Az üzleti kapcsolatok elektronikus formája csak úgy terjedhet el, ha a felek biztosak lehetnek abban, hogy kapcsolattartásuk bizalmas, hiteles, sérthetetlen és letagadhatatlan, mert ezek a sajátosságok kezeskednek arról, hogy nyílt hálózati közegben is biztonságos legyen az elektronikus kommunikáció. Ha mindez megvan, akkor a címzett megállapíthatja a küldő személyazonosságát, ezenkívül biztos lehet abban, hogy az üzenet tartalma nem változott, és az üzenet küldője később nem tagadhatja le azt, hogy ezt az üzenetet küldte. A nyilvános kulcsú infrastruktúrán (Public Key Infrastructure; PKI) alapuló – Magyarországon 2001.
szeptember 1-jén bevezetett – elektronikus aláírás eleget tesz ezeknek a biztonsági követelményeknek.
A jogilag elfogadott elektronikus aláírási rendszerben jogszerűen és biztonságosan köthetők on-line szerződések és indíthatók pénzügyi tranzakciók, a vállalatok tehát biztonságos elektronikus kapcsolatokat építhetnek ki egymással. Az elektronikus aláírás megfelelő használata biztonságossá teszi a kommunikációt és hatékonyabbá az üzletmenetet, közvetlenül csökkenti a papír alapú nyilvántartás költségeit, és felgyorsítja a kommunikációt – s ezzel javíthatja a cég megítélését és versenyképességét.
2004. február elejétől az elektronikus aláírás használható a közigazgatással kapcsolatos ügyek intézésében; a 3000 legnagyobb adózónak már ezzel kell beadnia adóbevallását az APEH-nek; elektronikus aláírással céget is lehet bejegyeztetni – a kft.-k és az rt.-k már elektronikusan is nyilvántartásba vetethetik magukat –, sőt már magánnyugdíj-pénztári tagdíjbevallás is elküldhető elektronikus aláírással. A magánszféra is használhatja már az elektronikus aláírást elektronikus dokumentumainak védelmére. A várható áttörést azonban csak az állami szerepvállalás hozhatja meg: az, ha az állam lehetőséget ad polgárainak a közigazgatási, az önkormányzati és egyéb hatósági eljárásokban az elektronikus ügyintézésre is.
|
Az elektronikus aláírás voltaképpen titkosítás; a nyilvános vagy aszimmetrikus kulcsú titkosítás (Public Key Cryptography) adja meg az alapját. A nyilvános kulcsú titkosításban a kommunikációban részt vevő feleknek van egy-egy kulcspárjuk. A párból az egyik a nyilvános, más szóval publikus kulcs (public key) – ezt a tulajdonosnak minél szélesebb körben közre kell adnia –, a másik a titkos, más néven privát kulcs (private key) –, ezt pedig minden tulajdonosnak biztonságban, magánál kell tartania.
Ha titkosított üzenetet, szeretnénk küldeni, akkor mindig a címzett nyilvános kulcsával kell kódolnunk az üzenetet, mert csak a címzettnek van meg az ahhoz a nyilvános kulcshoz tartozó titkos kulcsa, amellyel megfejtheti a neki szánt üzenetet. Az elektronikus aláírással éppen fordított a helyzet, itt a titkos kulccsal írunk alá, és a nyilvános kulccsal ellenőrizhetjük az aláírás hitelességét.
A gyakorlatban két kulcspárunk van, az egyiket aláíró kulcspárnak nevezik, a másikat titkosító kulcspárnak. Erre nemcsak biztonsági okok miatt van szükség, hanem az eltérő adminisztrációs eljárás miatt is.
Az elektronikus aláírás típusai
A magyar törvény az elektronikus aláírások három típusát különbözteti meg: az “egyszerű” elektronikus aláírást, a fokozott biztonságú elektronikus aláírást és a minősített elektronikus aláírást. Az “egyszerű” elektronikus aláíráshoz technikailag nem biztonságos eljárás is tartozhat, például az, ha az elektronikus levél végére odaírjuk a nevünket.
A törvény szerint az írásbeliség követelményeinek a fokozott biztonságú, illetve a minősített elektronikus aláírás tesz eleget. Mindkettő már PKI technológián alapuló elektronikus aláírás, alkalmas az aláíró személy azonosítására, egyedülállóan személyhez köthető, az aláíró befolyása alatt álló eszközzel hozták létre, és úgy kapcsolódik a dokumentum tartalmához, hogy abban bármilyen változtatás világosan kimutatható.
A magyar szabályozás szerint a legmagasabb biztonsági szintet a minősített elektronikus aláírás adja. Egy ilyen aláírással ellátott elektronikus dokumentumhoz teljes bizonyító erejű magánokirati minőség társul.
|
A kulcspár és a hozzá tartozó entitások (például végfelhasználók, szervezetek, technikai eszközök) összetartozását a felek által elismert hitelesítésszolgáltató szavatolja, egy általa kiadott tanúsítvánnyal. A hitelesítésszolgáltató kibocsátotta digitális tanúsítványban benne van a kulcstulajdonos neve, nyilvános kulcsa, a tanúsítvány kezdeti és lejárati időpontja, a hitelesítésszolgáltató azonosítója, algoritmusa és nyilvános kulcsa, és még jó néhány, a hitelesítésszolgáltató által meghatározott attribútum.
A hitelesítésszolgáltatótól kérhetünk személyes tanúsítványt, szervezeti tanúsítványt, illetve eszköztanúsítványt. Mindhárom típusban megkülönböztethető fokozott biztonságú, illetve minősített tanúsítvány. Az osztályozás persze tovább bontható, mivel a fokozott, illetve a minősített tanúsítványokból a szolgáltatók különböző osztályokat hoztak létre aszerint, hogy milyen ügyleti értékig vállalnak garanciát a szolgáltatásra. Az sem mindegy tehát, hogy 100 ezer forintos vagy több milliós ügyletekről beszélünk-e. A kiadott tanúsítványokat a hitelesítésszolgáltató a maga elektronikus aláírásával hitelesíti, majd közzé teszi egy nyilvános könyvtárban; ott tartja egyébként a lejárt és a visszavont tanúsítványokat is.
A titkos kulcsok tárolása
A titkos kulcs sokféleképpen tárolható. Például hajlékonylemezen vagy egy számítógép egyik állományában. De ez ma már nem ad megfelelő biztonságot. Ezért inkább az intelligens kártya vagy az USB-token használatos erre a célra.
Mindkét megoldásnak előnye, hogy a titkos kulcsok soha nem hagyják el a védett memóriaterületet, vagyis biztonságosan tárolhatók rajtuk. Nem vagyunk géphez kötve, hiszen bárhol használhatjuk a kártyát vagy a tokent, ahol van kártyaolvasó és/vagy USB-kapu. A kártya és a token nem másolható, és mindkettőt jelszó védi arra az esetre, ha elvesznének.
Az új technológiák hamarosan felváltják a jelszavas hozzáférési védelmet (PIN-kód), s jóval erősebb védelmi rendszert alkotnak. Az intelligens kártya és a hozzá tartozó kártyaolvasó (soros, USB-kapu) nagyjából 14-20 ezer forintba kerül, az USB token ára is 12 ezer és 20 ezer forint közé esik.
Jogok és felelősségek
A hitelesítésszolgáltató felel a minősített aláírással ellátott dokumentumok által okozott kárért, ha az általa használt aláírási termékkel vagy az aláírási szolgáltatással megszegte a törvény előírta szabályokat. A szabályok betartását természetesen neki kell bizonyítania.
Az aláíró félnek joga van birtokolni az aláírást létrehozó adatot, és joga van a tanúsítvány felfüggesztését vagy visszavonását kérni. A kötelezettségei közül az a legfontosabb, hogy az aláírást létrehozó adatot csak aláírás céljára használhatja, s be kell tartania a tanúsítványban levő korlátozásokat. Köteles továbbá tájékoztatni a hitelesítésszolgáltatót az azonosításhoz szükséges adatokról és azok változásairól, továbbá arról, ha az aláíró kulcs esetleg rossz kezekbe kerül és arról is, a tanúsítvánnyal kapcsolatban jogvita kezdődött.
A HÍF dolga nyilvántartást vezetni a szolgáltatókról, folyamatosan ellenőrizni, hogy a hitelesítésszolgáltatók megfelelnek-e törvény, a szolgáltatási szabályzat, illetve az általános szerződési feltételek előírásainak, s ha nem felelnek meg, akkor intézkedhet és szankciókkal sújthatja őket. A bizalom és a biztonság hiánya ezentúl már nem lehet akadálya az elektronikus kereskedelem és az elektronikus ügyintézés elterjedésének, mivel ez a technológia teljesen biztonságossá tette az információ- és adatcserét a nyílt hálózatokon.
