A MÁV Informatika Kft. hitelesítőközpontjának tervezésekor több virtuális hitelesítő létrehozásában gondolkodott. Közöttük fokozott biztonságú, illetve minősített éppúgy lehet, mint olyan, ahol a MÁV Informatika Kft. látja el a 24 órás rendelkezésre állás mellett az ügyfélkapcsolati teendőket és a helpdesket is.
A PKI CA kialakítását Tóth Elemér, a szolgáltatást megvalósító projekt vezetője irányítja, aki a jelenlegi hazai helyzetet ismerve a jövőbeni felhasználókra nézve elsősorban a hitelesítési szolgáltatások közötti különbség nem megfelelő hangsúlyozásában lát veszélyt, illetve ez szülhet bizalmatlanságot a szolgáltatás iránt. Az alábbiakban a téma kapcsán általa legfontosabbnak vélt ismereteket, kérdéseket és hiányosságokat mutatjuk be.
Fokozott kontra minősített
Ma még zavart okoz a potenciális felhasználók körében, hogy nincsenek tisztában a fokozott biztonságú és a minősített szolgáltató közötti különbségekkel.
A fokozott biztonságú szolgáltatónak törvény szerinti szolgáltatási szabályzatra, általános szerződési feltételekre és a Híf-hez benyújtott kérelemre van szüksége. A Híf azonban - ahogy a 2002. november 6-án fokozott biztonságú szolgáltatói címet szerzett MÁV Informatika Kft. esetében is tette - magát a rendszert csak minősített szolgáltatás iránti kérelem esetén vizsgálja. Így, bár a fokozott biztonságú szolgáltatás is tartalmaz törvény által megszabott keretek közötti felelősségi részt, az kormányzatilag nem garantált, csupán az adott fokozott biztonságú szolgáltató hírneve szolgál biztosítékul. Az alábbiakban kísérletet teszünk a két szolgáltatói minősítés közötti legjelentősebb különbségek összefoglalására.
1. A minősített szolgáltatás iránti kérelmet benyújtó szolgáltató hatvannapos államigazgatási eljárásban vesz részt, ahol a korábban említett dokumentumokon túl az ISO-minősítés, valamint a Nyugat-Európában, illetve az USA-ban ismert és minősített eszközök használata is alapkövetelmény. Különösen igaz ez a hardveres biztonsági modulra (Hardware Security Module - HSM). Az aláíró hardveregység nagyon magas szintű megfelelésének a MÁV Informatika Kft. egy IBM-kártyát használva tesz eleget. A fokozott biztonságú szolgáltató esetében ilyen megkötés nincs, a szoftveres kulcskezelés is elegendő.
2. A minősített szolgáltatóval szemben követelmény az évi 365 napos, napi 24 órás rendelkezésre állás (legfeljebb évi 8 órás, egyszerre maximum 3 órás megszakítással).
3. A minősített szolgáltatónál alkalmazott megkötések a működtető személyzetre is kitérnek, amelytől az erkölcsi bizonyítványon túl a szaktudás igazolását is elvárják. Az ok egyértelmű: ha például a munkatárs szakmai hiányosság miatt egy elveszett chipkártya letiltásakor "mellényúl", az ügyfelek és a szolgáltató számára egyaránt kárt okoz, anyagi, illetve erkölcsi értelemben is.
4. Minősített szolgáltató esetében a cég személyzeti politikája is jelentőséggel bír. Míg a fokozott biztonságú szolgáltatónál 2-3 hónapja dolgozó munkatárs is lehet vezető beosztásban, addig a minősítettnél - mivel a nagy értékű szerződéskötésekhez kapcsolódó bizalmas adatok közelsége miatt nagy a kihívás - követelmény a céghez fűződő hosszabb munkaviszony.
5. Minősített szolgáltató esetében a rendszerek naplózására és archiválására vonatkozó törvényi előírásra a hatóság figyel oda, míg fokozott biztonságú esetében a cég a felelősségvállaló.
6. A minősített szolgáltatót éves ellenőrzés terheli, bár bejelentés alapján a fokozott biztonságút is kontrollálhatják.
A minősítés államigazgatási eljárásának hatvan napja alatt tehát sokrétű Híf-vizsgálaton kell a jelentkezőnek megfelelnie, vagyis a minősített szolgáltató hazai megjelenése egyben a szolgáltatás szintjében is minőségi ugrást jelent.
Hibaforrások
A szolgáltató és a felhasználó részéről egyaránt megelőzhető az elektronikus aláírás kapcsán elkövethető legtöbb hiba, ezért érdemes a startnál ezekről is néhány szót ejteni.
A felhasználónak tudnia kell, hogy a felelősség őt is terheli. Nem hagyhatja figyelmen kívül, hogy a minősített aláíráshoz minősített eszközök kellenek.
A hitelesítésszolgáltató felelősségvállalása csak arra terjed ki, hogy az elektronikus aláíráshoz felhasznált, például egy intelligens kártyán vagy egy floppyn tárolt azonosító nemzetközileg is elfogadható, és hitelesíti az aláírót. Mivel az elektronikus aláírás a felhasználó számítógépében képződik, a minősített aláíráshoz az abba beépített eszközöknek - pl. operációs és levelezőrendszer - is minősítettnek kell lenniük. Tehát minősített szoftverek, a minősített aláírások kezelésére alkalmas intelligens chipkártya és minősített kártyaolvasó nélkül nem létezik minősített aláírás.
Mivel a hitelesítőnél az ügyfél tanúsítására az általa benyújtott, személyazonosságát igazoló iratok szolgálnak, a szolgáltató elsősorban ott hibázhat, ha nem vizsgálja meg kellő mértékben azok megfelelőségét. Jelentős hibaszázalék-csökkenéssel járna a személyazonosság igazolásának a jelenleginél magasabb szintű elektronizálása. Ennek hiányában ugyanis a potenciális ügyfelek személyazonosságának megállapításakor kérdéses lehet, hogy valóban a dokumentumot bemutató személy adatai kerülnek-e a chipkártyára.
Összegzés
A fentiekben az elektronikus aláírás alkalmazásának egy-egy speciális területét érintettük, és megpróbáltunk rávilágítani a fokozott biztonságú és a minősített hitelesítésszolgáltató közötti különbségekre.
Hozzá kell még tenni az előzőekhez, hogy az egyes kormányzati feladatoknak megfelelő, illetve a jelentős kockázatokhoz rendelt elektronikus aláírás csak minősített szolgáltató igénybevétele által lehetséges. A minősítés azt a célt szolgálja, hogy az elektronikus aláírást átvevő és értelmező fél biztonságban érezze magát az aláírás hitelességét illetően.
Minősített hitelesítésszolgáltatónak lenni nem könnyű. A minősítéshez legalább másfél évnyi felkészülés, jogszabályban specifikált eszközök, valamint jogszabályban és ajánlásokban meghatározott elvárásoknak megfelelő munkatársak szükségesek. Nem elhanyagolható az a tény sem, hogy minősített szolgáltató csak ISO-minősítéssel rendelkező vállalat lehet. A minősített hitelesítésszolgáltató csupán a hatvannapos államigazgatási eljárás eredményes lezárását követően kezdheti meg tevékenységét.
Mint Tóth Elemértől megtudtuk, a MÁV Informatika Kft.-nél jelenleg tart a fent említett államigazgatási eljárás, és várhatóan a közeljövőben már minősítetett hitelesítésszolgáltatóként állhat ügyfelei rendelkezésére!
Hitelesítési igények, dilemmák
Az outsourcingcégek által működtetett, a megbízóktól átvett informatikai rendszereken futó adatok az ügyfelek tulajdonában vannak. Ez óhatatlanul felveti azt a kérdést, hogy hogyan tudja a szolgáltató a működtetésre és menedzselésre vonatkozó saját kompetenciáit megkülönböztetni a tulajdonosi kompetenciáktól. Bármely oldalon merüljön is fel a kérdés, hogy ki, mikor, mit és miért, a választ az azonosítást lehetővé tevő PKI adhatja meg.
A szaktudás és eszközismeret szintjén egyaránt magas minőséget felmutató MÁV Informatika Kft. legnagyobb megbízója, a MÁV Rt. outrsourcingcégeként, vállalati hitelesítőrendszereket létrehozva, a házon belüli azonosításra is megoldást kínál. Mivel az elektronikusaláírás-törvény az ilyen esetekre nem vonatkozik, a belső központnak a Híf-regisztrációt kihagyva csupán egy erre vonatkozó belső szabályozásnak kell megfelelnie.
Az említett megoldásokban gondolkodók számának növekedése előtérbe helyezi a felülhitelesítés kérdését. A MÁV Informatika Kft. az erre alkalmas nyilvános hitelesítőközpont szerepére is sikeresen pályázhat.
**
Az elektronikus aláírás típusai
Egyszerű elektronikus aláírás. A törvény által használt elektronikus aláírás fogalmába beletartozik az a nem biztonságos eljárás is, amikor valaki egy elektronikus szöveg végére odaírja a nevét. Ezt nevezhetjük egyszerű elektronikus aláírásnak.
Fokozott biztonságú elektronikus aláírás. Alkalmas az aláíró azonosítására. Technikailag olyan módon kapcsolódik az irat tartalmához, hogy elhelyezését követően érzékelhető a dokumentumon végzett minden módosítás. Ezt a fajta aláírást a hitelesítésszolgáltató tanúsítja.
Minősített elektronikus aláírás. A fejlett technológiájú, minősített hitelesítésszolgáltatóval szembeni szakmai és megbízhatósági követelményeknek megfelelő, fokozott biztonságú elektronikus aláírás, amelyet már minősített hitelesítésszolgáltató tanúsít.