Az Interneten keresztüli fizetéshez szükséges technikai megoldás az úgynevezett nyilvános kulcsú titkosítás. Ez egyrészt titkosítja a hálón keresztül küldött levelet tartalmi szempontból (olyan mintha egy lezárt borítékba tennénk), másrészt pedig a hitelesítést is elvégzi, vagyis garantálja a feladó személyét. Az aláírásra felhasznált ilyetén titkosítás önmagában még nem jelenti automatikusan a szöveg titkosítását is, ezt legtöbbször egy külön erre a célra kidolgozott, gyors titkosító eljárás végzi el. A leggyakrabban alkalmazott algoritmuspár az RSA, amely két nagy prímszám szorzatán alapul, illetve az ehhez társuló DES. Ez utóbbinak az 56 bites algoritmusa túl rövid, nemrégiben fel is törték (igaz, ehhez több ezer, az Interneten egymáshoz kapcsolódó számítógépre volt szükség). Emiatt a komolyabb alkalmazások a 128 bites DES változatot használják. A szoftverfejlesztők ma már a legtöbb böngészőprogramba beépítik az SSL-t, a Netscape fejlesztését. Tulajdonképpen ez a legegyszerűbben hozzáférhető titkosítási protokoll, hiszen ez számos gépen már vásárláskor rajta van. Az SSL azonban a fizetési tranzakciók szempontjából jó néhány problémát nem old meg: nem azonosítja egyértelműen a partnereket, nem biztosítja a fizetési és rendelési adatok integritását, és nem teszi lehetővé azt sem, hogy a vásárlásban részt vevő három fél – vevő, kereskedő, bank – a kereskedelmi tranzakcióban “termelődött” üzenetekből csak az őt megillető információt tudja elolvasni. Mindezzel együtt az SSL-t több online áruház használja, például az e területen legsikeresebb Amazon.com, vagy itthon az Internetto Áruház (amelynek viszont egyelőre kevéssé megy jól.)
Néhány évvel ezelőtt az elektronikus kereskedelemben érdekelt legnagyobb cégek, a Visa, a Europay MasterCard, a Microsoft, a Netscape és az IBM közös szabványt hoztak létre – a SET-et -, amely kiküszöböli az SSL hiányosságait. Európában elsőként Dániában bonyolítottak SET alapú tranzakciót, 1996. december 30-án. Az idén januárban az ország egyik kisvárosában, Naestvedben már megkezdődött az a projekt, amelynek általánossá válása adhat értelmet a digitális aláírásnak: a városi önkormányzat és a lakosok elektronikus úton küldhetnek egymásnak jogerős dokumentumokat, és az önkormányzat a központi vásárlásokhoz is “intelligens nyomtatványokat” fog használni. A digitális igazolvány bevezetése is megtörténik még az idén. Itthon az Inter-Európa Bank (IEB) az IBM-mel és a Datanettel közösen megálmodott egy virtuális áruházat, amely egyelőre kísérleti jelleggel működik, késik ugyanis a projekt “fizikai” összerakása.
A digitális aláírás használata az elektronikus kereskedelmet azért könnyíti meg, mert a vevő hitelességét a kereskedő ellenőrizheti. Amíg nincs erre vonatkozó törvény, addig a hitelesítés csak a bank segítségével végezhető el, hiszen szükség van a bank aláírási mintájára. Ha viszont a törvény megszületésével létrejön egy – az angol Certification Authority alapján többnyire csak CA-ként emlegetett – hitelesítő hatóság, akkor az helyettesítheti a bankot. Verhás Péter, a Compaq szakembere azt állítja, hogy a digitális aláírás feltörhetetlenségét a matematikusok elméletileg “majdnem bizonyítottnak” tartják.
Foltányi Tamás, az IEB vezérigazgatója szerint a digitális aláírást szabályozó törvényre elsősorban a bankok és ügyfeleik közti tranzakcióknál lenne szükség. Azokban az esetekben, ahol a bankok csak közvetítők egy bankkártyával bonyolított online kereskedelmi tranzakcióban, ott a bankkártyatársaságok szabályozzák a vitás kérdéseket.
Az Egyesült Államokban jól működik az a központi nyilvántartás, amely a kártyával való visszaéléseket regisztrálja, s ezzel a bankoknak lehetővé teszi a gyanús ügyfélre való felkészülést. Magyarországon is nagy szükség lenne egy ilyen nyilvántartás létrehozására, de bankárkörökben azt állítják, hogy a probléma megoldása nincs megfelelően kézben tartva. Foltányi Tamás hangsúlyozta, hogy ezen a téren is vannak a hazai szabályozásban hiányosságok. Ezek pótlásakor kívánatos lenne, ha nem egyoldalúan a bankok felelősségét érintené a törvény, hanem szigorúan szankcionálná a bankkártyával való visszaéléseket, a bankkártya-hamisításokat, csalásokat, illetve büntetné a hanyag kezelést is. A törvényi szabályozásra az elektronikus banki szolgáltatásoknál is szükség lenne, mert a gyakorlat azt mutatja, hogy ezen a téren a bankok eltérő feltételekkel állapodnak meg az ügyfelekkel.
Az elektronikus okiratok szabályozásáról a Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága (ITB) kezdte meg a munkát mintegy két éve. Akkor kidolgoztak egy tervezetet, amely mindössze a szakmai körök véleményezését élte meg. Az informatikusok ugyanis azt állították róla, hogy egyáltalán nem veszi figyelembe az ide vonatkozó technológiai szabályszerűségeket. Vakvágányt jelentett ez a tervezet abból a szempontból is, hogy nem foglalkozott a hitelesítés kellékeivel, arra viszont nagy hangsúlyt helyezett, hogy ki lesz a hitelesítő szerv. Tavaly márciusban az ITB létrehozott egy informatikai jogi főosztályt, amelynek az volt a feladata, hogy az elektronikus okiratok törvényi szabályozását előkészítse. Ez a munkacsoport – amelyet a kormányváltás után kinevezett új helyettes államtitkár, Zöldné Roska Marietta szeptemberben, alig hat hónapnyi működés után megszüntetett – kidolgozott egy alapnak tekintett törvénytervezetet és egy jogi szabályozási programot. Ez utóbbi meghatározta azoknak a jogszabályoknak a körét, amelyeket az elektronikus okiratok hitelesítése érdekében módosítani kell, és tartalmazott egy 1998-tól 2000-ig tartó forgatókönyvet a módosítások sorrendjéről. Az Európai Unió (EU) egyébként a külön szabályozást pártolja, nem pedig azt, hogy a digitális aláírást, illetve az elektronikus okiratokat a hagyományos módszerek analógiájaként fogják fel. Az informatikai jogi főosztály megszűntével mindenesetre a törvényi szabályozás kidolgozása leállt, a kérdéssel jelenleg senki nem foglalkozik intézményi szinten. Az ITB még szeptemberben küldött egy levelet az Igazságügyi Minisztériumnak (IM), abban Zöldné Roska Marietta az elektronikus okiratokkal kapcsolatos munkát rátestálta a szóban forgó tárcára. Az IM részéről viszont Gadó Gábor helyettes államtitkár azt állítja, hogy a törvénytervezet kidolgozása nem az ő feladatuk, hiszen a probléma komplexitása miatt több tárca bevonására lenne szükség, ezt pedig – ha nem is az ITB-nek, – de a Miniszterelnöki Hivatalnak kellene irányítania.
Így a törvénytervezet “két szék közt a pad alá” esett, s ott is maradt, pedig igencsak időszerű lenne a bevezetése, mert a bankok többsége az elektronikus szolgáltatásaihoz már használja a digitális aláírást. A törvény létrejötte nem csak üzleti, hanem államigazgatási oldalról is egyre sürgetőbb, hiszen elektronikus okiratok már keringenek az adóhatóság, vagy a Vám- és Pénzügyőrség Országos Parancsnoksága (VPOP) felé is, s a digitális diákigazolvány megjelenése szintén késedelmet szenved emiatt. Az államigazgatásban Európában főleg az Electronic Data Interchange (EDI) nevű rendszer használatos, amely nem más, mint egy kötött elektronikus dokumentum formátum, amelyre – mint azt az informatikában már megszokhattuk – többféle szabvány is létezik. Ha az üzenetet zárt láncon keresztül továbbítják (ilyen például a Matáv által kínált rEdinet), akkor nincs szükség digitális aláírásra, ha viszont az Interneten keresztül, akkor igen. Az adóhivatalnál már 1997-ben megkezdődött egy olyan program, amelyben néhány kiemelt adózó elektronikus úton, Edifact szabvány formátumban juttatja el adóbevallását. Az ily módon adózók száma folyamatosan nő. A hollandiai gyakorlat szerint – ahol szintén késlekedik az elektronikus okiratokra vonatkozó törvény – nagy és jól átvilágítható vállalatirányítási rendszerrel rendelkező (főleg multinacionális) cégek hasonló partnereikkel együtt kérhetik az adóhivataltól, hogy egymás között elektronikus úton továbbítsák számláikat, vagyis mentesüljenek attól a kötelezettségtől, hogy papíron kell őrizni a tranzakciók dokumentumait. Ez ügyben nálunk is folyik lobbyzás. A VPOP-nál jelenleg kísérleti jelleggel működik az a projekt, amelyben három cég – a Zwack Unicum Rt., a Mol Rt. és a BÁT Rt. – a jövedéki adóbevallásokat EDI formátumban küldi. Tavaly ősszel a magyar kormány megállapodást kötött az amerikai kormányzattal, amelynek révén lehetőség nyílt – az egyébként exporttilalom alatt lévő – 128 bites kódolás itthoni használatára. A Synergon Informatika Rt. által forgalmazott TrustedLink Templar nevű szoftver titkosítja az Edifact üzenetet és így az már biztonságosan küldhető az Interneten. Az EDI-t egyébként nemcsak az államigazgatásban használják, hanem az üzleti életben is, számos jelentős kereskedelmi cég (például a Metro és az Unilever) csak ilyen formátumban hajlandó kapcsolatot tartani beszállítóival.
Az EU-nál most dolgoznak azokon az alapelveken, amelyek a tagországok számára a digitális aláírásról szóló törvények általános iránymutatójául szolgálnának. A szabályozást alkotók a törvény legfontosabb céljának azt tartják, hogy tanúsítsa az aláíró aláírási szándékát. (Ennyiben a digitális aláírás túlmegy a kézzel írt szignáláson, hiszen nem hamisítható.) Fontos követelmény az is, hogy az aláírás elismerése nyúljon túl a határokon. Ha valaki egy országon belül kibocsát egy aláírás-hitelesítést, akkor legyen jogosítványa arra, hogy aláírását az EU-n belül más országokban is elismerjék. Európában egyedül Németországban született meg a digitális aláírásra vonatkozó törvény, s már 1997 augusztusa óta hatályban van. Az ottani szabályozásnak fontos eleme, hogy nem ír elő semmiféle konkrét technológiát, de a biztonság érdekében néhány technológiai feltételt kötelezővé tesz. A német törvény az egyetlen a világon, amelyik a hitelesítő hatóságok működését, egymásra épülését részletesen szabályozza.
