Az igazi üzletember már nem jár bankba – pénz- és számlaügyeit az íróasztala mellől, a számítógép előtt ülve intézheti. Nálunk, Magyarországon is. A kriptográfia – a titkosítás tudománya – fontos szereplő e banki rendszerek kiépítésekor.
Egyre több hazai bank hirdeti az új elektronikus szolgáltatásokat, amelyek során az ügyfél saját monitorán rendelkezhet az átutalásokról, adhat-vehet értékpapírokat, ellenőrizheti a számláját, sőt ahhoz statisztikákat, figyelmeztető jelzéseket köthet. Talán csak a technika újdonsága okozza, hogy az ügyfelek elég keveset hallanak a biztonsági kérdésekről, az adatok védelméről. Az elektronika kényelme egyelőre elhomályosítja az adatvédelem kényes kérdéseit. Pedig a digitális pénzügyi tranzakciók számának gyors növekedése mellett valószínűleg csak idő kérdése, hogy hazánkban is kipattanjon az első komolyabb digitális betörési-lehallgatási botrány. Amikor is kiderül, hogy bár a technikai feltételek többnyire adottak, a jogi és a társadalmi feltételek még hiányosak.
Az informatikai beruházások terén a bankok és a pénzintézetek köztudottan és érthetően igen konzervatívak. Ami azt jelenti, hogy csak a már kiforrott, bizonyított rendszereket állítják üzembe. A legtöbb bank ragaszkodik a teljesen zárt hálózathoz, amelyhez csak az általuk elfogadott és ellenőrzött ügyfelek férhetnek hozzá. Van, ahol az ügyfél a megfelelő jelszavas-titkos bejelentkezési eljárás után közvetlenül a bank hálózatán futó alrendszerbe jut, így saját számlájáról lényegében ugyanazt látja, amit a banki tisztviselő. Ebben az esetben igen költséges azonosító-ellenőrző-hitelesítő technológiákat illesztenek a bank és az ügyfél közé. Ennek ellenére ezt a megoldást sokan veszélyesnek tartják – hiszen egy sikeres próbálkozás esetén az adatbetörő közvetlenül a bankba jut. Más bankoknál az ügyfél a belső rendszer másolatához kap csatlakozási pontot, s az általa beadott adatok automatikus ellenőrzés után kerülnek az eredeti rendszerbe. Szakemberek még ezt a megoldást sem tartják elég biztonságosnak. Biztonsági szempontból talán a legjobb megoldás, amikor az ügyfél egy operátorral – a bank alkalmazottjával – veszi fel az elektronikus kapcsolatot, neki adja át titkosított utasításait, aki azokat a megfelelő azonosítási és hitelesítési eljárás után továbbítja a banki hálózatba. Ez utóbbi megoldást alkalmazza például az Inter-Európa Bank. Elsősorban azért, mert ez a pénzintézet az egyetlen a hazai palettán, amely nem zárt hálózaton át engedi be az ügyfeleket, hanem a CompuServe viszonylag nyílt hálózatán át.
A nyilvános és a zárt adathálózatok biztonsági kérdései az Internet robbanásszerű elterjedésével párhuzamosan mind gyakrabban okoznak fejtörést, s adnak okot konferenciák, kiállítások rendezésére. Májusban például a Magyar Adatbázis-forgalmazók Kamarája rendezett tanácskozást Digitális aláírás címmel, amit a júniusi Kriminalexpo idején folytatnak. Világszerte erős az igény arra, hogy az Internet teljesen nyílt hálózatán át kereskedelmi, pénzügyi manővereket lehessen végrehajtani, ám az ehhez szükséges adatvédelmi technológiák még nem eléggé elterjedtek. De a keresletből láthatóan bizonyos, hogy ez a közeljövőben változik. Főleg a titkosítás tudományának gyors fejlődése miatt.
A kriptográfia – a titkosítás tudománya – az utóbbi években kilépett a hadiipar és a titkosszolgálat zárt világából. A hagyományos titkosító eljárások bonyolult matematikai képletek segítségével “zagyválják össze” az eredeti szöveget vagy adathalmazt, majd a megfejtésükhöz szükséges kulcsot a küldő és a fogadó fél megbízható, ugyancsak titkos csatornán át cseréli ki. Az úgynevezett kriptoanalízis e kulcsokat igyekszik megszerezni. Az újabb eljárások esetében nincs szükség a kulcsok kicserélésére.
Az Egyesült Államokban kidolgozott RSA eljárás egyik nyilvános megvalósítása a híres PGP – Pretty Good Privacy, azaz Meglehetősen Jó Magánélet, pontosabban a személyes adatok védelmének elég jó megoldása. Hogy milyen jó megoldás, arról tanúskodott az a nagy feltűnést keltett nyomozás, amelyet a rendszer kidolgozója és nyilvánosságra hozója – Phil Zimmermann – ellen folytatott az FBI. A programozó “bűne” az volt, hogy a törvények tiltása ellenére közkinccsé tett egy addig titkos eljárást.
A PGP programrendszer felhasználója a programmal két kulcsot generál magának: egy titkos és egy nyilvános kulcsot. A kulcsok része a felhasználó azonosítója és jelszava, ezért nem kell tartani az ismétlődéstől. A nyilvános kulcs nem teszi lehetővé a titkos kulcs megismerését, sőt a már kódolt üzenetet még a küldő sem tudja újra dekódolni.
Megoldották a feladó azonosítását, sőt az üzenet hitelesítését is. A feladó saját titkos kulcsával mintegy aláírja az üzenetet. Az aláírás eredetisége a nyilvános kulcs segítségével ellenőrizhető. Így a fogadó az üzenet dekódolása után bizonyos lehet a küldő személyében, sőt abban is, hogy az üzenetet útközben nem módosították. A módosításhoz ugyanis a feladó titkos kulcsa kellene. Ezzel ki van zárva a hamisítás, és a küldő sem tagadhatja le magát utólag.
Gyakran kombinálják a hagyományos és az új eljárást. Ilyenkor a nyers szöveget egy nagy hatékonyságú hagyományos eljárással kódolják – ez jóval gyorsabb, mint a nyilvános kulcsos eljárás. A titkosítás első lépésében egy hagyományos kódoláshoz használható véletlen kulcs generálódik, ami kizárólag abban az egy küldésben kerül alkalmazásra. Ezt a kulcsot a fogadó nyilvános kulcsával rejtjelzik, és a rejtjelzett kulcsot a kódolt üzenettel együtt küldik el. A fogadó a saját titkos kulcsával először dekódolja az ideiglenes kulcsot, majd ennek segítségével a gyors algoritmussal dekódolja a kódszöveget.
Az egész eljárásban az a legszebb, hogy maga a technológia nyilvános – az Inter-Európa Bank például nem titkolja, hogy rendszerének ez a lényege. Sokhelyütt nem hajlandók az alkalmazott megoldásról beszélni – ám ez esetben az ügyfél nem győződhet meg arról, hogy valóban a leghatékonyabb megoldást választotta-e a pénztárcáját kezelő bank.
Szépsége még az új rendszernek, hogy különböző trükkökkel tovább bonyolítható. Ilyen lehet a kétszeres-háromszoros csomagolás – a PGP a titkosítás mellett tömöríti is az adatokat -, avagy korlátlanul növelhető a kulcsok hossza, vagyis bonyolultsága.
Szakértők szerint egy 64 bit hosszúságú kulcs már csaknem megfejthetetlen. Kiszámították, hogy egy 128 bit hosszúságú kulcs feltöréséhez két tucat nagyteljesítményű számítógép több évtizedes(!) munkájára volna szükség. Az Egyesült Államok az RSA technológia exportja esetén legfeljebb 40 bites kulcsokat engedélyez – ám egy ilyen kulcs feltörését lelkes PGP-hívők csapata komoly erőfeszítéssel ugyan, de egy ízben megtette.
A DES, az RSA, a PGP és a többi titkosító eljárás jelentősége azért növekszik, mert robbanásszerűen terjed az elektronikus adatátvitel, az elektronikus levelezés technikája és mindennapi gyakorlata, s vele a személyes kommunikáció védelmének igénye. A magánszféra mellett így van ez a pénzvilágban, sőt a kormányzati, az állam- és a közigazgatási szférában is. Ám ott még inkább szembetűnő a jogi és az ügyviteli rendszer szabályozatlansága.
Banki szakemberek szerint több gond van. Az egyik, hogy egyáltalán nincs szabályozva a bankvezetők biztonsági felelőssége. A másik, hogy – éppen a technika és a követelmények újdonsága miatt – nincs még kidolgozva egy olyan egységes szabvány, amelyet a bankok kiinduló pontként használhatnának – ezért tulajdonképpen mindenki barkácsol. A harmadik, s talán ez a legfontosabb: miközben létezik, s a mindennapi gyakorlat része a papíros okiratok és aláírások ellenőrzésének, hitelesítésének a folyamata, nem létezik ezek szabványos, a jog által is elfogadott megfelelője az elektronikus ok-iratok és aláírások esetére. Pedig az elektronikus banki átutalás mai gyakorlat, a digitális utasítás egyenértékű a tintás aláírással. A hiány akkor lesz fájdalmas, amikor kirobban az első nagyobb vita. Ne feledjük, nagy pénzekről lehet szó, így a tét is nagy.
A kormányzati szférában a kérdés megoldására egész projektet indítottak. A kormányzati levelező rendszer (X.400) második ütemének indítása kapcsán a Miniszterelnöki Hivatal Informatikai Koordinációs Irodája felkérésére többek között dr. Stauber József, a Legfőbb Ügyészség főosztályvezető ügyésze dolgozik a jogi kérdéseken. Az első lépések során a külföldi szabályozásokat igyekeztek összegyűjteni – kiderült, hogy ők sem tartanak még oly nagyon elől. Az Európai Uniónak még csak ajánlásai vannak. Egyedül Utah állam rendelkezik törvényi szinten a digitális aláírásról.
A kutatók alapfeltételezése az, hogy az elektronikus dokumentum is – okirat. Magán- vagy közokirat. Vagyis a szabályozást ehhez kell igazítani. A jog megmondja, hogy milyen kellékei vannak egy kinyomtatott magán- vagy közokiratnak. Csupán az a feladat, hogy ugyanezt megmondják a digitális okirat esetén is. Természetesen nem a jog feladata, hogy kidolgozza a technikai feltételeket – erre létre kellene hozni egy szakértői csoportot -, ám a követelményrendszert a jognak kell jóváhagynia.
Az állami és közigazgatási elektronikus levelező rendszerekben meg kell oldani a jogosultság és a titokvédelem mellett a hitelesség szavatolását; valódi-e az aláírás és a pecsét, senki nem manipulálhatta a küldeményt; valóban megérkezett a rendeltetési helyre; a címzett letagadhatatlanul átvette azt; a rekonstruálható időben és helyen. Mivel a dokumentumok többsége alapvető állampolgári jogokat érint, a szakemberek szerint az egész folyamatot törvényi szinten kell kezelni. Vagyis: még mindig sürgető az évek óta követelt informatikai törvény kidolgozása.
A mellékletet Takács Gitta szerkesztette
