Добавить в корзинуПозвонить
Найти в Дзене
IT - это просто
792 подписчика

Что такое цифровая подпись? Простыми словами

58
9 мин
Здравствуй, дорогой читатель. Представьте: вам прислали важный документ. Договор, заявление, акт, согласие, письмо из банка, файл от коллеги. На экране всё выглядит солидно: имя написано, дата стоит, внизу даже картинка с закорючкой. Но внутри всё равно шевелится простой человеческий вопрос: «А это точно подписал тот человек? И документ точно не поменяли по дороге?» Вот здесь и появляется цифровая подпись. Не как красивая картинка внизу страницы, а как строгая проверка: кто подписал, что именно подписал и не трогал ли кто-нибудь документ после этого. Сегодня Автор предлагает разобраться без нотариального тумана и математической боли. Будут письма, печати, ключи, Почтальон и Арина, которая очень хочет поставить красивый штамп на всё подряд. Алиса рисует договор: «Илья обещает отдать мне половину шоколадки после ужина». Подписывает: «Алиса». Кладёт лист в конверт и просит Почтальона отнести Илье. Почтальон доходит до двери, но по дороге происходит жизнь. Конверт мог намокнуть. Кто-то мог
Оглавление

Здравствуй, дорогой читатель. Представьте: вам прислали важный документ. Договор, заявление, акт, согласие, письмо из банка, файл от коллеги. На экране всё выглядит солидно: имя написано, дата стоит, внизу даже картинка с закорючкой. Но внутри всё равно шевелится простой человеческий вопрос: «А это точно подписал тот человек? И документ точно не поменяли по дороге?»

Вот здесь и появляется цифровая подпись. Не как красивая картинка внизу страницы, а как строгая проверка: кто подписал, что именно подписал и не трогал ли кто-нибудь документ после этого.

Важный вопрос не в том, есть ли закорючка, а можно ли проверить происхождение документа.
Важный вопрос не в том, есть ли закорючка, а можно ли проверить происхождение документа.

Сегодня Автор предлагает разобраться без нотариального тумана и математической боли. Будут письма, печати, ключи, Почтальон и Арина, которая очень хочет поставить красивый штамп на всё подряд.

Начнём с обычной семейной сцены

Алиса рисует договор: «Илья обещает отдать мне половину шоколадки после ужина». Подписывает: «Алиса». Кладёт лист в конверт и просит Почтальона отнести Илье.

Почтальон доходит до двери, но по дороге происходит жизнь. Конверт мог намокнуть. Кто-то мог подменить лист. Арина могла достать фломастер и дописать: «и ещё две конфеты».

Илья получает бумагу и спрашивает:

— Алиса, это правда ты подписала?

— Да.

— А почему я должен верить листу? Тут любой мог написать твоё имя.

Алиса задумывается. Обычная подпись помогает, но не решает всё. Её можно сфотографировать, скопировать, вставить в другой документ. Особенно если документ цифровой: файл легко размножается и копируется.

Тогда Илья предлагает систему.

У Алисы будет личная печать, которую держит только она. Никому не даёт.

А у всех остальных будет проверочная табличка, по которой можно понять: да, след от этой печати действительно алисин.

Когда Алиса подписывает документ, она не просто рисует имя. Она ставит особый след, который связан именно с этим документом. Если в документе поменять хоть одну строчку, след уже не совпадёт.

Это и есть главная идея цифровой подписи.

Простыми словами

Цифровая подпись — это способ доказать две вещи: документ действительно подписал владелец нужного ключа, и после подписи документ не изменяли.

Она отвечает не на вопрос «красиво ли выглядит подпись», а на вопросы:

  • кто подписал;
  • какой именно файл подписали;
  • изменился ли файл после подписи;
  • можно ли это проверить без звонка подписанту.

Важно: цифровая подпись — это не картинка подписи, не скан ручки на бумаге и не надпись «С уважением, Иван Иванов» в конце письма.

Картинка подписи похожа на наклейку с замком на двери. Выглядит внушительно, но дверь от этого не закрывается. Цифровая подпись — это уже настоящий механизм проверки.

Нарисованная подпись выглядит знакомо, но цифровая подпись работает не глазами, а проверкой.
Нарисованная подпись выглядит знакомо, но цифровая подпись работает не глазами, а проверкой.

Как это работает на самом деле

Внутри цифровой подписи живут три главных участника.

Первый — документ. Это может быть PDF, архив, письмо, программа, обновление, договор, отчёт, что угодно.

Второй — закрытый ключ. Это личный инструмент подписанта. Как печать Алисы, которую нельзя давать другим. Им создают подпись.

Третий — открытый ключ. Это проверочная часть. Её можно показывать другим. С её помощью люди убеждаются, что подпись подходит к документу и к владельцу закрытого ключа.

Звучит похоже на статью про асимметричное шифрование, и это не случайно. Там тоже есть пара ключей: один закрытый, другой открытый. Только задача другая. В шифровании мы хотим спрятать содержимое. В цифровой подписи мы хотим доказать происхождение и неизменность.

Теперь по шагам.

  1. Алиса берёт документ.
  2. Компьютер делает из него короткий «отпечаток» — хэш. Автор уже писал про хэш отдельно, но если совсем коротко: это как контрольный узор документа. Изменили одну букву — узор стал другим.
  3. Алиса своим закрытым ключом подписывает этот отпечаток.
  4. Получается цифровая подпись — небольшой кусок данных рядом с документом или внутри него.
  5. Илья получает документ и подпись.
  6. Его компьютер снова считает отпечаток документа и проверяет подпись открытым ключом Алисы.

Если всё совпало, Илья видит: документ после подписи не меняли, а подпись создана тем закрытым ключом, который соответствует открытому ключу Алисы.

Если в документе поменяли хотя бы «одну шоколадку» на «три шоколадки», проверка сломается.

Цифровая подпись привязана не к красивой странице, а к точному содержимому файла.
Цифровая подпись привязана не к красивой странице, а к точному содержимому файла.

А откуда мы знаем, что ключ правда Алисы?

Вот тут, дорогой читатель, начинается самый важный поворот.

Допустим, к Илье приходит незнакомец и говорит:

— Вот открытый ключ Алисы. Проверяй по нему.

Илья смотрит на него и отвечает:

— Очень интересно. А почему я должен верить, что это ключ Алисы, а не твой?

Сама по себе математика подписи доказывает связь между закрытым и открытым ключом. Но она не доказывает, что этот открытый ключ принадлежит именно Алисе Петровой, а не человеку в шапке и с хитрым видом.

Для этого нужны сертификаты.

Сертификат — это как удостоверение личности для открытого ключа. В нём написано: этот открытый ключ принадлежит такому-то человеку или организации. А подтверждает это не просто сосед с лестничной клетки, а центр, которому доверяет система. Его обычно называют удостоверяющим центром.

В нашей аналогии это паспортный стол для печатей.

Алиса приходит туда с документами. Строгий сотрудник проверяет, что Алиса — это Алиса, и выдаёт ей удостоверение: «Да, эта проверочная табличка относится к Алисе». Теперь Илья может не просто проверить подпись математически, но и понять, чья она.

Если это напоминает вам замочек в браузере, вы на правильной дорожке. В статье про HTTPS и защищённое соединение мы уже встречали похожую идею: мало просто зашифровать разговор, нужно ещё понять, с кем именно разговариваешь. Иначе можно попасть в историю с «человеком посередине», где посредник очень хочет выглядеть как честный Почтальон.

В реальной жизни похожие механизмы используются в электронном документообороте, на государственных сервисах, в банках, при подписании программ и обновлений.

Где мы встречаем цифровую подпись

Первое место — электронные документы: договоры, акты, заявления, отчёты. Подпись помогает понять, кто подписал документ и менялся ли он после подписания.

Второе — госуслуги и личные кабинеты. Когда человек подтверждает серьёзное действие, системе важно получить более сильное доказательство, чем просто логин и пароль.

Третье — обновления программ. Когда ваш компьютер скачивает обновление, он должен понимать: это действительно обновление от разработчика, а не чужой файл, который притворяется полезным. Поэтому установщики и обновления часто подписывают.

Четвёртое — электронная почта и файлы. Подписанное письмо может показать, что его отправил владелец ключа и что текст не изменили по дороге. Это хорошо ложится на старую тему Автора: почему не стоит доверять электронным письмам только по красивому имени отправителя. Правда, массово обычные пользователи цифровой подписью в почте пользуются редко, потому что настроить всё аккуратно не так просто.

Пятое — банковские и корпоративные системы. Там подпись нужна для ответственности: кто согласовал платёж, кто утвердил документ, кто отправил отчёт.

Цифровая подпись живёт там, где важны доверие, ответственность и неизменность.
Цифровая подпись живёт там, где важны доверие, ответственность и неизменность.

Цифровая подпись и шифрование — не одно и то же

Это частая путаница.

Шифрование прячет содержимое. Как если Алиса положила письмо в сейф, а открыть его может только Илья.

Цифровая подпись не обязательно прячет содержимое. Она доказывает, кто подписал письмо и менялось ли оно после подписи.

Можно подписать открытый документ. Все смогут его читать, но никто не сможет незаметно поменять.

Можно зашифровать документ без подписи. Тогда его трудно прочитать посторонним, но ещё нужно отдельно понять, кто именно его отправил.

А можно сделать и то и другое: сначала подписать, потом зашифровать. Это уже похоже на письмо с личной печатью, положенное в закрытый конверт.

Если хочется освежить именно сторону «как спрятать содержимое», рядом лежит отдельная статья про сквозное шифрование. Там главная забота — чтобы письмо прочитали только свои. Здесь забота другая: чтобы было видно, кто поставил печать и меняли ли письмо после этого.

Что может пойти не так

Цифровая подпись сильная, но не волшебная.

Главная опасность — утечка закрытого ключа. Если Алиса оставила личную печать на столе, а злоумышленник взял её и подписал документ, математика может сказать: «Подпись подходит». Поэтому закрытый ключ хранят осторожно: на защищённом носителе, в специальном приложении, иногда с PIN-кодом.

Вторая опасность — подписать не глядя. Если приложение показывает Алисе красивую кнопку «Подписать», а внутри на подпись уходит другой документ, это уже проблема интерфейса, доверия и внимательности. Поэтому важные документы надо открывать и проверять до подписи, а не после.

Третья опасность — просроченный или отозванный сертификат. Удостоверение ключа может закончиться или быть отозвано, если ключ скомпрометирован.

Четвёртая опасность — ложное чувство безопасности. Цифровая подпись доказывает, что документ связан с ключом. Она не доказывает, что условия разумные или выгодные. Математика не читает мелкий шрифт за человека.

Закрытый ключ нужно беречь так же серьёзно, как печать, которой можно подписать важные бумаги.
Закрытый ключ нужно беречь так же серьёзно, как печать, которой можно подписать важные бумаги.

Как защититься обычному человеку

Не храните ключи где попало. Если подпись выдана на токене, флешке или в приложении, относитесь к этому как к ключу от сейфа.

Не передавайте PIN-коды, пароли и файлы ключей другим людям. Даже «системному администратору» и даже «срочно, а то отчёт горит». Срочность часто ломает безопасность.

Если речь идёт о входе в важные сервисы, цифровая подпись соседствует с другой темой — многофакторной аутентификацией. Там смысл похожий бытовым языком: одного «я это я» часто мало, системе нужны дополнительные доказательства.

Проверяйте, что именно подписываете: название файла, дату, сумму, контрагента, текст. Подпись делает невнимательность дороже.

Обновляйте программы для подписи. Старые версии могут содержать неприятные ошибки.

Если потеряли носитель с ключом или подозреваете, что ключ скопировали, нужно отзывать сертификат и выпускать новый.

Мифы

Миф: цифровая подпись — это картинка моей подписи в PDF.
На самом деле: картинка может быть только визуальной отметкой. Настоящая цифровая подпись проверяется технически.

Миф: если документ подписан, значит он правильный.
На самом деле: подпись говорит, кто подписал и менялся ли документ. Она не гарантирует, что условия хорошие или что подписант внимательно всё прочитал.

Миф: цифровую подпись нельзя подделать вообще никогда.
На самом деле: правильно сделанную подпись математически подделать крайне трудно, но можно украсть закрытый ключ, обмануть пользователя или подсунуть неправильный документ.

Миф: цифровая подпись всегда шифрует документ.
На самом деле: нет. Подпись и шифрование решают разные задачи.

Миф: если подпись один раз настроили, о ней можно забыть навсегда.
На самом деле: сертификаты истекают, ключи могут теряться, носители ломаются, а доступы нужно контролировать.

Итог

Цифровая подпись — это не закорючка на экране. Это проверяемая цифровая печать.

Она помогает понять: документ подписал владелец нужного закрытого ключа, а сам документ после подписи не изменился. Значит, меньше места для подмены, споров и тихих правок задним числом.

Если запомнить одну картинку, пусть будет такая: Алиса держит личную печать в сейфе, Илья проверяет след печати по открытой табличке, а Почтальон доставляет письмо так, что любую подмену видно сразу.

Доверие в цифровом мире редко строится на слове «поверьте». Хорошая цифровая подпись говорит иначе: «Проверьте».

UPD

Для тех, кто хочет чуть глубже:

  • Закрытый ключ — секретная часть пары ключей. Им создают подпись. Его нельзя передавать другим.
  • Открытый ключ — публичная часть пары. Им проверяют подпись.
  • Хэш — короткий отпечаток документа. Если документ изменился, хэш тоже меняется.
  • Сертификат — документ для открытого ключа: кому он принадлежит, кем подтверждён и до какого срока действует.
  • Удостоверяющий центр — организация или сервис, который подтверждает связь между человеком, организацией и открытым ключом.
  • Отзыв сертификата — признание сертификата недействительным до окончания срока. Например, если закрытый ключ потеряли или украли.
  • Электронная подпись, цифровая подпись, ЭЦП, КЭП — в разговорной речи эти слова часто смешивают. В юридических документах и конкретных сервисах различия могут быть важны, поэтому для реальных сделок нужно смотреть требования именно той системы, где вы подписываете.

Образование
190,2 тыс интересуются