ЦИФРОВИТЕ ПОДПИСИ - КЛЮЧ КЪМ ЕЛЕКТРОННАТА ТЪРГОВИЯ

Електронната търговия е завладяла умовете на съвременните бизнесмени с преимуществата, които осигурява за бърза доставка, широки пазари и сравнително ниски разходи. Нейната реализация обаче поражда на пръв поглед тривиални и несъществени проблеми като липсата на сигурност в публичните мрежи, проблеми с удостоверяването самоличността на страните по сделката, признаването на правното значение на елек-тронните волеизявления, платежните механизми при неприсъствения обмен, защитата на личните данни и пр. Основните пречки за осъществяване на сделки по електронен път без присъствието на страните са тяхната идентификацията, гарантирането на целостта и автентичността на предаденото съобщение и удостоверяване на верността на различни елементи на съобщението като дата, час, място на подаване и пр. 
Използването на цифров подпис е най-ефективното в техническо отношение решение за осъществяване на сделки в Интернет или всяка публична мрежа, без да е необходимо физическото присъствие на страните по сделката. Използването на други методи като интелигентни карти, биометрия - разчитането на пръстови отпечатъци, очни ириси и пр., за момента са твърде скъпи за осъществяването на масови сделки като сключване на договори, предаване на документи, отправяне на едностранни волеизявления и пр. 
Целта на цифровия подпис е да замести саморъчния подпис като форма за гарантиране авторството на направените изявления в цифрова форма. В българското право, а и в много други правни системи единственото валидно средство за идентификация на документите е именно саморъчният подпис. В момента бизнесът в световен мащаб търпи огромни загуби поради необходимостта различни документи - търговски, административни, гражданско-правни и пр., да се траснформират от цифров в аналогов вид единствено поради невъзможността да се подпишат по електронен път. 
Как работи цифровият подпис 
Цифровият подпис идентифицира автора на съобщението и гарантира непроменеността на съобщението след неговото цифрово подписване. Полагането на цифровия подпис включва две стъпки - поставяне на подпис от подателя и удостоверяване идентичността на подписа от получателя. 
Технологията на цифровия подпис се базира на криптографията - област от приложната математика, която се занимава с преобразуването на данните в кодиран вид и съответния обратен процес по декодиране, т.е. привеждането на нищо незначещите символи в първоначалния им смислен вид. 
Цифровите подписи използват т. нар. криптиране с публичен ключ, при което се използва алгоритъм за създаване на два различни, но математически свързани ключа - публичен и личен. Всеки ключ представлява поредица от символи, генерирани от приложния криптиращ софтуер. 
Основен стълб в сигурността на този вид кодиране е фактът, че единият ключ не може да бъде извлечен от другия, но за правилното разчитане на съобщенията са необходими и двата ключа. Т. нар. личен ключ е известен единствено на собственика и най-често е защитен с парола. Той служи за цифровото подписване на дадено съобщение, т.е. за привеждане на дадена информация в нечетим вид. Публичният ключ е предназначен за нейното декодиране и удостоверяване на целостта и коректността на дадено съобщение. По принцип публичният ключ е общодостъпен и се разполага в сървъри за бази данни и Интернет-страници. 
В основата на цифровия подпис е т.нар. хеш алгоритъм. Той се базира на математическа функция, която от дадено съобщение създава код, представляващ уникално умалено копие на това съобщение. Всяка следваща промяна на съобщението води до различен резултат след прилагането на хеш-функцията. Смисълът на тази операция е алгоритъмът на кодиране да се прилага не върху цялото съобщение, а върху по-малък обем от данни, като резултатът е валиден за цялото съобщение. Ако съобщението е било променено след полагането на цифровия подпис или пък е било подписано от личен ключ, който не отговаря на използвания публичен ключ, криптиращият софтуер ще даде съобщение за недостоверен цифров подпис. 
Кой може да раздава ключове за цифрови подписи 
На практика всеки приложен софтуер за кодиране може да генерира двойка ключове, които да идентифицират по произволно име, e-mail или друг белег участниците в процеса на кодиране. Възможността страните да си разменят по сигурен път публичните ключове не отговаря на изискванията за развитието на електронната търговия и пренос на документи в Интернет. Това налага в правоотношенията между страните по сделката да се намеси трето лице - гарант, което да направи схемата използваема в средата на Интернет и мрежите със свободен достъп. Тази трета страна се нарича сертификационен орган или трета доверена страна. Нейната задача е да удостовери, че даден публичен ключ принадлежи на физическото или на юридическо лице, което твърди, че притежава съответния личен ключ. Затова потвърждение, издадено от сертификационен орган, осигурява много висока степен на сигурност. 
Основната функция на сертификационния орган е да издаде цифров сертификат на своя клиент и да го направи публично достъпен. Сертификатът е електронен документ, който съдържа данни за собственика на публичния ключ като: име или фирма на потребителя, дата на издаване на сертификата, срок на валидност на сертификата, вид на сертификата, особени условия за конкретния сертификат и публичния ключ на потребителя. 
Всеки издаден сертификат е подписан с личния ключ на съответния сертифициращ орган, за да се осигури защита срещу неоторизиран достъп и промени в сертификатите. Потребителят може да провери валидността на даден сертификат, като използва публичния ключ на самия сертификационен орган. 
За още по-високо ниво на сигурност сертификационните органи могат да подпишат собствените си публични ключове. 
Нива на проверка 
Сертификационните органи предлагат различни нива на проверка за самоличността на собственика на сертификата. 
При най-ниската степен на идентификация, която е и най-евтина, потребителят предава данните си по е-мейл или попълва форма в Интернет-страница. 
Най-високите сертификати се издават след лична проверка. Когато се подписват договори за предоставяне на сертификати, в тях често се предвиждат клаузи за разваляне на договора при констатирани неверни данни или в случай, че потребителят загуби контрол върху личния си ключ. Тогава съответният сертификат се премахва от базата данни или се обозначава като невалиден. 
Някои от световно признатите сертификационни органи са “Верисайн” (www.verisign.com), “Юросайн” (www.eurosign.com), “Ентраст” (www.entrust.com), “Екссерт” (www.xcert.com) и др. У нас Българска стопанска камара предлага сертификационни услуги по договор с компанията GlobalSign (www.bia-bg.com/globalsign.bg/). 
Правна сила на цифровите подписи 
Според действащото българско право, когато се изисква форма за валидност или доказване на сделките, се разбира хартиен носител и съответния саморъчен подпис. От една страна, това означава, че ако дадена сделка е формална, то сключването й в електронна форма, дори и с цифров подпис, ще доведе до нищожност. Ако сделката е неформална, то цифровият подпис няма да бъде приет като еквивалент на саморъчния в евентуален спор пред съд, макар да представлява далеч по-надеждна защита. 
Първият закон за цифровия подпис е гласуван в щата Юта, САЩ през 1995 г. Днес в Америка почти всички щати имат разпоредби в тази област. В Европа Италия и Германия имат правни норми за цифровите подписи, но с различен подход. В рамките на Европейския съюз на 13.12.1999 г., след неколкогодишни обсъждания бе приета Директива 1999/93 за общностната уредба на цифровите подписи. Документът задължава страните членки да възприемат във вътрешното си законодателство признаването на правната сила на цифровите подписи. 

Мартин Граматиков