Árpád
-1 °C
9 °C

Pecsétgyűrű helyett virtuális szignó

2001.02.12. 20:42
A saját kézzel papírra rótt aláírás igazolja a jelzett személy kilétét, szerződések esetében jogilag elismerten rögzíti szándékát. Valószínűleg 50 év múlva már senki nem tudja majd elképzelni, hogyan lehetett egy ósdi írószerszám segítségével vonalakat mázolni egy papírlapra, így ellenjegyezve fontos dokumentumokat. A digitális aláírás lassan kezdi átvenni klasszikus elődjének a helyét.
Egyes remények szerint az internet is biztonságosabb lehet általa. Még az EU is gyorsítaná a digitális azonosítás bevezetését, valamennyi tagállam számára kötelezővé tették, hogy az írásbeli szerződésekkel azonos érvényűként ismerjék el az interneten kötött szerződéseket.

Az e-commerce világa a digitális aláírás révén felélénkülhet, sőt a bizalmon alapuló kereskedés működéséhez erre egyenesen szükség van. A biztonságot adó elektronikus aláírás áttöréshez segítheti az internetes tranzakciókat, a banki ügyintézéstől kezdve az elektronikus bevásárlásig és adóbevallásig.

Döntő lesz ebből a szempontból, hogy bíznak-e majd az emberek az elektronikus aláírásban. Ezt nem szabad elvárni az első pillanattól kezdve. Túl nagy az ugrás a szokásos, kézzel rótt szignótól a megfogható eredményt nem produkáló matematikai eljárásig.

A műszaki eljárás részletes ismertetésével sem lesz jobb a digitális aláírás elfogadottsága. Itt valóban társadalmi evolúcióra lesz szükség, és az átállás sebességét még nem lehet felmérni. Minden szakértő egyetért azonban azzal, hogy a digitális aláírás bevezetését semmilyen kompromisszum nem kísérheti. Ha olyan hírek terjednek el, hogy hamisított aláírással vagy dokumentumokkal éltek vissza egyesek, az évekre visszavetné az eljárás elterjedését.

Azokban az országokban, ahol a mobil kommunikáció már átszövi a mindennapokat, elfogadottak a különleges azonosítási eljárások. Már ma képesek a finn autótulajdonosok mobiltelefonnal fizetni az autómosóban. A gyakorlati alkalmazási lehetőségeket szemléltető modell persze csak akkor működhet gazdaságosan, ha elegendő felhasználó és szolgáltató működik együtt.

Az elektronikus kereskedelem messiásként várja a digitális aláírást. Ma még veszélyes árok tátong a feladó és a címzett között. Egy eladó jelenleg nem tudja megállapítani, hogy egy megrendelés valódi-e, vagy csaló ül a vonal másik végén. A megrendelő sem lehet benne biztos, mire használják az adatait, hányszor fizettetik ki vele ugyanazt a terméket. Ha ő a rossz fiú, utólag farkast kiáltva letilthatja az átutalást, mert a fizetési folyamatban nincs szükség aláírásra vagy a személyt máshogy azonosító kódra. Ez a rés bizalmatlanságot szül, sok kereskedőt és vásárlót riaszt el, és komoly károkat okoz az online kereskedelemben.

Azonosítók központi gyűjteménye

Az amerikai kongresszus tavaly nyáron jogilag érvényesnek ismerte el a digitális aláírásokat. A lépés utóhatása mindenekelőtt két cégnek okozhat veszteséget. Az UPS és a Fedex naponta sok ezer kézzel aláírt szerződést fuvaroznak a világban. Még a cégek közti, úgynevezett B2B e-commerce résztvevői is kénytelenek papír alapon megerősíteni az üzleteket.

Az amerikai törvény nagy nyertesének a kaliforniai Verisign, az online titkosítási eljárások piacvezetője számít. Ha az Internet Explorer felső keretében feltűnik a biztonsági sáv vagy a Netscape ablakának alján bezárul a kis lakat, akkor 85 százalékos valószínűséggel egy Verisign-partner weboldalon tartózkodunk.

Az már valamit jelenthet, hogy a világ nagyvállalatait felsoroló Fortune 500 listából mindenki erre a vállalatra hagyatkozik. A General Electric például a Verisign B2B Trust Services révén azonosítja 100 ezer kereskedelmi partnerét a B2B üzletekre létrehozott portálján.

A jogi szabályozás sokáig a fejlődés után kullogott. Így fordult elő például, hogy egy tőzsdei kibocsátás engedélyezési kérelmét az illetékes felügyelet elfogadta ugyan elektronikus formában, de csak ha CD-n vagy flopin adták be. Most már a Verisign segít a tőzsdei felügyeletnek a dokumentumok biztonságos online cseréjében.

A Verisign nem vállal kockázatot. Aki náluk a kis cégekre szabott 350 dolláros Global Site kezdőcsomagot választja, automatikusan 100 ezer dollárig biztosítva van a Lloydsnál. A Verisign azt is állandóan emlegeti, hogy eddig még senki nem törte fel az általa alkalmazott 128 bites SSL titkosítási eljárást.

Elismert piacvezető helyzete ellenére kissé túlméretezett a Verisign optimizmusa a jövőt illetően. A legtöbb ilyen digitális aláírás még számítógépekhez és nem személyekhez köthető - mondta James Van Dyke, a Jupiter Communications elemzője. Az online azonosítás valódi áttörése akkor következhet be, ha a szerződő felek ujjlenyomat vagy más biológiai azonosító révén igazolhatják magukat.

Azonosított feladó

A digitális aláírás gondoskodik arról, hogy a címzett biztos lehet benne: az elektronikus dokumentum valóban a feladótól származik. Ezzel egyidejűleg azt is igazolja, hogy a szöveg (vagy más tartalom) az átvitel alatt nem jutott másnak a tudomására, és nem változtatták meg. Az átvitt adatok természetesen titkosítva vannak. A digitális aláírás a titkosítási eljárás részét képezi.

A digitális aláírás természetesen csak olyan jó lehet, mint az alkalmazott titkosítás, amely a háttérben dolgozik. Fontos kérdés, milyen 'erős' legyen az alkalmazott eljárás. A jogi következmények sok lazaságot nem engednek meg: a digitális aláírás az autóvásárlástól kezdve az adóbevallás vagy építési engedély leadásáig számos helyzetben átveheti a 'kézi változat' szerepét.

Globálisan akkor érhet valamit a digitális aláírás, ha egyértelmű lesz az eljárások és szabályok nemzetközi elfogadottsága, és mindenhol végbemegy a jogharmonizáció is. Egy Németországban elismert, chipkártya alapú digitális aláírás mit sem ér, ha azzal egy amerikai vállalatnál nem lehet vásárolni.

A globális aláírás szabványainak kialakításánál még sok nyitott kérdés van. Milyen erős lehet például a titkosítási eljárás? Olyan erős, hogy még az állami szervek sem képesek belepillantani az interneten közvetített védett tartalomba? Éppen ebben a kérdésben képvisel különböző álláspontot az USA és az EU. Az aláírás alkalmazójának kilétét hogyan lehet biztosítani, ha legalább egy 'trustcenter'-nél regisztrálnia kell magát? Melyik országban és milyen jog alapján működjenek azonosító helyek?

Aszimmetrikus titkosítás
A szimmetrikus rendszerrel ellentétben, ahol mindkét fél ugyanazt a titkos kulcsot és ugyanazt az algoritmust használja (pl. DES, Data Encryption Standard), az aszimmetrikus titkosítás képes azonosítani a feladót, védeni a küldeményt, amelyet csak a címzett bonthat ki.

Az egyik legismertebb aszimmetrikus eljárás, az RSA algoritmus a hetvenes évek végén forradalmasította a titkosítás elvét. Első alkalommal képeztek két darab kulcsot a bizalmas dokumentum védelmére. Az egyik kulcs nyilvánosan ismert lehet, ellopása nem jelent félsikert sem, a jövőbeli feladóhoz nyílt úton is eljuttatható. Az eljárás emiatt nem csak az üzenetek védelmére alkalmazható, megoldható vele elektronikus üzlet résztvevőinek azonosítása is. A kulcs másik felére vigyázni kell, használatára akkor kerül sor, ha a párjával védett/titkosított üzenet érkezik.

Az aszimmetrikus titkosítás nélkül nem lehetne dokumentumokat digitális aláírással ellátni, és az elektronikus postát leskelődők ellen védeni. Időközben világszerte valóságos ipar foglalkozik az aszimmetrikus titkosítást alkalmazó programok fejlesztésével. Gyakorlatilag ide tartozik minden e-commerce alkalmazás, illetve vezeték nélküli internet-hozzáférés.

Az RSA-algoritmust védő szabadalom tavaly szeptemberben járt le, de néhány héttel korábban a jogokkal rendelkező cég felszabadította. Az RSA Security számára nem ez jelentette az érvágást, hanem hogy 2000 január 13-a előtt amerikai cégek 'erős' titkosítást nem adhattak el külföldieknek. A nemzetközi konkurencia így megerősödött, mindenki létrehozta a saját RSA-változatait.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Év végi utazás

Ajándékozzon utazást, töltse a karácsonyt és a szilvesztert külföldön!