Cechy bezpieczeństwa określone w definicji podpisu elektronicznego spełnia technika kryptografii asymetrycznej zastosowana do tworzenia podpisu cyfrowego będącego jedną z - teoretycznie wielu - możliwych form podpisu elektronicznego, a w praktyce jedyną braną obecnie pod uwagę.

Podpis cyfrowy polega na dodawaniu unikatowych danych cyfrowych do dokumentu elektronicznego w taki sposób, że może je generować jedynie właściciel klucza prywatnego, ale każdy, kto posiada odpowiedni klucz publiczny, może weryfikować autentyczność takiego podpisu.

Dane potwierdzające ważność podpisu można publikować w postaci certyfikatów. Certyfikaty wiążą dane weryfikujące podpis z tożsamością osoby, która go utworzyła, zgodnie z definicją zawartą w Ustawie o podpisie elektronicznym:

„Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby.” (art. 3 ust. 8)

Podpis elektroniczny i certyfikat tworzą nierozłączną parę. Techniki umożliwiające tworzenie bezpiecznego podpisu elektronicznego muszą więc zapewniać wiarygodne potwierdzenie jego ważności.

Ustawa reguluje zasady wystawiania certyfikatów oraz wymagania stawiane podmiotom prowadzącym usługi certyfikacji - prowadzenie takiej działalności ma być niekoncesjonowane. W Ustawie o podpisie elektronicznym wymaga się jednak od wystawcy tzw. certyfikatu kwalifikowanego uzyskania odpowiedniej akredytacji. Ustawa nie reguluje sposobu przyznawania takiej akredytacji, wspomina się tylko o rejestrowaniu takich wydawców przez ministra gospodarki.

Zgodnie z ustawą za związek tożsamości osoby fizycznej z danymi służącymi do weryfikacji podpisu elektronicznego oraz za dostępność i integralność certyfikatów odpowiada podmiot świadczący usługi certyfikacyjne, którym może być przedsiębiorca (w rozumieniu przepisów Prawa o działalności gospodarczej), Narodowy Bank Polski lub organ władzy publicznej. Podmiot ten musi zapewnić bezpieczeństwo i wiarygodność tych usług.

Do uwierzytelniania podpisów cyfrowych używa się certyfikatów cyfrowych. Certyfikat cyfrowy to niewielki blok danych zawierający publiczny klucz użytkownika wraz z potwierdzeniem, w formie podpisu elektronicznego, jego autentyczności przez stronę trzecią. Ta strona trzecia to wydawca certyfikatów (Certification Authority - CA). Może to być instytucja publiczna lub prywatna.

Certyfikat ma ograniczony czas „życia”, określony w treści certyfikatu. Certyfikaty są używane w procesie poświadczania podpisu cyfrowego. Ogólny proces weryfikacji przebiega w niżej opisany sposób. Odbiorca podpisanego dokumentu sprawdza, czy:

1. podawana tożsamość użytkownika jest zgodna z tożsamością zawartą w certyfikacie;
2. żaden z certyfikatów w ciągu certyfikatów powiązanych nie został unieważniony oraz żaden nie był przeterminowany w momencie podpisywania danych;
3. dane nie zostały zmienione od momentu ich podpisania (sprawdzane za pomocą klucza publicznego z certyfikatu).

Jeśli wszystkie powyższe warunki są spełnione, odbiorca może przyjąć, że dane zostały podpisane przez podaną osobę.

Zobacz także

• Biometryka
• Dostęp do zasobów: identyfikacja, uwierzytelnianie i autoryzacja
• Metody ścisłego uwierzytelniania
• Podpis elektroniczny w praktyce
• Szyfrowanie i podpisy cyfrowe XML
• Tożsamość w środowisku mobilnym
• TSP (Time Stamp Protocol)
• Zarządzanie hasłami
• Zarządzanie tożsamością