Цифровий чи електронний підпис? В чому різниця?
Ці два поняття не рідко плутають навіть ті хто в «темі». Плуталась і я 😊 Саме тому вирішила розібратись і вам розповісти.
Отже спочатку розберемось з поняттям «електронний підпис».
Визначення йому дає ESIGN Act 2000: «електронний символ, чи процес, приєднаний або такий, що логічно асоціюється з договором або іншим записом, та виконаний або вчинений особою з наміром підписати запис»
(довільний переклад з «Electronic sound, symbol, or process, attached to or logically associated with a contract or other record and executed or adopted by a person with the intent to sign the record»).
В ЗУ «Про електронний цифровий підпис» також є визначення «електронного підпису»: «електронний підпис — дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов’язані та призначені для ідентифікації підписувача цих даних;».
В ЄС «електронний підпис» визначають як «дані в електронній формі, які приєднані або логічно асоціюються з іншими даними в електронній формі, та використовуються підписантом для підпису».
(довільний переклад з «‘electronic signature’ means data in electronic form which is attached to or logically associated with other data in electronic form and which is used by the signatory to sign;»)
Якщо об’єднати ці всі поняття, то зрозуміло що не має обмежень по формі такого підпису, а основне — бажання особи щоб його дія стала таким підписом. Наприклад — проставляння галочки на «Згоден», друк імені в поле для підпису чи натискання кнопки «Купити», також є електронним підписом, який створює договір між підписантом та іншою стороною.
Часто це просто аналог вашого власноручного підпису перетворений в електронний файл і використовуваний для посвідчення документів.
Що ж то тоді таке «цифровий підпис» і чому в Україні від «електронний цифровий підпис»?
Давайте розберемось як працює цифровий підпис:
1) Ви натискаєте «Підписати» і математичний алгоритм перетворює ваш документ на хеш-файл — унікальний «код». Найменша зміна в початковому документі призведе до зовсім нового хеш-файлу.
2) Хеш-файл шифрується за допомогою вашого приватного ключа. Зашифрований хеш-файл поєднується за вашим публічним ключем, в результаті чого утворюється цифровий підпис, накладений на документ.
3) Коли отримувач документу відкриває його в себе, то програмам автоматично використовує ваш публічний ключ (він міститься у файлі) та розшифровує документ.
4) Програма створює новий хеш-файл і порівнює його з розшифрованим хешем з першого пункту. Вони повинні співпадати.
Я спробувала також зобразити це наглядно на картинці

А тепер до юридичних понять:
Цифровий підпис — цифровий код (згенерований та автентифікований публічний ключем) який вкладено до документу, що передається електронним способом, для верифікації (перевірки) змісту та особистості відправника.
Закон України «Про електронний цифровий підпис» визначає (сюпрприииз 😊) поняття «електронний цифровий підпис» «вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа»
Ще є прикольне визначення в Малайзійському акті про цифровий підпис, яке містить поняття «цифрового підпису» як «засоби перетворення повідомлення з використанням асиметричних криптосистем, таких які маючи початкове повідомлення та публічний ключ підписанта, особа може визначити: (а) чи було перетворення здійснене з використанням приватного ключа підписанта та чи відповідає цей ключ публічному ключеві; та (б) чи було повідомлення змінене після перетворення. (переклад довільний)
Поняття «електронний цифровий підпис», на мій погляд не дуже коректне. Адже «цифровий» не може бути неелектронним. А «цифровий підпис» є видом «електронного підпису». В ЄС же в свою чергу цифровий підпис називають «advance electronic signature», тобто «покращений електронний підпис». Здається причина а тому що так просто історично склалось.
Для себе я визначилась в чому різниця. Можна для кращого розуміння провести паралелі з звичайним підписом та нотаріусом. Як і звичайний підпис кульковою ручкою електронний підпис не може бути гарантією, що підпис зробила саме потрібна особа. Тоді як у випадку цифрового підпису присутня третя сторона, яка ніби нотаріус виступає гарантом справжності підпису — сертифікований орган, який видає цифрові підписи.
Джерела:
1. U.S. ESIGN Act, the Uniform Electronic Transactions Act (UETA)
2. European EC/1999/93 Directive
3. ЗУ «Про електронний цифровий підпис»
4. Digital Signature Act 1997 (Malaysia)
p.s. ілюстрації створено за допомогою сервісу FreePic