Vilma
-7 °C
4 °C

Van-e jövő titkosítás nélkül?

2001.07.12. 09:06
Ha így általánosan tesszük fel a kérdést, kategorikusan azt kell válaszolnunk: nincsen, hiszen már a mát is annyira átszövik a különböző kriptográfiai eljárások, hogy jelenünk se lenne nélkülük. Ha kimondottan az elektronikus aláírásra vonatkoztatjuk a kérdést, akkor szinte minden jogos fokozó képzőt megspórolva azt kell mondanunk: pláne nincsen. Hogy is lenne, mikor az elektronikus aláírás maga sem más, mint titkosítás?
Penna és szkenner

De akkor miért is teszünk fel ilyen értelmetlennek tűnő kérdést? Azért mert ezzel még sokan ma sincsenek tisztában. Már túl vagyunk azon a korszakon, amikor elektronikus aláírásnak a hagyományos kézzel-lábbal és pennával elkövetett aláírás beszkennelt képét hittük, de még nem jött el az idő, amikor valóban tudnánk is, hogyan digitalizálódik az aláírás. Már tudjuk mi nem, de még nem tudjuk mi is igazándiból. (Nem a tovább bonyolítás céljával, zárójelben meg kell azért jegyezni, hogy a törvény szerint az elektronikus aláírás tágan értelmezett fogalmába, akár ez a szkennelt kép is beletartozik. Az "igazi" elektronikus aláírást fokozott biztonsági elektronikus aláírásnak nevezi a jogszabály, de nekünk bár mindig erre gondolunk, ezt túl hosszú lenne leírnunk.)

Titkosítani tilos!

Egy elektronikus aláírás

De van egy még konkrétabb okunk is a kérdezésre, mint az össznépi ködoszlatás, mégpedig a törvény egy manapság meglehetős visszhangot kapó inkriminált pontja, mely így szól: "Az aláíró az aláírás-létrehozó adatot kizárólag az aláírás létrehozására használhatja_" (13. § 4 bekezdés). A törvényhez fűzött általános indokolás el is oszlat bármiféle oktalan jóhiszeműséget sejtő feltételezést: "A (4) bekezdés nemzetbiztonsági érdekből nem teszi lehetővé az aláírás létrehozó adatnak (magánkulcsnak) titkosítás céljából történő felhasználását." Valaki, akinek a hozzáértés nem homályosította el éleslátását, a törvényköröztetés utolsó fázisában csúnyán beleköpött a levesbe. Minden okunk megvan feltételezni, hogy ennek elkövetője egy kívülről, felsőbb szintről jövő, erős sugallat volt, s nem a törvény - egyébként lelkiismeretes - készítőin hatalmasodott el a kártékony önszorgalom.

Hogyan titkosítunk?

A HVG Június 16. számában Jóri András, jogosan hívja fel a figyelmet arra, hogy a titkosítani egyébként sem az aláírás létrehozó adattal van szokásban a világ fejlettebb régióiban, hiszen mint az a nevéből is kitűnik, aláírás létrehozására van kitalálva. Titkosítani ezzel szemben a címzett(ek) nyilvános kulcsával szoktak, vagy több címzett esetén különösen hatékony módon, egy az üzenetváltás idejére létrejövő ún. session kulccsal, ami nincs se a küldő, se a címzettek tulajdonában. Meg kell említeni azt is, hogy a kimondottan titkosításra szolgáló kulcsok egészen más típusúak, mint az aláírásra szolgálóak, hiszen más kriptográfiai algoritmus van mögöttük.

Míg elektronikus aláírásra kizárólag aszimmetrikus eljárásokat használnak, ahol a kódolásra és dekódolásra két külön kulcs szolgál (melyek összetartoznak), addig titkosításra nagyon jól megfelelnek a szimmetrikus algoritmusok is, amelyeknél ugyanazzal a kulccsal lehet dekódolni az adatokat, amelyekkel kódolták őket. Azokban az esetekben, amikor mégis nyilvános kulcsú (asszimetrikus) eljárásra bízzák a titkosítást, mit sem törődve annak nagyságrenddel nagyobb időigényével, erre külön titkosító kulcs-párt bocsátanak ki, hiszen a két kulcs-párnak (az aláíró és a titkosító kulcs-párnak) egészen mások az adminisztrációs igényei. (Általában ezekkel a titkosító kulcs-párokkal is csak a session kulcsokat titkosítják és nem a teljes információhalmazt.)

Maguk, az aláíró kulcs-párokat és tanúsítványokat kibocsátó szervezetek, a hitelesítési szolgáltatók is e módszereket használják a szervezet különálló egységei (pl. a hitelesítő egység és a regisztrációs egység) közti kommunikáció titkosítására. Ez pedig nemcsak a regisztráció során felvett személyes adataink diszkréciójának megőrzése miatt elengedhetetlen, hanem magának a privát kulcsunk bizalmasságának szempontjából is (a központban generált kulcs-párok e csatornán utaznak a regisztrációs központba), azaz az egész rendszer működőképességének, biztonságának érdekében is.

Elektronikus aláírás = Titkosítás++

De továbbmegyek: az indoklás önmagába harap. Az elektronikus aláírás úgy jön létre, hogy az aláírandó szövegből képzett rövid kivonatot, amely ahogy egy ujjlenyomat azonosítja gazdáját, meghatározza a teljes üzenetet, az aláíró eljárás a magánkulccsal kódolja. Azaz az elektronikus aláírás voltaképpen maga is titkosítás. Ha tényleg meg lenne tiltva a magánkulcs titkosítás céljából történő felhasználása, akkor e szőrszálhasogató értelmezés szerint egy füst alatt magát az elektronikus aláírást is betiltaná a jogalkotó.

Rossz bácsik és rossz nénik

Nyilván nem ez volt a szándék, de a sete-suta fogalmazás, és a háttérben maradó sugalmazó hozzá nem értése alaposan elbizonytalanítja azokat, akik a technológiával kezdeni szeretnének valamit. Ha úgy értelmeznék a jogszabályt, hogy titkosításra szolgáló kulcs-párok egyáltalán nem adhatók ki, akkor nemcsak az elektronikus kereskedelem számára nélkülözhetetlen bizalmasságot lőnék hasba, de magát az egész nyilvános kulcsú infrastruktúrát is. A nemzetbiztonságra való hivatkozás akkora rövidlátásra, vagy ami még valószínűbb, oly mértékű gonosz szándékokra utal, hogy attól minden jóérzésű polgárnak összeszorul korgó gyomra. Azok a rossz bácsik és rossz nénik, akik valóban a nemzet biztonságát veszélyeztetik, és ezen félelmet és rettegést keltő tevékenységük terepéül az elektronikus kommunikációt választják, a törvény eme pontja a legkevésbé sem gátolja meg abban, hogy titkosítsák információcseréjüket.

Hand-made titkosítás

Az említett szimmetrikus és aszimmetrikus algoritmusok nagy része teljesen nyilvános, egy kicsit is értelmesebb matematika szakos egyetemi hallgató pár nap alatt leprogramozza bármelyiket, vagy ha a kihívásnál erősebbnek bizonyul lustasága, hát letölt egy kész eljárást az Internetről. A korábban már említett intelligens kártyák, melyekbe eleve be vannak programozva ezek az eljárások, teljesen szabadon hozzáférhetőek. Ha nem is a sarki közértben, de bárki megvásárolhatja őket, nem kívánják hitelesítési szolgáltató közreműködését (hiszen a titkosító kulcsokat nem muszáj hitelesíteni), s a párszor tízezer forintos vételár feltehetően nem vág padlóhoz egy elvetemült terroristát. A nemzetbiztonságunk felett őrködő szerveknek be kéne ismerni (mert belátni szerintem már rég belátták), hogy a tiltással semmire sem mennek. Azzal csak a titkosítást teljesen jogos módon a bizalmasság megteremtése érdekében felhasználni kívánó törvénytisztelő magánemberek és cégek érdekeit sértik (ahogy azt a korábbi adatvédelmi biztos, Majtényi László is kifejtette ajánlásában), azokét, akiket védeni lennének hivatottak.

Forrás: PriceWaterhouseCoopers