσιών πιστοποίησης 15 5
ΠΔ 150/01- ΕΞΟΜΟΙΩΣΗ ΗΛΕΚΤΡΟΝΙΚΗ ΥΠΟΓΡΑΦΗ: δεδομένα σε ηλεκτρονική μορφή, τα οποία είναι συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή συσχετίζονται λογικά με αυτά και τα οποία χρησιμεύουν ως μέθοδος απόδειξης της γνησιότητας. (αρ. 2 παρ.1) Η προηγμένη ηλεκτρονική υπογραφή που βασίζεται σε αναγνωρισμένο πιστοποιητικό καιδημιουργείταιαπό ασφαλή διάταξη δημιουργίας υπογραφής επέχει θέση ιδιόχειρης υπογραφής τόσο στο ουσιαστικό όσο και στο δικονομικό δίκαιο. (αρ. 3) 16 ΠΔ 150/01 - ΕΕΤΤ ΕΕΤΤ: ήδιαπιστώνειτησυμμόρφωσηήορίζειδημόσιους ή ιδιωτικούς φορείς (αρ. 4 παρ.2) Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής, απόφαση ΕΕΤΤ 248/71 (ΦΕΚ Β 603/16-5-2002) Κανονισμός για την εθελοντική διαπίστευση των Παρόχων Πιστοποίησης, Απόφαση ΕΕΤΤ 295/65 (ΦΕΚ Β 1730/03) Η ΕΕΤΤ τηρεί μητρώο των εγκατεστημένων στην Ελλάδα Παρόχων Υπηρεσιών Πιστοποίησης Υπηρεσίες πιστοποίησης από άλλη χώρα μέλος της ΕΕ συνεπάγονται τις ίδιες έννομες συνέπειες (αρ. 5 παρ. 2) 17 ΠΔ 150/01 - ΕΥΘΥΝΗ (αρ.6) Ο Πάροχος ευθύνεται για την ακρίβεια των πληροφοριών του πιστοποιητικού (κατά την έκδοση) για τη διαβεβαίωση ότι ο υφίστανται δεδομένα δημιουργίας και επαλήθευσης υπογραφής Δεν ευθύνεται αν αποδείξει ότι δεν τον βαρύνει πταίσμα (νόθος αντικειμενική ευθύνη) Στο αναγνωρισμένο πιστοποιητικό δύνανται να αναγράφονται: περιορισμοί χρήσης, όρια για το ύψος των συναλλαγών ο πάροχος υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκύπτει από την υπέρβαση των περιορισμών ή των ορίων Βλ. αρ. 6 Ν. 2251/94 και αρ. 12-15 Οδηγία 2000/31 18 6