Μετάβαση στο κύριο περιεχόμενο
Certyneo

Πώς λειτουργεί η ηλεκτρονική υπογραφή το 2026

Η κατανόηση του τρόπου λειτουργίας της ηλεκτρονικής υπογραφής είναι απαραίτητη για κάθε νομικό υπεύθυνο ή CIO. Βουτήξτε στους κρυπτογραφικούς και κανονιστικούς μηχανισμούς που εγγυώνται την αποδεικτική της αξία.

9 λεπτά ανάγνωσης

Ομάδα Certyneo

Συντάκτης — Certyneo · Σχετικά με την Certyneo

Εισαγωγή

Η ηλεκτρονική υπογραφή είναι σήμερα στο κέντρο του ψηφιακού μετασχηματισμού των επιχειρήσεων: το 2025, περισσότερο από το 70% των μεγάλων ευρωπαϊκών οργανισμών την έχουν ενσωματώσει σε τουλάχιστον μια συμβατική διαδικασία (πηγή: Gartner, Digital Process Automation Survey 2025). Ωστόσο, σπάνιοι είναι οι αποφασίζοντες που κατανοούν με ακρίβεια τους μηχανισμούς που την καθιστούν νομικά έγκυρη και τεχνικά απαλλοτρίωτη. Η κατανόηση του τρόπου τεχνικής λειτουργίας της ηλεκτρονικής υπογραφής — κρυπτογραφία, PKI, πιστοποιητικά — επιτρέπει να επιλέξετε τη σωστή λύση, να μειώσετε τους νομικούς κινδύνους και να επιταχύνετε την εσωτερική υιοθέτηση. Αυτό το άρθρο σας οδηγεί, βήμα προς βήμα, μέσα από την τεχνική αρχιτεκτονική και τα πρότυπα που διέπουν την ηλεκτρονική υπογραφή το 2026.

---

Τα κρυπτογραφικά θεμέλια της ηλεκτρονικής υπογραφής

Η ηλεκτρονική υπογραφή βασίζεται σε δοκιμασμένες κρυπτογραφικές πρωτότυπες. Η κατανόηση των μηχανισμών της σημαίνει κατανόηση για το γιατί είναι πιο αξιόπιστη από μια σάρωση χειρόγραφης υπογραφής.

Ασύμμετρη κρυπτογραφία: δημόσιο κλειδί και ιδιωτικό κλειδί

Η θεμελιώδης αρχή είναι η ασύμμετρη κρυπτογραφία, που εφευρέθη στη δεκαετία του 1970 και τυποποιήθηκε με αλγόριθμους όπως RSA (Rivest–Shamir–Adleman) ή ελλειπτικές καμπύλες (ECDSA). Κάθε υπογράφων διαθέτει δύο μαθηματικά συνδεδεμένα κλειδιά:

  • Το ιδιωτικό κλειδί: διατηρείται μυστικά από τον υπογράφοντα, σε ένα ασφαλές устройство (έξυπνη κάρτα, HSM token ή προστατευμένο λογισμικό μονάδα). Χρησιμοποιείται για τη δημιουργία της υπογραφής.
  • Το δημόσιο κλειδί: διανέμεται ελεύθερα, συμπεριλαμβάνεται σε ένα ψηφιακό πιστοποιητικό. Χρησιμοποιείται για την επαλήθευση της υπογραφής.

Η αρχή ασφάλειας βασίζεται σε μια υπολογιστική ασυμμετρία: είναι μαθηματικά τετριμμένο να επαληθεύσετε μια υπογραφή με το δημόσιο κλειδί, αλλά πρακτικά αδύνατο να ανασυντάξετε το ιδιωτικό κλειδί από το δημόσιο κλειδί (πρόβλημα διακριτού λογάριθμου ή παραγοντοποίησης μεγάλων ακεραίων).

Συναρτήσεις κατακερματισμού: το ψηφιακό αποτύπωμα του εγγράφου

Πριν από την υπογραφή, το σύστημα υπολογίζει μια κρυπτογραφική empreinte του εγγράφου χάρη σε μια συνάρτηση κατακερματισμού (SHA-256 ή SHA-3 το 2026). Αυτό το αποτύπωμα, που ονομάζεται hash ή condensat, είναι μια σειρά χαρακτήρων σταθερού μεγέθους (256 bit για SHA-256) που αντιπροσωπεύει μοναδικά το περιεχόμενο του εγγράφου.

Ουσιαστική ιδιότητα: τροποποίηση ενός μόνο χαρακτήρα του εγγράφου παράγει έναν ριζικά διαφορετικό hash. Αυτό είναι αυτό που εγγυάται την ακεραιότητα του υπογεγραμμένου εγγράφου: οποιαδήποτε μεταγενέστερη αλλοίωση ανιχνεύεται αμέσως.

Η ηλεκτρονική υπογραφή σωστά είναι επομένως ο κρυπτογράφησης αυτού του hash με το ιδιωτικό κλειδί του υπογράφοντος. Κατά την επαλήθευση, ο παραλήπτης:

  1. Αποκρυπτογραφεί την υπογραφή με το δημόσιο κλειδί για να ανακτήσει το αρχικό hash;
  2. Επανυπολογίζει μόνος του το hash του λαμβανόμενου εγγράφου;
  3. Συγκρίνει τα δύο: αν ταυτόσημα, η υπογραφή είναι έγκυρη.

---

Υποδομή Δημόσιων Κλειδιών (PKI): η αλυσίδα εμπιστοσύνης

Η κρυπτογραφία μόνη δεν αρκεί: πρέπει επίσης να αποδεικνύουν ότι το δημόσιο κλειδί ανήκει στην πρόσωπο που ισχυρίζεται ότι την χρησιμοποιεί. Αυτός είναι ο ρόλος της PKI (Public Key Infrastructure) — ή Υποδομή Δημόσιων Κλειδιών.

Αρχές Πιστοποίησης (CA)

Μια Αρχή Πιστοποίησης (ΑΠ ή CA) είναι ένας πιστευτός τρίτος που έχει ακρεδιτάρει που εκδίδει ψηφιακά πιστοποιητικά. Ένα ψηφιακό πιστοποιητικό είναι ένα τυποποιημένο αρχείο (μορφή X.509) που περιέχει:

  • Την ταυτότητα του κατόχου (όνομα, οργανισμό, e-mail);
  • Το δημόσιο κλειδί του;
  • Την περίοδο ισχύος;
  • Την ψηφιακή υπογραφή της ίδιας της ΑΠ.

Στην Ευρώπη, οι εξουσιοδοτημένες ΑΠ αναφέρονται στις Trusted Lists που δημοσιεύονται από κάθε κράτος μέλος της ΕΕ σύμφωνα με τον κανονισμό eIDAS. Στη Γαλλία, το ANSSI δημοσιεύει και διατηρεί αυτή τη λίστα. Οι πάροχοι υπηρεσιών εμπιστοσύνης με δικαίωμα (QTSP) — όπως CertSign, Certigna ή Universign — υπόκεινται σε τακτικούς ελέγχους σύμφωνα με το πρότυπο ETSI EN 319 401.

Η αλυσίδα πιστοποίησης και η ανάκληση

Η PKI λειτουργεί σε ένα ιεραρχικό μοντέλο:

  • Μια ριζική ΑΠ (Root CA) αυτοδύναμη, διατηρημένη εκτός σύνδεσης υπό συνθήκες μέγιστης φυσικής ασφάλειας;
  • Ενδιάμεσες ΑΠ που εκδίδουν πιστοποιητικά για τελικούς χρήστες.

Η ανάκληση των πιστοποιητικών είναι ένας κριτικής σημασίας μηχανισμός: εάν ένα ιδιωτικό κλειδί παραβιαστεί, η ΑΠ δημοσιεύει την αναγνώριση της μη ισχύος του μέσω ενός CRL (Certificate Revocation List) ή μέσω του πρωτοκόλλου OCSP (Online Certificate Status Protocol), επιτρέποντας πραγματική επαλήθευση.

Για την ηλεκτρονική υπογραφή με δικαίωμα σύμφωνα με eIDAS, το ιδιωτικό κλειδί πρέπει να δημιουργηθεί και να διατηρηθεί σε ένα QSCD (Qualified Signature Creation Device) — πιστοποιημένο hardware CC EAL4+ ή ανώτερο, όπως μια έξυπνη κάρτα ή HSM (Hardware Security Module).

---

Τα τρία επίπεδα υπογραφής σύμφωνα με eIDAS

Ο ευρωπαϊκός κανονισμός eIDAS n° 910/2014 (και η εξέλιξή του eIDAS 2.0 σε εξέλιξη ανάπτυξης) ορίζει τρία επίπεδα υπογραφής, καθένα στηρίζεται σε αυξανόμενες τεχνικές εγγυήσεις. Για να εμβαθύνετε σε αυτό το κανονιστικό πλαίσιο, ανατρέξτε στον ολοκληρωμένο οδηγό μας για τον κανονισμό eIDAS.

Απλή ηλεκτρονική υπογραφή (SES)

Η απλή υπογραφή είναι η λιγότερο περιοριστική μορφή τεχνικά. Μπορεί να είναι τόσο απλή όσο ένα πλαίσιο ελέγχου, ένας κωδικός OTP (One-Time Password) που αποστέλλεται μέσω SMS, ή εικόνα χειρόγραφης υπογραφής. Δεν περιλαμβάνει απαραίτητα ένα πιστοποιητικό με δικαίωμα.

Τυπική χρήση: επιβεβαίωση προσφορών, συγκατάθεση εμπορίας, συμβάσεις χαμηλής αξίας.

Κίνδυνος: περιορισμένη αποδεικτική αξία σε περίπτωση διαφωνίας στο δικαστήριο. Το βάρος της απόδειξης καθίσταται στον ένα που επικαλείται την υπογραφή.

Προηγμένη ηλεκτρονική υπογραφή (AdES)

Η προηγμένη υπογραφή ανταποκρίνεται σε τέσσερις ακριβείς τεχνικές απαιτήσεις (άρθρο 26 eIDAS):

  1. Συνδέεται μοναδικά με τον υπογράφοντα;
  2. Επιτρέπει την αναγνώριση του υπογράφοντος;
  3. Δημιουργείται χρησιμοποιώντας δεδομένα υπό τον αποκλειστικό έλεγχο του υπογράφοντος;
  4. Επιτρέπει την ανίχνευση οποιασδήποτε μεταγενέστερης τροποποίησης του εγγράφου.

Συγκεκριμένα, αυτό συνεπάγεται τη χρήση ενός ψηφιακού πιστοποιητικού προσωπικού και ενός ισχυρού μηχανισμού αυθεντικοποίησης. Τα τυποποιημένα μορφοειδή ορίζονται από το ETSI: PAdES (για PDF), XAdES (XML), CAdES (δυαδικά δεδομένα) και JAdES (JSON), όλα τυποποιημένα στη σειρά ETSI EN 319 100.

Ηλεκτρονική υπογραφή με δικαίωμα (QES)

Η υπογραφή με δικαίωμα είναι το υψηλότερο επίπεδο. Απαιτεί:

  • Ένα πιστοποιητικό με δικαίωμα εκδοθέν από ένα QTSP χωρίς την έγκρηση eIDAS;
  • Ένα QSCD για τη δημιουργία της υπογραφής.

Ωφελείται από μια νομική υπόθεση αξιοπιστίας και μια νομική ισοδυναμία με τη χειρόγραφη υπογραφή σε όλη την Ευρωπαϊκή Ένωση (άρθρο 25 eIDAS). Αυτό είναι το επίπεδο που απαιτείται για τις αυθεντικές ηλεκτρονικές πράξεις, ορισμένες νοταριακές πράξεις, ή τα ευαίσθητα δημόσια έργα.

Ο σύγκριση των λύσεων ηλεκτρονικής υπογραφής μας αναλύει τις πρακτικές διαφορές μεταξύ αυτών των επιπέδων για να σας βοηθήσει να επιλέξετε.

---

Η πλήρης διαδικασία ηλεκτρονικής υπογραφής βήμα προς βήμα

Εδώ είναι πώς ακριβώς εξελίσσεται μια συναλλαγή ηλεκτρονικής υπογραφής σε μια πλατφόρμα SaaS όπως Certyneo:

Βήμα 1: προετοιμασία και αποστολή του εγγράφου

Ο αρχική του υπογραφή μεταφορτώνει το έγγραφο (συμβόλαιο, τροποποίηση, διαταγή αγοράς) στην πλατφόρμα. Το σύστημα δημιουργεί αμέσως ένα hash SHA-256 του αρχικού αρχείου, με χρονοσφραγίδα και διατηρούμενο με ανεπίστρεπτο τρόπο. Αυτό το αποτύπωμα θα χρησιμεύσει ως αναφορά για οποιαδήποτε μεταγενέστερη επαλήθευση.

Βήμα 2: αυθεντικοποίηση του υπογράφοντος

Ανάλογα με το επίπεδο υπογραφής που επιλέγεται, η αυθεντικοποίηση ποικίλλει:

  • SES: e-mail + σύνδεσμος υπογραφής;
  • AdES: ισχυρή αυθεντικοποίηση (OTP SMS, εφαρμογή κινητής FIDO2);
  • QES: προηγούμενη επαλήθευση ταυτότητας (πρόσωπο με πρόσωπο ή μέσω βίντεο IDV), έκδοση ενός πιστοποιητικού με δικαίωμα για χρήση μιας ή περισσότερων φορών.

Βήμα 3: δημιουργία της κρυπτογραφικής υπογραφής

Ο υπογράφων επιδράσει στη δέσμευση για υπογραφή. Η πλατφόρμα (ή το QSCD):

  1. Υπολογίζει το hash του εγγράφου;
  2. Κρυπτογραφεί αυτό το hash με το ιδιωτικό κλειδί του υπογράφοντος;
  3. Ενσωματώνει την υπογραφή και το πιστοποιητικό στο έγγραφο (PDF υπογεγραμμένο με μορφή PAdES-LTV για μακροχρόνια διατήρηση).

Βήμα 4: χρονοσφράγιση με δικαίωμα

Ένας υπηρεσίας χρονοσφράγισης με δικαίωμα (TSA) σύμφωνα με το πρότυπο RFC 3161 θέτει ένα timestamp κρυπτογραφίας, αποδεικνύοντας ότι η υπογραφή υπήρχε σε ένα ακριβές στιγμή. Αυτό προστατεύει κατά της αλλοίωσης ημερομηνίας και εγγυάται την αποδεικτική αξία με την πάροδο του χρόνου — ακόμη και αν το πιστοποιητικό του υπογράφοντος λήξει αργότερα.

Βήμα 5: αρχειοθέτηση με αποδεικτική αξία

Το υπογεγραμμένο έγγραφο αρχειοθετείται με τη πλήρη ιστορία ελέγχου: ταυτότητα υπογράφοντος, διεύθυνση IP, χρονοσφραγίδα, hash του εγγράφου, πιστοποιητικά που χρησιμοποιούνται. Αυτό το δοσιοστόμος αποδείξεων (audit trail) είναι απαραίτητο σε περίπτωση διαφωνίας στο δικαστήριο. Οι λύσεις σύμφωνες eIDAS διατηρούν αυτές τις αποδείξεις σε μορφή PAdES-LTV (Long-Term Validation) η οποία ενσωματώνει τα δεδομένα επαλήθευσης για να επιτρέψει την επαλήθευση χρόνια μετά την υπογραφή.

Για να κατανοήσετε πώς να ενσωματώσετε αυτή τη διαδικασία στους ροές εργασίας HR, ανακαλύψτε την λύση ηλεκτρονικής υπογραφής για τα HR και τα πρότυπα συμβάσεις για λήψη.

Νομικό πλαίσιο που ισχύει για την ηλεκτρονική υπογραφή

Η ηλεκτρονική υπογραφή ενσωματώνεται σε ένα πολυστρωματικό κανονιστικό πλαίσιο, συναρθρώνοντας εθνικό ιδιωτικό δίκαιο και εναρμονισμένο ευρωπαϊκό δίκαιο.

Γαλλικό Πολιτικό Δίκαιο

Το άρθρο 1366 του Πολιτικού Δικαίου θέτει την θεμελιώδη αρχή: « Το ηλεκτρονικό έγγραφο έχει την ίδια αποδεικτική δύναμη με το έγγραφο σε υποστήριξη χαρτιού, υπό την προϋπόθεση ότι η πρόσωπο από το οποίο προέρχεται μπορεί να αναγνωριστεί σωστά και ότι καθιερώνεται και διατηρείται υπό όρους φύσης που εγγυώνται την ακεραιότητά του. » Το άρθρο 1367 διευκρινίζει ότι η ηλεκτρονική υπογραφή « συνίσταται στη χρήση μιας αξιόπιστης διαδικασίας ταυτοποίησης που εγγυάται το δεσμό της με την πράξη στην οποία είναι συνδεδεμένη ».

Το διάταγμα n° 2017-1416 της 28 Σεπτεμβρίου 2017 ορίζει την υπόθεση αξιοπιστίας για τις υπογραφές με δικαίωμα και προηγμένες συμμόρφες με eIDAS.

Κανονισμός eIDAS n° 910/2014

Ακρογωνιαίος λίθος του ευρωπαϊκού δικαίου της αριθμητικής εμπιστοσύνης, ο κανονισμός eIDAS (electronic IDentification, Authentication and trust Services) καθιερώνει ένα ενοποιημένο νομικό πλαίσιο για τις ηλεκτρονικές υπογραφές, τους ηλεκτρονικούς σφραγίδες, τη χρονοσφράγιση με δικαίωμα, τις υπηρεσίες σίτισης ηλεκτρονικής αποστολής και τα πιστοποιητικά αυθεντικοποίησης ιστοσελίδων. Το άρθρο 25, παράγραφος 2 του, χορηγεί στη υπογραφή με δικαίωμα μια νομική υπόθεση ισοδυναμίας με τη χειρόγραφη υπογραφή σε ολόκληρη την ΕΕ.

Ο κανονισμός eIDAS 2.0 (σε διαδικασία μεταφοράς στο πρώτο τρίμηνο του 2026) ενδυναμώνει αυτές τις διατάξεις με το ψηφιακό πορτοφόλι ταυτότητας της ΕΕ (EUDIW) και επεκτείνει τις υποχρεώσεις στις αγορές χρηματοοικονομικών υπηρεσιών και υγείας.

Πρότυπα ETSI

Τα μορφοειδή υπογραφών τυποποιούνται από το ETSI:

  • ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) ορίζουν τα τεχνικά προφίλ των προηγμένων και υπογραφών με δικαίωμα;
  • ETSI EN 319 421 δομημένει τις πολιτικές των υπηρεσιών χρονοσφράγισης με δικαίωμα.

GDPR και Προστασία Δεδομένων

Η επεξεργασία δεδομένων ταυτότητας στο πλαίσιο ηλεκτρονικής υπογραφής (όνομα, e-mail, βιομετρία για επαλήθευση ταυτότητας) υπόκειται στο GDPR n° 2016/679. Οι υπεύθυνοι επεξεργασίας πρέπει να: έχουν νομική βάση (νόμιμο συμφέρον ή εκτέλεση συμβάσης), εφαρμόζουν την αρχή ελαχιστοποίησης δεδομένων, και να εγγυώνται την ασφάλεια μέσω κατάλληλων τεχνικών μέτρων (κρυπτογραφία, pseudonymization).

Οδηγία NIS2

Η οδηγία NIS2 (2022/2555/UE), μετατεθείσα σε γαλλικό δίκαιο από τον Οκτώβριο του 2024, επιβάλλει στους χειριστές ουσιαστικών υπηρεσιών και στους παρόχους ψηφιακών υπηρεσιών (περιλαμβανομένων των παρόχων ηλεκτρονικής υπογραφής) ενισχυμένες υποχρεώσεις σχετικά με την κυβερνοασφάλεια, τη διαχείριση κ

Δοκιμάστε το Certyneo δωρεάν

Στείλτε τον πρώτο σας φάκελο υπογραφής σε λιγότερο από 5 λεπτά. 5 δωρεάν φάκελοι τον μήνα, χωρίς πιστωτική κάρτα.

Ξεκινήστε δωρεάνΔείτε τις τιμές
Όλα τα άρθρα

Εμβάθυνση του θέματος

Άρθρα αναφοράς σχετικά με αυτό το θέμα.

Πώς λειτουργεί μια ηλεκτρονική υπογραφή;Κρυπτογραφικός μηχανισμός, έλεγχος ταυτότητας, χρονοσήμανση, διαδρομή ελέγχου: η λειτουργία μιας ηλεκτρονικής υπογραφής εξηγείται βήμα προς βήμα.Τεχνική επίσκεψη ακινήτων: Πρότυπα DPE 2026Ηλεκτρονική σήμανση χρόνου: ορισμός και χρήσηΤι είναι η ηλεκτρονική χρονοσήμανση, πώς λειτουργεί, πότε είναι κατάλληλη και γιατί προστατεύει τις υπογραφές σας.Ηλεκτρονική Υπογραφή Νομική Ισχύς στη Γαλλία 2026Έχει πραγματικά η ηλεκτρονική υπογραφή την ίδια νομική ισχύ με μια χειρόγραφη υπογραφή; Ανακαλύψτε τους ακριβείς κανόνες που ισχύουν στη Γαλλία το 2026.

Εμβάθυνση του θέματος

Οι ολοκληρωμένοι οδηγοί μας για να κατακτήσετε την ηλεκτρονική υπογραφή.

Προτεινόμενα άρθρα

Εμβαθύνετε τις γνώσεις σας με αυτά τα σχετικά άρθρα.

Πλήρης Διαχείριση Μισθοδοσίας στην Επιχείρηση: Οδηγός 2026

Η διαχείριση της μισθοδοσίας είναι ένας στρατηγικός πυλώνας κάθε επιχείρησης. Ανακαλύψτε τις υποχρεώσεις του 2026, τις καλύτερες πρακτικές και πώς η ψηφιοποίηση μετασχηματίζει αυτή τη διαδικασία.

9 min

Ολοκληρωμένη Διαχείριση Μισθοδοσίας στην Επιχείρηση: Οδηγός 2026

Η διαχείριση της μισθοδοσίας είναι στο επίκεντρο των υποχρεώσεων HR κάθε επιχείρησης. Ανακαλύψτε τις καλύτερες πρακτικές, τις νομικές απαιτήσεις 2026 και πώς η ψηφιοποίηση απλοποιεί τις διαδικασίες σας.

9 min

Διαχείριση αμοιβών: Ολοκληρωμένος Οδηγός 2026

Η διαχείριση των αμοιβών εξελίσσεται γρήγορα με την ψηφιοποίηση και τις νέες νομικές υποχρεώσεις. Ανακαλύψτε όλα τα κλειδιά για πλήρη συμμόρφωση το 2026.

9 min