Digitális aláírás
? Skriba Jenő ! Az elektronikus aláírás nem a beszkennelt kézzel írott aláírást jelenti, hanem a kódolás egy speciális változata
Elektronikus aláírás def. Elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat
Hagyományos aláírás vs. elektronikus aláírás Lemásolható Átvihető más dokumentumra Dokumentum utólag módosítható Hamisítható Letagadható
Hagyományos aláírás vs. elektronikus aláírás A dokumentum egy jellemző kivonatát, ellenőrzőösszegét tartalmazza, Nem vihető át más dokumentumra Dokumentum aláírás után nem módosítható Hamisítás nehéz (csak ha a kulcsot valaki megszerzi) letagadhatatlan
Hagyományos aláírás vs. elektronikus aláírás Aláíróra jellemző, Elválaszthatatlanul hozzákapcsolódik az aláírt dokumentumhoz Kódolással képződik speciális szerkezettel rendelkezik, bizonyítható, hogy ki volt az, aki a kódolást elvégezte, bizonyítható, hogy az illető pontosan mely dokumentumot kódolta. (Így ha ugyanaz a személy több dokumentumot ír alá, az egyes dokumentumokhoz tartozó aláírásainak különböznie kell egymástól. Ha egy bűnöző átmásolja valakinek az elektronikus aláírását egy másik dokumentumra (amit az illető nem írt alá), kimutatható lesz, hogy az aláírás és ezen másik dokumentum nem tartoznak össze.) HITELES
E-aláírás elkészítése aláírandó dokumentum + saját aláírás-létrehozó adat (magánkulcs) titkos és egyedi
Információ védelme Titkosítás: dokumentumot (vagy más, bizalmas információt) olyan módon kódolunk, hogy azt illetéktelen személyek ne olvashassák el. A kódolás általában valamilyen kriptográfiai kulcs segítésével történik. Hitelesítés: Illetéktelen személyek ne módosíthassák észrevétlenül (e-aláírás)
Információ védelme kódolás, dekódolás kriptográfiai kulcs segítésével történik kriptográfiai kulcsok kizárólag a jogosult felek birtokában vannak. A kulcs egy szám, bitsorozat, amely meghatározott hosszúságú lehet. E hosszúságot nevezzük kulcsméretnek, amely alapvetően meghatározza a kódolás biztonságát. Kulcsgenerálás: az adott hosszúságú bitsorozatok közül – valamilyen véletlent is használó módszerrel – kiválasztunk egyet.
Információ védelme – szimmetrikus kulcsú kriptográfiai megoldások A kódoláshoz és dekódoláshoz ugyanazt a kulcsot használjuk. Az ilyen eljárások biztonsága a kulcs titkosságán alapszik. a kódolásra és dekódolásra használt kulcsot titkokban kell tartani, Hátránya: titkos kulcsot biztonságos módon kell eljuttatni a fogadó fél számára, hogy illetéktelen fél ne ismerhesse meg.
Információ védelme – szimmetrikus kulcsú kriptográfiai megoldások
Információ védelme – asszimmetrikus kulcsú kriptográfiai megoldások kódolás és a dekódolás nem ugyanazzal a kulccsal történik. minden félnek van egy nyilvános és egy magánkulcsa Ha titkosított üzenetet szeretnénk küldeni valakinek, meg kell szereznünk az ő nyilvános kulcsát, és azzal kell kódolnunk a neki szóló üzeneteket. Az így kódolt üzeneteket a címzett a saját magánkulcsával fejtheti vissza.
Információ védelme – asszimmetrikus kulcsú kriptográfiai megoldások
Információ védelme – asszimmetrikus kulcsú kriptográfiai megoldások Előnye: kommunikálhatunk valakivel biztonságosan (titkosan vagy hitelesen), hogy előtte nem állapodtunk meg közös titkos kulcsban. Alapvető követelmény:hitelesen jussunk hozzá a másik fél nyilvános kulcsához. Egy kulcs használata előtt meg kell bizonyosodnunk róla, hogy a kulcs valóban annak a személynek (szervezetnek) a birtokában van, akinek titkos üzenetet szeretnénk küldeni, vagy akinek az aláírását ellenőrizni szeretnénk. E célra tanúsítványokat szokás használni. A tanúsítvány egy megbízható szervezet, egy hitelesítés szolgáltató által kiállított igazolás arról, hogy egy adott magánkulcs egy adott személyhez vagy entitáshoz (alanyhoz) tartozik.
E-aláírás elkészítése Hardver kriptográfiai eszköz Az aláírás-létrehozó adatot általában intelligens kártyán tartják. Egy olyan hardver alapú biztonságos eszköz, mely előállítja, tárolja és védi a kriptográfiai kulcsokat, valamint biztonságos környezetet biztosít a kriptográfiai funkciók végrehajtására. Pl.: PC bővítő kártya, intelligens kártya, USB token
E-aláírás ellenőrzése A kapott dokumentum és az elektronikus aláírás összetartozik-e, tehát az aláírás valóban az aláíró tanúsítványához tartozó aláírás-létrehozó adattal (magánkulccsal) készült-e? Az elektronikus aláíráshoz tartozó tanúsítvány érvényes volt-e az aláírás pillanatában. Ellenőriznünk kell az aláírásra szolgáló tanúsítvány érvényességét az aláírás időpontjára nézve.
E-aláírás ellenőrzése Tanúsítványt megbízható, bevizsgált szervezet, ún. hitelesítés szolgáltató állít ki emberek vagy számítógépek részére. A tanúsítvány egyrészt annak a megnevezését tartalmazza, akinek a számára a tanúsítványt kiállították, és olyan információkat tartalmaz, amely segítségével mások biztonságosan - titkosan vagy hitelesen - kommunikálhatnak a tanúsítvány birtokosával.
Az elektronikus aláírás használatához (létrehozásához és ellenőrzéséhez) szükséges műveleteket számítógépes programok végzik. A programok felhasználói felülete elrejti a technológia bonyolultságát, és csak azt jelzi, hogy mely dokumentumot kik írták alá.
Jogszabályok 2001. évi XXXV. törvény az elektronikus aláírásról Az Európai Parlament és a Tanács 1999/93/EK Irányelve az elektronikus aláírással kapcsolatos közösségi keretrendszerről 3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól 12/2005. (X. 27.) IHM rendelet az elektronikus ügyintézési eljárásban alkalmazható dokumentumok részletes technikai szabályairól 13/2005. (X. 27.) IHM rendelet a papíralapú dokumentumról elektronikus úton történő másolat készítésének szabályairól 194/2005. (IX. 22.) Korm. rendelet a közigazgatási hatósági eljárásokban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocs 195/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról 2007. évi CXXVII. törvény az általános forgalmi adóról 2000. évi C. törvény a számvitelről 46/2007. (XII. 29.) PM rendelet az elektronikus számlával kapcsolatos egyes rendelkezésekről 47/2007. PM rendelet a számla, egyszerűsített számla és nyugta adóigazgatási azonosításáról, valamint a nyugta adását biztosító pénztárgép és taxaméter alkalmazásáról szóló 24/1995. (XI. 22.) PM rendelet módosításáról 24/1995. PM rendelet a számla, egyszerűsített számla és nyugta adóigazgatási azonosításáról, valamint a nyugta adását biztosító pénztárgép és taxaméter alkalmazásáról APEH Közlemény az elektronikus számlázásról, 2005.08.31.
Szabványok, műszaki specifikációk CWA 14167 - Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures CWA 14170 - Security Requirements for Signature Creation Applications CWA 14171 - Procedures for Electronic Signature Verification ETSI TR 102 038: XML format for Signature Policies ETSI TS 101 903 V1.2.2. (2004-04): XML Advanced Electronic Signatures (XAdES) ETSI TS 101 903 v1.3.2 (2006-03): XML Advanced Electronic Signatures (XAdES) ETSI TS 101 456 - Minősített tanúsítványokat kibocsátó hitelesítés-szolgáltatókra vonatkozó szabályozási követelmények ETSI TS 102 042 - Hitelesítés szolgáltatókra vonatkozó szabályozási követelmények ETSI TS 101 862 - Minősített tanúsítvány profil ETSI TS 102 280: Certificate Profile for Certificates Issued to Natural Persons RFC 3280 - Tanúsítvány és tanúsítvány visszavonási lista profil RFC 5280 - Tanúsítvány és tanúsítvány visszavonási lista profil RFC 3647 - Hitelesítési rend és szolgáltatási szabályzat keretrendszer RFC 3039 - Minősített tanúsítvány profil RFC 3161 - Time-Stamp Protocol (TSP) RFC 2560 - Online Certificate Status Protocol (OCSP)
Jelenlegi főbb felhasználási területek Adóbevallás Cégeljárás Ügyvédi ellenjegyzés Közigazgatási hatósági eljárás Elektronikus számlázás OEP-OWL
Az Ügyfélkapu biztonsága Az Ügyfélkapu biztonsági alapelve: a kockázattal arányos, szükséges és elégséges mértékű biztonság garantálása az azonosítás az online banki rendszerekkel azonos biztonságú a legnagyobb biztonsággal képes a jogosulatlan hozzáférések kiszűrésére és megakadályozására mind a regisztrációs kóddal, mind az elektronikus aláírással történő azonosítás esetében a személyes adatok és a továbbításra kerülő információk az Ügyfélkapu rendszerében még az üzemeltetők számára sem hozzáférhetők független minőségbiztosító szervezet, valamint adatvédelmi szakértők bevonásával a biztonsági és adatvédelmi szabályok betartásának folyamatos figyelése, szükség esetén azonnali intézkedések megtétele Az Ügyfélkapu indulása, 2005. április 1. óta a rendszer több mint 2 millió tranzakciót bonyolított le, és biztonsággal összefüggő probléma nem merült fel!
Az adattovábbítás biztonsága Az azonosítás és az adattovábbítás két különböző funkció! Azonosítás: személyes megjelenéshez kötött elektronikus aláírás vagy regisztráció Adattovábbítás: bármilyen elektronikus aláírás (titkosító algoritmus), ha a hivatal rendelkezik a nyilvános kulccsal (Az adó- és járulékbevallásnál egyedi titkosító (privát) kulcs minden formanyomtatvány része!) Attribútumok (feladó neve, kinek a nevében teszi, mit küld, kinek küldi) Tartalom leíró metaadatok Közmű boríték Hitelesítő attribútumok Felhasználói boríték Felhasználó által csomagolt (titkosított) tartalom 1. A felhasználók személyazonosítás után tudják a különböző alkalmazásokban összeállított dokumentumaikat becsomagolt (titkosított) tartalomként a hatóság postafiókjába küldeni 2. A becsomagolt tartalom a rendszer által továbbítandó, de nem feldolgozandó (nem bontja fel, nem dekódolja – ehhez a kulcs nem áll rendelkezésére) 3. A becsomagolt tartalomhoz a szállító réteg által értelmezhető és értelmezendő leíró adatok (attribútumok) tartoznak (címzett, feladó, hash, stb.) 4. A rendszer ezen leírók alapján végzi el a becsomagolt tartalommal a szükséges műveleteket
Időbélyeg Elektronikus aláírás 24
Kriptográfiai alapismeretek Szimmetrikus rejtjelezés – ugyanaz a kulcs titkosításhoz és megfejtéshez (DES, 3DES, stb.) 25
Kriptográfiai alapismeretek Aszimmetrikus titkosítás – két kulcs (RSA) és a tanúsítvány A kulcs-pár Tanúsítvány 26
? = Az elektronikus aláírás és ellenőrzés Adat Adat Lenyomatképzés az adatból Lenyomatképzés az adatból ? Lenyomat Lenyomat Lenyomat = Nyílt hálózat - Nyílt hálózat - Nyílt hálózat Kódolás (a feladó magánkulcsával) Dekódolás (a feladó nyilvános kulcsával) Elektronikus aláírás Elektronikus aláírás 27
Időbélyeg szolgáltató aláírása Időbélyeg-szolgáltató Az időbélyegzés Adat Lenyomat + Referencia idő Időbélyeg szolgáltató aláírása I d ő b é l y e g Időbélyeg-szolgáltató Lenyomatképzés az adatból Lenyomat Nyílt hálózat - Nyílt hálózat Időbélyeg 28
1. Aláírás-létrehozó adat: olyan egyedi adat (jellemzően kriptográfiai magánkulcs), melyet az aláíró az elektronikus aláírás létrehozásához használ. 2. Aláírás-ellenőrző adat: olyan egyedi adat (jellemzően kriptográfiai nyilvános kulcs), melyet az elektronikusan aláírt elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ. 3. Aláírás-létrehozó eszköz: olyan hardver, illetve szoftver eszköz, melynek segítségével az aláíró az aláírás-létrehozó adatok felhasználásával az elektronikus aláírást létrehozza. 4. Aláíró: az a természetes személy, aki az aláírás-létrehozó eszközt birtokolja és a saját vagy más személy nevében aláírásra jogosult. 5. Biztonságos aláírás-létrehozó eszköz: az e törvény 1. számú mellékletében foglalt követelményeknek eleget tevő aláírás-létrehozó eszköz. 6. Elektronikus aláírás: elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat. 7. Elektronikus aláírás ellenőrzése: az elektronikusan aláírt elektronikus dokumentum aláíráskori, illetve ellenőrzéskori tartalmának összevetése, továbbá az aláíró személyének azonosítása a dokumentumon szereplő, illetve a hitelesítés-szolgáltató által közzétett aláírás-ellenőrző adat, tanúsítvány visszavonási információk, valamint a tanúsítvány felhasználásával. 8. Elektronikus aláírás felhasználása: elektronikus adat elektronikus aláírással történő ellátása, illetve elektronikus aláírás ellenőrzése. 9. Elektronikus aláírás hitelesítés-szolgáltató: a 6. § (2) bekezdése szerinti tevékenységet végző személy (szervezet). 10. Elektronikusan történő aláírás: elektronikus aláírás hozzárendelése, illetve logikailag való hozzákapcsolása az elektronikus adathoz.
11. Elektronikus aláírási termék: olyan szoftver vagy hardver, illetve más elektronikus aláírás alkalmazáshoz kapcsolódó összetevő, amely elektronikus aláírással kapcsolatos szolgáltatások nyújtásához, valamint elektronikus aláírások, illetőleg időbélyegző készítéséhez vagy ellenőrzéséhez használható. 12. Elektronikus dokumentum: elektronikus eszköz útján értelmezhető adategyüttes. 13. Elektronikus aláírás érvényesítése: annak tanúsítása minősített elektronikus aláírás vagy e szolgáltatás tekintetében minősített szolgáltató által kibocsátott időbélyegző elhelyezésével, hogy az elektronikus dokumentumon elhelyezett elektronikus aláírás vagy időbélyegző, illetve az azokhoz kapcsolódó tanúsítvány az időbélyegző elhelyezésének időpontjában érvényes volt. 14. Érvényességi lánc: az elektronikus dokumentum vagy annak lenyomata, és azon egymáshoz rendelhető információk sorozata, (így különösen azon tanúsítványok, a tanúsítványokkal kapcsolatos információk, az aláírás-ellenőrző adatok, a tanúsítvány aktuális állapotára, visszavonására vonatkozó információk, valamint a tanúsítványt kibocsátó szolgáltató elektronikus aláírás ellenőrző adatára és annak visszavonására vonatkozó információk), amelyek segítségével megállapítható, hogy az elektronikus dokumentumon elhelyezett fokozott biztonságú vagy minősített elektronikus aláírás, illetve időbélyegző, valamint az azokhoz kapcsolódó tanúsítvány az aláírás és időbélyegző elhelyezésének időpontjában érvényes volt. 15. Fokozott biztonságú elektronikus aláírás: elektronikus aláírás, amely a) alkalmas az aláíró azonosítására, b) egyedülállóan az aláíróhoz köthető, c) olyan eszközökkel hozták létre, amelyek kizárólag az aláíró befolyása alatt állnak, és d) a dokumentum tartalmához olyan módon kapcsolódik, hogy minden - az aláírás elhelyezését követően a dokumentumon tett - módosítás érzékelhető. 16. Időbélyegző: elektronikus dokumentumhoz végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett. 17. Minősített elektronikus aláírás: olyan - fokozott biztonságú - elektronikus aláírás, amelyet az aláíró biztonságos aláírás-létrehozó eszközzel hozott létre, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki. 18. Minősített hitelesítés-szolgáltató: az e törvény szabályai szerint nyilvántartásba vett, minősített tanúsítványt a nyilvánosság számára kibocsátó hitelesítés-szolgáltató. 19. Minősített tanúsítvány: az e törvény 2. számú mellékletében foglalt követelményeknek megfelelő olyan tanúsítvány, melyet minősített szolgáltató bocsátott ki. 20. Szolgáltatási szabályzat: a 6. § (1) bekezdése szerinti szolgáltató tevékenységével kapcsolatos részletes eljárási és egyéb működési szabályokat tartalmazó szabályzat.
21. Tanúsítvány: a hitelesítés-szolgáltató által kibocsátott igazolás, amely az aláírás-ellenőrző adatot a 9. § (3), illetőleg (4) bekezdése szerint egy meghatározott személyhez kapcsolja, és igazolja e személy személyazonosságát vagy valamely más tény fennállását, ideértve a hatósági (hivatali) jelleget. 22. Archiválási szolgáltató: az e törvényben meghatározott, az elektronikus aláírással ellátott dokumentumok elektronikus archiválására vonatkozó szolgáltatást nyújtó szolgáltató. 23. Hitelesítési rend: olyan szabálygyűjtemény, amelyben egy szolgáltató, igénybe vevő vagy más személy (szervezet) valamely tanúsítvány felhasználásának feltételeit írja elő igénybe vevők valamely közös biztonsági követelményekkel rendelkező csoportja, illetőleg meghatározott alkalmazások számára. 24. Időbélyegzési rend: olyan szabálygyűjtemény, amelyben egy szolgáltató, igénybe vevő vagy más személy (szervezet) valamely időbélyegző felhasználásának feltételeit írja elő igénybe vevők valamely közös biztonsági követelményekkel rendelkező csoportja, illetőleg meghatározott alkalmazások számára. 25. Igénybe vevő: elektronikus aláírással kapcsolatos szolgáltatást igénybe vevő természetes személy, jogi személy vagy jogi személyiség nélküli szervezet. 26. Lenyomat: olyan meghatározott hosszúságú, az elektronikus dokumentumhoz rendelt bitsorozat, amelynek képzése során a használt eljárás (lenyomatképző eljárás) a képzés időpontjában teljesíti a következő feltételeket: a) a képzett lenyomat egyértelműen származtatható az adott elektronikus dokumentumból; b) a képzett lenyomatból az elvárható biztonsági szinten belül nem lehetséges az elektronikus dokumentum tartalmának meghatározása vagy a tartalomra történő következtetés; c) a képzett lenyomat alapján az elvárható biztonsági szinten belül nem lehetséges olyan elektronikus dokumentum utólagos létrehozatala, amelyre alkalmazva a lenyomatképző eljárás eredményeképp az adott lenyomat keletkezik. 27. Minősített szolgáltató: a minősített hitelesítés-szolgáltató és az e törvény 6. § (1) bekezdésének b)-d) pontjában meghatározott szolgáltatásokat nyújtó olyan szolgáltató, amely a szolgáltatók nyilvántartásában valamely szolgáltatás tekintetében minősített szolgáltatóként szerepel.