Elektronikus szignó

Stumpf István kancelláriaminiszter az információs rendszerváltás első sarkalatos törvényének nevezte az elektronikus aláírásról szóló törvényt az Országgyűlés előtt mondott általános vitát megnyitó bevezetőjében.

- Az üzleti élet szerződései megkötésének, az ügyintézés elektronikus lebonyolításának elengedhetetlen feltétele az azonosítható, letagadhatatlan, hiteles, egyben biztonságos elektronikus aláírás - mondta a Miniszterelnöki Hivatal vezetője az elektronikus aláírásról szóló törvény általános vitája előtt az Országgyűlésben.

Jövőbenézés

- A szabályozás alapvető célja, hogy az elektronikus aláírás a kézzel aláírt okiratokkal azonos joghatállyal bírjon, tehát a törvénynek lehetővé kell tennie, hogy az elektronikus úton közzétett szerződéses nyilatkozatok jogilag is érvényesíthetőek legyenek - fogalmazott a miniszter.

A javaslat értelmében az elektronikus aláírás bevezetésének feltétele, hogy az aláíró egyértelműen azonosítható legyen, az aláírás tényét ne lehessen letagadni, az aláírt irat tartalmának változtathatatlansága garantálható legyen, valamint igazolható legyen az irat elküldése. A törvény kimondaná, hogy az elektronikus úton aláírt irat elfogadását nem lehet az elektronikus formára hivatkozva megtagadni, vagy hitelességét kétségbe vonni.

Stumpf István elmondta, hogy három biztonsági kategóriájú aláírást ismernének el: egyszerű aláírásnak minősülne minden olyan kézjegy, amely nem alkalmas arra, hogy biztonságosan azonosítsa az aláíró személyét, illetve azt, hogy az aláírt dokumentum nem változott az aláírást követően. A fokozott biztonságú és a minősített elektronikus aláírás viszont alkalmas lenne erre. A minősített elektronikus aláírás a bíróság előtt teljes bizonyító erővel bírna.

Stumpf István közölte, hogy a hitelesítés-szolgáltatás terén az indítvány az úgynevezett nyilvános kulcsú eljárásra alapoz, amely megbízható technológiát nyújt az elektronikus irat számára.

- A kulcsok kiadásával kapcsolatos eljárásra piaci alapon létrejövő szolgáltatók lesznek jogosultak. A megkülönböztetett jogi hatás miatt a minősített "i" szignóhoz szükséges kulcsokat csak az erre állami felhatalmazással rendelkező hitelesítő szolgáltató cégek adhatják ki - hangsúlyozta a miniszter. A minősített aláírások kiadásához szükséges felhatalmazásokat várhatóan legkorábban egy év múlva kaphatják meg a szolgáltatók, amelyek azonban a törvény hatályba lépése után akár már ősszel ajánlhatják az alacsonyabb kategóriájú szignóhoz szükséges technikai megoldásokat.

Korai kulcs, késői kulcs

A javaslatot egyhangúlag elfogadó informatikai bizottság kisebbségi véleményét - azaz a 10 tartózkodó szavazatot - képviselő Kovács Tibor (MSZP) viszont úgy vélte, hogy az előterjesztés nem nyújt kellő garanciát az állampolgárok védelmére visszaélések esetén.

Az első fizetésre használt kártya 1981-ből

A szocialista Szabó Zoltán fontosnak, úttörő jellegűnek nevezte a beterjesztett dokumentumot, ám hozzátette: a javaslat gyanakvóan aprólékos az elektronikus aláírás használatában és szűkmarkú annak bátorításában.

A szintén szocialista Molnár Gyula a titkosítással kapcsolatos pontos szabályozás szükségességét hangsúlyozta.

A MIÉP vezérszónoka, Kiss Andor arra hívta fel a figyelmet, hogy sokkal egyszerűbben tárolhatóak és nyilvántarthatóak az elektronikus dokumentumok, mint a papír. A képviselő megjegyezte: szerinte még nem indokolt az azonosító kulcs nyilvánosságra hozatala.

Csehországban tavaly május óta, Amerikában október óta, Észtországban december óta él az elektronikus aláírásról szóló törvény. Németországban áprilisban lép életbe az erre vonatkozó szabályozás.

A nyilvános kulcsú infrastruktúra

Az elektronikus aláírás arra való, hogy a felhasználó hivatalos jellegű kommunikációra is használhassa az internetet - például monitorról rendelhessen magának autót, vagy ugyanígy eladhassa azt. A digitális aláírást egymás után fogadják el a fejlett országok törvényhozásai - így út nyílik az elektronikus gazdaság további fejlődéséhez és az elektronikus államigazgatás létrejöttéhez.

Nyilvános és titkos

A digitális aláírás működéséhez szükséges a nyilvános kulcsú infrastruktúra (public key infrastructure, PKI) kialakítása.

A nyilvános kulcs fogalmát elsősorban a titkosító szoftverek etalonjának tekintett Pretty Good Privacyből (PGP) ismerhetjük. Használata erős titkosítású biztonságos elektronikus levelezést tesz lehetővé. Működése a következő: mindkét levelező fél rendelkezik a másik nyilvános kulcsával. A levél küldője a címzett nyilvános kulcsát használva kódolja levele szövegét. A nyilvános kulcs párja a titkos kulcs. A címzett a nyilvános kulccsal kódolt szöveget titkos kulcsával tudja "kinyitni".

Digitális személyi

Aki digitális aláírást szeretne, először is generál magának egy kulcspárt (nyilvános, titkos). A titkos kulcsot igyekszik biztonságban tartani, a nyílt kulcsot pedig elküldi egy hitelesítő szervhez (certificate authority, CA). A hitelesítő szervként bejegyzett vállalkozás megtekinti a személyi igazolványát (útlevelét, jogsiját) majd kiadnak egy tanúsítványt arról, hogy ki a nyilvános kulcs tulajdonosa.

A tanúsítvány (neve X.509) tartalmazza a felhasználó nevét, nyilvános kulcsát, a tanúsítvány kibocsátójának nevét, nyilvános kulcsát és aláírását (amelyben egy újabb tanúsítvány lakozik) és az érvényesség idejét. Ez az elektronikus dokumentum a tanúsítványokat tartalmazó adatbázisba kerül, ahonnan érvényessége lejártával kiveszik.

A kulcsba vetett bizalom

A nyilvános kulcs a hivatalos tanúsítvánnyal együtt hiteles elektronikus aláírásként használható. A nyilvános kulcsok hitelesítésével foglalkozó cég Amerikában a VeriSign, a Baltimore és az Entrust Technologies.

A nyilvános kulcsú infrastruktúra szoftverekből, kommunikációs eszközökből, az ezekre vonatkozó szabályokból áll össze - a közös cél annak biztosítása, hogy az elektronikus aláírással kapcsolatos tranzakciókban mindenki az legyen, akinek tűnik. Az elektronikus aláírás tulajdonosának pedig az tűnik, akinél az azt tartalmazó (telefonkártyára igen hasonlító) smart kártya van.

A kérdésre, hogy eléggé megbízható-e ez a rendszer, a Montana Rt. szakmai napján a PKI-ról tartott előadásában Kovács Tamás, a vállalat információbiztonsági igazgatója elmondta: akárcsak a tömegközlekedés, a nyílt kulcsú infrastruktúra sem tökéletes. Abszolút biztonság a hagyományos közigazgatásban sem létezik, hiszen például előfordult olyan eset, amikor valaki hamisított papírokkal íratott a nevére egy ingatlant a földhivatalban. A PKI működése tehát a társadalmi bizalmon és megértésen alapul.