Az elektronikus aláírásról, részletesebben
Az elektronikus aláírás olyan kriptográfiai kódolási eljárás, amelynek segítségével joghatás kiváltására alkalmas, akár a kézzel írott aláírással vagy a közjegyző előtt tett aláírással egyenértékű bizonyító erejű dokumentum hozható létre a hatályos jogszabályok - elsősorban az elektronikus aláírásról szóló 2001. évi XXXV. törvény - szerint. Az elektronikus aláírás a digitális aláíráshoz hasonló fogalom, de míg a digitális aláírás elsősorban a technológiát, az elektronikus aláírás a technológia mellett a jogi fogalmat is jelenti.

 

Az elektronikus aláírásról szóló törvény

Az elektronikus aláírásról szóló 2001. évi XXXV. törvényünk (Eat) az Európai Unió elektronikus aláírásról szóló 1999/93/EC irányelvénalapul.

 

Az Eat. négy ún. elektronikus aláírással kapcsolatos szolgáltatást határoz meg, amelyek a következők:

 

 

A törvény mind a négy szolgáltatás tekintetében megkülönböztet minősített és nem minősített szolgáltatókat. A minősített szolgáltatókról a Nemzeti Hírközlési Hatóság nyilvántartást vezet, és szigorúan felügyeli a tevékenységüket. A minősített szolgáltatók által nyújtott szolgáltatások esetén vélelmezni kell, hogy a szolgáltató a szolgáltatást "jól" nyújtja, és - bíróság előtt - annak kell bizonyítania az állítását, aki ezzel ellentéteset állít. Például, ha egy dokumentumon érvényes minősített időbélyeg szerepel, vélelmezni kell, hogy a dokumentum az időbélyegben szereplő időpontban már létezett; annak kell bizonyítania az állítását, aki szerint a dokumentum az időbélyegben szereplő időpontot követően jött létre.

A törvény meghatározza az egyes szolgáltatásokra vonatkozó alapvető biztonsági követelményeket, és szabályozza a szolgáltatók felelősségét is. A törvény több különböző biztonsági szintű elektronikus aláírást különböztet meg, a következőkben ezeket mutatjuk be.

Minősített elektronikus aláírás

A minősített elektronikus aláírás a legmagasabb biztonsági szintű elektronikus aláírás. Az Eat. szerint a minősített aláírás olyan fokozott biztonságú elektronikus aláírás, amely minősített tanúsítványra épül, és amelyet biztonságos aláírás-létrehozó eszköz (pl. egy speciális minősítésű intelligens kártya avagy chipkártya) segítségével hoztak létre. A minősített elektronikus aláírás mindenképpen kriptográfiai technológiákra - jellemzően PKI-re és X.509 tanúsítványokra - épül, a Nemzeti Hírközlési Hatóság által meghatározott kriptográfiai algoritmuskészletek alapján.

 

Minősített tanúsítványt kizárólag minősített hitelesítés szolgáltató bocsáthat ki, méghozzá kizárólag személyes regisztráció során, azaz a minősített hitelesítés szolgáltató munkatársának személyesen találkoznia kell a tanúsítványt igénylő személlyel. Minősített tanúsítvány kizárólag ember, azaz természetes személy számára bocsátható ki. Ha a minősített hitelesítés szolgáltató hibát követ el a tanúsítvány kibocsátása vagy gondozása során, felelős az ebből eredő károkért. Biztonságos aláírás-létrehozó eszközt - megfelelő módon, úgy, hogy az Eat. szerinti vélelem kapcsolódjon hozzá - csak minősített eszköz szolgáltató bocsáthat ki.

Ha egy dokumentumon minősített elektronikus aláírás szerepel, vélelmezni kell, hogy

 

A polgári perrendtartásról szóló törvény szerint a minősített elektronikus aláírással hitelesített okirat teljes bizonyító erejű magánokirat. Amennyiben a minősített aláírást közokirat kiállítására jogosult fél készítette, és teljesülnek a közokiratra vonatkozó követelmények, akkor a minősített elektronikus aláírással ellátott dokumentum közokirat.

Az elektronikus aláírásról szóló 1999/93/EC direktíva értelmében az EU tagállamok elfogadják a más tagállamok szabályai szerint készült minősített elektronikus aláírásokat, és azokat a kézzel írott aláírással egyenértékűnek tekintik. (A Eat-ben szereplő többi szolgáltatás nem feltétlenül nyúlik át az EU tagállamok határain.)

Fokozott biztonságú elektronikus aláírás

 

A fokozott biztonságú elektronikus aláírás a minősítettnél alacsonyabb biztonsági szintet képvisel, sokkal kevesebb szabály vonatkozik rá. A fokozott biztonságú aláírás is kriptográfiai megoldásokra épül, de nem feltétlenül PKI alapú, a szükséges követelmények akár PGP segítségével is teljesíthetőek.

Például, egy fokozott biztonságú elektronikus aláírás esetén:

 

A fokozott biztonságú elektronikus aláírással hitelesített dokumentum megfelel az írásba foglaltság követelményeinek, de nem kapcsolódik hozzá a fenti vélelem.

Megjegyzés: A fokozott biztonságú elektronikus aláírás nem feltétlenül kevésbé biztonságos, mint a minősített aláírás. (Például, egy biztonságos szerverteremben elhelyezett, kriptográfiai hardver modullal készült fokozott biztonságú aláírás sok esetben biztonságosabbnak mondható, mint egy magánszemély minősített aláírása.) A minősített aláírásra több szabály vonatkozik, így minősített aláírás esetén a befogadó félnek kevésbé kell vizsgálnia, hogy pontosan mekkora biztonságot jelent az adott aláírás.)

Fokozott biztonságúnak nem minősülő elektronikus aláírás

Az elektronikus aláírásról szóló törvény szerint létezhet olyan elektronikus aláírás is, amely nem felel meg a fokozott biztonságú aláírás követelményeinek sem. (Ilyen például, ha valaki odaírja a nevét egy e-mail végére.) Az ilyen aláírásról az Eat. mindössze annyit állít, hogy a bíróság nem utasíthatja el önmagában azért, mert elektronikusan létezik.

 

Az Eat. a 2004. évi módosítás előtt "egyszerű" elektronikus aláírásnak nevezte az ilyen aláírást. A most hatályos törvényben már nem szerepel ez a kifejezés, de néhol még ma is találkozhatunk vele.

Az elektronikus aláíráshoz szükséges technológia

Kriptográfiai művelet

Az elektronikus aláírásról szóló törvény technológia-független, de a benne foglaltak jelenleg a nyilvános kulcsú kriptográfia segítségével, az ún. nyilvános kulcsú infrastruktúra (PKI) alapján valósíthatóak meg.

 

  A kriptográfiai alapfogalmakról szeretne olvasni?

 

A nyilvános kulcsú infrastruktúra minden szereplőjének két kulcsa van: az egyik az ún. magánkulcs (más néven titkos kulcs), amelyet titokban tart, a másik az ún. nyilvános kulcs, amelyet akár nyilvánosságra is hozhat.

Ha valaki a saját magánkulcsával kódol egy bitsorozatot (illetve annak hash-ét, azaz kriptográfiai lenyomatát), akkor az eredményül kapott bitsorozatról igazolható, hogy azt mely nyilvános kulcshoz tartozó magánkulccsal hozták létre. Ha biztonságos kriptográfiai algoritmust, és kellően hosszú kulcsot használunk, akkor a tudomány és a technológia mai állása szerint az adott dokumentumhoz tartozó aláírást kizárólag a magánkulcs birtokában lehet létrehozni. A műveletet, amikor egy bitsorozatot (vagy annak hash-ét) a saját magánkulcsunkkal kódoljuk, digitális aláírásnak nevezzük. (Ugyanezen technológia segítségével titkosított üzenetet is küldhetünk. Ekkor a címzett nyilvános kulcsa segítségével kódoljuk az üzenetet (vagy az üzenet titkosítására használt, ún. szimmetrikus kulcsot), így ő csak a saját magánkulcsa segítségével tudja visszafejteni azt. Ez az ún. nyilvános kulcsú titkosítás.)

A digitális aláírás technikai fogalom, egy digitálisan aláírt bitsorozathoz nem feltétlenül kapcsolódik joghatás. Például, előfordulhat, hogy SSL kapcsolaton keresztül egy biztonságos webszerverre szeretnénk bejelentkezni, és a belépéshez a szerver által küldött véletlen bitsorozatot (ún. "kihívást") kódolunk a magánkulcsunkkal, így igazoljuk kilétünket. Elektronikus aláírásról akkor beszélünk, ha az aláírással egyúttal jognyilatkozatot is teszünk, például elfogadjuk egy dokumentum tartalmát vagy szerződést kötünk. Az elektronikus aláírás ugyanazon technológiára épül, de az Eat. szerint az elektronikus aláírásra használt magánkulcsot nem szabad más célra használni.

Elektronikus aláírás készítésekor leggyakrabban az RSA nevű nyilvános kulcsú kriptográfiai algoritmus szerint végezzük a kódolást, de léteznek más nyilvános kulcsú kriptográfiai algoritmusok is (pl. az ECC. Lenyomatképzésre az SHA-1 vagy az SHA-2 algoritmusokat szokás használni.

Tanúsítvány

Egy nyilvános kulcs alapján, meggyőződhetünk róla, hogy egy adott elektronikus aláírást valóban a hozzá tartozó magánkulccsal készítettek-e, de ebből még nem tudjuk, hogy kié az adott kulcspár, azaz készítette az aláírást. A tanúsítvány egy olyan bitsorozat, amely valakinek a megnevezését és a nyilvános kulcsát tartalmazza (és ezen kívül további adatokat is tartalmaz), és amelyet egy megbízható fél, ún. hitelesítés szolgáltató írt alá. A tanúsítványból azt tudhatjuk meg, hogy egy adott személy elektronikus aláírásának hitelességéről hogyan - mely nyilvános kulcs alapján - győződhetünk meg, így a tanúsítvány az aláírási címpéldány elektronikus megfelelőjének tekinthető.

 

  A tanúsítványokról szeretne olvasni?

 

Egy elektronikus dokumentumon lévő elektronikus aláírást az aláíró tanúsítványa alapján ellenőrizhetünk. Az aláíró tanúsítványán lévő aláírást a hitelesítés szolgáltató tanúsítványa segítségével ellenőrizhetjük. A hitelesítés szolgáltató tanúsítványán lévő aláírást általában egy másik hitelesítés szolgáltató tanúsítványa alapján ellenőrizhetjük, és az ellenőrzést egy ún. gyökér hitelesítés szolgáltatóra vezetjük vissza. A gyökér hitelesítés szolgáltatók tanúsítványait általában az elektronikus aláírást használó programok (pl. Windows, Mozilla) már eleve tartalmazzák.

Az elektronikus aláírás formátuma

Az elektronikus aláírás sokféle formátumban megjelenhet, nem minden alkalmazás kezel minden aláírás-formátumot. Elterjedt az e-maileken lévő S/MIME aláírás, a PDF fájlokba beágyazott aláírás, illetve az Európai Unióban az Európai Távközlési Szabványosítási Intézet (ETSI) ESI munkacsoportja által kidolgozott XAdES (XML Advanced Electronic Signature) és CAdES (CMS Advanced Electronic Signature) formátumok.

 

Magyarországon ezek közül leginkább a XAdES aláírásokat tartalmazó ún. e-akta és a PDF aláírás formátumok terjedtek el. A XAdES aláírások jelentősége abban rejlik, hogy könnyen, szabványos módon csatolhatóak hozzájuk időbélyegek, illetve az aláírás ellenőrizhetőségét segítő egyéb információk is.

 

  A XAdES aláírás típusairól szeretne olvasni?

 

Elektronikus aláírás ellenőrzése

Elektronikus aláírás ellenőrzéséhez aláírás-ellenőrző alkalmazásra van szükség. E funkciót általában vagy maguk az aláírás-létrehozó alkalmazások, vagy azok ellenőrzésre szolgáló (jellemzően ingyenesen letölthető) változatai látják el.

 

Az aláírás ellenőrző alkalmazás a következő műveleteket végzi el:

 

Lényeges, hogy egy aláírás csak akkor ellenőrizhető, ha igazolható, hogy mikor készült. Ha az aláíró tanúsítványa lejár, később bizonyítani kell tudni, hogy a tanúsítvány még érvényes volt, amikor az aláírás készült. Ezért a még érvényes aláíráson időbélyeget szokás elhelyezni, így az aláírás érvényessége később is bizonyítható marad.

Az aláírások érvényességét általában megbízható időpontokra, azaz időbélyegek érvényességére alapozzuk, így az aláírásnak sokszor csak időbélyeggel együtt van értelme. Gyakran fordul elő, hogy az elektronikus aláírás fogalmába az aláíráshoz csatolt időbélyeget is beleértik.

 

  Az elektronikus aláírások ellenőrzéséről szeretne olvasni?

 

Az elektronikus aláírás archiválása

Ha azt szeretnénk, hogy egy elektronikus aláírás hitelessége hosszú távon is igazolható maradjon, a következő körülményeket célszerű figyelembe venni:

 

Ha azt szeretnénk, hogy az aláírás érvényessége hosszú távon is igazolható maradjon, célszerű rendszeresen (az alkalmazott technológiáktól függően pl. 5-10 évente) időbélyeget elhelyezni az aláíráson és az érvényességét alátámasztó információkon.

A 114/2007. GKM rendelet határozza meg a hiteles digitális archiválás jogszabályi követelményeit. E rendelet minden elektronikusan archivált hiteles információra vonatkozik, beleértve azokat is, amelyeken nincsen elektronikus aláírás. A rendelet szerint a megőrzésre kötelezett maga is elvégezheti a fenti műveleteket, de minősített archiválás szolgáltatót is megbízhat vele. A kettő között az jelenti a fő különbséget, hogy ha minősített archiválás szolgáltató archivál egy dokumentumot, akkor az Eat. szerint vélelmezni kell, hogy "jól" végzi az archiválást, és felel azért, hogy az archiválást jó végezze. Ezzel szemben, ha valaki saját maga végzi az archiválást, akkor neki kell bizonyítani, hogy megfelelően jár el (pl. megfelelő módon és megfelelő rendszerességgel helyezi el az időbélyeget), és ő maga felel minden ebből eredő kárért.

A hazai legnagyobb elektronikus aláírás alkalmazások