Digital signatur - Digital signature

Alice signerar ett meddelande - "Hej Bob!" - genom att bifoga det ursprungliga meddelandet en version som är krypterad med hennes privata nyckel. Bob får både meddelandet och signaturen. Han använder Alices offentliga nyckel för att verifiera meddelandets äkthet, det vill säga att den krypterade kopian, dekrypterad med den offentliga nyckeln, exakt matchar det ursprungliga meddelandet.

En digital signatur är ett matematiskt schema för att verifiera äktheten av digitala meddelanden eller dokument. En giltig digital signatur, där förutsättningarna är uppfyllda, ger en mottagare en mycket stark anledning att tro att meddelandet skapades av en känd avsändare ( autentisering ) och att meddelandet inte ändrades under transitering ( integritet ).

Digitala signaturer är ett standardelement i de flesta kryptografiska protokolsviter och används vanligtvis för programvarudistribution, finansiella transaktioner, programvara för kontraktshantering och i andra fall där det är viktigt att upptäcka förfalskning eller manipulering .

Digitala signaturer används ofta för att implementera elektroniska signaturer , vilket inkluderar alla elektroniska data som bär avsikten med en signatur, men inte alla elektroniska signaturer använder digitala signaturer. Elektroniska signaturer har juridisk betydelse i vissa länder, inklusive Kanada , Sydafrika , USA , Algeriet , Turkiet , Indien , Brasilien , Indonesien , Mexiko , Saudiarabien , Uruguay , Schweiz , Chile och länderna i Europeiska unionen .

Digitala signaturer använder asymmetrisk kryptografi . I många fall ger de ett lager av validering och säkerhet för meddelanden som skickas via en osäker kanal: Korrekt implementerad ger en digital signatur mottagaren anledning att tro att meddelandet skickades av den påstådda avsändaren. Digitala signaturer motsvarar traditionella handskrivna signaturer i många avseenden, men korrekt implementerade digitala signaturer är svårare att förfalska än den handskrivna typen. Digitala signaturscheman, i den mening som används här, är kryptografiskt baserade och måste implementeras korrekt för att vara effektiva. De kan också tillhandahålla icke-avvisande , vilket innebär att undertecknaren inte framgångsrikt kan hävda att de inte signerade ett meddelande, samtidigt som de hävdar att deras privata nyckel förblir hemlig. Vissa icke-avvisande system erbjuder dessutom en tidsstämpel för den digitala signaturen, så att även om den privata nyckeln avslöjas är signaturen giltig. Digitalt signerade meddelanden kan vara allt som kan representeras som en bitsträng : exempel inkluderar elektronisk post, kontrakt eller ett meddelande som skickas via något annat kryptografiskt protokoll.

Definition

Ett digitalt signaturschema består vanligtvis av tre algoritmer;

• En nyckelgenereringsalgoritm som väljer en privat nyckel jämnt slumpmässigt från en uppsättning möjliga privata nycklar. Algoritmen matar ut den privata nyckeln och en motsvarande offentlig nyckel .
• En signeringsalgoritm som, givet ett meddelande och en privat nyckel, producerar en signatur.
• En signaturverifierande algoritm som, med tanke på meddelandet, den offentliga nyckeln och signaturen, antingen accepterar eller avvisar meddelandets anspråk på äkthet.

Två huvudfastigheter krävs. För det första kan äktheten av en signatur som genereras från ett fast meddelande och en fast privat nyckel verifieras med hjälp av motsvarande offentliga nyckel. För det andra bör det vara beräkningsmässigt omöjligt att generera en giltig signatur för en part utan att känna till partens privata nyckel. En digital signatur är en autentiseringsmekanism som gör det möjligt för skaparen av meddelandet att bifoga en kod som fungerar som en signatur. Den digital signatur Algorithm (DSA), som utvecklats av National Institute of Standards and Technology , är en av många exempel på en signeringsalgoritm.

I den följande diskussionen hänvisar 1 ⁿ till ett unärt tal .

Formellt är ett digitalt signaturschema en trippel av probabilistiska polynomiska tidsalgoritmer, ( G , S , V ), som uppfyller:

• G (nyckelgenerator) genererar en offentlig nyckel ( pk ) och en motsvarande privat nyckel ( sk ) på ingång 1 ⁿ , där n är säkerhetsparametern.
• S (signering) returnerar en tagg, t , på ingångarna: den privata nyckeln ( sk ) och en sträng ( x ).
• V (verifierande) utdata accepteras eller avvisas på ingångarna: den offentliga nyckeln ( pk ), en sträng ( x ) och en tagg ( t ).

För riktighet måste S och V uppfylla

Pr [( pk , sk ) ← G (1 ⁿ ), V ( pk , x , S ( sk , x )) = accepterad ] = 1.

Ett digitalt signaturschema är säkert om för varje icke-enhetlig probabilistisk polynomtid motståndare , A

Pr [( pk , sk ) ← G (1 ⁿ ), ( x , t ) ← A ^{S ( sk , ·)} ( pk , 1 ⁿ ), x ∉ Q , V ( pk , x , t ) = accepterat ] < negl ( n ),

där A ^{S ( sk , ·)} anger att A har åtkomst till oraklet , S ( sk , ·), Q betecknar uppsättningen av frågorna på S som gjorts av A , som känner till den offentliga nyckeln, pk och säkerhetsparametern, n , och x ∉ Q betecknar att motståndaren inte direkt kan fråga strängen, x , på S .

Historia

1976 beskrev Whitfield Diffie och Martin Hellman först uppfattningen om ett digitalt signaturschema, även om de bara gissade att sådana system existerade baserat på funktioner som är envägspermutationer i en dörr. Strax därefter uppfann Ronald Rivest , Adi Shamir och Len Adleman RSA- algoritmen, som kan användas för att producera primitiva digitala signaturer (även om det bara är ett bevis på konceptet-"vanliga" RSA-signaturer är inte säkra). Det första marknadsförda mjukvarupaketet som erbjöd digital signatur var Lotus Notes 1.0, som släpptes 1989, som använde RSA -algoritmen.

Andra digitala signaturscheman utvecklades snart efter RSA, de tidigaste var Lamport -signaturer , Merklesignaturer (även kända som "Merkle -träd" eller helt enkelt "Hash -träd") och Rabin -signaturer .

1988 blev Shafi Goldwasser , Silvio Micali och Ronald Rivest de första som noggrant definierade säkerhetskraven för digitala signatursystem. De beskrev en hierarki av attackmodeller för signaturscheman och presenterade också GMR -signaturschemat , det första som kunde bevisas förhindra till och med en existentiell förfalskning mot ett valt meddelandeangrepp, som är den för närvarande accepterade säkerhetsdefinitionen för signaturscheman. Det första systemet som inte är byggt på fallportfunktioner utan snarare på en funktionsfamilj med en mycket svagare egenskap för enkelriktad permutation presenterades av Moni Naor och Moti Yung .

Metod

Ett digitalt signaturschema (av många) är baserat på RSA . För att skapa signaturnycklar, generera ett RSA -nyckelpar som innehåller en modul, N , som är produkten av två slumpmässiga hemliga distinkta stora primtal, tillsammans med heltal, e och d , så att e  d  ≡  1 (mod  φ ( N )), där φ är Eulers totientfunktion . Signatörens offentliga nyckel består av N och e , och undertecknarens hemliga nyckel innehåller d .

För att signera ett meddelande, m , beräknar signatorn en signatur, σ , så att σ  ≡   m ^d (mod  N ). För att verifiera kontrollerar mottagaren att σ ^e  ≡  m  (mod  N ).

Flera system tidiga signatur var av en liknande typ: de involverar användningen av en fallucka permutation , såsom RSA-funktionen, eller i fallet av Rabin signaturschema, beräkna kvadrat modulo sammansatta,  N . En trapdoor -permutationsfamilj är en familj av permutationer , specificerade av en parameter, som är lätta att beräkna i riktning framåt, men är svår att beräkna i omvänd riktning utan att redan känna till den privata nyckeln ("trapdoor"). Trapdoor -permutationer kan användas för digitala signaturscheman, där beräkning av omvänd riktning med den hemliga nyckeln krävs för signering och beräkning av framåtriktningen används för att verifiera signaturer.

Används direkt, är denna typ av signaturschema sårbar för existentiellt förfalskningsangrepp som bara består av nycklar. För att skapa en förfalskning väljer angriparen en slumpmässig signatur σ och använder verifieringsproceduren för att bestämma meddelandet, m , som motsvarar den signaturen. I praktiken används dock inte den här typen av signaturer direkt, utan meddelandet som ska undertecknas först hascheras för att ge en kort sammanfattning, som sedan vadderas till större bredd jämförbar med  N , sedan signeras med den bakåtvända dörrfunktionen. Denna förfalskningsattack producerar alltså bara den vadderade hashfunktionsutmatningen som motsvarar σ, men inte ett meddelande som leder till det värdet, vilket inte leder till en attack. I den slumpmässiga orakelmodellen, hash-then-sign (en idealiserad version av den praxisen där hash och vaddering kombinerat har nära N möjliga utgångar), är denna form av signatur existentiellt oförglömlig, även mot en vald-klartextattack .

Det finns flera skäl att underteckna en sådan hash (eller meddelandesammanfattning) istället för hela dokumentet.

För effektivitet

Signaturen kommer att bli mycket kortare och därmed spara tid eftersom hashning i allmänhet är mycket snabbare än att logga i praktiken.

För kompatibilitet

Meddelanden är vanligtvis bitsträngar, men vissa signaturscheman fungerar på andra domäner (t.ex. i fallet med RSA, tal modulerar ett sammansatt tal N ). En hash -funktion kan användas för att konvertera en godtycklig ingång till rätt format.

För integritet

Utan hash -funktionen kan texten "som ska signeras" behöva delas (separeras) i block som är tillräckligt små för att signaturschemat ska kunna agera på dem direkt. Mottagaren av de signerade blocken kan dock inte känna igen om alla block är närvarande och i lämplig ordning.

Föreställningar om säkerhet

I sin grundartikel lägger Goldwasser, Micali och Rivest upp en hierarki av attackmodeller mot digitala signaturer:

1. I en nyckelattack får angriparen bara den offentliga verifieringsnyckeln.
2. I en känd meddelandeangrepp får angriparen giltiga signaturer för en mängd olika meddelanden som angriparen känner till men inte har valts av angriparen.
3. I en anpassad utvald meddelandeattack lär sig angriparen först signaturer på godtyckliga meddelanden efter angriparens val.

De beskriver också en hierarki av attackresultat:

1. En total paus leder till att signeringsnyckeln återställs.
2. En universell förfalskningsattack resulterar i förmågan att förfalska signaturer för alla meddelanden.
3. En selektiv förfalskningsattack resulterar i en signatur på ett meddelande efter motståndarens val.
4. En existentiell förfalskning resulterar bara i ett giltigt meddelande-/signaturpar som inte redan är känt för motståndaren.

Den starkaste föreställningen om säkerhet är därför säkerhet mot existentiell förfalskning under en adaptiv vald meddelandeangrepp.

Ansökningar

När organisationer går bort från pappersdokument med bläcksignaturer eller äkthetsstämplar kan digitala signaturer ge ytterligare bevis för bevisen till ett elektroniskt dokuments ursprung, identitet och status, samt bekräfta informerat samtycke och godkännande av en signatär. United States Government Printing Office (GPO) publicerar elektroniska versioner av budgeten, offentliga och privata lagar och kongressräkningar med digitala signaturer. Universitet inklusive Penn State, University of Chicago och Stanford publicerar elektroniska studentutskrifter med digitala signaturer.

Nedan följer några vanliga skäl för att tillämpa en digital signatur på kommunikation:

Autentisering

Även om meddelanden ofta kan innehålla information om enheten som skickar ett meddelande, kanske den informationen inte är korrekt. Digitala signaturer kan användas för att verifiera källmeddelandets identitet. När ägande av en hemlig nyckel för digital signatur är bunden till en specifik användare, visar en giltig signatur att meddelandet skickades av den användaren. Vikten av högt förtroende för avsändarens äkthet är särskilt uppenbart i ett ekonomiskt sammanhang. Anta till exempel att en banks filialkontor skickar instruktioner till centralkontoret och begär en ändring av kontots saldo. Om centralbyrån inte är övertygad om att ett sådant meddelande verkligen skickas från en auktoriserad källa kan det vara ett allvarligt misstag att agera på en sådan begäran.

Integritet

I många scenarier kan avsändaren och mottagaren av ett meddelande ha ett behov av förtroende för att meddelandet inte har ändrats under överföringen. Även om kryptering döljer innehållet i ett meddelande, kan det vara möjligt att ändra ett krypterat meddelande utan att förstå det. (Vissa krypteringsalgoritmer, kallade icke -mätbara , förhindrar detta, men andra gör det inte.) Men om ett meddelande signeras digitalt, gör alla ändringar i meddelandet efter signatur ogiltigheten av signaturen. Dessutom finns det inget effektivt sätt att modifiera ett meddelande och dess signatur för att producera ett nytt meddelande med en giltig signatur, eftersom detta fortfarande anses vara beräkneligt omöjligt för de flesta kryptografiska hashfunktioner (se kollisionsmotstånd ).

Icke förkastande

Icke-avvisande , eller mer specifikt icke-avvisande av ursprung, är en viktig aspekt av digitala signaturer. Med den här egenskapen kan en enhet som har signerat viss information inte vid ett senare tillfälle neka att ha undertecknat den. På samma sätt möjliggör åtkomst till den offentliga nyckeln bara inte en bedräglig part att fejka en giltig signatur.

Observera att dessa egenskaper för autentisering, icke-avvisande etc. är beroende av att den hemliga nyckeln inte har återkallats innan den användes. Offentlig återkallelse av ett nyckelpar är en nödvändig förmåga, annars skulle läckade hemliga nycklar fortsätta att implicera den påstådda ägaren till nyckelparet. För att kontrollera återkallelsestatus krävs en "online" kontroll. t.ex. kontrollera en lista över återkallelse av certifikat eller via onlinecertifikatstatusprotokollet . Mycket grovt är detta analogt med en leverantör som tar emot kreditkort som först kontrollerar online med kreditkortsutgivaren för att ta reda på om ett visst kort har rapporterats förlorat eller stulet. Naturligtvis, med stulna nyckelpar, upptäcks stölden ofta först efter att den hemliga nyckeln använts, t.ex. för att underteckna ett falskt certifikat för spionage.

Ytterligare säkerhetsåtgärder

Sätter den privata nyckeln på ett smartkort

Alla offentliga nyckel- / privata nyckelkryptosystem beror helt och hållet på att hålla den privata nyckeln hemlig. En privat nyckel kan lagras på en användares dator och skyddas av ett lokalt lösenord, men detta har två nackdelar:

• användaren kan bara signera dokument på just den datorn
• säkerheten för den privata nyckeln beror helt på datorns säkerhet

Ett säkrare alternativ är att lagra den privata nyckeln på ett smartkort . Många smarta kort är utformade för att vara manipuleringssäkra (även om vissa mönster har brutits, särskilt av Ross Anderson och hans elever). I en typisk digital signaturimplementering skickas hashen som beräknats från dokumentet till smartkortet, vars CPU signerar hashen med användarens lagrade privata nyckel och returnerar sedan den signerade hashen. Normalt måste en användare aktivera sitt smartkort genom att ange ett personligt identifieringsnummer eller en PIN-kod (vilket ger tvåfaktorsautentisering ). Det kan ordnas att den privata nyckeln aldrig lämnar smartkortet, även om detta inte alltid är implementerat. Om smartkortet blir stulet behöver tjuven fortfarande PIN -koden för att generera en digital signatur. Detta minskar säkerheten för systemet till PIN -systemets säkerhet, även om det fortfarande kräver en angripare för att ha kortet. En förmildrande faktor är att privata nycklar, om de genereras och lagras på smartkort, vanligtvis anses vara svåra att kopiera och antas existera i exakt en kopia. Således kan förlusten av smartkortet upptäckas av ägaren och motsvarande certifikat kan omedelbart återkallas. Privata nycklar som endast skyddas av programvara kan vara lättare att kopiera, och sådana kompromisser är mycket svårare att upptäcka.

Använda smartkortläsare med ett separat tangentbord

Att ange en PIN -kod för att aktivera smartkortet kräver vanligtvis en numerisk knappsats . Vissa kortläsare har en egen numerisk knappsats. Detta är säkrare än att använda en kortläsare integrerad i en dator och sedan ange PIN -koden med datorns tangentbord. Läsare med en numerisk knappsats är avsedda att kringgå avlyssningshotet där datorn kan köra en knapptryckningslogger , vilket kan äventyra PIN -koden. Specialiserade kortläsare är också mindre sårbara för att manipulera med sin programvara eller hårdvara och är ofta EAL3 -certifierade.

Andra smartkortdesigner

Smartkortdesign är ett aktivt område, och det finns system för smartkort som är avsedda att undvika dessa problem, trots att de hittills har få säkerhetsbevis.

Använda digitala signaturer endast med betrodda applikationer

En av de största skillnaderna mellan en digital signatur och en skriftlig signatur är att användaren inte "ser" vad de signerar. Användarprogrammet presenterar en hash -kod som ska signeras av algoritmen för digital signering med den privata nyckeln. En angripare som får kontroll över användarens PC kan möjligen ersätta användarprogrammet med ett utländskt substitut, i själva verket ersätta användarens egen kommunikation med angriparens. Detta kan göra det möjligt för en skadlig applikation att lura en användare att signera något dokument genom att visa användarens original på skärmen, men presentera angriparens egna dokument för signeringsprogrammet.

För att skydda mot detta scenario kan ett autentiseringssystem konfigureras mellan användarens applikation (ordbehandlare, e -postklient, etc.) och signeringsprogrammet. Den allmänna idén är att tillhandahålla några medel för både användarprogrammet och signeringsapplikationen för att verifiera varandras integritet. Till exempel kan signeringsapplikationen kräva att alla förfrågningar kommer från digitalt signerade binärer.

Använda en nätverksansluten hårdvarusäkerhetsmodul

En av de största skillnaderna mellan en molnbaserad digital signaturtjänst och en lokalt tillhandahållen är risk. Många riskkänsliga företag, inklusive regeringar, finansiella och medicinska institutioner och betalningsprocessorer kräver säkrare standarder, som FIPS 140-2 nivå 3 och FIPS 201- certifiering, för att säkerställa att signaturen är validerad och säker.

WYSIWYS

Tekniskt sett gäller en digital signatur en rad bitar, medan människor och applikationer "tror" att de signerar den semantiska tolkningen av dessa bitar. För att kunna semantiskt tolkas måste bitsträngen omvandlas till en form som är meningsfull för människor och applikationer, och detta görs genom en kombination av hårdvaru- och mjukvarubaserade processer på ett datasystem. Problemet är att den semantiska tolkningen av bitar kan förändras som en funktion av de processer som används för att omvandla bitarna till semantiskt innehåll. Det är relativt enkelt att ändra tolkningen av ett digitalt dokument genom att genomföra ändringar på det datasystem där dokumentet behandlas. Ur ett semantiskt perspektiv skapar detta osäkerhet om vad som exakt har undertecknats. WYSIWYS (What You See Is What You Sign) betyder att den semantiska tolkningen av ett signerat meddelande inte kan ändras. I synnerhet betyder detta också att ett meddelande inte kan innehålla dold information som undertecknaren inte är medveten om och som kan avslöjas efter att signaturen har tillämpats. WYSIWYS är ett krav för giltigheten av digitala signaturer, men detta krav är svårt att garantera på grund av den ökande komplexiteten hos moderna datorsystem. Termen WYSIWYS myntades av Peter Landrock och Torben Pedersen för att beskriva några av principerna för att leverera säkra och juridiskt bindande digitala signaturer för pan-europeiska projekt.

Digitala signaturer kontra bläck på papperssignaturer

En bläcksignatur kan replikeras från ett dokument till ett annat genom att kopiera bilden manuellt eller digitalt, men att ha trovärdiga signaturkopior som kan motstå viss granskning är en betydande manuell eller teknisk skicklighet, och att producera bläckunderskriftskopior som motstår professionell granskning är mycket svår.

Digitala signaturer binder kryptografiskt en elektronisk identitet till ett elektroniskt dokument och den digitala signaturen kan inte kopieras till ett annat dokument. I pappersavtal finns ibland bläcksignaturblocket på sista sidan och de föregående sidorna kan bytas ut efter att en signatur har tillämpats. Digitala signaturer kan appliceras på ett helt dokument, så att den digitala signaturen på sista sidan indikerar manipulering om någon data på någon av sidorna har ändrats, men detta kan också uppnås genom att signera med bläck och numrera alla sidor på kontrakt.

Några digitala signaturalgoritmer

• RSA
• DSA
• ECDSA
• EdDSA
• RSA med SHA
• ECDSA med SHA
• ElGamals signaturschema som föregångare till DSA, och varianter Schnorr -signatur och Pointcheval – Stern -signaturalgoritm
• Rabin signaturalgoritm
• Parningsbaserade system som BLS
• NTRUSign är ett exempel på ett digitalt signaturschema baserat på hårda gitterproblem
• Obestridliga signaturer
• Aggregate signature ru - ett signaturschema som stöder aggregering: Med tanke på n -signaturer på n -meddelanden från n -användare är det möjligt att aggregera alla dessa signaturer till en enda signatur vars storlek är konstant i antalet användare. Denna enda signatur kommer att övertyga verifieraren om att n -användarna verkligen signerade de n ursprungliga meddelandena. Ett schema av Mihir Bellare och Gregory Neven kan användas med Bitcoin .
• Signaturer med effektiva protokoll- är signaturscheman som underlättar effektiva kryptografiska protokoll, t.ex. nollkunskapsprov eller säker beräkning .

Det nuvarande tillståndet - juridiskt och praktiskt

De flesta digitala signaturscheman delar följande mål oavsett kryptografisk teori eller juridisk bestämmelse:

1. Kvalitetsalgoritmer: Vissa offentliga nyckelalgoritmer är kända för att vara osäkra, eftersom praktiska attacker mot dem har upptäckts.
3. Kvalitetsimplementeringar: En implementering av en bra algoritm (eller protokoll ) med misstag fungerar inte.
5. Användare (och deras programvara) måste utföra signaturprotokollet på rätt sätt.
7. Den privata nyckeln måste förbli privat: Om den privata nyckeln blir känd för någon annan part kan den parten producera perfekta digitala signaturer av vad som helst.
9. Den offentliga nyckelägaren måste vara verifierbar: En offentlig nyckel som är kopplad till Bob kom faktiskt från Bob. Detta görs vanligtvis med hjälp av en offentlig nyckelinfrastruktur (PKI) och den offentliga nyckelanvändarföreningen bekräftas av operatören för PKI (kallad certifikatutfärdare ). För "öppna" PKI: er där vem som helst kan begära ett sådant intyg (universellt förkroppsligat i ett kryptografiskt skyddat offentligt nyckelcertifikat ), är möjligheten till felaktigt intyg inte trivial. Kommersiella PKI -operatörer har lidit flera allmänt kända problem. Sådana misstag kan leda till falskt undertecknade och därmed felaktigt tillskrivna dokument. "Stängda" PKI -system är dyrare, men mindre lätt att undergräva på detta sätt.

Endast om alla dessa villkor är uppfyllda kommer en digital signatur faktiskt att vara ett bevis på vem som skickade meddelandet och därför deras samtycke till innehållet. Lagstiftning kan inte förändra denna verklighet av de befintliga tekniska möjligheterna, även om vissa sådana inte har återspeglat denna verklighet.

Lagstiftningar, som importeras av företag som förväntar sig att tjäna på att driva en PKI, eller av den tekniska avantgardisten som förespråkar nya lösningar på gamla problem, har antagit stadgar och/eller förordningar i många jurisdiktioner som godkänner, godkänner, uppmuntrar eller tillåter digitala signaturer och tillhandahåller för (eller begränsa) deras rättsverkan. Den första verkar ha varit i Utah i USA, följt noga av delstaterna Massachusetts och Kalifornien . Andra länder har också antagit stadgar eller utfärdat föreskrifter även på detta område och FN har haft ett aktivt modellrättsprojekt under en tid. Dessa föreskrifter (eller föreslagna antaganden) varierar från plats till plats, har typiskt förkroppsligade förväntningar som skiljer sig åt (optimistiskt eller pessimistiskt) med tillståndet för den underliggande kryptografiska konstruktionen och har haft den nettoeffekten att förvirra potentiella användare och specifiker, nästan alla är inte kryptografiskt kunniga.

Antagandet av tekniska standarder för digitala signaturer har släpat efter mycket av lagstiftningen, vilket försenat en mer eller mindre enhetlig ingenjörsställning om driftskompatibilitet , algoritmval , nyckellängder och så vidare vad tekniken försöker tillhandahålla.

Branschstandarder

Vissa branscher har fastställt gemensamma driftskompatibilitetsstandarder för användning av digitala signaturer mellan medlemmar i branschen och med tillsynsmyndigheter. Dessa inkluderar Automotive Network Exchange för bilindustrin och SAFE-BioPharma Association för vårdindustrin .

Använda separata nyckelpar för signering och kryptering

I flera länder har en digital signatur ungefär samma status som en traditionell penna- och papperssignatur, som i 1999 års direktiv om digital signatur och 2014 års EU-lagstiftning . I allmänhet innebär dessa bestämmelser att allt som är digitalt signerat juridiskt binder dokumentets undertecknare till villkoren i det. Av den anledningen anses det ofta vara bäst att använda separata nyckelpar för kryptering och signering. Med hjälp av krypteringsnyckelparet kan en person delta i en krypterad konversation (t.ex. angående en fastighetstransaktion), men krypteringen signerar inte lagligt varje meddelande hon eller han skickar. Först när båda parter kommer överens tecknar de ett kontrakt med sina signeringsnycklar, och först då är de juridiskt bundna av villkoren i ett specifikt dokument. Efter signering kan dokumentet skickas över den krypterade länken. Om en signeringsnyckel går förlorad eller äventyras kan den återkallas för att mildra framtida transaktioner. Om en krypteringsnyckel går förlorad bör en säkerhetskopia eller nyckelskärm användas för att fortsätta se krypterat innehåll. Signeringsnycklar ska aldrig säkerhetskopieras eller förvaras om inte reservdestinationen är säkert krypterad.

Se även

• 21 CFR 11
• X.509
• Avancerad elektronisk signatur
• Blind signatur
• Fristående signatur
• Digitalt certifikat
• Digital signatur i Estland
• Elektronisk labb anteckningsbok
• Elektronisk signatur
• Elektroniska signaturer och lagar
• eSign (Indien)
• GNU Privacy Guard
• Offentlig nyckelinfrastruktur
• Fingeravtryck för offentlig nyckel
• Serverbaserade signaturer
• Probabilistisk signaturschema

Anteckningar

Referenser

• Goldreich, Oded (2001), Foundations of cryptography I: Basic Tools , Cambridge: Cambridge University Press, ISBN 978-0-511-54689-1
• Goldreich, Oded (2004), Foundations of cryptography II: Basic Applications (1. publ. Red.), Cambridge [ua]: Cambridge Univ. Tryck, ISBN 978-0-521-83084-3
• Pass, Rafael, A Course in Cryptography (PDF) , hämtad 31 december 2015

Vidare läsning

• J. Katz och Y. Lindell, "Introduction to Modern Cryptography" (Chapman & Hall/CRC Press, 2007)
• Lorna Brazell, Electronic Signatures and Identities Law and Regulation (andra edn, London: Sweet & Maxwell, 2008)
• Dennis Campbell, redaktör, E-handel och lagen om digitala signaturer (Oceana Publications, 2005).
• MH M Schellenkens, Electronic Signatures Authentication Technology from a Legal Perspective, (TMC Asser Press, 2004).
• Jeremiah S. Buckley, John P. Kromer, Margo HK Tank och R. David Whitaker, The Law of Electronic Signatures (3: e upplagan, West Publishing, 2010).
• Digital bevisning och elektronisk signaturlaggranskning Gratis öppen källkod