Η «νομιμοποίηση» ενός εγγράφου ισοδυναμούσε ανέκαθεν με την υπογραφή που αυτό έφερε. Τα ηλεκτρονικά έγγραφα τείνουν να αντικαταστήσουν τα «παραδοσιακά» χειρόγραφα, αντίστοιχα και η υπογραφή του συντάκτη γίνεται ηλεκτρονική.
Ο χρήστης που συναλλάσσεται ηλεκτρονικά απαιτεί τα δεδομένα που στέλνει να μην μπορούν να αποκαλυφθούν ή να διατεθούν σε μη εξουσιοδοτημένα άτομα (εμπιστευτικότητα). Τα δεδομένα δεν θα πρέπει να είναι δυνατόν να αλλοιωθούν κατά τη μετάδοσή τους. Ο παραλήπτης θα πρέπει να τα λάβει όπως ακριβώς ο αποστολέας τα έστειλε και να είναι σίγουρος ότι τα δεδομένα που λαμβάνει είναι αυτά που ο αποστολέας έχει στείλει (ακεραιότητα). Επιπλέον, σε μία τέτοια συναλλαγή είναι απαραίτητο ο παραλήπτης να είναι σίγουρος για την ταυτότητα του αποστολέα (αυθεντικότητα).Τέλος, συμμετέχοντας σε μία ηλεκτρονική συναλλαγή θα πρέπει να μην είναι δυνατόν τα εμπλεκόμενα μέρη να αρνηθούν εκ των υστέρων τη συμμετοχή τους στη συναλλαγή αυτή (μη αποποίηση ευθύνης).
Οι παραπάνω ιδιότητες (εμπιστευτικότητα, ακεραιότητα, αυθεντικότητα, μη αποποίηση) στον ηλεκτρονικό κόσμο, αποτελούν αντικείμενο της επιστήμης που ασχολείται με την ασφάλεια των πληροφοριών. Διάφοροι μηχανισμοί, τεχνικές και τεχνολογίες έχουν αναπτυχθεί, αποσκοπώντας να διασφαλίσουν τις ιδιότητες αυτές σε μία ηλεκτρονική συναλλαγή.
Η Μελέτη για Ηλεκτρονικές Υπογραφές των Δημήτρη Ζαχαρόπουλου – Κέντρο Ηλεκτρονικής Διακυβέρνησης Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης, Υπεύθυνος Αρχής Πιστοποίησης “Hellenic Academic and Research Institutions Certification Authority – HARICA”, Διονύση Κοντογιώργη – Προϊστάμενος Υπηρεσίας Συντονισμού Ενιαίας Ψηφιακής Πύλης / Γενική Γραμματεία Ψηφιακής Διακυβέρνησης & Απλούστευσης Διαδικασιών / Υπουργείο Ψηφιακής Διακυβέρνησης και Θέμις Ζαμάνη – Επικεφαλής Τμήματος Υλοποίησης Έργων, Διεύθυνση Ευρωπαϊκών και Διεθνών Έργων Υποδομών, Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας – ΕΔΥΤΕ Α.Ε. (GRNET),περιγράφει με όσο το δυνατόν πιο απλό τρόπο το “οικοσύστημα” των “Εγκεκριμένων Υπηρεσιών Εμπιστοσύνης”, γνωστό και ως “eIDAS”. Σκοπός του κειμένου Μελέτης που παρουσιάζεται σε αυτό το κείμενο, είναι να εξηγήσει την έννοια της ηλεκτρονικής υπογραφής και τον μηχανισμό εφαρμογής της.
Κρυπτογραφία
Οι ηλεκτρονικές υπογραφές που παράγονται με χρήση κρυπτογραφικών μεθόδων, δεν προσθέτουν κάτι στο ίδιο το ηλεκτρονικό έγγραφο ούτε προκαλούν κάποιου είδους αλλοίωση στο φορέα του. Αντίθετα, συνοδεύουν το έγγραφο και συσχετίζονται λογικά με αυτό και με τον υπογράφοντα και μάλιστα με τέτοιο τρόπο ώστε να μην επιτρέπουν την τροποποίηση του εγγράφου, χωρίς αυτή να αφήσει κάποια ίχνη.
Μια έγκυρη ηλεκτρονική υπογραφή δίνει στον παραλήπτη την πιστοποίηση ότι το μήνυμα που δημιουργήθηκε ανήκει στον αποστολέα που το υπέγραψε ηλεκτρονικά και ότι δεν αλλοιώθηκε-παραποιήθηκε κατά την μεταφορά. Έχει επιβεβαιωτική λειτουργία (ο παραλήπτης είναι βέβαιος ότι το μήνυμα που παραλαμβάνει ανήκει στον αποστολέα χωρίς αλλοιώσεις).
Οι Ηλεκτρονικές Υπογραφές/Σφραγίδες έχουν εδραιωθεί στην Ελλάδα και ολοένα επεκτείνεται η χρήση τους σε διαδικασίες του Δημοσίου και Ιδιωτικού τομέα. Το Νομικό πλαίσιο είναι πλήρες και καλύπτει απόλυτα τις Εγκεκριμένες Ηλεκτρονικές Υπογραφές και Σφραγίδες, ειδικά με την εφαρμογή του Ν.2727/2020 (ΦΕΚ Α’ 184/23-09-2020).
Εγκεκριμένες Υπηρεσίες Εμπιστοσύνης – eIDAS
Η ίδια η ηλεκτρονική υπογραφή δεν παρέχει επαρκή μαρτυρία για την ταυτότητα του υπογράφοντος. Για να εξασφαλιστεί αυτό, απαιτείται επιπλέον «μαρτυρία», η οποία να συνδέει το κλειδί υπογραφής (ή όποια άλλη συσκευή χρησιμοποιείται για το σκοπό αυτό) με τον ίδιο τον υπογράφοντα. Στο σημείο αυτό υπεισέρχονται οι Αρχές Πιστοποίησης μέσω των Εγκεκριμένων Πάροχων Υπηρεσιών Εμπιστοσύνης, οι οποίοι εκδίδουν τα ψηφιακά πιστοποιητικά, τα οποία περιέχουν στοιχεία ταυτότητας (π.χ. ονοματεπώνυμο) του κατόχου και το δημόσιο κλειδί που χρησιμοποιείται, προκειμένου να επαληθευτεί η υπογραφή του σε κάποιο έγγραφο.
Στο ευρωπαϊκό πλαίσιο παροχής υπηρεσιών εμπιστοσύνης, οι οποίες είναι αναγνωρισμένες και έμπιστες σε όλα τα Κράτη Μέλη της Ευρωπαϊκής Ένωσης, ανάμεσα στις «Εγκεκριμένες» Υπηρεσίες Εμπιστοσύνης, βρίσκονται οι παρακάτω (εν έτη 2021 πολύ δημοφιλείς):
«Εγκεκριμένος Πάροχος Υπηρεσιών Εμπιστοσύνης» είναι ένα φυσικό ή νομικό πρόσωπο που παρέχει μία ή περισσότερες εγκεκριμένες υπηρεσίες εμπιστοσύνης και έχει αναγνωριστεί ως τέτοιος, να λάβει δηλαδή σχετική έγκριση ανά υπηρεσία εμπιστοσύνης από τον εποπτικό φορέα -για την Ελλάδα η ΕΕΤΤ.
Είναι σημαντικό να γνωρίζουμε ότι κάθε Εγκεκριμένος Πάροχος Υπηρεσιών Εμπιστοσύνης (ΕΠΥΕ) έχει αξιολογηθεί από ανεξάρτητο Φορέα Πιστοποιήσεων για συγκεκριμένες Εγκεκριμένες Υπηρεσίες. Οι αξιολογήσεις αυτές επανεξετάζονται από τον εποπτικό φορέα (ΕΕΤΤ) προκειμένου να αποφασίσει την απόδοση του “Εγκεκριμένου” τίτλου στον Πάροχο για κάθε συγκεκριμένη “Εγκεκριμένη” υπηρεσία εμπιστοσύνης ξεχωριστά.
Η Ευρωπαϊκή Επιτροπή μέσω της δράσης “CEF Digital – Connecting Europe” έχει δημιουργήσει έναν ιστοχώρο που αποτυπώνει τους Εγκεκριμένους Παρόχους Εμπιστοσύνης σε κάθε Κράτος Μέλος, και τις Εγκεκριμένες Υπηρεσίες που έχουν εγκριθεί για κάθε Πάροχο.
Τι είναι η Ηλεκτρονική Υπογραφή
Η ηλεκτρονική υπογραφή είναι μια ηλεκτρονική ένδειξη ότι ένα Φυσικό Πρόσωπο έχει πρόθεση να συμφωνήσει με το περιεχόμενο ενός εγγράφου ή μίας συλλογής δεδομένων που συσχετίζονται με την υπογραφή. Όπως η ιδιόχειρη υπογραφή στον φυσικό κόσμο, η ηλεκτρονική υπογραφή έχει την έννοια της νομικής δέσμευσης, δηλαδή ότι ο υπογράφων προτίθεται να δεσμευτεί με το περιεχόμενο του υπογεγραμμένου εγγράφου, στον ψηφιακό κόσμο.
Υπάρχουν διάφορα είδη “ηλεκτρονικών υπογραφών”, που ορίζονται με βάσει του eIDAS ως εξής:
Τι είναι η ηλεκτρονική Σφραγίδα
Η ηλεκτρονική σφραγίδα Νομικού προσώπου (π.χ. εταιρείας, οργανισμού) είναι δεδομένα σε ηλεκτρονική μορφή που επισυνάπτονται σε ηλεκτρονικό έγγραφο για να αποδείξουν την προέλευση του εγγράφου και την ακεραιότητά του. Όπως η φυσική σφραγίδα στο συμβατικό κόσμο, έτσι και η ηλεκτρονική σφραγίδα έχει την έννοια της νομικής δέσμευσης, δηλαδή ότι ο οργανισμός που εισάγει τη σφραγίδα, προτίθεται να δεσμευτεί με το περιεχόμενο του σφραγισμένου εγγράφου.
Όπως με τις Ηλεκτρονικές Υπογραφές, υπάρχουν ως διαφορετικά είδη, η Ηλεκτρονική σφραγίδα, η Προηγμένη ηλεκτρονική σφραγίδα και η Εγκεκριμένη ηλεκτρονική σφραγίδα.
Ψηφιακά πιστοποιητικά
Με την λήψη ενός μηνύματος με ηλεκτρονική υπογραφή, ο παραλήπτης, επαληθεύοντας την ηλεκτρονική υπογραφή, επιβεβαιώνει ότι το μήνυμα είναι ακέραιο. Ο παραλήπτης, για την επαλήθευση της ηλεκτρονικής υπογραφής, χρησιμοποιεί το δημόσιο κλειδί του αποστολέα. Αυτό όμως που δεν μπορεί να γνωρίζει ο παραλήπτης με βεβαιότητα, είναι αν ο αποστολέας του μηνύματος είναι όντως αυτός που ισχυρίζεται ότι είναι. Θεωρώντας ότι ο κάτοχος του ιδιωτικού κλειδιού είναι πράγματι αυτός που ισχυρίζεται ότι είναι (και η μυστικότητα του ιδιωτικού κλειδιού δεν έχει παραβιαστεί) ο αποστολέας του μηνύματος που υπέγραψε, δεν μπορεί να αρνηθεί το περιεχόμενο του μηνύματος που έστειλε (μη αποποίηση).
Κατά συνέπεια, απαιτείται να διασφαλιστεί ότι ο δικαιούχος του ιδιωτικού κλειδιού, και μόνον αυτός, δημιούργησε την ηλεκτρονική υπογραφή και ότι το δημόσιο κλειδί του αποστολέα που χρησιμοποιεί ο παραλήπτης για την επαλήθευση της υπογραφής είναι όντως του αποστολέα. Απαιτείται δηλαδή, η ύπαρξη ενός μηχανισμού τέτοιου, ώστε ο παραλήπτης να μπορεί να είναι σίγουρος για την ταυτότητα του προσώπου με το δημόσιο κλειδί. Ο μηχανισμός αυτός θα πρέπει να υλοποιείται από μία οντότητα που εμπνέει εμπιστοσύνη και που εγγυάται ότι σε ένα συγκεκριμένο πρόσωπο αντιστοιχεί το συγκεκριμένο δημόσιο κλειδί.
Ειδικά για τα Πιστοποιητικά Εγκεκριμένης Ηλεκτρονικής Υπογραφής, σύμφωνα με τον eIDAS το ιδιωτικό κλειδί του υπογράφοντα πρέπει να φυλάσσεται σε μια ειδική “Εγκεκριμένη Διάταξη Δημιουργίας Υπογραφής” (ΕΔΔΥ). Βάσει κανονισμού της ΕΕ ειδικές κρυπτοσυσκευές δεν επιτρέπουν την εξαγωγή του κλειδιού άπαξ και το κλειδί δημιουργηθεί εντός μιας τέτοιας συσκευής.
Υπάρχουν δύο τεχνολογίες που σχετίζονται με τις ΕΔΔΥ:
Α. Τοπική ΕΔΔΥ στην κατοχή του υπογράφοντα (σε μορφή smart card, usb crypto-token, crypto-SIM)
Β. Εξ αποστάσεως ΕΔΔΥ, που βρίσκεται υπό τον έλεγχο ενός Εγκεκριμένου Παρόχου Υπηρεσιών Εμπιστοσύνης και διαχειρίζεται το Ιδιωτικό Κλειδί για λογαριασμό του υπογράφοντα.
Και στις δύο τεχνολογίες, το παραγόμενο αποτέλεσμα που είναι η Εγκεκριμένη Ηλεκτρονική Υπογραφή, έχει ακριβώς την ίδια νομική ισχύ και δεν διαφέρει σε τίποτα.
Και στις δύο τεχνολογίες, ο υπογράφων έχει στην αποκλειστική του κατοχή τα “δεδομένα δημιουργίας ηλεκτρονικής υπογραφής”. Στην πρώτη περίπτωση, ο υπογράφων έχει στην κατοχή του την κρυπτοσυσκευή και κάποιο PIN ενεργοποίησης. Στη δεύτερη περίπτωση, ο υπογράφων έχει στην κατοχή του διαπιστευτήρια πρόσβασης στην υπηρεσία εξ αποστάσεως ΕΔΔΥ που του έχει δώσει ο Πάροχος, και μια γεννήτρια κωδικών μιας χρήσης που είναι στην αποκλειστική κατοχή του υπογράφοντα.
Εγκυρότητα Ηλεκτρονικής Υπογραφής
Ένα Ψηφιακό Πιστοποιητικό Ηλεκτρονικής Υπογραφής έχει συγκεκριμένη διάρκεια (συνήθως είναι έγκυρο το πιστοποιητικό έως 3 έτη). Όταν ένα Ψηφιακό Πιστοποιητικό χρησιμοποιείται για να υπογράψει ένα ηλεκτρονικό έγγραφο, για να παραχθεί μία έγκυρη ηλεκτρονική υπογραφή πρέπει πρώτον το Ψηφιακό Πιστοποιητικό Ηλεκτρονικής Υπογραφής να μην έχει λήξει και δεύτερον, το Πιστοποιητικό Υπογραφής να μη βρίσκεται σε Αναστολή ή να έχει Ανακληθεί.
Οι Ηλεκτρονικές Υπογραφές που τοποθετούνται σε Ηλεκτρονικά Έγγραφα πρέπει να μπορούν να επαληθευθούν για αρκετά χρόνια μετά τη λήξη του Πιστοποιητικού που χρησιμοποιήθηκε για την υπογραφή. Για να μπορεί να γίνει η επαλήθευση της υπογραφής, ο ελεγκτής πρέπει να βεβαιωθεί ότι την ημερομηνία της υπογραφής του ηλεκτρονικού εγγράφου, είχαν εξασφαλιστεί οι δύο προϋποθέσεις που αναφέρθηκαν.
Υπάρχουν τεχνικά μέσα (Long-term Validation – LTV) για να ελέγχεται με εύκολο τρόπο η συγκεκριμένη προϋπόθεση.
Να σημειωθεί ότι η προσθήκη Εγκεκριμένης Χρονοσήμανσης στο ηλεκτρονικό έγγραφο δίνει ένα επιπλέον χαρακτηριστικό ασφάλειας, καθώς έχει υψηλότερο επίπεδο διασφάλισης της χρονικής στιγμής ύπαρξης του εγγράφου και της υπογραφής. Δεν είναι όμως απαραίτητο στοιχείο για να θεωρηθεί έγκυρη μια Εγκεκριμένη Ηλεκτρονική Υπογραφή σε Ηλεκτρονικό Έγγραφο.
Μοντέλα Υπογραφής Εγγράφων
Στα περισσότερα έγγραφα απαιτείται η εισαγωγή μιας και μόνο υπογραφής. Ο υπογράφων, χρησιμοποιώντας κάποιο λογισμικό ηλεκτρονικών υπογραφών, μπορεί να προσθέσει μία εγκεκριμένη ηλεκτρονική υπογραφή σε ένα αρχείο PDF. Η υπογραφή μπορεί να είτε “ορατή” (δηλαδή να υπάρχει οπτική αναγνώριση στο ηλεκτρονικό έγγραφο), είτε “αόρατη” (δηλαδή μπορεί να εμφανιστεί μόνο μέσω ανάλυσης από λογισμικό ελέγχου ψηφιακών υπογραφών).
Στα ηλεκτρονικά έγγραφα μπορούν να τοποθετηθούν παραπάνω από μία υπογραφές. Τα έγγραφα σε μορφή PDF έχουν δυνατότητες κατάλληλης παραμετροποίησης προκειμένου να δέχονται τμήματα που να μπορούν να τροποποιηθούν, μετά την πρώτη υπογραφή κάποια τμήματα να “κλειδώνουν” μην επιτρέποντας άλλες αλλαγές, αφήνοντας όμως κάποια άλλα σημεία να μπορούν να τροποποιηθούν προκειμένου να μπει δεύτερη υπογραφή και μετά να κλειδώσουν κι αυτά. Η διαδικασία “κλειδώματος αλλαγών σε φάσεις” μπορεί να πραγματοποιηθεί από αρκετά εργαλεία διαχείρισης/επεξεργασίας αρχείων PDF.
Στα έγγραφα με πολλαπλές υπογραφές, πρακτικά με κάθε πρόσθετη υπογραφή γίνεται “τροποποίηση” του ηλεκτρονικού εγγράφου αλλά με τρόπο που να μπορεί ο αναγνώστης να δει με ξεκάθαρο τρόπο την “έκδοση” του εγγράφου κατά την τοποθέτηση κάθε υπογραφής.
Εγκυρότητα υπογραφών/σφραγίδων
Το ζήτημα “εγκυρότητας” ηλεκτρονικών υπογραφών είναι πολυσύνθετο και συνδυάζει τόσο τεχνικά όσο και νομικά στοιχεία. Στόχος αυτής της ενότητας είναι η παρουσίαση του θέματος αφήνοντας την τελική απόφαση να επιλέγεται κατά περίπτωση.
Ένα ψηφιακό ή ψηφιοποιημένο έγγραφο μπορεί να φέρει “ψηφιακή υπογραφή”, “ηλεκτρονική υπογραφή”, “σκαναρισμένη υπογραφή”, και άλλες μορφές με διάφορες ονομασίες. Ο στόχος του Κανονισμού eIDAS για τις “Ηλεκτρονικές Υπογραφές/Σφραγίδες”, τις “Προηγμένες Ηλεκτρονικές Υπογραφές/Σφραγίδες” και τις “Εγκεκριμένες Ηλεκτρονικές Υπογραφές/Σφραγίδες” είναι να δώσει στα Κράτη Μέλη μια κοινή ορολογία, ξεκαθαρίζοντας το πλαίσιο απόκτησης και εφαρμογής τους, ξεκαθαρίζοντας το νομικό καθεστώς κυρίως για τις «Εγκεκριμένες Ηλεκτρονικές Υπογραφές/Σφραγίδες» ως νομικά ισοδύναμες με ιδιόχειρες Υπογραφές και Πρωτότυπες Σφραγίδες αντίστοιχα.
Από όλα τα “είδη” ηλεκτρονικών υπογραφών που αναφέρονται στον Κανονισμό eIDAS, μόνο η “Εγκεκριμένη Ηλεκτρονική Υπογραφή” έχει νομική ισχύ ισοδύναμη με την ιδιόχειρη υπογραφή ενός Φυσικού Προσώπου, και αναγνωρίζεται ως τέτοια σε όλα τα κράτη μέλη.
–..