Elektroninių parašų kriptografija

Kodėl elektroninis parašas nėra tiesiog jūsų pavardė kompiuteryje

Kai pirmą kartą susidūriau su elektroniniu parašu, atvirai sakant, nesupratau, kodėl negaliu tiesiog nusifotografuoti savo rankraštinio parašo ir lipinti jo visur, kur reikia. Pasirodo, elektroninis parašas – tai daug sudėtingesnis dalykas, kurio pagrindas yra matematika ir kriptografija. Jei kada nors bandėte suprasti, kaip veikia elektroninė bankininkystė ar kaip pasirašote dokumentus per valstybines sistemas, šis straipsnis jums.

Elektroninis parašas iš esmės yra matematinis būdas įrodyti, kad dokumentą pasirašėte būtent jūs, ir kad niekas jo nepakeitė po to, kai jį pasirašėte. Tai tarsi antspaudas ir lakštas viename, tik daug saugesnis. Skirtingai nuo rankraštinio parašo, kurį galima nukopijuoti ar suklastoti, elektroninį parašą praktiškai neįmanoma suklastoti dėl jo matematinės prigimties.

Asimetrinė kriptografija – dviejų raktų magija

Visa elektroninių parašų sistema remiasi tuo, kas vadinama asimetrine arba viešojo rakto kriptografija. Tai skamba sudėtingai, bet principas gana paprastas. Įsivaizduokite, kad turite dvi dalis – vieną raktą, kurį rodote visiems (viešasis raktas), ir kitą, kurį saugote kaip akies vyzdį (privatus raktas).

Štai kaip tai veikia praktikoje: kai pasirašote dokumentą elektroniniu parašu, jūsų privatus raktas sukuria unikalų skaitmeninį „atspaudą” tam konkrečiam dokumentui. Bet kas kitas, turėdamas jūsų viešąjį raktą, gali patikrinti, ar tas parašas tikrai jūsų ir ar dokumentas nebuvo pakeistas. Bet niekas negali sukurti jūsų parašo be privataus rakto.

Matematiškai tai pagrįsta labai sudėtingomis problemomis, kurias lengva išspręsti viena kryptimi, bet beveik neįmanoma – kita. Pavyzdžiui, lengva padauginti du didelius pirminius skaičius, bet labai sunku suskaidyti jų sandaugą atgal į tuos pirminius skaičius. Šis principas vadinamas „vienakrypte funkcija”.

Kaip tiksliai sukuriamas elektroninis parašas

Dabar pažvelkime į procesą žingsnis po žingsnio. Kai spaudžiate mygtuką „Pasirašyti” kokioje nors sistemoje, įvyksta keletas dalykų, kurių paprastai nematote.

Pirma, jūsų kompiuteris ar išmanusis įrenginys paima dokumentą ir praleidžia jį per vadinamąją maišos (hash) funkciją. Tai matematinė funkcija, kuri bet kokio dydžio dokumentą paverčia fiksuoto ilgio simbolių seka – tarsi dokumento „piršto atspaudu”. Net mažiausias pasikeitimas dokumente sukuria visiškai kitokį maišos kodą.

Antras žingsnis – jūsų privatus raktas užšifruoja šį maišos kodą. Tai ir yra pats elektroninis parašas. Svarbu suprasti, kad šifruojamas ne visas dokumentas, o tik jo maišos kodas, todėl procesas vyksta greitai net su dideliais failais.

Kai kas nors nori patikrinti jūsų parašą, sistema paima jūsų viešąjį raktą ir iššifruoja elektroninį parašą, gaudama originalų maišos kodą. Tada ji pati apskaičiuoja gautojo dokumento maišos kodą ir palygina abu. Jei jie sutampa – puiku, dokumentas autentiškas ir nepakeistas. Jei ne – kažkas negerai.

RSA, DSA ir kiti kriptografiniai algoritmai

Elektroniniams parašams naudojami skirtingi kriptografiniai algoritmai, ir kiekvienas turi savo privalumų. RSA (Rivest-Shamir-Adleman) yra vienas populiariausių ir seniausių – sukurtas dar 1977 metais. Jo saugumas remiasi minėta didžiųjų skaičių faktorizacijos problema.

DSA (Digital Signature Algorithm) buvo sukurtas specialiai skaitmeniniams parašams ir tapo JAV federaliniu standartu. Jis veikia šiek tiek kitaip nei RSA – naudoja diskretinio logaritmo problemą, kuri taip pat yra labai sunki išspręsti.

Pastaraisiais metais vis populiaresni tampa elipsinių kreivių algoritmai (ECDSA). Jie leidžia pasiekti tą patį saugumo lygį naudojant gerokai trumpesnius raktus. Tai svarbu mobiliesiems įrenginiams ir sistemoms, kur skaičiavimo galia ar atmintis ribota. Pavyzdžiui, Bitcoin naudoja būtent ECDSA algoritmą.

Lietuvoje dažniausiai sutinkamas RSA algoritmas su 2048 bitų raktais, nors jau dabar rekomenduojama pereiti prie 3072 ar net 4096 bitų raktų, kad būtų užtikrintas saugumas ateityje.

Sertifikatai ir pasitikėjimo grandinė

Vienas dalykas, kuris dažnai glumina žmones – kaip žinoti, kad tas viešasis raktas tikrai priklauso tam, kam turėtų priklausyti? Čia į žaidimą įsijungia skaitmeniniai sertifikatai ir sertifikavimo centrai.

Sertifikatas – tai tarsi elektroninis asmens dokumentas. Jame yra jūsų viešasis raktas, jūsų tapatybės informacija ir patikimos trečiosios šalies (sertifikavimo centro) skaitmeninis parašas, patvirtinantis, kad visa ši informacija teisinga. Lietuvoje tokius sertifikatus išduoda įvairios įstaigos – nuo bankų iki specializuotų sertifikavimo centrų.

Pasitikėjimo grandinė veikia taip: jūs pasitikite sertifikavimo centru, sertifikavimo centras patikrina asmens tapatybę ir išduoda jam sertifikatą, o tada visi kiti gali pasitikėti tuo asmeniu per tą sertifikatą. Tai primena notarų sistemą, tik skaitmeninėje erdvėje.

Kai atidarote pasirašytą dokumentą, programa automatiškai tikrina ne tik patį parašą, bet ir ar sertifikatas galioja, ar nebuvo atšauktas, ar sertifikavimo centras patikimas. Visa ši patikra vyksta akimirksniu fone.

Maišos funkcijos – dokumentų pirštų atspaudai

Grįžkime prie maišos funkcijų, nes jos tikrai nusipelno daugiau dėmesio. Gera maišos funkcija turi keletą svarbių savybių: ji turi būti greita skaičiuoti, bet neįmanoma atkurti originalaus dokumento iš maišos kodo, ir beveik neįmanoma rasti du skirtingus dokumentus, kurie turėtų tą patį maišos kodą.

Seniau populiarios buvo MD5 ir SHA-1 maišos funkcijos, bet jos jau nebėra laikomos saugiomis. Šiandien standartas yra SHA-256 (iš SHA-2 šeimos) arba naujesnė SHA-3. Skaičius 256 reiškia, kad maišos kodas yra 256 bitų ilgio – tai 2^256 galimų kombinacijų, kas yra astronomiškai didelis skaičius.

Kad suvokti mastą: jei turėtumėte kompiuterį, galintį patikrinti milijardą maišos kodų per sekundę, jums prireiktų daugiau laiko nei visatos amžius, kad rastumėte kolizijas SHA-256 funkcijai. Štai kodėl tai laikoma saugiu.

Praktinis elektroninių parašų naudojimas

Teorija teorija, bet kaip tai veikia realiame gyvenime? Lietuvoje elektroniniai parašai naudojami labai plačiai – nuo mokesčių deklaracijų pateikimo iki sutarčių pasirašymo su bankais.

Yra keletas būdų, kaip galite pasirašyti dokumentus elektroniškai. Pats populiariausias – per mobiliąją aplikaciją su išmaniuoju ID (Smart-ID) arba mobilųjį parašą. Šiuo atveju jūsų privatus raktas saugomas saugioje telefono zonoje arba pas paslaugos teikėją, o pasirašyti galite įvedę PIN kodą.

Kitas būdas – naudoti ID kortelę su skaitytuvu. Čia privatus raktas yra pačiame kortelės mikroscheme, ir jį negalima iš ten ištraukti. Tai labai saugus metodas, nors reikalauja papildomo įrangos.

Versle dažnai naudojamos USB raktų formos priemonės (token’ai), kuriuose saugomi sertifikatai. Jos patogios, nes galima nešiotis su savimi ir naudoti skirtinguose kompiuteriuose.

Svarbu suprasti skirtumą tarp elektroninio parašo tipų. Paprastas elektroninis parašas gali būti net tiesiog įrašytas vardas el. laiško pabaigoje. Išplėstinis elektroninis parašas jau turi būti unikaliai susietas su pasirašančiuoju. O kvalifikuotas elektroninis parašas – tai aukščiausio lygio parašas, teisiškai prilygintas rankraštiniam, ir jis turi atitikti griežtus techninius reikalavimus.

Saugumo iššūkiai ir ateities perspektyvos

Nors elektroninių parašų kriptografija yra labai saugi, ji nėra neįveikiama. Didžiausias pavojus paprastai kyla ne iš matematikos silpnumo, o iš žmogiškojo faktoriaus ar įgyvendinimo klaidų.

Jei kas nors pavogė jūsų privatų raktą ir PIN kodą, jis gali pasirašinėti jūsų vardu. Todėl labai svarbu saugoti savo slaptažodžius ir niekada neįvesti jų įtartinose svetainėse. Taip pat svarbu nedelsiant pranešti apie pametusią ar pavogtą ID kortelę.

Kitas iššūkis – kvantiniai kompiuteriai. Teoriškai pakankamai galingas kvantinis kompiuteris galėtų įveikti dabartines kriptografines sistemas, nes jis galėtų efektyviai spręsti tas „sunkias” matematines problemas, ant kurių visa sistema pagrįsta. Dėl to jau dabar kuriami post-kvantiniai kriptografiniai algoritmai, kurie būtų atsparūs ir kvantiniams kompiuteriams.

Lietuvos institucijos ir tarptautinės organizacijos stebi šiuos pokyčius ir ruošiasi palaipsniui pereiti prie naujų standartų. Tai ilgas procesas, nes reikia užtikrinti suderinamumą su esamomis sistemomis.

Kai matematika tampa kasdieniu įrankiu

Elektroninių parašų kriptografija – puikus pavyzdys, kaip sudėtinga matematika tampa kasdieniu įrankiu, kurio veikimo principų net nereikia suprasti, kad juo naudotumėtės. Tačiau bent paviršutiniškas supratimas, kas vyksta už mygtuko „Pasirašyti”, padeda geriau įvertinti šios technologijos patikimumą ir saugumą.

Svarbiausias dalykas, kurį reikia įsiminti: elektroninis parašas nėra tik patogumas, tai yra matematiškai pagrįstas būdas užtikrinti dokumentų autentiškumą ir vientisumą. Kol saugote savo privačius raktus ir naudojate patikimas sistemas, elektroninis parašas yra saugesnis už bet kokį rankraštinį.

Technologija nuolat tobulėja, algoritmai stiprėja, o naudojimas tampa vis paprastesnis. Kas žino, galbūt ateityje elektroniniai parašai taps tokia savaime suprantama dalimi mūsų gyvenimo, kad net negalvosime apie tai, kaip jie veikia – tiesiog pasirašysime ir tiek. Bet kol kas verta bent šiek tiek suprasti tą matematinę magiją, kuri leidžia mums pasitikėti skaitmeniniais dokumentais taip pat, kaip kadaise pasitikėjome rašalu ant popieriaus.