Az elektronikus aláírás és a tanúsítványok helyzete Magyarországon

Erdõsi Péter,
BME GTK Információ- és Tudásmenedzsment Tanszék,
PhD műhely

Bevezetés

Az elektronikus kommunikáció biztonsága iránti érdeklõdés és megoldás-keresés nem újkeletû dolog. Az aszimetrikus kulcsú titkosítás matematikai elmélete több mint 25 éve ismert. Az elméleti háttér és a gyakorlati megvalósítás eddigi fejlõdése után napjainkra elindult a törvényi szabályozás kialakítása is, ami a használhatóság egyik – igen fontos – kritériuma. Az elektronikus aláírásról szóló hatályos törvény, valamint az eddig elkészült rendeletek és a készülõ jogszabályok arra utalnak, hogy az elektronikus aláírás használatának minden szabályozási korlátja hamarosan ledõlhet, így a jogkövetkezménnyel ellátott elektronikus okirat-csere szabad utat kap. A széles körben történõ alkalmazás elõtt azonban még néhány szabályozási, technikai és humán területen történõ lépés elõttünk áll. Az elõadás ismerteti a kialakult helyzetet és felvet néhány kérdést a jövõbeli alkalmazás szempontjából.

A szabályozási környezet

Az elektronikus aláírásról szóló 2001. évi XXXV. törvény szeptember 1-jén lépett hatályba. A végrehajtáshoz ez azonban önmagában kevés, azt – a jog gyakorlásánál megszokott módon – rendeletek segítik, készítik elõ. A törvény az aláírás használatához számos rendelet megalkotásához ad felhatalmazást. Ennek értelmében már három rendelet látott napvilágot, és készülõben van a többi szükséges rendelet is.

Az elektronikus aláírások használata közben több szereplõ, hardver- és szoftver-elem is azonosítható. Az aláírásokat el kell készíteni (aláíró, létrehozó adat, -eszköz), mielõtt elküldjük a fogadó oldalnak, aki az aláírásunkat ellenõrzi (ellenõrzõ adat, -eszköz), és kétség esetén egy megbízható – esetleg államilag ellenõrzött – harmadik félhez fordulhatunk (hitelesítés-szolgáltató), aki tanúsítja az aláíró és az aláírása összetartozását, az aláíró hitelességét (tanúsítvány). A folyamatnak a jogi elfogadhatóságát teremtette meg az eddig létrejött jogszabályi környezet. A gyakorlatban a jogszabályoknak megfelelõ rendszerek a Public Key Infrastructure (PKI) filozófiája alapján valósultak meg idáig.

Az elektronikus aláírás azonban gyûjtõfogalom. Minden eljárás elektronikus aláírásnak nevezhetõ, amely hitelesítés céljára szolgál. Így például a MAC kód (Message Authentication Code) és a digitális aláírás is. A továbbiakban elektronikus aláírás alatt – amire a törvény is vonatkozik – gyakorlatilag a digitális aláírásról fogunk beszélni

Jogkövetkezménnyel az aláírások készítõinek és hitelesítõinek – és remélhetõleg a hamisítóinak – kell számolniuk valószínûleg akkor, amikor az aláírás ellenõrzõje nem fogadja el annak hitelességét, és peres útra tereli az ügyletet. Amennyiben az aláírás minõsített, akkor azt bármely olyan bírósági, vagy államigazgatási eljárásban el kell fogadni, amelyeknél ezt a megfelelõ rendelet lehetõvé teszi. Ez egyben azt is jelenti, hogy csak azért, mert van, még nem használhatjuk az állammal folytatott ügyintézéseinkben, a rendeletek létrejötte és tartalmának ismerete nélkül. Ezen kívül a fokozott biztonságú elektronikus aláírással ellátott elektronikus irat kielégíti az adott jogviszonyban az írásba foglalás követelményét – a meghatározott kivételeken kívül. Mindezeken túlmenõen bármely elektronikus aláírás, irat, dokumentum elfogadását, bizonyítási eszközként történõ alkalmazását sem lehet megtagadni kizárólag amiatt, hogy csak elektronikus formában létezik. Más kérdés persze, hogy ezen túlmenõen még milyen követelményeket kell kielégítenie az elektronikus dokumentumnak ahhoz, hogy a nyugtázásától eljuthassunk a teljes körû elfogadásáig.

Az elektronikus aláírásról szóló 2001. évi XXXV. törvény szeptember 1-jén lépett hatályba. A végrehajtáshoz ez azonban önmagában kevés, azt – a jog gyakorlásánál megszokott módon – rendeletek segítik, készítik elõ. A törvény az aláírás használatához számos rendelet megalkotásához ad felhatalmazást. Ennek értelmében az állami ellenõrzést megvalósító Hírközlési Fõfelügyelet (a továbbiakban Fõfelügyelet) – e törvénnyel kapcsolatos – feladatkörét és hatáskörét a 151/2001 Kormányrendelet szabályozta, valamint kormányrendelet fogja majd várhatóan leírni a központi közigazgatási szervek és helyi önkormányzati szervek elektronikus aláírással és az azokat hitelesítõ szolgáltatókkal kapcsolatos követelményeket is. A Miniszterelnöki Hivatalt (MeH) vezetõ miniszter a 16/2001 rendeletben szabályozta az elektronikus aláírással kapcsolatos szolgáltatások és szolgáltatókra vonatkozó részletes követelményeket, a 15/2001 rendeletben, pedig rendelkezett az elektronikus aláírási termékek tanúsítását végzõ szervezetekrõl, kijelölési szabályaikról. A MeH minisztere fogja rendeletben megállapítani a Fõfelügyeletnek e törvény alapján járó igazgatási szolgáltatási díjak mértékét is, a pénzügyminiszterrel egyetértésben, valamint irányelvet fog kibocsátani a 16-os rendelet záró rendelkezése alapján. Ebben olyan szabványokon és mûszaki elõírásokon nyugvó alapelvek lesznek megfogalmazva, hogy ha ezeknek egy szolgáltató eleget tesz, akkor a Fõfelügyelet köteles a vonatkozó követelményeknek megfelelõ szolgáltatónak tekinteni – ezek tekintetében legalábbis.

A miniszterek – a törvény záró rendelkezései szerint - rendeletekkel fogják szabályozni azoknak a jogviszonyoknak a körét, ahol mód van kizárólag elektronikus iratok, dokumentumok használatára, valamint megállapítják az ezekkel történõ ügyintézés sajátos szabályait is. Ugyanezt meg kell tenniük majd a helyi önkormányzatoknak is, hogy rendeletben szabályozzák azokat az eljárásokat, ahol mód lesz elektronikus iratokkal intézni az ügyeket. A felhatalmazási rész ugyan kizárólagos elektronikus ügyintézésrõl beszél, de a 3§7-es paragrafus kimondja, hogy jogszabály nem teheti az elektronikus aláírás használatát kötelezõvé… Megállapítható tehát, hogy a jogszabályi környezet kialakítása a közepén tart még, s a közeljövõ számos értelmezési feladatot is tartogat a jogalkotók számára.

A törvényi szabályozás kialakulása változásokat indukált a gazdasági szereplõknél is. Elektronikus aláírási termékek tanúsítását végzõ szervezetekrõl nincsen még hír. A hitelesítés-szolgáltatók területén azonban már más a helyzet. 2001-ben várhatóan három szolgáltató kezdi meg a törvénynek megfelelõ mûködését: Netlock Kft, MATÁV Rt, GIRO Elszámolásforgalmi Rt. A hangsúly a „törvénynek megfelelõ” kifejezésen van, hiszen a Netlock kft több, mint 5 éve szolgáltat tanúsítványokat, és elsõként Magyarországon 2001.10.26-tól õ jogosult a „fokozott biztonságú szolgáltató” titulus feltüntetésére. A többiek is fokozott biztonságú szolgáltatóként kívánnak a piacon tevékenykedni, mivel nyilvános szolgáltatást csak nyilvántartott és felügyelt szolgáltató nyújthat. Ez azt is jelenti, hogy a szolgáltatók hatósági nyilvántartása hamarosan megfelelõ tartalommal fog bírni, másrészt azt is, hogy a hatósági eljárás módszere kialakult, és elvégezhetõvé vált.

Itt érdemes megállni egy pillanatra. A törvény olyan fogalmat, hogy "fokozott biztonságú hitelesítés-szolgáltató" nem ismer. Ha részletesen áttanulmányozzuk a jogszabályokat, arra a következtetésre jutunk, hogy meg kell különböztetni az elektronikus aláírások és a tanúsítványok, sõt a szolgáltatók osztályozási kategóriáit is, mert nem ugyanazok. A törvény alapján három típusú elektronikus aláírás létezhet (normál, fokozott biztonságú, minõsített), de csak két típusú tanúsítvány lehetséges: minõsített és nem minõsített. A 16/2001-es Kormányrendelet bevezeti továbbá a "fokozott biztonságú szolgáltató" fogalmát is implicit módon, külön definíció nélkül. Fokozott biztonságú tanúsítványról azonban egyik jogszabály sem tesz említést, csak fokozott biztonságú szolgáltatásról. Megállapítható az is, hogy a fokozott biztonságú szolgáltatónak a kibocsátott (nem minõsített) tanúsítványait - úgy tûnik - nem kell fokozott biztonságú elektronikus aláírással hitelesítenie. Továbbá a fokozott biztonságú elektronikus aláírás kritériumai között nem szerepel az, hogy tanúsítvánnyal is rendelkeznie kell. Következésképpen abból, hogy a szolgáltató fokozott biztonságú, nem következik automatikusan az, hogy az általa kibocsátott tanúsítványok fokozott biztonságú elektronikus aláíró adatokhoz (privát kulcs) kapcsolódnak.

A különbözõ szolgáltatók közötti különbséget tehát nem az általuk kibocsátott tanúsítvány típusa határozza meg, hiszen az idén Magyarországon csak „nem minõsített” címkéjû tanúsítvány kibocsátására van lehetõség. Mi jelenti akkor a különbséget a különbözõ tanúsítványok között? A választ a regisztrációs folyamatokban kell keresnünk. Különbözõ szintûnek értékelünk egy tanúsítványt akkor, ha az személyhez vagy eszközhöz kötõdik, illetve a személyhez kötõdõ tanúsítványoknál az is fontos, hogy milyen mértékben, mennyire erõsen gyõzõdött meg a regisztrációs hatóság a személy identitásáról (e-mail cím, személyi igazolvány, tanúk, közjegyzõi igazolás).

A piaci szereplõk tehát igyekeznek megfelelni a jogszabályoknak, és mûködésüket hozzáigazítani a rendeletekhez és a piaci igényekhez, azonban azt is látnunk kell, hogy ezt a szükséges és elégséges mértékig tudják csak felvállalni. Mitõl lesz egy szolgáltató jól mûködõ? Egyrészt attól, hogy megfelel a törvényi elõírásoknak (ettõl lesz fokozott biztonságú(!)), másrészt attól, hogy lesznek nagy számban olyanok, akik megbíznak az adott szolgáltatás minõségében. Azonban, ha a törvényi elõírások nem tartalmaznak biztonsági követelményeket egy szolgáltató számára, akkor az, hogy megfelel a törvényi elõírásoknak, nem nyújt elegendõ garanciát a szolgáltatás megbízhatóságához. Ezek után felértékelõdnek a megbízhatóság megítéléséhez szükséges egyéb módszerek is. Léteznek már Európában olyan önkéntes minõsítési rendszerek (pl. tScheme, TTPNL), melyek pontosan az állami szabályozás ismert és tudatosan vállalt korlátait hivatottak ellensúlyozni, vagy megelõzni, így széles körû elfogadottságuk alapján növekszik a szolgáltatóval szembeni bizalom. Sajnos ezek még ott is csak elméletileg mûködnek, Magyarországon errõl még elméletileg sem beszélhetünk. El lehetne fogadni más szolgáltatók pecsétjeit (pl. VeriSIGN), de fennáll a veszélye annak, hogy a pecsétet csak azok a szolgáltatók kaphatják meg, akik maguk is a VeriSIGN termékeit használják – azaz a minõsítés megadása termékfüggõ. A bizalom kérdésére várhatóan az ügyfelek fogják megadni a választ.

Az elõadás elsõ fele tehát áttekinti a törvényi szabályozás lényegét, és megfogalmaz néhány eddig felmerülõ kérdést is.

Elektronikus aláírás – digitális aláírás

Az ETSI ES 201 733 V1.1.3 elektronikus aláírás-formátumokat tartalmazó szabvány (továbbiakban Szabvány) szerint az elektronikus aláírás "fontos biztonsági komponens, amely felhasználható az információ és az elektronikus üzletbe vetett bizalom védelmére". Ennek következtében a Szabvány szerint készített elektronikus aláírások valamely kötelezettség explicit felvállalásának feldolgozható bizonyítékaként jelennek meg az elektronikus tranzakciókban résztvevõ partnerek között. Más szóval a Szabvány az aláírás érvényességére koncentrál, azaz tartalmazza mindazon követelményeket, melyeket az aláírás készítése közben kell kielégíteni és azokat is, melyek ahhoz szükségesek, hogy a fogadó fél meggyõzõdhessen az aláírás érvényességérõl.

Az 1999/93/EC dokumentum, az elektronikus aláírás európai uniós szabályozásáról szóló Direktíva alapján "elektronikus aláírás" minden olyan elektronikus adat, mely egy másikhoz kapcsolódik vagy logikailag társítható vele, és eredet-igazolásra használható. A "fejlett elektronikus aláírás" a következõ módon definiált: egyedülálló módon köthetõ az aláíróhoz; alkalmas az aláíró azonosítására; olyan eszközökkel készült, melyet az aláíró egyedüli ellenõrzése alatt áll; valamint a vonatkozó adathoz oly módon kapcsolódik, amellyel minden késõbbi változtatás felismerhetõ. Minõsített elektronikus aláírást a Direktíva nem definiál, ellenben kijelenti, hogy a kézírással azonos értékûnek kell tekinteni azt a fejlett elektronikus aláírást, mely biztonságos eszközzel készült és minõsített tanúsítvány kapcsolódik hozzá.

A Szabvány kijelenti, hogy a Szabványban használt "elektronikus aláírás" fogalma egyenértékû a Direktíva "fejlett elektronikus aláírás" definíciójával.

Az elektronikus aláírásról szóló 2001. évi XXXV. törvény a Direktíva felépítését és ajánlásait próbálja követni, így elektronikus aláíráson az elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt és azzal elválaszthatatlanul összekapcsolt elektronikus adatot, vagy dokumentumot ért. A törvény továbbá bevezeti a "minõsített elektronikus aláírás" fogalmát is, valamint a "fejlett elektronikus aláírás" fogalma helyett a "fokozott biztonságú elektronikus aláírás" terminológiát használja. Minõsítettnek nevez egy elektronikus aláírást akkor, ha fokozott biztonságú, biztonságos aláírás-létrehozó eszközzel készült, valamint az aláírás-ellenõrzõ adathoz létezik minõsített tanúsítvány. Fontos tudni, hogy csak a minõsített elektronikus aláírással ellátott elektronikus okirat lesz teljes bizonyító erejû magánokirat, továbbá a fokozott biztonságú elektronikus aláírással ellátott elektronikus dokumentum elégíti ki az írásba foglalás követelményét – de a mai napon ilyen jogkövetkezménnyel még elektronikus aláírás nem bírhat.

Mire is vonatkozik tulajdonképpen a törvény? Az elektronikus aláírás gyûjtõfogalom. Minden eljárás elektronikus aláírásnak nevezhetõ, amely hitelesítés céljára szolgál. Így például elektronikus aláírás a MAC kód (Message Authentication Code) és az aszimmetrikus kriptográfián alapuló digitális aláírás is. A törvény az elektronikus aláírásról szól, de megjelennek benne a digitális aláíráshoz kapcsolódó fogalmak is.

A digitális aláírás készítése és ellenõrzése tulajdonképpen egy tetszõleges adathalmazból képzett digitális ujjlenyomat, vagy másképpen egy adatsorozatból képzett fix hosszúságú egyedi digitális jelsorozat transzformálása egy aszimmetrikus kulcspár segítségével. Az adatból képzett ujjlenyomatot a küldõ a saját (titkos) kulcsával átkulcsolja, amit a fogadó egyrészt a küldõ nyilvános kulcsával megold, másrészt újra elõállít, így ellenõrzi, hogy az átküldött adat a küldés folyamán nem változott-e meg. Ezeknek a fogalmaknak a törvényben való megjelenése azt jelzi, hogy minden paragrafus ugyanúgy érvényes a digitális aláírásra is – hiszen ez utóbbi az elektronikus aláírás részhalmaza.

A Szabvány a digitális aláírást egy adategységhez rendelt adat vagy adategység kriptográfiai transzformációjaként értelmezi, amely lehetõvé teszi az adategység fogadója számára a felhasználói adatok integritás-, eredet- és hamisítás elleni védelmét.

Érdekes kérdés, hogy a minõsített tanúsítványt miért nem lehet a szolgáltató minõsített elektronikus aláírásával ellátni, habár logikusnak tûnne a dolog, hogy minõsítettet a minõsítettel kapcsoljunk össze. A törvény 2. számú melléklete azonban a minõsített tanúsítványhoz a szolgáltató fokozott biztonságú aláírását írja elõ. A hasonló szóhasználat itt is eltérõ jelentést takar. A szolgáltató attól lesz minõsített, hogy eleget tesz a vonatkozó törvényi elõírásoknak – ahol már biztonsági követelmények is megjelennek, majd a Fõfelügyelet nyilvántartásba veszi. Ezek után generálja a saját minõsített szolgáltatói kulcspárját, és kiállítja az önmagát hitelesítõ tanúsítvány-kérelmet, a szükséges adatokkal ellátva. A tanúsítvány elfogadásakor ezt a szolgáltatónak el kell látnia a saját fokozott biztonságú aláírásával. Ha itt minõsített aláírás szerepelne, ahhoz ki kellene bocsátani egy minõsített tanúsítványt, amihez szintén kellene egy minõsített aláírás stb., így már érthetõ, hogy ennek a végtelen láncolatnak a kialakulását elõzi meg az, hogy a minõsített tanúsítványt a szolgáltató fokozott biztonságú aláírásával kell ellátni.

PKI rendszerek építése

Egy PKI-rendszer – a teljesség igénye nélkül – az alábbi komponenseket tartalmazhatja:

• Biztonsági Szabályzat

• Hitelesítés-szolgáltató

• Regisztrációs hatóság

• Tanúsítvány elosztás

• PKI-megfelelõ alkalmazások

Fontos látnunk, hogy a digitális aláírás és a tanúsítványok kibocsátása különálló funkcióként jelentkezik a PKI-rendszerben. Lehetséges megvalósítani digitális aláírás-rendszert tanúsítványok nélkül is (pl. PGP), és lehetséges a digitális aláírás-ellenõrzõ kulcsokat tanúsíttatni is. Nyilván ez utóbbi magasabb biztonságot nyújthat, megfelelõ megvalósítás esetén.

További elemek is megvalósíthatóak a PKI-rendszerben.:

• idõbélyegzés: melyet a digitális aláírás mögé helyezve igazoltuk, hogy a dokumentum nem létezett az idõpecsét elõtt,

• a valós idejû tanúsítvány-állapot szolgáltatás: mellyel on-line módon ellenõrizhetjük az aláírás érvényességéét (ennek fõként azonnali tranzakciók esetében van jelentõsége)

• a tulajdonság-tanúsítás (attributum authority): mellyel eldönthetjük, hogy az adott aláírónak van-e jogosultsága ahhoz, amit aláírt (pl. értékhatárig történõ aláírási jog)

A felhasználás célja alapvetõen lehet külsõ és belsõ. Belsõnek nevezzük egy zárt közösség (vállalat, csoport) rendszerét, melynek elfogadottságát a szûk körben szabályzatok és magasabb szintû utasítások biztosítják, külsõnek pedig azt, amikor azt szeretnénk, hogy olyan partner fogadja el az aláírásunkat, aki a szabályozott környezetünkön kívül esik.

Belsõ célra tetszõleges kialakítású PKI-rendszer elképzelhetõ és megvalósítható, hiszen nem kell a törvénynek megfelelõ szolgáltatást kialakítani. Ez természetesen kihatással lesz a költségekre is. Ez viszont azt is jelenti, hogy a belsõ célú aláírás külsõ elfogadottsága további intézkedések nélkül nem megoldott.

Amennyiben olyan rendszert szeretnénk építeni, mely széles körben elfogadható, igazodnunk kell a törvényi elõírásokhoz, és jóval biztonságosabb rendszert kell építenünk, mint belsõ felhasználás esetében. Gyakorlatilag, ha a belsõ aláírás-rendszerünket széles körû külsõ elfogadásra is alkalmassá akarjuk tenni, olyan, mintha egy új hitelesítés-szolgáltatót akarnánk megépíteni, azaz akár szolgáltatóként is megjelenhetünk a piacon.

Ha eljutottunk addig a pontig, hogy szükség van egy saját PKI rendszerre, és eldöntöttük, hogy milyen célra, milyen minõségben akarjuk használni, akkor a következõ lépés a megfelelõ partner kiválasztása a kivitelezéshez. Jelenleg több vállalat foglalkozik PKI rendszerek bevezetésével, több gyártó termékeit képviselve. Erõs piaci nyomás nehezedik a szállítók részérõl a leendõ felhasználókra, hogy „csak a saját rendszer a megbízható”, tehát vegyenek mindenféleképpen teljes körû PKI-megoldást. A lehetõség adott, de a kiválasztás során a követezõ szempontokat is célszerû figyelembe venni: referenciák, forráskód hozzáférhetõsége, fenyegetés-mentességi nyilatkozat megtétele, a jelenlegi információs rendszerbe történõ integrálás lehetõsége, üzemeltetés.

A külsõ vagy belsõ célra használt saját PKI rendszerek építése hasonló folyamat, a különbség a költségekben, a biztonsági és jogszabályi feltételeknek való megfelelésben mutatkozik. Elõször az általános sémát vázoljuk fel, majd a különbségeket külön kiemeljük.

Abból kiindulva, hogy a felhasználóink rendelkeznek digitális aláírással – tehát a titkos kulcsok generálásával most nem foglalkozunk –, alapvetõ fontosságú, hogy a PKI rendszerünkben legyen legalább egy regisztrációs hatóság, ami a tanúsítvány-kérelmeket rögzíti, a felhasználók fizikai és digitális jellemzõit összepárosítja, ellenõrzi. Ez a regisztráló szerv ezután továbbítja az adatokat – egy certificate-requestben – a hitelesítés-szolgáltató számára, ami elvégzi a felhasználói kulcsok tanúsítását. A hitelesítés-szolgáltató lényegében a magja a PKI rendszernek, mert ha ehhez illetéktelen hozzáfér, akkor lehetõsége nyílhat egy hitelesnek tûnõ, de nem létezõ digitális személyazonosság kialakítására, vagy a jelenlegi felhasználói tanúsítványok módosítására, megsemmisítésére. Ez utóbbi elkerülése miatt kell kiemelten foglalkozni a tanúsítványok disztribúciójával és a felhasználói tanúsítványok tárolásával.

Egy belsõ használatú PKI rendszer megvalósítása a gyakorlatban általában egy vagy több szoftver és hardveres kiegészítõ beszerzését jelenti, így alapesetben elképzelhetõ, hogy egy szerveren fut a hitelesítés-szolgáltató a hozzá tartozó alkalmazásokkal. Ennek a megoldásnak a biztonsága nem tekinthetõ magasnak. Ha azonban biztonságosabb, vagy már a jogszabályi feltételeknek megfelelõ PKI-rendszert akarunk kiépíteni, akkor a szó fizikai értelmében is építeni kell, mivel ekkor erõsebb biztonsági követelményeknek kell megfelelni, különösen a minõsített szolgáltatók esetében.

A két véglet között a beruházási összegek különbsége miatt érdemes elgondolkozni, hogy ha valaki saját használatra épít egy minõsített hitelesítés-szolgáltatót, akkor azzal már szolgáltatni is tudna, de ha nem ez a cég fõ profilja – márpedig abból indultunk ki, hogy nem –, és ha feltételezzük, hogy nem lép piacra szolgáltatóként a cég, akkor emiatt óriási költségek fogják terhelni. Ezért nem felesleges a kérdés, hogy mi a helyzet a tanúsítványok bérlésével, ahol a beruházási költségeket gyakorlatilag meg lehet spórolni.

A piaci szolgáltatások és a szolgáltatók

A törvényi szabályozás kialakulása változásokat indukált a gazdasági szereplõknél is. Elektronikus aláírási termékek tanúsítását végzõ szervezetekrõl nincsen még hír. A hitelesítés-szolgáltatók területén azonban már más a helyzet. 2001-ben három szolgáltató kezdte meg a törvénynek megfelelõ mûködését, mindhárman fokozott biztonságú szolgáltatóként tevékenykednek a piacon. Egyiküknek már eltökélt szándéka, hogy a legelsõ minõsített szolgáltató legyen Magyarországon.

A különbözõ szolgáltatók közötti különbséget azonban nem az általuk kibocsátott tanúsítvány típusa határozza meg, hiszen az idén Magyarországon csak „nem minõsített” címkéjû tanúsítvány kibocsátására van lehetõség. Mi jelenti akkor a különbséget a különbözõ tanúsítványok között? Az elõadásnak ez a része választ keres erre a kérdésre is, bemutatva a magyarországi szolgáltatók elképzeléseit és termékskáláját.

Biztonsági kérdések

A szolgáltatók megítélése biztonsági szempontból leginkább a cégbe vetett bizalom, a cégrõl szerzett információ (hírnév, stabilitás, hírek, pletykák, cég által közétett információk, egyéb publikus információk) és a szolgáltatások minõsége alapján történik meg.

A biztonsági megfontolások között legjelentõsebb a bizalom kérdése, amit két oldalról kell szemlélni. Egyfelõl fontos, hogy a felhasználó mennyire bízik meg a hitelesítés-szolgáltatóban, másfelõl az is kulcsfontosságú, hogy a felhasználó partnerei mennyire bíznak meg a választott hitelesítés-szolgáltatóban.

Ha egy saját PKI rendszert építünk, akkor tudni fogjuk a saját rendszerünk paramétereit, biztonságosságát és korlátait is, így tudjuk azt, hogy mennyire bízhatunk meg benne. A bérlés esetén nem ismerjük belülrõl a hitelesítés-szolgáltatót, így a nyilvános információk, Szolgáltatási Szabályzat és a cég megítélése alapján kell eldöntenünk, hogy mennyire bízhatunk meg benne. Bár a szolgáltató kártérítési felelõsségét, megbízhatóságát, rendelkezésre állását közzé teszi, számos példa mutatja azt, hogy az elterjedtség és széles körû alkalmazhatóság nem feltétlenül ezeken múlik. Itt jön be az emberi tényezõ.

A saját rendszer esetében megoldható, hogy a partnerek egymás rendszerei megismerése után egy külön megállapodásban rögzítik, hogy elfogadják az egymás rendszerei által kibocsátott tanúsítványokat hitelesnek. Külsõ hitelesítés-szolgáltató esetén, pedig a szolgáltatóval kötött szerzõdés helyettesíti ezt. Úgy tûnik, hogy az elsõ esetben lehet nagyobb a bizalom, de kisebb a jogi súlya (nem minõsített). Ezzel szemben áll az, hogy a cégek nagy része általában nem helyez kellõen nagy hangsúlyt az informatikára, az üzemeltetésre és az amúgy is túlterhelt informatikai részlegre hárítják át egy PKI rendszer üzemeltetését, a szükséges erõforrások biztosítása nélkül. Ez komoly veszélyforrásokat jelenthet a túlterheltség miatt hibázó, vagy szükség esetén nem rendelkezésre álló, nem hozzáértõ személyzet miatt, ami aláássa a saját rendszerek megbízhatóságát.

A szolgáltatók sokat megtesznek a bizalomnövelés érdekében. Jó példa erre a neves külsõ független auditor-cégek által készített biztonsági átvilágítás, mely megmutatja, hogy a szolgáltató mennyire felel meg a biztonsági elõírásoknak. Gyakran mégsem ez alapján választanak szolgáltatót a felhasználók. Érdekes a kérdés, hogy vajon miért? A választ a nem megfelelõ biztonsági kultúrában kell keresnünk.

Ma a cégek és a felhasználók nem érzik át az elektronikus kommunikáció biztonságának fontosságát olyan mértékben, mint amennyire szükség lenne. Így könnyen elképzelhetõ – amit a gyakorlat pontosan mutat –, hogy a biztonsági auditok eredménye és a társadalmi megítélés különbözik. Ilyen helyzetben elõtérbe kerülnek az egyéb tényezõk, mint például a személyes kapcsolatok, a pénzügyi korlátok vagy a korlátozott versenyhelyzet.

Erdõsi Péter, CISA, BME GTK Információmenedzsment tanszék, PhD mûhely