Semnatura electronica - functionarea semnaturii digitale - piata din Romania

Abstract

This article explores some of the questions we should be asking ourselves in using electronic signature legislation as a vehicle for advancing e-commerce. First, we will define what we mean when we refer to electronic and digital signatures. Furthermore, we will outline the underlying techniques and examine the primary legislative approaches developed to date.

The electronic signature capability is a critical component in realizing
e-government goals. Online and electronic contracts signed in the private sector with an electronic signature will have the same legal force as paper contract.

m putea numi perioada pe care o traim, fara a gresi prea mult, cel putin din punct de vedere conceptual, „era E”. Ceea ce particularizeaza acest timp este modificarea reperelor – tehnologice, profesionale, existentiale chiar, iar in originea noului mod de lucru se afla Internetul – reteaua de canale electronice de comunicatii, de unde si „e”-ul omniprezent.

Prin semnatura se intelege imaginea grafica sau simbolul atasat sau asociat unui inscris, cu intentia de a produce efecte juridice, prin care o persoana atesta fie constatarea anumitor evenimente, fie ca este titularul drepturilor si obligatiilor continute in inscrisul ce intelege sa si-l insuseasca si care permite identificarea semnatarului. Semnatura are, asadar, functia de identificare a titularului ei, functia de certificare a angajamentului juridic, functia de atestare a provenientei documentului, asocierea unei / unor persoane cu continutul documentului, atestarea intentiei persoanei de a-si insusi continutul documentului.

Mediul electronic impune in mod evident o modalitate de a putea semna in forma electronica. Semnatura electronica nu mai este o reprezentare grafica a numelui semnatarului, ci o colectie de date in format electronic, ce respecta insusirile de mai sus, respectiv incorporarea, atasarea sau asocierea cu un document electronic, cu intentia de a produce efecte juridice si care permit identificarea semnatarului.

Semnatura electronica, sau e-semnatura, face parte dintre acele tehnologii care conduc la mutatii conceptuale - business-ul de orice tip, tranzactiile comerciale, in special, chiar serviciile publice, se petrec intr-un spatiu virtual. Platile on-line pentru cumparaturi pe care nu le „pipaim”, tranzactiile intre persoane care nu se vad, transferul de documente pe cale electronica modifica intelesul comun al notiunii de identitate personala. Aceasta nu se mai compune din date definitorii persoanei respective – cele inscrise in cartea de identitate si grafologia semnaturii personale. Identitatea persoanei este inclusa intr-un certificat digital – un cod inscris electronic, perfect securizat, care poate fi autentificat numai de persoana posesoare a unei chei de decodificare. Evident, pentru a intra in legalitate, semnatura electronica trebuie protejata prin legi care sa respecte conventii internationale, iar, pentru a deveni efectiva, trebuie asigurata o infrastructura solida.

Semnatura electronica reprezinta o informatie in format electronic atasata altei informatii in format electronic in scopul autentificarii sale. Pe langa semnatura electronica standard putem identifica si semnatura electronica extinsa ce indeplineste in plus conditiile:

a)      este unic legata de semnatar;

b)      este capabila sa identifice semnatarul;

c)      este creata prin metode pe care doar semnatarul le poate controla;

d)      este legata de datele la care face referinta intr-o asemenea maniera astfel incat orice modificare adusa acestora este detectabila.

Certificatul digital reprezinta o atestare electronica care leaga datele de semnare / verificare de o persoana si care confirma  identitatea acelei persoane.

Semnatura electronica este considerata a fi rezultatul unor operatii initiate de catre un user identificabil si este realizata folosind tehnologie informatica. Se remarca neutralitatea tehnologica a semnaturii electronice, ea putand consta din orice date in format electronic, care sunt atasate sau asociate logic unui document electronic si care reflecta actul constient de recunoastere a continutului acelui document de catre semnatar. Multe reglementari legislative folosesc acest termen pentru a conferi neutralitate si pentru a nu limita prevederile la tehnologia criptografica actuala. Se poate considera semnatura electronica precum termenul cel mai general ce permite autentificarea unui document electronic.

Semnatura digitala reprezinta la ora actuala singura solutie tehnologica acceptata pentru uzul practic, pe post de semnatura electronica, de catre reglementarile tuturor statelor. Se realizeaza folosind metode criptografice cu chei publice: semnarea se face folosind cheia privata a semnatarului, singurul care are acces la ea, iar verificarea o poate face orice persoana, utilizand cheia publica pereche, distribuita prin Internet sub forma unui certificat digital.

Hartia a servit multa vreme ca suport de scriere, datorita insusirilor ei: dimensiuni relativ reduse, accesibilitate facila, rezistenta in timp etc. Ea a fost un suport ieftin si comod de stocare a informatiei, atata vreme cat nevoile de comunicare a documentelor erau satisfacute. Astazi problema comunicarii documentelor pe suport de hartie a devenit costisitoare comparativ cu comunicarea prin retelele informatice a documentelor in forma electronica.

Piata de certificate digitale

Prin crearea unei piete de certificate se doreste crearea conditiilor ca o serie de furnizori de servicii, numiti furnizori de servicii de certificare (FSC), sa actioneze fara a fi autorizati de catre autoritatea nationala.

Autorizarea functionarii furnizorilor este interzisa prin directiva europeana. Insa, in acelasi timp, pentru ca este o piata de terti de incredere, aceasta nu poate functiona nesupravegheata si, asa cum prevede legislatia europeana, reflectata si de legea romaneasca, se creeaza o autoritate nationala. Aceasta se numeste in Romania Autoritatea de Reglementare si Supraveghere (ARS), care are ca obiectiv acreditarea si supravegherea furnizorilor de servicii de certificare. O companie care doreste sa devina furnizor de servicii de certificare poate sa emita certificate digitale imediat dupa instiintarea prealabila a autoritatii. Functionarea ei nu necesita o autorizare prealabila. Insa, pentru a actiona pe piata certificatelor ca un furnizor de servicii credibil, este recomandabil ca respectiva companie sa se acrediteze prin intermediul autoritatii, ceea ce reprezinta o dovada ca furnizorul respecta un set de standarde de calitate si securitate verificate. Un alt obiectiv al Autoritatii de Reglementare si Supraveghere este controlul periodic al furnizorilor de servicii de certificare. Acesta se face la initiativa autoritatii sau printr-o reclamatie, deci printr-un motiv de nemultumire exprimat de un client sau de un alt furnizor.

Un aspect legal este problema documentelor intocmite in forma electronica. Este clar faptul ca in mediul de manifestare a societatii informationale – mediul electronic – documentele trebuie sa se conformeze, din punctul de vedere al formei, noilor particularitati, respectiv digitizarea (dematerializarea) informatiilor. Trebuie facuta aici precizarea ca informatia, luata in sens general, nu sufera schimbari majore in cadrul evolutiei societatii; ceea ce se schimba este forma de reprezentare a ei, modalitatile in care ea este perceptibila prin organele de simt, dar si prin alte instrumente. In cadrul societatii informationale instrumentul prin care putem percepe informatia este calculatorul conectat la o retea precum Internetul.

Notiunea de document electronic este sensibil mai larga notiunii de inscris. Pe suport informatic se poate alcatui orice reproducere, constand in date numerice, texte, grafice, imagini statice sau animate, inregistrari sonore sau de voce. Pentru ca reproducerea pe acest suport sa consemneze acte sau fapte juridice, este necesar sa se prezinte intr-o forma care sa permita citirea si prelucrarea ei automata de catre subiectii interesati. Documentul electronic a fost definit ca orice reprezentare sub forma electronica a unor fapte, lucruri sau situatii relevante din punct de vedere juridic, susceptibile de a fi redate intr-o forma inteligibila.

Documentul electronic este o realitate sociala de necontestat. Pentru a deveni o realitate juridica el trebuie sa posede aceleasi insusiri care sunt specifice si documentelor scrise. Astfel documentul electronic atesta in cuprinsul sau acte si fapte relevante juridic, iar redarea lor se face intr-o forma inteligibila. Dar insusirea cea mai importanta ramane totusi constituirea documentului electronic ca proba in justitie. Aceasta insusire se realizeaza mai greu decat in cazul documentelor clasice, datorita particularitatilor specifice mediului electronic.

Referat: Continutul unui site web Referat: Creza un director si un frame web in html

In mediul electronic informatia nu se consuma prin  utilizare, se poate modifica relativ usor, iar transferul proprietatii bunurilor nu lasa urme in sensul in care am fost obisnuiti in mediul fizic. Daca in mediul fizic se considera pe buna dreptate ca orice activitate umana produce prin ea insasi urme in mediul inconjurator, in mediul electronic apare necesitatea producerii de urme, odata cu producerea evenimentelor cu semnificatie juridica. La acestea se adauga problema interconectarii retelelor de comunicatii electronice care fac posibila accesarea informatiilor de catre un numar foarte larg de subiecti. Din aceste considerente trebuie sa se atribuie o mai mare importanta securitatii si securizarii documentelor in forma electronica. In asigurarea securitatii informatiilor cuprinse intr-un document se porneste de la atestarea conformitatii informatiilor continute de acesta cu realitatea producatoare de semnificatii juridice. Conformitatea informatiilor se realizeaza practic prin procedeul de semnare a unui document.

Functionarea semnaturii digitale

Semnatura digitala foloseste „incriptarea prin cheie publica”, metoda ce implica utilizarea unui algoritm cu doua „chei” diferite, dar inrudite matematic: una pentru crearea semnaturii digitale sau transformarea datelor intr-o forma neinteligibila, iar alta cheie pentru verificarea semnaturii digitale sau aducerea mesajului in forma sa initiala.

Cele doua chei complementare ale sistemului de  incriptare, numit si sistem de incriptare asimetrica, sunt: „cheie privata”, cunoscuta doar de cel ce semneaza si, respectiv, „cheie publica”.

Cheia publica este public cunoscuta si folosita pentru verificarea semnaturii digitale. Pentru verificarea unei semnaturi digitale, cheia publica respectiva trebuie sa fie facuta cunoscuta, prin diverse metode: publicarea in directoare sau carti on-line cu un astfel de continut.

Tehnic este de nerealizat derivarea cheii private cunoscand cheia publica.

Perechea de chei (privata si publica) trebuie sa fie asociate in mod unic unei persoane.

Asocierea se face prin folosirea unei terte parti, de incredere, care sa asocieze semnatarul identificabil cu cheia publica. Aceasta terta parte este  Autoritatea de Certificare (AC)  (Camere de Comert, Banci).

Pentru a asocia o pereche de chei cu un presupus semnatar, o AC elibereaza un certificat digital, o inregistrare electronica, care listeza o cheie publica ca pe subiectul acestui certificat si confirma ca presupusul semnatar identificat prin certificat detine respectiva cheie privata.

Legea privind semnatura electronica va permite furnizorilor de servicii de certificare autohtoni sa-si dezvolte activitatile, facandu-le mai competitive, pentru a oferi astfel consumatorilor si intreprinderilor noi posibilitati de a schimba informatii si de a face comert in siguranta pe cale electronica, independent de frontiere.

Joi, 28 iunie 2001, a avut loc in Plenul Senatului votul final asupra raportului Comisiei de mediere pentru legea privind semnatura electronica. Legea va fi promulgata de Presedintele Ion Iliescu si publicata in Monitorul Oficial.

Chiar daca, deocamdata, nu a generat un business in sine, legea semnaturii electronice, votata la sfarsitul anului trecut, deschide companiilor de soft o oportunitate deloc neglijabila. Deja exista firme care au pus la punct aplicatii de generare a semnaturii electronice. Potentialii clienti sunt companiile care vor furniza servicii de certificare a documentelor electronice.

Dezvoltarea comertului electronic este subordonata existentei unei garantii de securitate a transmisiilor de date si a platilor electronice. Gratie unui sistem de codificare aplicat mesajului transmis, semnatura electronica constituie un raspuns la aceasta problema, garantand atat autenticitatea si integritatea datelor, cat si identificarea semnatarului.

Semnaturile electronice vor fi utilizate in circumstante si aplicatii foarte variate, ceea ce va determina aparitia unei serii noi de servicii si produse legate de sau care utilizeaza acest tip de semnaturi.

„Romania este printre putinele tari din lume care au o lege a semnaturii electronice si adoptarea acestui act normativ, precum si elaborarea celor care au fost inaintate Parlamentului si se afla inca in dezbateri, arata inca o data ca implementarea Societatii Informationale este o prioritate. Acum este important sa trecem la aplicarea acestei legi, care va aduce importante schimbari in modul de operare a institutiilor si companiilor private din Romania. MCTI lucreaza deja la normele de aplicare ale legii privind semnatura electronica”, a declarat Ministrul Dan Nica.

Documentele „parafate” cu o semnatura electronica (de fapt, doar o succesiune de biti) au valabilitate juridica in instanta. Cu alte cuvinte, emitentul acesteia este identificat fara putinta de tagada. Clientul va primi din partea „furnizorului” de semnatura electronica doua „chei”: una privata, la care are acces doar el, si una publica, la care are acces, in principiu, orice posibil utilizator de Internet. Un document criptat si „stampilat” cu cheia privata nu va putea fi citit de destinatar decat daca acesta are cheia privata. In plus, daca, in timpul transferului, continutul documentului a fost modificat, semnatura va fi alterata, iar deschiderea documentului va deveni imposibila.

Furnizorul semnaturii electronice trebuie acreditat de o autoritate de reglementare, care, pentru moment, este suplinita de MCTI. Acreditarea unei astfel de companii este conditionata, printre altele, si de depunerea unei garantii bancare de 500.000 euro. Aceasta poate fi constituita si sub forma de asigurare. Business-ul furnizorului consta in vinderea dreptului de a folosi semnatura electronica impreuna cu un certificat care garanteaza identitatea emitentului si, implicit, valabilitatea juridica a documentului. In Occident, pretul unui astfel de serviciu variaza intre zece USD, pentru variantele mai simple, si cateva mii de dolari, pentru versiunile ultra-sofisticate.

Costul semnaturii electronice

Un dispozitiv cu care se poate face semnatura electronica poate costa intre 5 si 20 USD. Este adevarat ca pe acest smart card trebuie sa existe si un certificat, care se obtine de la furnizorii de servicii de certificare. Exista si alte taxe care inseamna toata administrarea certificatelor, elaborarea certificatelor, furnizarea si personalizarea smart card-urilor, distributia lor la utilizatori. Toate acestea pot costa intre 50 si 100 sau chiar 200 USD, daca este un certificat pentru server. In situatia in care cineva isi deschide un magazin virtual pe Internet si vrea un certificat pentru server, astfel incat serverul sa se autentifice cu toate browser-ele, cu toti clientii cu care lucreaza, atunci certificatul este mai scump.

Dupa ce se plateste certificatul, acesta este eliberat fie sub forma software, deci poate fi descarcat de pe Internt, fie sub forma unui smart card care contine atat cheia privata de semnatura, cat si cheia publica sub forma de certificat. Apoi furnizorul trebuie sa publice certificatele intr-un director. Acesta este un director public, astfel incat oricine sa il poata folosi pentru verificarea semnaturii. Semnarea propriu-zisa se face cu cheia privata care se afla pe smart card.

Companii ce emit smart card-uri

Doi dintre cei mai importanti producatori de smart card-uri sunt firmele Gemplus si Shlumberger. Dar cipurile de pe aceste smart card-uri si coprocesoarele criptografice cele mai performante sunt produse de catre Siemens si de Philips.

Ce este un document digital, cum este el definit de lege si care sunt implicatiile utilizarii unui astfel de document?

Semnatura este legata de un inscris. Iar inscrisul electronic, potrivit legii, poate fi orice fisier PDF, RTF, DOC, TXT, Postscript. In principiu, orice fisier poate fi considerat un inscris electronic si poate fi semnat. Formatul semnaturii trebuie sa fie unul standardizat. Nu exista un standard unanim acceptat in toata lumea. Exista o initiativa a Uniunii Europene privind semnatura elecronica, EESSI, un grup de experti care lucreaza pentru elaborarea unui astfel de standard.

Arhivarea documentelor electronice

Arhivele electronice au un regim diferit si reprezinta o problema. Un document, de exemplu, este semnat electronic cu tehnologia anului 2002. In 2010, prin evolutia calculatoarelor, o astfel de semnatura care se bazeaza pe o problema matematica complexa in momentul de fata, de exemplu factorizarea unui numar, nu mai are garantii de securitate. Acum se lucreaza in cadrul Uniunii Europene, prin initiativele de standardizare, la modalitati de „reintinerire tehnologica” a documentelor electronice. Chiar verificarea documentelor electronice nu este atat de simpla. Acum, cand te prezinti in fata unui judecator cu un litigiu si ai un inscris in favoarea ta, nu faci decat sa il arati judecatorului care il citeste si ia o decizie. In cazul unui document electronic este nevoie sa apelezi la un expert. Pentru a se citi trei randuri dintr-un contract in format electronic, trebuie sa se intrerupa procesul, sa se apeleze la un expert. Este vorba de intarzieri de timp si de costuri. Tehnologia este evoluata in momentul de fata, dar nu trebuie sa fortam realitatea. Sunt inca foarte multe lucruri legate de tehnologie care nu sunt inca standardizate.

Recunoasterea legala a semnaturii electronice

Un inscris electronic este recunoscut, deci are valoare probata, similara cu orice semnatura manuscrita sau olografa, daca se intrunesc trei conditii: semnatura este extinsa, certificatul este calificat si dispozitivul de creare a semnaturii este securizat. Acest lucru nu inseamna ca nu functioneaza si alte tipuri de semnaturi, care pot face parte din diverse aplicatii create pe Internet ce pot avea semnaturi electronice, chiar semnaturi electronice extinse, dar care nu au valoare probanta in fata justitiei. Nu se face o modificare a intregii legislatii care se refera la documente. Orice document electronic, care are o semnatura extinsa, un certificat calificat si dispozitiv de creare securizat, are acelasi efect legal cu un inscris sub semnatura privata. Acolo unde o lege din Romania spune ca se poate aduce ca dovada si un inscris sub semnatura privata, se poate folosi un fisier care reprezinta documentul electronic sau inscrisul electronic semnat in aceasta maniera.

Procesul de certificare in Romania

Piata de certificare trebuie supravegheata de Autoritatea de reglementare si supraveghere. Conform legii, ea este gestionata de MCTI. In momentul acesta exista in interiorul MCTI o structura formata. Exista chiar si firme care doresc sa ofere servicii de certificare. Insa ceea ce trebuie sa se mai clarifice sunt aspectele legate de felul in care aceasta autoritate isi indeplineste sarcinile: modalitatea de acreditare a unui furnizor de servicii, omologarea dispozitivelor securizate de creare a semnaturilor, precum si modalitatile de control al furnizorilor. Desi furnizorii de servicii de certificare nu au nevoie de autorizare in momentul in care incep sa furnizeze certificate, trebuie sa se inscrie la aceasta autoritate romana, sa completeze un formular si sa declare masurile de securitate pe care le-au luat pentru site-ul lor, care gestioneaza serviciile. Ei pot functiona in acest mod o perioada nedeterminata de timp. Daca vor, insa, sa furnizeze certificate calificate, atunci trebuie sa fie verificati, sa li se acrediteze aceasta calitate. Trebuie ca ei sa solicite acest lucru in mod voluntar, iar autoritatea romana parcurge un program de acreditare. Deocamdata acest program nu este stabilit.    Legea prevede ca aceasta autoritate se constituie, la inceput, in MCTI, pentru ca in cel mult 18 luni de la data publicarii sa se infiinteze autoritatea publica specializata. Pana la infiintare, atributiile revin Ministerului Comunicatiilor si Tehnologiei Informatiei. Nu este specificat in lege, desi noi am facut aceasta observatie ca autoritatea ar trebui sa fie pusa in subordinea Parlamentului.

Folosirea semnaturii electronice in Romania

Pana la aparitia legii nu s-au facut aplicatii pentru semnatura electronica pentru ca ele nu aveau acoperire legala. Se poate folosi semnatura electronica pentru posta electronica fie prin Outlook, fie prin Netscape. Produsele respective de posta electronica sau browser-ele de web au facilitati si de criptare si de semnare. In principiu, pot fi folosite pentru semnatura electronica. In momentul de fata sunt utilizatori care folosesc posta electronica criptata, sunt site-uri, magazine virtuale care au certificate, deci fac autentificari prin semnatura si chiar utilizatori care, daca si-au luat un certificat de la un furnizor strain, pot face comenzi si isi transmit in siguranta datele de card bancar catre vanzator.    

Exista un nivel de infrastructuri de chei publice si semnaturi folosite in cadrul diferitelor organizatii, universitati, firme, ministere, care inseamna semnarea documentelor interne, semnarea postei electronice, autentificarea, criptarea mail-urilor si autentificarea lor ca persoane.   

Dupa aparitia legislatiei, singurele proiecte mai mari la care s-a lucrat sunt cele de la MCTI, care fac apel la certificate si semnatura digitala. Sunt firme in care s-au distribuit cate o mie de certificate la utilizatori, astfel incat sa nu se mai faca accesul prin sistemul cel mai vulnerabil care este cel bazat pe parole. In momentul in care vor face comert electronic, atunci si aceste firme vor trebui sa cumpere certificate de la furnizorii acreditati. Deocamdata, MCTI, printr-o serie de proiecte-pilot, a introdus aplicatii care necesita semnatura electronica. De exemplu, declaratiile fiscale care se fac la Ministerul Finantelor presupun nu doar transmiterea unor fisiere de date, ci si semnarea electronica a acestor fisiere care inseamna declaratia fiscala. Autentificarea utilizatorilor in MCTI presupune existenta unor certificate, iar autentificarea se face prin semnatura electronica. Sistemul de licitatii pe Internet presupune transmiterea unor documente si autentificarea utilizatorilor care se face pe baza de certificate. Deci cineva trebuie sa dea certificate acestor persoane, deci trebuie sa le dea capacitatea de a semna si de a verifica semnatura. Pe masura ce se vor crea mai multe aplicatii, nevoia de certificate va creste foarte mult. Vor trebui create aplicatii (inclusiv legislatie) pentru notari, astfel incat acestia sa poata emite si documente de acest tip. 

In momentul de fata, din punct de vedere legislativ, Romania este aliniata la directiva europeana privind semnaturile electronice. De asemenea, exista un prim set de reguli, date sub forma HG, acceptabile si operative, de folosire practica a semnaturilor si de actiune a entitatilor implicate in furnizarea serviciilor aferente (FSC, ARS). Desigur ca practica urmatorilor ani va arata ce schimbari si ajustari vor fi necesare atat la lege, cat si la Norme. Ceea ce este deja evident dupa parerea noastra, este faptul ca normele trebuie completate in viitorul apropiat si de alte reglementari necesare functionarii corecte a intregului ansamblu legat de semnaturi electronice, certificate si infrastructuri cu chei publice: regulamentul de functionare a ARS, metodologia de acreditare a FSC, metodologia de supraveghere a FSC, metodologia de omologare a mecanismelor securizate de creare a semnaturii, ghidul de auditare a securitatii informatice a unei organizatii, cerinte pentru autoritatile de marcare a timpului (Time-Stamping).

Aceste reglementari trebuie sa urmareasca cu asiduitate normativele elaborate sau in curs de elaborare pe plan international, in special cele ale UE si ale grupurilor de lucru circumscrise initiativei EESSI. Credem ca esentiala este organizarea ARS si completarea sa atat cu specialisti, cat si cu oameni cu raspundere administrativa in domeniul tehnologiilor informatiei. De calitatea acestei autoritati depind atingerea obiectivelor esentiale acestui domeniu, formarea unei piete corecte si libere de certificate digitale si functionarea legala a aplicatiilor specifice birocratiei din „e-society”, care apeleaza la paradigma semnaturilor electronice.

Identificarea unica a functionarilor publici prin semnatura electronica si smart-carduri

Descriere:

identificarea unica a functionarilor publici prin legitimatie de servici si semnatura electronica;

accesul controlat si monitorizat la diverse aplicatii informatice sau informatii stocate in mod electronic;

autentificare in sisteme de comunicatie;

criptare comunicatie si autentificare inclusiv e-mail;

Descriere tehnica

Sunt evidentiate urmatoarele elemente:

Serverul certSafe – Autoritatea de Certificare elibereaza, valideaza si verifica certificatele digitale ale functionarilor MCTI;

LDAP server – va stoca informatiile utilizatorilor (certificate digitale valide, certificate digitale revocate, adrese de e-mail si altele);

Serverul de e-mail MCTI – este punct de acces unic pentru citirea e-mail-ului de catre functionarii MCTI;

Statii de lucru prevazute cu cititoare de smart card-uri – statiile de lucru ale tuturor functionarilor vor fi prevazute cu astfel de dispozitive, accesul fiind posibil numai dupa identificarea prin smart card-ul personal.

Descriere functionala

Solutia propusa asigura urmatoarele:

Identificarea unica a functionarilor publici

Smart card-ul va fi utilizat drept card de identificare si autentificare, reprezentand dovada identitatii posesorului sau. Asigura un suport foarte sigur pentru stocarea certificatelor digitale cu ajutorul carora utilizatorul poate semna electronic datele si/sau poate cripta/decripta datele, asigurand in acest fel confidentialitatea, autenticitatea, integritatea datelor si non-repudierea.

Accesul controlat si monitorizat la diverse aplicatii informatice sau informatii stocate in mod electronic

Cu ajutorul smart card-ului se inlatura mecanismul clasic de autentificare prin user-name si parola, accesul la calculator sau intr-o anumita aplicatie care suporta acest tip de autentificare facandu-se prin intermediul smart-card-ului. Fiecarui utilizator al calculatorului sau aplicatiei i se asociaza in mod unic un smart-card, iar accesul la resursele protejate se face numai in cazul in care a fost introdus smart card-ul corect si a fost furnizat codul PIN corect.

Mod de operare

Principalele caracteristici functionale ale aplicatiei sunt constituite de:

Serverul certSafe – este Autoritatea de Certificare, cat si serverul care autentifica functionarii pentru citirea e-mail-ului prin Internet.

Aplicatia clickSign – este o aplicatie care permite criptarea si semnarea digitala a documentelor Microsoft Office.

Serverul CertSafe

Utilizatorul se conecteaza la site-ul MCTI, de unde are posibilitatea redirectarii spre pagina privata, aflata pe serverul certSafe.

Dupa ce utilizatorul a fost autentificat, serverul certSafe ia legatura cu server-ul de mail MCTI pe o conexiune securizata, preluand de pe acesta lista e-mail-urile nou sosite. Aceasta lista este afisata utilizatorului intr-o interfata web prietenoasa, prezentandu-se toate detaliile obisnuite ale e-mail-ului (subiect, expeditor, ora primirii etc.), precum si atasamentele e-mail-ului. Utilizatorul poate citi oricare din e-mail-urile sosite, poate descarca atasamentele si, de asemenea, poate raspunde la e-mail-ul primit sau poate trimite un e-mail nou catre orice adresa valida de e-mail. E-mail-urile vor fi trimise folosind server-ul de mail al MCTI, functionalitatea fiind deci indentica cu cea existenta cand utilizatorul se afla in interiorul organizatiei la biroul sau. Aceasta solutie asigura o mobilitate totala utilizatorilor, ei putandu-si folosi adresa de e-mail a ministerului intr-un mod sigur oriunde s-ar afla, eliminand astfel necesitatea crearii de conturi de e-mail suplimentare pe servere publice, fapt care ar putea dauna confidentialitatii datelor vehiculate.

Intreaga comunicatie intre server-ul certSafe si statiile din reteaua locala MCTI se realizeaza pe o conexiune securizata, eliminand astfel chiar si posibilitatea unor atacuri interne, de tip „sniffing”, in care persoane rau intentionate ar putea „asculta” datele vehiculate de un utilizator.

De asemenea, chiar si folosirea statiilor de lucru din reteaua MCTI este conditionata de posesia unui smart card prin care functionarul se identifica nemaifiind necesara utilizarea metodei clasice, user name si parola, metoda considerata nesigura.

Aplicatia clickSign

ClickSign este o aplicatie care se integreaza in suita Microsoft Office 2000, oferind posibilitatea criptarii si/sau semnarii digitale a documentelor elaborate, fara a parasi mediul Office. Documentele criptate vor putea fi accesate doar de persoana autorizata, care detine cheia privata corespunzatoare.

Semnatura digitala identifica in mod sigur autorul documentului, asigurand in acelasi timp integritatea datelor. Ea este perfect echivalenta cu semnatura olografa, deoarece poate fi produsa doar de detinatorul cheii private.

ClickSign ofera un grad in plus de securitate, deoarece lucreaza cu certificate digitale stocate pe dispozitive hardware de tip smart-card, beneficiind pe deplin de avantajele si particularitatile smart-card-urilor oferite. Astfel, cheia privata a utilizatorului, deci implicit confidentialitatea si identitatea datelor sale, sunt dublu protejate: pentru folosirea cheii private este nevoie atat de dispozitivul hardware (smart-card-ul), cat si de PIN-ul corect pentru accesul la cheia privata.

De asemenea, clickSign permite ca dupa incheierea operatiilor criptografice, fisierul sa fie trimis automat catre destinatar prin e-mail. Pentru optimizarea traficului in retea, clickSign permite comprimarea in mod automat a fisierelor trimise pe baza unui algoritm de compresie foarte performant, reducand astfel timpul de transmisie al fisierului.

Bibliografie

1. Legea nr. 677 din 21 noiembrie 2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, publicata in Monitorul Oficial, Partea I nr. 790 din 12 decembrie 2001
2. Legea nr. 365 din 7 iunie 2002, Legea Comertului Electronic, Monitorul Oficial al Romaniei, Partea I, Nr. 483/5.VII.2002
3. Lege nr. 455 din 18 iulie 2001 privind semnatura electronica, publicata in Monitorul Oficial, Partea I nr. 429 din 31 iulie 2001
4. Norme tehnice si metodologice din 13 decembrie 2001 pentru aplicarea Legii nr. 455/2001 privind semnatura electronica, publicate in Monitorul Oficial, Partea I nr. 847 din 28 decembrie 2001
5. Tehnologii Semnatura Electronica, Revista ComputerWorld Romania,  august 2002
6. e-Semnatura va face legea in e-business, Revista Capital, Articol Capital - IT
7. Semnatura viitorului va fi data in forma electronica, Revista de Drept  Avocatnet.ro
8. www.mcti.ro
9. Directiva Parlamentului si Consiliului Europei 1999/93/EC asupra unui cadru comun in materia semnaturilor electronice