Van egységesen elfogadott nemzetközi besorolás a hálózatokon vándorló információk rejtjelezésének biztonságáról. Magyarországon azonban valószínűleg úgy fogadják majd el a digitális aláírásról szóló törvényt, hogy azoknak a cégeknek, amelyek vállalkoznak a biztonsági szolgáltatásra, sehol sem kell minősíttetniük az általuk alkalmazott eljárást.
Az úgynevezett Common Criteria a biztonság fokozatait sorolja osztályokba, ezzel jellemzi, hogy melyik alkalmazás mennyire feltörhetetlen. Vagyis minden rendszer feltörhető, csak az a kérdés, hogy mennyire nehezen. Márpedig szinte naponta feltörnek egy-egy kulcsot, ez a fehérgalléros bankrablás.
Meg lehet kerülni
Mennyire kell megijedni annak hallatán, hogy két cseh számítógépes szakértő rájött arra, hogyan lehet meghamisítani az elektronikus aláírást? A hírt Prágában jelentette be Csehország egyik vezető szoftvercége, az Icz.
Olvassa el……korábbi írásunkat:
•Jön a virtuális szignó
Képviselői leszögezték: felfedezésük az elektronikus aláírás egyik legegyszerűbb formáját, a PGP formát érinti. Ezt a szakértők “a szegények aláírásának” becézik, mert ingyenesen, illetve olcsón hozzáférhető. Világszerte több tízmillió ember használja.
Az aláírás algoritmusait nem tudják ugyan megbontani, de rájöttek, hogyan lehet ezt az aláírást megkerülni. Jirí Hejl, a cég egyik szakértője arra büszke, hogy módszerükkel például nyugodtan lehet fogyasztani az így aláírt számláról.
Milliók használják
Cseh számítógépes körökben a bejelentés nagy feltűnést keltett. A szakértők azonnal igyekeztek megnyugtatni a kedélyeket, s rámutattak arra, hogy manapság már a bankok és a komoly cégek az elektronikus aláírás sokkal magasabb színvonalon biztosított változatát használják.
Ennek ellenére a PGP aláírás megkerülésének lehetősége komoly gond. “A PGP-t jelenleg az emberek milliói használják különféle üzletekre, hivatalos ügyintézésre. Számukra ez nagyon kellemetlen következményekkel járhat” – mondta Petr Koubsky, a Softwarové Noviny szaklap szerkesztője.
Garantált változatlanságAz FN által megkérdezett szakértő szerint az ok az, hogy egyelőre nagyon kevés tapasztalata van a szakmának a nyilvános kulcsú infrastruktúrák használatáról. A globalizációs nyomásnak engedve sok kiforratlan vagy viszonylag könnyen feltörhető nyilvános kulcsú rendszert beengednek a piacra, mert nincs idő arra, hogy megkeressék az elvi megoldást a nyílt hálózatokon küldözgetett adatok hitelességének megteremtésére. Arról van szó, hogy garantálni kell: az adatsor nem módosult a hálózaton való küldözgetés közben, ami arról is árulkodik, hogy nem nyúlhatott hozzá senki.
Tapasztalatlan magyarok
Itthon is könnyen előfordulhat hasonló helyzet. Amennyiben a törvénytervezet nem változik a parlamenti vita során, akkor aligha reménykedhetnek a kifosztott cégek és magánszemélyek, hogy eredményesen perelhetik azt a szervezetet, amellyel megállapodtak információik rejtjelezésében.
Növeli a veszélyt, hogy nem lesz kötelező minősíttetni az alkalmazott eljárást, vagyis a “másodlagos frissességű hal” ugyanúgy piacot szerezhet, ha megtalálja a módját, mint a legfrissebb. Sok bírálatra számíthatnak a törvény készítői azért is, mert bár a törvény szövege technológiasemleges, de a végrehajtási utasítás már nem. Preferál megoldásokat. Valószínűleg az Alkotmánybíróságnak kell majd elbírálnia, hogy ezt teheti-e.
