Robert Szymczak ...
> Witaj,
> Weź home banking. W PKO S.A. dostajesz tzw. tokena
> (ciach)
> na stronie www wyświetlany jest ciąg liczb.
> Wpisujesz je do tokena, ten generuje inny ciąg liczb,
> które wpisujesz do odpowiedniego miejsca na stronie www.

To jest jeden ze sposobow uwierzytelnienia uzytkownika przed
systemem informatycznym (tu: bankowym), ale z podpisem
elektronicznym to nie ma nic wspolnego.

Podpis jest to ciag danych, umieszczny przez autora w dokumencie.
Podpis umozliwia zweryfikowanie tozsamosci autora.
Aby mozliwa byla weryfikacja, sygnatura musi byc przydzielana
przez niezalezne centrum, w ktorym uzytkownik sie rejestruje
ze swoimi indywidualnymi danymi (imie, nazwisko....).
Podpis musi jeszcze przy tym nie dac sie przekopiowac do innego
dokumentu, a to oznacza, ze jego tresc zalezy algorytmicznie od
sygnatury autora ORAZ od tresci dokumentu (czyli zawiera cos
w rodzaju sumy kontrolnej dokumentu).

Weryfikacja polega na pobraniu z zaufanego centrum identyfikacyjnego
sygnatury kontrahenta (lub jesli znasz go osobiscie - wprost od
niego) i obliczeniu sumy kontrolnej dokumentu. Jesli sie zgadza,
to masz rownoczesnie potwierdzona tozszmosc autora i oryginalnosc
dokumentu (tj. ze nikt go "po drodze" nie sfalszowal).
Aby z kolei nie dalo sie sfalszowac dokumentu i potem wyliczyc mu
nowego podpisu, algorytm
(sygnatura autora, tresc dokumentu) => (podpis)
musi byc nieodwracalny (tzn. trudny do odwrocenia, tzn. odwrocenie
(podpis, tresc dokumentu) => (sygnatura autora)
musi byc baaardzo kosztowne).
Tu klaniaja sie algorytmy niesymetryczne, tzw. klucza publicznego:
autor ma swoj klucz prywatny, z ktorego liczy podpis, a odbiorca ma
jego klucz publiczny (dostepny w centrum identyfikacyjnym), ktorym
sprawdza zgodnosc podpisu.
Wyznaczenie klucza prywatnego z publicznego jest poza zasiegiem
czasowym pojedynczego hackera.

Maciek