(+36-30) 585-5751
(+36-1) 452-0050
info--.at.--patronet.hu
1146 Budapest, Ajtósi Dürer sor 5.
(+36-30) 585-5751

Mi is az az elektronikus aláírás?

IT Café @ 2010. március 29.

 

Örvendetes, bár az elvárhatónál lassabb ütemben bővül a digitális ügyintézés Magyarországon is. A megbízható és zökkenőmentes elektronikus ügymenet egyik legfontosabb eleme a számítógéppel létrehozott és kezelt dokumentumok hitelesítésének kérdése, melynek egyik kiemelkedő, lassanként mindennapjainkhoz is hozzátartozó része az elektronikus aláírás. Most induló cikksorozatunkban a kellően még mindig nem eléggé ismert technológiát járjuk körbe az alapfogalmaktól kezdve, a módszerek ismertetésén át egészen az elektronikus aláírás mai tényleges helyzetéig, s megszólaltatjuk azokat az állami intézményeket, illetve magáncégeket, akik érintettek e témakörben.

Bevezető cikkünkben a legalapvetőbb fogalmakat igyekszünk tisztázni, mielőtt belemerülünk a részletekbe, később majd elkezdjük annak vizsgálatát, hogy vajon hol tart hazánk e téren, milyen érdekek, milyen elképzelések versengenek e félig piaci, félig közösségi érdekeket érintő informatikai területen.

Az alábbi összefoglaló fő forrása A közfeladatot ellátó szervek egységes iratkezelése című, 2008-ban megjelent tanulmánykötetben olvasható írás, melyet Berta István és Barsi András, a Microsec Kft. munkatársai jegyeznek (e tanulmányra épül az a szintén felhasznált igen alapos tudásbázis is, melyet az említett cég honlapján olvashatnak az érdeklődők).

Az elektronikus hitelesítési eljárások, technológiák megalkotását az tette szükségessé, hogy a modern állam számára létszükségletnek tekinthető bürokratikus rendszerek mind nagyobb mértékben állnak át a digitális dokumentumkezelésre, s ezek esetében már nem alkalmazhatóak a papíralapú ügyintézésben évszázadok (évezredek) óta használt hitelesítések, mivel megváltozott az iratok hordozó anyaga, így előállításuk, közvetítésük, olvasásuk és tárolásuk módja is.

Előzetes definícióként annyit fogadjunk el, hogy az elektronikus aláírás egy egyedi kódsorozat, melyet egy speciális technológia segítségével helyeznek el magában a dokumentum szerkezetében. (A dokumentum fogalmának tisztázása sem egyszerű: egy viszonylag korrektnek tekinthető megfogalmazás szerint: „…elektronikus dokumentumnak számít bármilyen elektronikus formában létező adat, amit aláírással láttak el. Az elektronikus irat az elektronikus dokumentumok azon fajtája, amelyek szöveget tartalmaznak. A legerősebb megkötés az elektronikus okirattal szemben áll: ez olyan elektronikus okirat, amely nyilatkozattételt, illetőleg nyilatkozat elfogadását, vagy nyilatkozat kötelezőnek való elismerését tartalmazza, azaz szerződésnek vagy jogi nyilatkozatnak tekinthető.”)

Az elektronikus aláírás szükségessége politikai szinten a 20. század utolsó évtizedében merült fel. Az Európai Unió 1997-ben fogadta el az elektronikus aláírással kapcsolatos irányelvet, de döntő fontosságú volt 2000-ben, hogy Clinton elnök aláírta az erre vonatkozó amerikai törvényt, s nem sokkal ez után, 2001-ben Magyarországon is létrejött a szükséges szabályozás, majd 2004-ben megalakult nálunk a technológiát támogató és elterjesztését célul kitűző a Magyar Elektronikus Aláírás Szövetség (MELASZ).

Mit kell tudnia egy elektronikus aláírásnak?

Ha egy dokumentum – levél, szerződés, kérvény, értesítés, határozat, adóbevallás stb. – hitelesítéséről beszélünk, akkor mind a papíralapúak, mind az elektronikusak esetében azonos feltételeknek kell megfelelni egy interakcióban (nevezzük küldőnek a dokumentum előállítóját, és hívjuk fogadónak azt a másik felet, aki szeretne meggyőződni arról, hogy hiteles-e a hozzá érkezett elektronikus irat): hiteles legyen, biztosítania kell a dokumentum sérthetetlenségét és letagadhatatlannak kell lennie. Nézzük meg azt, hogy miképp teljesíti ezeket az elvárásokat a hagyományos, illetve az elektronikus aláírás, s hogy milyen lehetőségek adódnak ezek hamisítására.

  • Áthelyezhető-e az aláírás észrevétlenül egy másik dokumentumra?: a hagyományos aláírás személyhez kötődik, valódiságának ellenőrzése az egyéni írásképen alapul; állandó, vagyis mindig ugyanolyan, ezért lehetséges például minták (pl. aláírási címpéldány, aláírásminta) alapján kontrollálni a valódiságát. Ez az aláírás nem kapcsolódik a dokumentum tartalmához, pecsétjellegű, s bár az egyedi megvalósulás, a konkrét aláírás fizikailag kapcsolódik a papírhoz, valójában mindig ugyanaz az azonosító kerül minden egyes dokumentumra. Az elektronikus aláírás létrehozási módjából ellenben következik, hogy függ a dokumentum tartalmától, mindig más (erről később), ezért nem helyezhető át, szoros egységet alkot az adott elektronikus irattal
  • Megváltoztatható-e az aláírt dokumentum tartalma észrevétlenül?: egy papírra felírt szöveg különféle technikákkal (akárcsak egyszerű beleírással) megváltoztatható anélkül, hogy az aláírás hitelesítő ereje csökkenne (igen sok hamisításnak, visszaélésnek ez az alapja, gondoljunk csak az előre aláírt üres lapokra, ahová később bármilyen tartalom felvihető). Ellenben egy elektronikus aláírás ellenőrzése a dokumentum tartalmának bármilyen kismértékű megváltoztatást jelzi
  • Egyértelműen bizonyítja-e az aláírás azt, hogy az a tulajdonosától származik?: a hagyományos aláírás hamisítása épp azon alapszik, hogy a hamisító megtanulja reprodukálni a kézírást, s megeshet, hogy szakértő sem képes megkülönböztetni az eredetit és az utánzatot. Az elektronikus aláírás hamisíthatatlan – feltéve, hogy titkos kulcsunkat nem szerzik meg (a kulcsokról később)
  • Letagadhatja-e az aláíró az aláírását?: a hagyományos szignatúra esetében lehetőség van annak letagadására, ám a jogszabályok szerint ilyenkor bizonyítani kell a hamisságot. Az elektronikus aláírás letagadhatatlan – feltéve, hogy titkos kulcsunkat nem szerzik meg
  • Hiteles-e a dokumentum másolata?: a papíralapú dokumentum másolata csak akkor tekinthető hitelesnek, ha a kiállítója a másolatot is ellátja kézjegyével; az elektronikus aláírással jegyzett dokumentum minden másolata hiteles, hiszen az iratok szerkezete ugyanaz, minden bitjük azonos

Hogyan működik az e-aláírás?

Az elektronikus aláírás létrehozása és működtetése az informatikai titkosítás, a kriptográfia egyik részterülete. E roppant bonyolult és kifinomult módszertanokat tartalmazó szakágról egyelőre csak annyit jegyezzünk meg (a későbbi cikkekben lesz még szó erről részletesen), hogy az úgynevezett „aszimmetrikus titkosítást” használják. A gyakorlatban ez azt jelenti, hogy az aláírás kódolására két kulcsot használnak: egy privát kulcsot (magánkulcs), illetve egy nyilvános kulcsot.

E folyamat nélkülözhetetlen része az úgynevezett „lenyomat” (hash), melyet az adott dokumentumból generálnak. A lenyomat olyan meghatározott hosszúságú, az elektronikus dokumentumhoz rendelt bitsorozat, amelynek képzése során a használt eljárás biztosítja, hogy:

  • a lenyomat egyértelműen az adott dokumentumból származik
  • a lenyomatból nem lehet a dokumentumot rekonstruálni, sem a tartalmára következtetni
  • a lenyomat nem teheti lehetővé, hogy rá alapozva létrejöjjön egy olyan dokumentum, amelyik azonos lenyomatot adna azonos eljárás után

A fenti feltételek biztosítják az aláíró azonosítása mellett dokumentum sértetlenségének ellenőrzését is.

Forrás: Rózsahegyi Zsolt (Netlock Kft.)

A hitelesítési módszer úgy működik, hogy létezik egy nyilvánosan hozzáférhető kulcs mint a kódolás egyik alapeleme, illetve minden egyes felhasználó birtokol egy magánkulcsot. A lényeg: a küldő a magánkulcs segítségével rejtjelezi az aláírást, s ezt a fogadó viszont csakis a megfelelő, hozzá tartozó nyilvános kulcs segítségével tudja visszafejteni.

Az elektronikus aláírás létrehozása és ellenőrzése

Ha hitelesíteni szeretnénk egy digitális dokumentumot, akkor az aláírás beillesztéséhez egy úgynevezett aláírás-létrehozó adatra (magánkulcs) van szükségünk. Ez a teljesen egyedi adat biztosítja azt, hogy ne jöhessen létre két egyforma aláírás, ugyanakkor ez az elektronikus aláírás rendszerének egyetlen – nem technológiai szempontból – gyenge pontja: ez az adat nem kerülhet idegen kézbe, hiszen akkor megszerzője a mi aláírásunkat szabadon használhatná (mint a PIN-kód; a felhasználó felelőssége, hogy vigyázzon rá). Ezt az adatot igen gyakran egy intelligens kártyán tárolják a tulajdonosok, így erre a kártyára kell különös módon ügyelni.

Forrás: Berta-Barsi i.m.

A másoktól kapott elektronikus dokumentum hitelességét a fogadó természetesen szeretné ellenőrizni, illetve az aláíró szeretné ellenőrizhetővé tenni, ezért a folyamatba egy újabb szereplő lép be: az úgynevezett hitelesítésszolgáltató által kiállított tanúsítvány; az ellenőrzés egy bonyolult számítástechnikai feladat, de a felhasználó számára igen egyszerű, mivel ezt a műveletet egy erre a célra létrehozott, könnyen kezelhető szoftver végzi.

Forrás: Berta-Barsi i.m.

Az elektronikus aláírás fajtái

A jelenlegi magyar jogi szabályozás három típusú elektronikus aláírást ismer:

  • minősített elektronikus aláírás: egy olyan fokozott biztonságú elektronikus aláírás, amely minősített tanúsítványra épül, és amelyet biztonságos aláírás-létrehozó eszköz (pl. egy speciális minősítésű intelligens kártya) segítségével hoztak létre. A minősített elektronikus aláírás mindenképpen kriptográfiai technológiákra épül, a Nemzeti Hírközlési Hatóság által meghatározott kriptográfiai algoritmuskészletek alapján. Minősített tanúsítványt kizárólag minősített hitelesítésszolgáltató bocsáthat ki, méghozzá kizárólag személyes regisztráció során, azaz a minősített hitelesítésszolgáltató munkatársának személyesen találkoznia kell a tanúsítványt igénylő személlyel. Minősített tanúsítvány kizárólag ember, azaz természetes személy számára bocsátható ki
  • fokozott biztonságú elektronikus aláírás: a minősítettnél alacsonyabb biztonsági szintet képvisel, sokkal kevesebb szabály vonatkozik rá. A fokozott biztonságú aláírás is kriptográfiai megoldásokra épül, de nem feltétlenül nyilvános kulcsra épülő
  • egyszerű elektronikus aláírás (fokozott biztonságúnak nem minősülő elektronikus aláírás): ez az inkább jogászi, mint technológiai szemszögből felállított kategória valójában alapvetően különbözik a tényleges, a fentebb ismertetett tulajdonságokkal rendelkező elektronikus aláírástól, mivel ide tartozik minden olyan aláírás, amelyet mondjuk egy e-mail vagy egy szöveges dokumentum szövegébe szúr be a felhasználó. Könnyen belátható, hogy a dokumentum szerkezetébe ezek oly módon illeszkednek, hogy azok semmiféle hitelesítő erővel nem rendelkeznek, könnyen módosíthatóak, nem azonosíthatóak stb.

Forrás: Rátai Balázs (Carneades Consulting)

Az elektronikus aláírás fejlett technológiája lehetővé teszi, hogy ma már szinte mindenütt elfogadják az ügyintézés során: Magyarországon az elektronikus aláírásról szóló 2001. évi XXXV. törvény hatályba lépése óta a legalább fokozott biztonságú elektronikus aláírással ellátott dokumentum megfelel az írásba foglalás követelményeinek, a minősített aláírással ellátott dokumentum pedig – a polgári perrendtartásról szóló törvény értelmében – teljes bizonyító erejű magánokirat (akárcsak a két tanú előtt, vagy a közjegyző előtt aláírt dokumentum).



« Vissza

PatroNet Consulting Kft.

 

(+36-1) 452-0050

(+36-30) 585-5751

 

info--.at.--patronet.hu

1146 Budapest,
Ajtósi Dürer sor 5.
GPS: N 47° 30' 25.815"
E 19° 5' 11.4786"