Електронен подпис — дефиниция, видове, правна сила и стандарти
Електронният подпис е електронен запис на споразумение или на волеизявление, който служи за установяване на съгласието, идентичността и/или целостта на подписания документ.
От дълго време договорите се използват, за да покажат, че две страни са се споразумели за нещо. Често тези страни съставят документ, който подписват, за да покажат това съгласие. Във времето на интернет много от тези документи се предават в цифрова форма, но все още е необходимо да се покаже съгласие. Именно тук се появява електронният подпис.
Самата концепция за електронната подписка не е нова. Юрисдикциите на общото право признават телеграфните подписи още от средата на XIX век, а факсимилните подписи — от 80-те години на XX век.
Електронните подписи съществуват в различни форми. Всички форми могат да покажат, че някой се е съгласил с нещо. Някои форми могат също така да предпазят данните, с които лицето се е съгласило, от лесна промяна или могат да идентифицират юридически лицето, което се е съгласило. За тази цел се използват идеи от криптографията с публичен ключ: цифрови подписи, сертификати и хеш кодове. Електронният подпис често включва времеви печат, за да покаже кога е направен подписът. Подобно на криптографията, електронните подписи могат да се използват за всякакъв вид данни, като няма изискване подписаните данни да имат определен формат.
Въпреки че често се използва криптография, терминът "електронен подпис" има правно значение. Той се различава от техническия термин цифров подпис, използван в криптографията. Много държави са приели разпоредби, според които някои електронни подписи са равностойни на саморъчен подпис за много цели.
Съществуват различни начини за създаване на електронен подпис. В много държави има стандарти за това как трябва да изглежда такъв подпис. Примери за такива норми са eIDAS в Европейския съюз, NIST-DSS в Съединените щати или ZertES в Швейцария.
Видове електронни подписи
- Прост електронен подпис (SES) — всяка електронна форма, с която едно лице изразява съгласие (например сканиран подпис, отметка в поле, парола). Подходящ е за ниско рисковани сделки.
- Усъвършенстван електронен подпис (AdES) — подпис, който е свързан единствено с подписващия, позволява идентификация на подписващия, е създаден с данни за създаване на подпис, които подписващият може да контролира, и е свързан с подписания документ така, че всяка промяна да е откриваема.
- Квалифициран електронен подпис (QES) — усъвършенстван подпис, създаден с квалифицирано устройство за създаване на подписи и базиран на квалифициран сертификат, издаден от удостоверителен орган (CA). По eIDAS QES има същата правна сила като ръкописен подпис в ЕС.
- Цифров подпис — техническият термин за подпис, създаден чрез криптография с публичен ключ (PKI); може да бъде част от AdES или QES, но не винаги носи автоматично правно признание.
Технически основи
- Криптография с публичен ключ (PKI): подписващият използва частен ключ за създаване на подпис; получателите използват публичния ключ (сертификат), за да проверят подписа.
- Хеш функции: преди подпис, документът се хешира; подписва се хешът, което гарантира целостта на целия документ.
- Сертификати и удостоверителни органи (CAs): сертификатите свързват публичния ключ с идентичността на подписващия; надеждата в подписа зависи от доверието в CA или доставчика на услуги.
- Времеви печати (timestamping): добавят доказателство за времето на подписване и помагат при дългосрочна валидност.
- Формати и профили: често срещани стандарти са CAdES (CMS/PKCS#7), XAdES (XML) и PAdES (PDF), които дефинират как да се вгради цифров подпис в различни формати на документи.
- Дългосрочно валидиране (LTV): механизми за запазване на доказателствата за валидност (сертификати, статуси на отмяна, печати) така че подписът да е проверим и след години.
Правна сила и регулации
Правната стойност на електронния подпис зависи от приложимото законодателство. Някои ключови принципи:
- В рамките на eIDAS (ЕС), квалифицираният електронен подпис (QES) има същата юридическа сила като ръкописния подпис и се признава във всички държави членки.
- Усъвършенстваните подписи (AdES) предлагат високо ниво на сигурност и доказателства, но тяхното равностойство с ръкописния подпис може да зависи от контекста и националното право.
- В САЩ законите като ESIGN и UETA признават електронните подписи като валидни за повечето договори, като фокусът е върху намерението да се подпише и достъпността на записите.
- Някои документи и правни актове (например не всички видове завещания, определени правни формалности) може да изискват специфични форми или да остават извън обхвата на електронните подписи—винаги проверявайте приложимото право.
Стандарти и добри практики
- eIDAS (ЕС) — правна рамка и изисквания за квалифицирани услуги за доверие.
- NIST FIPS/Дигитален подпис (САЩ) — технически и криптографски стандарти за цифрови подписи и алгоритми (напр. FIPS 186, използван за подписи със схемата ECDSA/RSA).
- ZertES (Швейцария) — швейцарски регламент за електронни подписи и услуги за доверие.
- Форматни спецификации: CAdES, XAdES, PAdES за съвместимо и устойчиво съхранение на подписани документи.
- Добра практика: използване на реномирани доставчици на услуги за доверие, внедряване на механизми за управление на ключове, архивиране на доказателства за валидация и използване на времеви печати.
Практически съвети
- Изяснете коя форма на електронен подпис е необходима за вашата сделка (просто, усъвършенствано или квалифицирано), като вземете предвид правните изисквания и риска.
- Ако търсите максимална правна сигурност в ЕС, използвайте QES, издаден от квалифициран доставчик по eIDAS.
- Пазете частните ключове защитени (хардуерни токени, смарт карти или съответни HSM решения) и следете сроковете на сертификатите и статуса им за отмяна.
- При дългосрочно съхранение на подписани документи използвайте профили и методи, които поддържат LTV и времеви печати, за да запазите възможността за последваща проверка.
Електронният подпис свързва правната необходимост от изразяване на съгласие със съвременните технически средства за сигурност и управление на идентичността. Разбирането на различните видове подписи, техните технически основи и приложимото законодателство е ключово при избора на подходящо решение за дигитални трансакции.
Различни видове електронни подписи
| Електронен подпис | Усъвършенстван електронен подпис | Квалифициран електронен подпис | |
| Ниво на сигурност | нисък | висока | много висока |
| Пример: | Електронна поща с името на лицето, което е изпратило писмото | Електронна поща с цифров подпис | електронна поща със сертификат, който изисква проверка на самоличността. Сертификатът обикновено се съхранява на смарт карта, а четенето на пощата изисква смарт картата. Освен това данните на смарт картата са защитени, например с парола или с биометрични данни. |
| промяна на съобщението може да бъде открита | не | да | да |
| подписващият може да бъде идентифициран законно. | не | не | да |
| юридически еквивалент на саморъчен подпис | не | за някои случаи | да |
Подписване на документ и проверка на цифров подпис
Усъвършенстван електронен подпис
За да може електронният подпис да се счита за усъвършенстван, той трябва да отговаря на следните изисквания:
- Подписващият може да бъде идентифициран по уникален начин и свързан с подписа.
- Подписващият трябва да има изключителен контрол върху данните за създаване на подписа (обикновено частен ключ), които са използвани за създаване на електронния подпис.
- Подписът трябва да може да идентифицира дали придружаващите го данни са били променени след подписването на съобщението.
- В случай че придружаващите данни са променени, подписът трябва да се анулира.
Квалифициран електронен подпис
Квалифицираният електронен подпис е електронен подпис, който е в съответствие с Регламент № 910/2014 на ЕС (Регламент eIDAS) за електронни трансакции в рамките на вътрешния европейски пазар. Той дава възможност за удостоверяване на авторството на декларация при електронен обмен на данни за дълги периоди от време. Квалифицираните електронни подписи могат да се считат за цифров еквивалент на саморъчните подписи.
Квалифицираните електронни подписи използват цифрови сертификати, които се издават от акредитирани сертифициращи органи. Сертификатът и ключът се съхраняват на сигурно място, обикновено на смарт карта. За да получи достъп до данните на смарт картата, потребителят трябва да се легитимира, обикновено с парола или биометрични данни. Сертифициращият орган също така проверява дали потребителят е този, за когото се представя, като обикновено прави кръстосана проверка с официален, издаден от държавата документ.
В допълнение към точките, изброени в раздел "усъвършенстван електронен подпис", квалифицираният електронен подпис също така идентифицира юридически подписващия пред властите.
Въпроси и отговори
В: Какво е електронен подпис?
О: Електронният подпис е електронен запис на споразумение между две страни, който се използва, за да покаже, че и двете страни са съгласни с нещо.
В: Откога съществуват електронните подписи?
О: Електронните подписи са признати от средата на XIX век в юрисдикциите на общото право, а от 80-те години на миналия век - за подписите, изпратени по факс.
Въпрос: Какви са някои начини, по които може да се направи електронен подпис?
О: При електронния подпис могат да се използват цифрови подписи, сертификати и хеш-кодове от криптографията с публичен ключ, за да се защитят данните или да се идентифицира юридически лицето, което се е съгласило. Той често включва и времеви печат, за да покаже кога е бил създаден.
Въпрос: Има ли специфичен формат, който трябва да се използва за данните, подписани с електронен подпис?
О: Не, няма изискване подписаните данни да имат конкретен формат - той може да се използва за всякакъв вид данни.
В: Какво означава "електронен подпис" от правна гледна точка?
О: От правна гледна точка "електронен подпис" има различно значение от техническия термин "цифров подпис", използван в криптографията. В много държави някои видове електронни подписи се считат за равностойни на саморъчни подписи за правни цели.
В: Има ли стандарти за това как трябва да изглежда електронният подпис?
О: Да, в много държави има стандарти за това как трябва да изглежда такъв подпис - примери са eIDAS в Европейския съюз, NIST-DSS в САЩ или ZertES в Швейцария.
