Mária
-6 °C
-2 °C

Elektronikus aláírás kiskátéja

2001.08.24. 13:30
Mint arra éles elméjéről méltán elhíresült mesterem felhívta a figyelmemet, az általam is követett kérdés-felelek forma (GYFK/NRFK) nem is annyira debilis, illetve a régmúltba visszanyúló hagyományok, a feltárt történelmi távlat jelentősen enyhíti, sőt átdimenzionálja a stílus gyengeségeit. Nézzünk csak bele a Magyar Katolikus Katekizmusba: "Miért élünk a világon?" , "Hogyan szerette Isten a világot?" , "Hogyan viszonozzuk Isten szeretetét?" , "Mit kell hinnünk?". Ilyen kérdések sorakoznak egymás után, összesen 317 kérdés-felelet foglalja össze a katolikus hit legfontosabb tudnivalóit. Távol áll tőlem, hogy saját kérdéseimnek hasonló jelentőséget tulajdonítsak, mint az előbb idézettek, de a megvilágítás, miszerint eme lényegre törő historikus forma fogja keretbe a legmodernebb technikával kapcsolatos ismereteket, méltán önt el büszkeséggel vegyes borzongással. Lássuk hát a Nagyon Ritkán Feltett Kérdések második sorozatát!
Hogyan készül az elektronikus aláírás?

Némi hezitálás után, bízva abban, hogy nem veszik zokon, valamint tekintettel az újszülöttekre, egy nagyon rövid válasz erejéig ezt a "dedós" kérdést is becsempésztem a többi közé.

Az elektronikus aláírás készítéséhez először is venni kell egy darab tetszőleges hosszúságú tiszta szöveget (clear text - nyílt, nem titkosított információ), egy darab hash algoritmust, egy privát kulcsot és egy aláírás-készítő algoritmust. Ha mindezek megvannak, a hash algoritmusba bedobjuk a megtisztított szöveget (csak vigyázzunk, az ujjunkat be ne kapja) és kivesszük a szöveg lenyomatát. A lenyomat olyan fix hosszúságú (igen rövid - 128, 160 bit) adatsorozat, mely csak (pontosabban 2128, illetve 2160 valószínűséggel) az eredeti szövegre jellemző. Ezek után a lenyomatot és a privát kulcsot óvatosan belehelyezzük az aláírás-készítő algoritmusba, amely a lenyomat titkosításával előállítja az elektronikus aláírást, ami végül is együttesen kötődik az eredeti szöveghez és a privát kulcson keresztül annak tulajdonosához.

Meg kell jegyezni, hogy bizonyos területeken máshogy is készülhet elektronikus aláírás, Debrecenben például az apósom mindig rak hozzá egy kis tejfölt is.

Hogyan történik az elektronikus aláírás ellenőrzése?

Az elektronikus aláírás ellenőrzéséhez szükség van az eredeti, vagy eredetinek titulált tiszta (korábban aláírt) szövegre, az aláírásra, az aláírás ellenőrző algoritmusra, az aláírás készítéséhez használt privát kulcs publikus párjára, illetve a tanúsítványra és a hash algoritmusra. Az ellenőrzés folyamata igen hasonlatos az aláírás készítéshez. Az első lépés itt is a lenyomat előállítása, mely az aláírás készítésénél leírtak alapján működik.

Ezek után az aláírást a publikus kulccsal együtt az aláírásellenőrző algoritmusba tápláljuk, azaz visszafejtjük és ennek eredményeként is megkapunk egy lenyomatot. Ha a két így előállt lenyomat megegyezik, akkor az aláírást elfogadhatjuk, mert az aláírást tudjuk ki készítette, és biztosak lehetünk abban, hogy a szöveg az aláírás készítése óta nem változott.

Mitől lesz egy aláírás minősített?

A minősített aláírás fogalmát az EU elektronikus aláírásról szóló direktívája tette először széles körben ismertté, majd a magyar elektronikus aláírási törvény is magáévá tette az ott alkalmazott értelmezést.

A törvény definíciója szerint a minősített elektronikus aláírás: "olyan - fokozott biztonságú - elektronikus aláírás, amely biztonságos aláírás-létrehozó eszközzel készült, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki".

Hogy ez a pofonegyszerű állítás érthető lehessen, mindössze a fokozott biztonságú elektronikus aláírás, a biztonságos aláírás-létrehozó eszköz és a minősített tanúsítványok fogalmával kell megbarátkozni. De mielőtt ez megtörténne, annyi megjegyzéssel élnék, hogy a minősített aláírás valójában ugyanúgy néz ki, (és ugyanúgy is készül, mint a mezei társai. Szinte ugyanúgy, de erről majd később.

Mi az a fokozott biztonságú elektronikus aláírás?

A törvény azt mondja, hogy a fokozott biztonságú elektronikus aláírás, olyan "elektronikus aláírás, amely megfelel a következő követelményeknek:

  1. Alkalmas az aláíró azonosítására, és egyedülállóan hozzá köthető,
  2. Olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll,
  3. A dokumentum tartalmához olyan módon kapcsolódik, hogy minden - az aláírás elhelyezését követően az iraton, illetve dokumentumon tett - módosítás érzékelhető".

Ez magyarul szólva az általam mezeinek nevezett elektronikus aláírás, azaz a nyilvános kulcsú technológia felhasználásával (A "hogyan készül az elektronikus aláírás?" kérdés mellett leírtak szerint) készülő aláírás.

A fogalomra azért volt szükség, mert a törvény nem kívánva elfeledkezni az egyéb, semmiképp sem hagyományosnak tekinthető aláírásokról, mint például az e-mail végére egyszerűen odagépelt névről, azokat besorolta az elektronikus aláírás legtágabb körébe.

Mi az a biztonságos aláírás-létrehozó eszköz?

Az "aláírás-létrehozó eszköz: olyan hardver-, illetve szoftvereszköz, melynek segítségével az aláíró az aláírás-létrehozó adatok felhasználásával az elektronikus aláírást létrehozza". (Az aláírás-létrehozó adatokon a privát kulcsot kell érteni.)

  1. A törvény a biztonságos aláírás-létrehozó eszközökre vonatkozó követelmények között a következőket említi:
    1. Az aláírás készítéséhez használt aláírás-létrehozó adat aláírónként biztosan mindig különbözik, s titkossága kellően biztosított,
    2. Az aktuálisan elérhető technológiával kellő bizonyossággal garantálható, hogy az aláírás készítéséhez használt aláírás-létrehozó adat nem rekonstruálható, megvalósítható annak a jogosulatlan felhasználókkal szembeni védelme, illetve az aláírás nem hamisítható.
  2. A biztonságos aláírás-létrehozó, illetve - ellenőrző eszközöknek nem szabad az aláírandó elektronikus dokumentumot módosítaniuk, illetőleg az aláírás folyamatában lehetővé kell tenniük ezen dokumentum megjelenítését az aláíró számára."

Mindezt úgy tudjuk lefordítani emberi nyelvre, hogy egyszerű aláírás-létrehozó eszköznek tekinthetjük a sarokban porosodó PC-nket is, biztonságos aláírás-létrehozó eszköznek viszont semmiképp sem, hiszen a PC-ben tárolt titkos kulcsok nincsenek megfelelő biztonságban, s az aláírás folyamata sem kellően védett. Ilyen eszköznek manapság az intelligens kártyák és a hardveres biztonsági modulok számítanak.

Mi az a minősített tanúsítvány?

Minősített Tanúsítványoknak nevezzük azokat a tanúsítványokat, amelyek szigorúbb biztonsági követelményeket elégítenek ki, elsősorban az által, hogy ellenőrzött biztonsági és operatív eljárásoknak, szabályzatoknak felelnek meg, amelyek szerint magasabb fokú technikai, felelősségvállalási, jogi eljárásokat alkalmaznak.

A törvény szerint minősített tanúsítvány olyan különböző (a törvény mellékletébe foglalt) követelményeknek megfelelő tanúsítvány, amelyet minősített szolgáltató bocsátott ki.

A gyakorlatban ez azt fogja jelenteni, hogy a minősített tanúsítvány teljesen ugyanolyan felépítésű tanúsítvány lesz, mint a nem minősített (fokozott biztonságú) tanúsítvány, de feltüntetik majd benne a minősítettségre utaló jelzést.

Forrás: PriceWaterhouseCoopers