Wprowadzenie dowodu z komponentem elektronicznym jest wyjątkową okazją do upowszechnienia podpisu elektronicznego na zdrowych zasadach. Komponent elektroniczny będzie pełnił także rolę urządzenia do generowania e-podpisów. Każdy właściciel dowodu będzie mógł samodzielnie podpisywać elektroniczne dokumenty.
Operacja złożenia podpisu elektronicznego pod dokumentem polega na zaszyfrowaniu kluczem prywatnym sumy kontrolnej dokumentu. Najpierw liczymy sumę kontrolną treści całego dokumentu a potem ją szyfrujemy. Zaszyfrowana suma kontrolna jest e-podpisem.
Do każdego dokumentu podpisanego elektronicznie musi być dołączony certyfikat, który ujawnia tożsamość właściciela klucza prywatnego tj. osoby podpisującej i jednocześnie gwarantuje, że to ta osoba złożyła e-podpis. Po podpisaniu dokumentu i przekazaniu go odbiorcy dalsza cyrkulacja dokumentu nie jest kontrolowana przez osobę, która go podpisała. Masowa cyrkulacja dokumentów z e-podpisem umożliwia tworzenie zbiorów certyfikatów lub zbiorów danych identyfikacyjnych pobranych z certyfikatów bez zgody i wiedzy osób zainteresowanych.
Najskuteczniejszym sposobem przeciwdziałania temu zagrożeniu jest daleko idąca anonimizacja danych identyfikacyjnych osoby w certyfikacie. Certyfikat będzie ujawniał tylko numer dowodu. Sam certyfikat bez podpisanego dokumentu nie będzie zagrażał prywatności.
Dane identyfikacyjne w certyfikacie będą zawierały tylko numer dowodu oraz sumę kontrolną imienia i nazwiska właściciela dowodu (sumę kontrolną ciągu znaków złożonego z imienia i nazwiska bez spacji)
Anonimizacja będzie odwracalna. Dane w certyfikacie będą jednoznacznie powiązane z jawnymi danymi identyfikacyjnymi w podpisanym dokumencie. Powiązanie zapewni wprowadzenie oczywistego wymogu umieszczenia imienia, nazwiska i numeru dowodu w treści każdego podpisywanego elektronicznie dokumentu.
Zatem jeśli ktoś dostanie podpisany dokument i certyfikat, to będzie mógł łatwo sprawdzić czy e-podpis jest prawdziwy i czy certyfikat dotyczy osoby, której dane są zamieszczone w dokumencie. W szczególności:
• Sprawdzenie powiązania autora dokumentu z certyfikatem będzie polegało na policzeniu sumy kontrolnej imienia i nazwiska z dokumentu a następnie porównaniu jej z sumą kontrolną z certyfikatu. Sumę kontrolną imienia i nazwiska będzie można sprawdzić także on-line w bazie dowodów.
• Sprawdzenie ważności certyfikatu będzie możliwe przez standardowe sposoby sprawdzania certyfikatów tj. OCSP i CRL a także poprzez wysłanie zapytania o status certyfikatu do bazy dowodów (numer dowodu będzie także numerem certyfikatu).
Dane identyfikacyjne osoby w certyfikacie będą właściwie zabezpieczone. Na podstawie samego numeru dowodu nie będzie można dowiedzieć się w bazie dowodów jakie jest imię i nazwisko właściciela dowodu o tym numerze.
Ponadto powinny być wprowadzone ograniczenia dotyczące rozpowszechniania certyfikatów:
• Certyfikaty nie będą udostępniane przez bazę dowodów
• Tylko właściciel dowodu będzie mógł rozpowszechniać certyfikat klucza publicznego ze swojego dowodu w inny sposób niż poprzez załącznik podpisanego dokumentu
Część szósta kończy cykl o dowodzie elektronicznym.
