Prim Hírek

A nyilvános kulcsú kódoláson alapuló (PKI) technológiák - amelyek az e-szignónak is alapját képezik - régóta jelen vannak hétköznapjainkban. A vállalati felhasználók mindennapi munkájuk során számos ilyen alkalmazást használnak, amikor állományaikat titkosítják, leveleiket aláírják, vagy ha otthonról szeretnének dolgozni, egyszerűen egy VPN (Virtual Privat Network) csatornát építenek ki a céghez, belépéskor pedig login és jelszó helyett "tanúsítvánnyal" igazolják magukat.

A szabályozás ugyan a fenti alkalmazások közül csak a digitális aláírásra korlátozódik, bizonyos értelemben mégis kiszélesíti a felhasználhatóságot: legális keretet ad olyan, eddig csak "jogi félhomályban" létező szolgáltatásoknak, mint például az internetbanking-rendszerben adott átutalási megbízás.

Alapvető, hogy a törvény kimondja: csak azért, mert nem papíron van, a dokumentumot, bizonyítékot nem lehet visszautasítani. A bíróság ugyanakkor a legtöbb esetben mérlegelheti, hogy a beadott és elektronikusan aláírt szöveget hitelesnek tekinti-e, vagy sem.

Az egyetlen kivétel ez alól az olyan aláírás, amely minősített, azaz állami szerv (Hírközlési Főfelügyelet) által bevizsgált, biztonságos aláírás-létrehozó eszközzel (BALE) és szintén szigorú vizsgálaton átesett, minősített hitelesítésszolgáltató (MHSZ) által kiadott tanúsítvány segítségével készült. Az ilyen elektronikus dokumentum bizonyító erejű magánokiratnak számít.

Minden esetben használjuk?

Felmerül a kérdés, hogy a mindennapi életben szükséges-e mindig ilyen szigorú, a két tanú által megerősített nyilatkozattal egyenértékű, minősített aláírást használnunk.

A válasz nyilvánvalóan nem, hiszen számolnunk kell a minősített tanúsítvány és a megfelelő aláírás-készítő eszköz borsos árával is.

A törvény ezért használja a fokozott biztonságú elektronikus aláírás fogalmát - így nevezi azt az aláírást, amely a minősített aláíráshoz hasonló módon készül, de sem a kibocsátás eszköze, sem a tanúsítványt kiadó hitelesítő szervezet nem minősített. Ez is kielégíti az írásbeliség jogi követelményét. A felhasználást ekkor a kommunikálni kívánó felek kétoldalú szerződésben szabályozhatják. Zárt felhasználói csoportokban (vállalaton belül, beszállítókkal, szerződéses ügyfelekkel zajló kommunikációban) vélhetően ez lesz a legáltalánosabban elterjedt aláírásforma.

Belső hitelesítés vagy szolgáltatásvétel?

A "minősített tanúsítványt vásároljak, vagy elégedjek meg a fokozott biztonságúval?" kérdés előtt azt kell eldönteni, hogy nem érdemesebb-e saját hitelesítő rendszert üzemeltetni.

Az Icon az elmúlt néhány évben sikeresen állított üzembe belső hitelesítésszolgáltató rendszereket ipari, pénzügyi és kormányzati területen egyaránt. Az ilyen hitelesítő megoldások a vásárolt tanúsítványokkal szemben elsősorban nagyfokú testre szabhatóságukkal tűnnek ki. "Kézben van" a tanúsítványok tartalma, a hitelesítési és visszavonási politika, a hitelesítő rendszerek összekapcsolhatók a dolgozó- vagy ügyféladatbázissal. A belső hitelesítés hátránya, hogy komoly IT-beruházást igényel, amit a szakképzett üzemeltetői állomány biztosításának költsége is terhel.

A saját, belső hitelesítésszolgáltató rendszer minősíttetésén gondolkodni sem érdemes, mivel ez a néhány tízmilliós árat rögtön a milliárdos nagyságrendbe emeli. (Ez az ára az "a bíróság mérlegelés nélkül hitelesnek fogadja el" félmondatnak.)

Fontos a rendszerszemlélet

Nem hiába ír elő a törvény a minősített aláíráshoz bevizsgált eszközt: az igazán biztonságos felhasználáshoz valamilyen céleszköz (például chipkártya) szükséges.

Ne feledjük azonban, hogy az egész rendszer biztonsági szintje határozza meg az adat, esetünkben az aláírás biztonságát. Mit ér a legbiztonságosabb eszköz, ha a felhasználó a jelszót a monitorra ragasztott cetlin "őrzi"?

Legyen szó akár minősített, akár nem minősített hitelesítésről, a PKI-kliensek kiválasztása, üzembe helyezése és további támogatása, a dolgozók megfelelő képzése, a belső IT-biztonsági politika, a szabályzatok kidolgozása mind-mind nagy körültekintést kívánó feladat. A rendszer összetettsége miatt érdemes az IT-biztonsággal "főállásban" foglalkozó szakember segítségét igénybe venni akkor is, ha nem szolgáltatót építünk, "csak" felhasználói oldalon vezetünk be e technológiára épülő biztonsági alkalmazásokat.