Digitális aláírás, személyazonosítás E-önkormányzat október 11. Sikolya Zsolt vezető tanácsadó eGov Kft.

Alapfogalmak •Elektronikus aláírás: olyan elektronikus adat, amely más elektronikus adathoz van csatolva, illetve logikailag hozzárendelve, és amely hitelesítésre szolgál (1999/93/EK irányelv) •Adat/dokumentumhitelesítés: az adat sértetlenségéről és eredetéről való bizonyosság megszerzése •(Személy)azonosítás (identifikáció): arra vonatkozó információ megszerzésének folyamata, hogy kinek állítja magát a kérelmező •Személyhitelesítés (autentikáció): egy személy állított azonosságáról való bizonyosság megszerzése (CEN CWA , 2005)

Megjegyzések •Adat/dokumentumhitelesítés teljesen más fogalom, mint a személyhitelesítés: más joghatás, más felelősség. •Digitális aláírás: az elektronikus aláírás kriptográfiai eszközökkel történő megvalósítása •A személyazonosítás/hitelesítés nemcsak természetes személyre értelmezhető, hanem pl. szervezetre, szerverre, szoftverre stb.

Aláírás Hagyományos adathordozón (papír) •dokumentum végén kézírással (tollal) •esetleg minden oldalon szignó vagy aláírás Elektronikusan •dokumentumra gépelve •azonosíthatóság, letagadhatatlanság, sértetlenség: pl. PKI alapú digitális aláírás – megjelenik egy harmadik fél is, a hitelesítésszolgáltató (CA)

Azonosítás Hagyományos ügyintézés •írásos közlés (aláírás: dokumentumhitelesítésre, személyhitelesítés csak jogvita esetén ) •személyes megjelenés: igazolványok, nyilvántartás Elektronikus azonosításra nincs egységes nemzetközi gyakorlat – a megadandó adatokra sem Azonosítókódok •egységes személyazonosító (pl. Észtország, Belgium) •ágazati azonosítók (pl. Ausztria, Magyarország) •eljárásonkénti azonosítók (pl. Egyesült Királyság) Központi népesség-nyilvántartás nincs mindenhol Európai egységesítés akadálya: közigazgatás, azonosító dokumentumok a tagországok belügye (alapszerződés)

Elektronikus hitelesítési módszerek Dokumentumhitelesítés (e-aláírás): jogi és műszaki (szabványosítási) háttér viszonylag egységes, nincs teljesen átjárható gyakorlat Személyhitelesítés: nincs egységes jogi háttér, szabványtervezetek kialakulóban •alapja: tudás, birtoklás, tulajdonság (célszerű: min. 2) •jelszó (egyfázisú) – egyszerű, olcsó, nem biztonságos •egyszer használatos jelszó (OTP) – biztonságosabb •másik csatorna (pl. mobil) használata •PKI – magánkulcs memóriában – biztonságos csipkártyán (kétfázisú) •biometrikus KULCSKÉRDÉS: ADATVÉDELEM!

Az elektronikus aláírás jogi háttere 1999/93/EK irányelv Eat. (2001. évi XXXV. tv.) •fokozott biztonságú e-aláírás: – alkalmas az aláíró azonosítására – egyedülállóan az aláíróhoz köthető (letagadhatatlanság) – aláíró befolyása alatt álló eszköz – dokumentum módosítása érzékelhető (sértetlenség) •minősített e-aláírás: – fokozott biztonságú – biztonságos aláírás-létrehozó eszköz (BALE) – minősített tanúsítvány

Az e-aláírás jogi háttere az e-ügyintézésben 335/2005. (XII. 29.) Korm. rendelet (iratkezelésről) Ket. (2004. évi CXL. tv.) és végrehajtási rendeletei: •193/2005. (IX. 22.) Korm. rendelet (e-ügyintézésről) •194/2005. (IX. 22.) Korm. rendelet (e-aláírásról) 13/2005. (X. 27.) IHM rendelet (e-másolat készítéséről) IHM ajánlások: •végfelhasználói tanúsítványok szerkezete és adattartalma •elektronikus aláírás formátuma •elektronikus aláírási szabályzatok •hitelesítési rendek •viszontazonosítás protokollja •időbélyegzés formátuma

A Ket. vhr.-ek sajátos aláírási típusai Közigazgatási felhasználásra alkalmas e-aláírás (ügyfél) •viszontazonosítás •minősített vagy szigorú regisztrációjú fok. bizt. tanúsítvány •nem álnévre szól a tanúsítvány •hit. rend az NHH nyilvántartásában szerepel (+ KGyHSz) •az ügyfél ilyen aláírással a központi rendszeren keresztül vagy közvetlenül fordulhat a hatósághoz Közigazgatási felhasználásra alkalmas e-aláírás (hivatali) •szervezeti aláírás vagy kiadmányozó minősített aláírása •időbélyegző vagy időjelzés •tanúsítványban a közig. szerv neve •hit. rend az NHH nyilvántartásában szerepel (+ KGyHSz) Szervezeti aláírás: fokozott bizt., eszközé (pl. értesítések) Személy által felügyelt automatizált aláírás: minősített, pl. körlevél

Az e-azonosítás jogi háttere Az európai jog nem szabályozza •azonosító dokumentumok a tagországok belügye Ket. és a 193/2005, 194/2005 Korm. rendelet: •e-aláírásból (tehát fokozott biztonságú, szigorú regisztráció stb.) viszontazonosítással – egyedülálló •ügyfélkapun belépő ügyfél: egyedi azonosítóval, viszontazonosítással – szigorú regisztráció – dokumentum letagadhatatlansága - egyedülálló 182/2007. Korm. rendelet (Központi Rendszerről): •ügyfélkaput kiterjeszti nem a Ket. hatálya alá tartozó közigazgatási szolgáltatásokra – ügyfél hozzájárulásával

A jelenlegi magyar helyzet PKI terjedésének akadályai: •ár •e-ismeretek hiánya és bonyolultság •alkalmazások kis száma (tyúk-tojás probléma) •nincs nemzeti eID-kártya E-aláírás a közszférában •elvétve használják (pl. cégeljárás, MSzH, néhány önkormányzat, közjegyzők, ügyvédek) E-azonosítás a közszférában •ügyfélkapu regisztrált felhasználói jóval félmillió fölött (elsősorban az adó-ügyintézési kötelezettség miatt) •ügyfélkapuhoz kapcsolódott számos hatóság, önkormányzat ÚMFT: azonosító kártya, EKOP: intelligens azonosítás

Páneurópai törekvések i2010 eGovernment cselekvési terv egyik kiemelt területe az interoperábilis páneurópai eID megvalósítása 2010-ig •munkacsoport: részletes eID, eDoc menetrend •többszintű •szövetségi (federated) IDABC (páneurópai eGovernment szolgáltatások szervezete): •eID Interoperabilitási Szakértői Csoport: 2007-re összehasonlító értékelő tanulmány, közös specifikáció •Szakértői csoport az e-aláírás kölcsönös elismerésére : Bridge/Gateway CA, felmérés 2007-re Szabványosítás •ETSI •CEN: főleg kártya (pl. ECC: európai lakossági kártya)

Köszönöm a figyelmet