Elektronikus aláírás

A Wikipédiából, a szabad enciklopédiából

Az elektronikus aláírás olyan kriptográfiai eljárás, amelynek segítségével joghatás kiváltására alkalmas, akár a kézzel írott aláírással vagy a közjegyző előtt tett aláírással egyenértékű bizonyító erejű dokumentum hozható létre a hatályos jogszabályok – elsősorban az elektronikus aláírásról szóló 2001. évi XXXV. törvény[1] – szerint. Az elektronikus aláírás a digitális aláíráshoz hasonló fogalom, de míg a digitális aláírás elsősorban a technológiát, az elektronikus aláírás a technológia mellett a jogi fogalmat is jelenti.

Az elektronikus aláírásról szóló törvény[szerkesztés | forrásszöveg szerkesztése]

Az elektronikus aláírásról szóló 2001. évi XXXV. törvényünk (Eat.) alapja az elektronikus aláírásra vonatkozó közösségi keretfeltételekről szóló 1999. december 13-i 1999/93/EK európai parlamenti és tanácsi irányelv.

Az Eat. négy ún. elektronikus aláírással kapcsolatos szolgáltatást határoz meg, amelyek a következők:

  • Hitelesítés szolgáltatás, amely az elektronikus aláíráshoz szükséges tanúsítványok kibocsátását és fenntartását jelenti. A tanúsítvány az ügyfél nevét és aláírás-ellenőrző adatát (kriptográfiai nyilvános kulcsát) tartalmazza, azt írja le, hogy hogyan lehet ellenőrizni az adott személy elektronikus aláírásait.
  • Időbélyegzés szolgáltatás, amelynek keretében egy megbízható fél, egy időbélyegzés szolgáltató saját aláírásával igazolja, hogy adott lenyomatú dokumentum adott időpontban már létezett. Az ilyen igazolás az időbélyeg.
  • Eszköz szolgáltatás, amely az aláírás-létrehozó eszközök, és a rajtuk lévő aláírás-létrehozó adat (kriptográfiai magánkulcs) generálását és kibocsátását jelenti.
  • Elektronikus archiválás szolgáltatás, amely az elektronikusan aláírt és/vagy időbélyegzővel ellátott dokumentumok hosszú távú hiteles megőrzésére ad lehetőséget.

A törvény mind a négy szolgáltatás tekintetében megkülönböztet minősített és nem minősített szolgáltatókat. A minősített szolgáltatókról a Nemzeti Hírközlési Hatóság nyilvántartást vezet, és szigorúan felügyeli a tevékenységüket. A minősített szolgáltatók által nyújtott szolgáltatások esetén vélelmezni kell, hogy a szolgáltató a szolgáltatást "jól" nyújtja, és - bíróság előtt - annak kell bizonyítania az állítását, aki ezzel ellentéteset állít. Például, ha egy dokumentumon érvényes minősített időbélyeg szerepel, vélelmezni kell, hogy a dokumentum az időbélyegben szereplő időpontban már létezett; annak kell bizonyítania az állítását, aki szerint a dokumentum az időbélyegben szereplő időpontot követően jött létre.

A törvény meghatározza az egyes szolgáltatásokra vonatkozó alapvető biztonsági követelményeket, és szabályozza a szolgáltatók felelősségét is. Több különböző biztonsági szintű elektronikus aláírást különböztet meg, a következőkben ezeket mutatjuk be.

Minősített elektronikus aláírás[szerkesztés | forrásszöveg szerkesztése]

A minősített elektronikus aláírás a legmagasabb biztonsági szintű elektronikus aláírás. Az Eat. szerint a minősített aláírás olyan fokozott biztonságú elektronikus aláírás, amely minősített tanúsítványra épül, és amelyet biztonságos aláírás-létrehozó eszköz (pl. egy speciális minősítésű intelligens kártya avagy chipkártya) segítségével hoztak létre. A minősített elektronikus aláírás mindenképpen kriptográfiai technológiákra - jellemzően PKI-re és X.509 tanúsítványokra - épül, a Nemzeti Hírközlési Hatóság által meghatározott kriptográfiai algoritmuskészletek alapján.

Minősített tanúsítványt kizárólag minősített hitelesítés szolgáltató bocsáthat ki, méghozzá kizárólag személyes regisztráció során, azaz a minősített hitelesítés szolgáltató munkatársának személyesen találkoznia kell a tanúsítványt igénylő személlyel. Minősített tanúsítvány kizárólag ember, azaz természetes személy számára bocsátható ki. Ha a minősített hitelesítés szolgáltató hibát követ el a tanúsítvány kibocsátása vagy gondozása során, felelős az ebből eredő károkért. Biztonságos aláírás-létrehozó eszközt - megfelelő módon, úgy, hogy az Eat. szerinti vélelem kapcsolódjon hozzá - csak minősített eszköz szolgáltató bocsáthat ki.

Ha egy dokumentumon minősített elektronikus aláírás szerepel, vélelmezni kell, hogy

  • a dokumentum tartalma az aláírás készítése óta nem változott meg, és
  • a biztonságos aláírás-létrehozó eszköz (és a rajta lévő aláírás-létrehozó adat / magánkulcs) az aláírás készítésének pillanatában az aláíró kizárólagos befolyása alatt volt.

A polgári perrendtartásról szóló törvény szerint a minősített elektronikus aláírással hitelesített okirat teljes bizonyító erejű magánokirat. Amennyiben a minősített aláírást közokirat kiállítására jogosult fél készítette, és teljesülnek a közokiratra vonatkozó követelmények, akkor a minősített elektronikus aláírással ellátott dokumentum közokirat.

Az elektronikus aláírásra vonatkozó közösségi keretfeltételekről szóló 1999/93/EK irányelv értelmében az EU-tagállamok elfogadják a más tagállamok szabályai szerint készült minősített elektronikus aláírásokat, és azokat a kézzel írott aláírással egyenértékűnek tekintik. (A Eat-ben szereplő többi szolgáltatás nem feltétlenül nyúlik át az EU-tagállamok határain.)

Fokozott biztonságú elektronikus aláírás[szerkesztés | forrásszöveg szerkesztése]

A fokozott biztonságú elektronikus aláírás a minősítettnél alacsonyabb biztonsági szintet képvisel, sokkal kevesebb szabály vonatkozik rá. A fokozott biztonságú aláírás is kriptográfiai megoldásokra épül, a szükséges követelmények akár PGP segítségével is teljesíthetőek.

Például, egy fokozott biztonságú elektronikus aláírás esetén:

  • nem feltétlenül történt személyes azonosítás,
  • az aláírás-létrehozó adatot nem feltétlenül védi intelligens kártya,
  • a hitelesítés szolgáltató nem feltétlenül vállal felelősséget a tanúsítványért stb.

A fokozott biztonságú elektronikus aláírással hitelesített dokumentum megfelel az írásba foglaltság követelményeinek, de nem kapcsolódik hozzá a fenti vélelem.

Megjegyzés: A fokozott biztonságú elektronikus aláírás nem feltétlenül kevésbé biztonságos, mint a minősített aláírás. (Például, egy biztonságos szerverteremben elhelyezett, kriptográfiai hardver modullal készült fokozott biztonságú aláírás sok esetben biztonságosabbnak mondható, mint egy magánszemély minősített aláírása.) A minősített aláírásra több szabály vonatkozik, így minősített aláírás esetén a befogadó félnek kevésbé kell vizsgálnia, hogy pontosan mekkora biztonságot jelent az adott aláírás.

Fokozott biztonságúnak nem minősülő elektronikus aláírás[szerkesztés | forrásszöveg szerkesztése]

Az elektronikus aláírásról szóló törvény szerint létezhet olyan elektronikus aláírás is, amely nem felel meg a fokozott biztonságú aláírás követelményeinek sem. (Ilyen például, ha valaki odaírja a nevét egy e-mail végére.) Az ilyen aláírásról az Eat. mindössze annyit állít, hogy a bíróság nem utasíthatja el önmagában azért, mert elektronikusan létezik.

Az Eat. a 2004. évi módosítás előtt "egyszerű" elektronikus aláírásnak nevezte az ilyen aláírást. A most hatályos törvényben már nem szerepel ez a kifejezés, de néhol még ma is találkozhatunk vele.

Az elektronikus aláíráshoz szükséges technológia[szerkesztés | forrásszöveg szerkesztése]

Kriptográfiai művelet[szerkesztés | forrásszöveg szerkesztése]

Az elektronikus aláírásról szóló törvény technológia-független, de a benne foglaltak jelenleg a nyilvános kulcsú kriptográfia segítségével, az ún. nyilvános kulcsú infrastruktúra (PKI) alapján valósíthatóak meg.

A nyilvános kulcsú infrastruktúra minden szereplőjének két kulcsa van: az egyik az ún. magánkulcs (más néven titkos kulcs), amelyet titokban tart, a másik az ún. nyilvános kulcs, amelyet akár nyilvánosságra is hozhat.

Ha valaki a saját magánkulcsával kódol egy bitsorozatot (illetve annak hash-ét, azaz kriptográfiai lenyomatát), akkor az eredményül kapott bitsorozatról igazolható, hogy azt mely nyilvános kulcshoz tartozó magánkulccsal hozták létre. Ha biztonságos kriptográfiai algoritmust, és kellően hosszú kulcsot használunk, akkor a tudomány és a technológia mai állása szerint az adott dokumentumhoz tartozó aláírást kizárólag a magánkulcs birtokában lehet létrehozni. A műveletet, amikor egy bitsorozatot (vagy annak hash-ét) a saját magánkulcsunkkal kódoljuk, digitális aláírásnak nevezzük. (Ugyanezen technológia segítségével titkosított üzenetet is küldhetünk. Ekkor a címzett nyilvános kulcsa segítségével kódoljuk az üzenetet (vagy az üzenet titkosítására használt, ún. szimmetrikus kulcsot), így ő csak a saját magánkulcsa segítségével tudja visszafejteni azt. Ez az ún. nyilvános kulcsú titkosítás.)

A digitális aláírás technikai fogalom, egy digitálisan aláírt bitsorozathoz nem feltétlenül kapcsolódik joghatás. Például, előfordulhat, hogy SSL kapcsolaton keresztül egy biztonságos webszerverre szeretnénk bejelentkezni, és a belépéshez a szerver által küldött véletlen bitsorozatot (ún. "kihívást") kódolunk a magánkulcsunkkal, így igazoljuk kilétünket. Elektronikus aláírásról akkor beszélünk, ha az aláírással egyúttal jognyilatkozatot is teszünk, például elfogadjuk egy dokumentum tartalmát vagy szerződést kötünk. Az elektronikus aláírás ugyanazon technológiára épül, de az Eat. szerint az elektronikus aláírásra használt magánkulcsot nem szabad más célra használni.

Elektronikus aláírás készítésekor leggyakrabban az RSA nevű nyilvános kulcsú kriptográfiai algoritmus szerint végezzük a kódolást, de léteznek más nyilvános kulcsú kriptográfiai algoritmusok is (pl. ECC). Lenyomatképzésre az SHA-1 vagy az SHA-2 algoritmusokat szokás használni.

Tanúsítvány[szerkesztés | forrásszöveg szerkesztése]

Egy nyilvános kulcs alapján meggyőződhetünk arról, hogy egy adott elektronikus aláírást valóban a hozzá tartozó magánkulccsal készítettek-e, de ebből még nem tudjuk, hogy kié az adott kulcspár, azaz ki készítette az aláírást. A tanúsítvány egy olyan bitsorozat, amely valakinek a megnevezését és a nyilvános kulcsát tartalmazza (és ezen kívül további adatokat is tartalmaz), és amelyet egy megbízható fél, ún. hitelesítés szolgáltató írt alá. A tanúsítványból azt tudhatjuk meg, hogy egy adott személy elektronikus aláírásának hitelességéről hogyan - mely nyilvános kulcs alapján - győződhetünk meg, így a tanúsítvány az aláírási címpéldány elektronikus megfelelőjének tekinthető.

Egy elektronikus dokumentumon lévő elektronikus aláírást az aláíró tanúsítványa alapján ellenőrizhetünk. Az aláíró tanúsítványán lévő aláírást a hitelesítés szolgáltató tanúsítványa segítségével ellenőrizhetjük. A hitelesítés szolgáltató tanúsítványán lévő aláírást általában egy másik hitelesítés szolgáltató tanúsítványa alapján ellenőrizhetjük, és az ellenőrzést egy ún. gyökér hitelesítés szolgáltatóra vezetjük vissza. A gyökér hitelesítés szolgáltatók tanúsítványait általában az elektronikus aláírást használó programok (pl. Windows, Mozilla) már eleve tartalmazzák.

Elektronikus aláírás készítése[szerkesztés | forrásszöveg szerkesztése]

Elektronikus aláírás készítéséhez a következőkre van szükség:

  • egy nyilvános kulcsból és egy magánkulcsból álló kulcspárra, amelyet általában egy aláírás-létrehozó eszköz, azaz egy intelligens kártya formájában kapunk meg a hitelesítés szolgáltatótól (az intelligens kártya használatához kártyaolvasó készüléket is kapunk),
  • egy tanúsítványra, amely alapján mások is meggyőződhetnek az aláírás hitelességéről,
  • egy aláírás-létrehozó alkalmazásra (pl. Outlook, Mozilla, Adobe Acrobat, e-Szignó),
  • a dokumentumra, amit alá szeretnénk írni.

Az elektronikus aláíráson célszerű időbélyeget is elhelyezni, lehetőleg rögtön az aláírás készítését követően. Szerencsés, ha az aláírás-létrehozó alkalmazás egyúttal az időbélyeget is beszerzi az aláírás készítése során.

Az elektronikus aláírás formátuma[szerkesztés | forrásszöveg szerkesztése]

Az elektronikus aláírás sokféle formátumban megjelenhet, nem minden alkalmazás kezel minden aláírás-formátumot. Elterjedt az e-maileken lévő S/MIME[2] aláírás, a PDF fájlokba beágyazott aláírás, illetve az Európai Unióban az Európai Távközlési Szabványosítási Intézet (ETSI) ESI munkacsoportja által kidolgozott XAdES (XML Advanced Electronic Signature)[3] és CAdES (CMS Advanced Electronic Signature)[4] formátumok.

Magyarországon ezek közül leginkább a XAdES aláírásokat tartalmazó ún. a-akta[5] és a PDF aláírás formátumok terjedtek el. A XAdES aláírások jelentősége abban rejlik, hogy könnyen, szabványos módon csatolhatóak hozzájuk időbélyegek, illetve az aláírás ellenőrizhetőségét segítő egyéb információk is.

Elektronikus aláírás ellenőrzése[szerkesztés | forrásszöveg szerkesztése]

Elektronikus aláírás ellenőrzéséhez aláírás-ellenőrző alkalmazásra van szükség. E funkciót általában vagy maguk az aláírás-létrehozó alkalmazások, vagy azok ellenőrzésre szolgáló (jellemzően ingyenesen letölthető) változatai látják el.

Az aláírás ellenőrző alkalmazás a következő műveleteket végzi el:

  • megvizsgálja, hogy kriptográfiailag összetartozik-e az aláírt dokumentum, az aláírás, és az aláíró tanúsítványában szereplő nyilvános kulcs,
  • felépíti a tanúsítványláncot, azaz visszavezeti az aláíró tanúsítványát egy megbízható gyökér hitelesítés szolgáltatóra,
  • ellenőrzi, hogy a tanúsítványláncban szereplő egyes tanúsítványok érvényesek voltak-e az aláírás készítésének pillanatában.

Lényeges, hogy egy aláírás csak akkor ellenőrizhető, ha igazolható, hogy mikor készült. Ha az aláíró tanúsítványa lejár, később bizonyítani kell tudni, hogy a tanúsítvány még érvényes volt, amikor az aláírás készült. Ezért a még érvényes aláíráson időbélyeget szokás elhelyezni, így az aláírás érvényessége később is bizonyítható marad.

Az aláírások érvényességét általában megbízható időpontokra, azaz időbélyegek érvényességére alapozzuk, így az aláírásnak sokszor csak időbélyeggel együtt van értelme. Gyakran fordul elő, hogy az elektronikus aláírás fogalmába az aláíráshoz csatolt időbélyeget is beleértik.

Az elektronikus aláírás archiválása[szerkesztés | forrásszöveg szerkesztése]

Ha azt szeretnénk, hogy egy elektronikus aláírás hitelessége hosszú távon is igazolható maradjon, a következő körülményeket célszerű figyelembe venni:

  • Ha az aláíró tanúsítványa érvénytelenné válik (lejár vagy visszavonják), igazolni kell tudni, hogy az aláírás akkor készült, amikor a tanúsítvány még érvényes volt. Ezért célszerű időbélyeget elhelyezni a még érvényes aláíráson. (Ilyen például az ún. XAdES-T aláírás.)
  • Célszerű összegyűjteni és eltárolni mindazon információkat, amelyek az aláírás érvényességét igazolják, mert ezek nem lesznek akármeddig elérhetőek. Ezeket is célszerű időbélyegezni. (Ilyen például az ún. XAdES-X-L aláírás.)
  • Műszaki értelemben az időbélyegen is aláírás van, így az időbélyeg érvényessége is csak addig igazolható, amíg az időbélyegzés szolgáltató tanúsítványa érvényes. Ezért célszerű új, más forrásból származó időbélyeget elhelyezni az még érvényes időbélyegen (pl. mielőtt az időbélyeget kibocsátó időbélyegzés szolgáltató tanúsítványa lejár).
  • Hosszú távon, évek, évtizedek alatt előfordulhat, hogy az aláírás (vagy valamely időbélyeg stb.) készítéséhez használt kriptográfiai algoritmusok elavulnak, és ekkor már nem igaz, hogy az aláírást (vagy időbélyeget) csak a magánkulcs birtokosa hozhatta létre. Ezért célszerű új, erősebb algoritmusokon alapuló időbélyeget elhelyezni az aláíráson és az érvényességét alátámasztó információkon, még addig, amíg az aláírás érvényessége igazolható. (Ezen utóbbi két követelmény pl. XAdES-A aláírással teljesíthető.)

Ha azt szeretnénk, hogy az aláírás érvényessége hosszú távon is igazolható maradjon, célszerű rendszeresen (az alkalmazott technológiáktól függően pl. 5-10 évente) időbélyeget elhelyezni az aláíráson és az érvényességét alátámasztó információkon.

A 114/2007. GKM rendelet határozza meg a hiteles digitális archiválás jogszabályi követelményeit. E rendelet minden elektronikusan archivált hiteles információra vonatkozik, beleértve azokat is, amelyeken nincsen elektronikus aláírás. A rendelet szerint a megőrzésre kötelezett maga is elvégezheti a fenti műveleteket, de minősített archiválás szolgáltatót is megbízhat vele. A kettő között az jelenti a fő különbséget, hogy ha minősített archiválás szolgáltató archivál egy dokumentumot, akkor az Eat. szerint vélelmezni kell, hogy "jól" végzi az archiválást, és felel azért, hogy az archiválást jó végezze. Ezzel szemben, ha valaki saját maga végzi az archiválást, akkor neki kell bizonyítani, hogy megfelelően jár el (pl. megfelelő módon és megfelelő rendszerességgel helyezi el az időbélyeget), és ő maga felel minden ebből eredő kárért.

A hazai legnagyobb elektronikus aláírás alkalmazások[szerkesztés | forrásszöveg szerkesztése]

  • Az elektronikus cégeljárás ma Magyarországon a legnagyobb, elektronikus aláírásra épülő alkalmazás. Az elektronikus cégeljárás keretében a cégek jogi képviselői 2005-től elektronikus aláírással, az interneten keresztül intézhetik a cégek bejegyzésével, és a cégek adatainak változásaival kapcsolatos ügyeket. Ezen túl, a cégeljárásban érintett hatóságok és szervezetek (pl. cégbíróságok, az APEH, a Magyar Államkincstár, valamint a pénzintézetek) is elektronikus aláírással hitelesítve kommunikálnak egymással.
  • A Magyar Országos Közjegyzői Kamara tagjai minden közjegyzői okiratot elektronikusan archiválnak[6]. Az okiratokat beszkennelik, a közjegyzők vagy közjegyző helyettesek minősített elektronikus aláírással látják el őket, majd az így kapott e-aktákat minősített archiválás szolgáltatónál archiválják 2007-től.
  • Az önálló bírósági végrehajtók elektronikusan aláírt megkereséseket küldenek a pénzintézetek felé 2009-től.

Jegyzetek[szerkesztés | forrásszöveg szerkesztése]

Külső hivatkozások[szerkesztés | forrásszöveg szerkesztése]