Az elektronikus aláírásról szóló hatályos törvény, valamint az eddig elkészült rendeletek és a készülő jogszabályok arra utalnak, hogy az elektronikus aláírás használatának szabályozási korlátai hamarosan ledőlhetnek, így a jogkövetkezménnyel ellátott elektronikus okiratcsere szabad utat kap. A széles körű alkalmazás előtt azonban még néhány szabályozási, technikai és humán területen megteendő lépés a vállalatvezetők előtt áll.
A magyarországi szolgáltatók kínálatát a tanúsítványtípusaik és a hozzájuk kapcsolódó regisztrációs folyamatok mentén járjuk körbe. 2002 júniusában négy hitelesítésszolgáltató működik az elektronikus aláírás törvényi előírásai szerint: a Netlock Kft., a Matáv Rt., a GIRO Rt. és a Microsec Kft.
Az elektronikus aláírás és tanúsítványok használata
A tanúsítványalapú hitelesítés felhasználási lehetőségei zárt és nyílt hálózatok esetén – a teljesség igénye nélkül – a következőkben határozhatók meg:
– elektronikus kommunikáció, levelezés, amellyel biztosítható a kommunikáció hitelessége, sértetlensége és letagadhatatlansága;
– webes felület, szolgáltatás elérése, a különféle szolgáltatásokhoz, területekhez történő hozzáférés, minden esetben a felhasználó egyértelmű azonosítását követően;
– webes felületen hitelesített alkalmazások futtatása, amellyel a különféle alkalmazások futtatása előtt meggyőződhet a felhasználó azok eredetéről, hitelességéről (idetartozik a szervertanúsítvány is);
– megbízható szoftverdisztribúció, amelylyel a felhasználó képes a tanúsítvány által hitelesített szoftverek és a nem hitelesített szoftverek megkülönböztetésére, és ez alapján történő felhasználására vagy elvetésére;
– internet banking szolgáltatások, azaz banki tranzakciók, lekérdezések végrehajtása biztonságosan;
– elektronikus ügyintézés, adóbevallás, adatszolgáltatási kötelezettség teljesítése: gyorsan, kényelmesen a felhasználó egyértelmű azonosítása mellett;
– interneten keresztüli vásárlás, amellyel a vásárlás biztonsága növekszik, és amely a felek megbízható azonosításával a bizalom növekedésével járhat;
– beléptetőrendszer működtetése intelligens kártya segítségével, PIN-kóddal védett, biometrikus azonosítással a zárt területekre;
– számítógépes bejelentkezés (login), amellyel a felhasználó a hagyományos felhasználói név/jelszó páros helyett intelligens kártyája használatával jelentkezik be a munkaállomására;
– hálózatierőforrás-elérés, amikor a kártya birtokosához különböző hálózati erőforrások elérése rendelhető, vagy tiltható (fájlszerver, nyomtató);
– single sign on, ami azt jelenti, hogy egyszeri azonosítás után több rendszerhez történő hozzáférés, természetesen mindegyik rendszerhez a megfelelő jogosultságokkal;
– távoli elérés, amellyel a felhasználó külső helyszínről vagy otthonról – például virtuális magánhálózaton keresztül hozzáférhet a vállalat hálózatának bizonyos részeihez;
– biztonságos drót nélküli kommunikáció.
A hagyományos és az elektronikus levelezés eltérései
A hagyományos aláírási folyamat a következő:
1. Levél
2. Aláírás (hitelesítés)
3. Lezárt boríték
4. Postázás
5. Ellenőrzés
6. (Nem) Elfogadás
Az elektronikus aláírási folyamat ehhez képest a következő:
1. Levél
2. Aláírás (hitelesítés)
3. Titkosítás
4. Postázás
5. Ellenőrzés
6. (Nem) Elfogadás
Ha a hagyományos és digitális aláírási folyamatban a "Levél" és a "Postázás" sort kicserélnénk "Dokumentumra" és "Átadás/Továbbításra", akkor látható, hogy nemcsak a levelezésre, hanem az általános aláírási folyamatra is igaz ez a megfeleltetés.
Hitelesítés és ellenőrzés
Az első eltérés a hitelesítés és ellenőrzés vonatkozásában látható. Az üzleti életben megszokott dolog, hogy a vezető levelezését az adminisztratív feladatokért felelős alkalmazott bonyolítja, de az elektronikus aláírás esetén az egyik alapvető dolog, hogy a titkos kulcs – amivel az aláírást létre lehet hozni – csak az aláíró, jelen esetben a vezető kizárólagos birtokában lehet. Amennyiben ez ténylegesen megvalósul, akkor csak a vezető bonyolíthatja az elektronikus levelezést, ami felboríthatja a megszokott rendet, s ha nincs megfelelő szabályozás, akkor az is elképzelhető, hogy a vezető a titkár vagy titkárnő részére átadja a saját titkos kulcsát. Ez azonban komoly veszélyforrást jelenthet. Az ellenőrzés hagyományos esetben a kézírás, pecsét ellenőrzése, míg elektronikus esetben szoftveres úton a számítógép megjeleníti, hogy az elektronikus aláírás érvényes-e vagy sem. Itt nagyon fontos, hogy vírus és egyéb káros programoktól mentes környezetben történjen az ellenőrzés, mert ezekkel esetlegesen befolyásolható az ellenőrzés végeredménye. Megjegyezzük, hogy ilyen esetre már láttunk példát, tehát technikailag nem lehetetlen a megvalósítása.
"Bizalmas" dokumentumok
A másik fő kérdés a "Lezárt boríték" és a "Titkosítás" összehasonlítása esetén merül fel. A bizalmasság megőrzése érdekében az az általános gyakorlat, hogy az aláírt dokumentumokat lezárt borítékban a meghatározott címzettekhez juttatják el. Elektronikus esetben, ha e-mailben titkosítatlanul juttatják el a címzetthez az anyagot, az nem garantálja a bizalmasságot. Idevág az a mondás, amit gyakran hangoztatnak biztonsági szakértők, hogy amit az interneten keresztül kódolatlanul küldenek, az olyan, mintha egy nyílt postai levelezőlapon küldték volna.
A titkosítás használata
A megoldás erre a problémára a titkosítás használata, amely könnyen megvalósítható, és a papíralapú "lezárt borítéknál" erősebb megoldás. A titkosítással azért is érdemes még foglalkozni, mert a papíralapú dokumentumok is elektronikus formában készülnek el, és nagy részüket el is tárolják, általában mindenféle védelem nélkül.
Ezeket a problémákat kezelni csak megfelelő szabályozással, az alkalmazottak oktatásával, biztonsági tudatosságának növelésével lehet, így érhető el, hogy biztonságos elektronikus kommunikáció alakuljon ki.
Az elérhető biztonság
A legfontosabb kérdés, hogy létezik-e megfelelő biztonsági környezet? Az elektronikus aláírásról elmondhatjuk, hogy nem csodaszer, nem fog minden biztonsági problémára megoldást adni, hanem csak egy már meglévő és megfelelő biztonsági környezetbe illesztve emeli az elérhető biztonsági szintet. Több elemzés, tanulmány alapján azonban megállapíthatjuk, hogy Magyarországon még nem történtek meg mindenhol a szükséges lépések a megfelelő biztonsági környezet megteremtésére.
Az általános gyakorlat szerint eddig is elektronikus aláírás nélkül ment az elektronikus levelezés, a fontos, bizalmas anyagokat általában nem kódoltan továbbítják, de néhol léteznek erre saját biztonsági megoldások. Figyelembe kell venni azonban a kérdés vizsgálatánál, hogy a közvélemény sokkal magasabb szintű biztonsági elvárásokat támaszt az elektronikus aláírással szemben, mint a hagyományossal.
Az elektronikus aláírás fogalmaAz elektronikus aláírásról szóló 2001. évi XXXV. törvény elektronikus aláíráson az elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt és azzal elválaszthatatlanul összekapcsolt elektronikus adatot vagy dokumentumot ért. A törvény továbbá bevezeti a "minősített elektronikus aláírás" fogalmát is, valamint használja a "fokozott biztonságú elektronikus aláírás" terminológiát. Minősített az elektronikus aláírás akkor, ha fokozott biztonságú, biztonságos aláírás-létrehozó eszközzel készült, valamint az aláírás-ellenőrző adathoz létezik minősített tanúsítvány. Teljes bizonyító erő Fontos tudni, hogy csak a minősített elektronikus aláírással ellátott elektronikus okirat minősül teljes bizonyító erejű magánokiratnak, továbbá csak a fokozott biztonságú elektronikus aláírással ellátott elektronikus dokumentum elégítheti ki az írásba foglalás követelményét. (2002 első félévében ilyen jogkövetkezménnyel még elektronikus aláírás nem bírhatott, ugyanis a fokozott biztonságú elektronikus aláírás létrehozásának technikai feltételei még nem adottak.) MAC Minden olyan elektronikus eljárást, amely alkalmas hitelesítésre, elektronikus aláírásnak nevezünk. Ilyen lehet például a szimmetrikus kriptográfián alapuló MAC (Message Authentication Code). A MAC-kód képzése egy fix hosszúságú, az üzenetből képzett adat (digitális ujjlenyomat, hash) generálásán alapul, amelyet az üzenettel együtt küldenek az eredet és sértetlenség megállapítására. A hash-érték minden üzenetre más és más, és általában nem lehetséges a hash-értékből az eredeti üzenet tartalmát visszafejteni (egyirányúság). A hash képzésekor az üzenetet és a küldő által birtokolt titkot (titkos kulcs) egymás mellé teszik, és ebből generálódik a MAC, melyet az üzenettel együtt küldenek el. A fogadó az üzenetből és az általa birtokolt titokból szintén generálja a hash-értéket, és ha ez megegyezik az átküldöttel, akkor tudja, hogy egyrészt az üzenet küldője az, akinek a birtokában van ugyanez a titok, másrészt hogy az üzenet a küldés során nem változott meg. Bizalmasságot ez az eljárás nem biztosít. Megjegyezzük, hogy a nyilvános kulcsú kriptográfiával ötvözött MAC alkalmas a letagadhatatlanság biztosítására is. Szimmetrikus kulcsokkal ugyanez nem biztosítható, hiszen ha két feladó ugyanazzal az üzenettel és ugyanazzal a titokkal képes ugyanazt a MAC-kódot előállítani, ez máris alapjául szolgálhat a küldés letagadására. Digitális aláírás A digitális aláírás ezzel szemben olyan adatsorozat, olyan elektronikus aláírás, amely tanúsítja az üzenet eredetiségét és sértetlenségét az aszimmetrikus vagy nyilvános kulcsú kriptográfia segítségével. A küldő az üzenetből generált hash-értéket a saját aláíró kulcsával bekódolja (aláírja), és ezt küldi el az üzenettel együtt. A fogadó az üzenetből szintén generálja a hash-értéket, majd az ellenőrző kulccsal dekódolja az üzenettel együtt kapott aláírást, amelyből szintén egy hash-érték lesz. Amennyiben a kettő egyezik, akkor tudjuk, hogy egyrészt az üzenet nem változott meg a küldés folyamán, másrészt olyan valaki küldte, akinek a birtokában van az ellenőrző kulcshoz tartozó aláíró kulcs is. Az aláíró kulcsot nevezzük titkos kulcsnak, az ellenőrző kulcsot pedig nyilvános kulcsnak. A kettő kriptográfiailag is összetartozik, azaz ha az aláíró kulcsot titokban tartjuk, akkor elméletileg biztosak lehetünk abban, hogy az aláíró kulcs nélkül a nevünkben nincs lehetőség aláírás létrehozására. Felmerülhet a kérdés, hogy miért nem az egész üzenetből, miért csak egy fix hosszúságú (128-160 bit) lenyomatából képezzük az aláírást? Ennek több oka van. Egyrészt, ha a teljes üzenetet kódolva kellene elküldeni az eredeti (kódolatlan) üzenettel, az megduplázná a sávszélességigényt. Másrészt a nyilvános kulcsú algoritmusok futási ideje meglehetősen lassú, a sok várakozás pedig a felhasználói rendszert használhatatlanná teszi. Harmadrészt, ha a kódolt és az eredeti üzenetet egymás mellett postázzuk, a támadók azonnal lehallgathatják az üzenetet és annak kódolt változatát is, amiből könnyebben támadhatják a kódolási rendszerünket, visszafejthetik az aláíró kulcsokat. Összefoglalva a fentieket kijelenthetjük, hogy minden digitális aláírás egyben elektronikus aláírás is, de nem minden elektronikus aláírás lesz digitális aláírás. |
Hiányzó kapcsolatok, alkalmazások
Az elektronikus aláírást sok esetben nem könnyű alkalmazni a hiányzó kapcsolatok, alkalmazások miatt, használati lehetősége általában csak a levelezésre és a kódolt internetes oldalak megnézésére korlátozódik, mivel legelterjedtebben a levelező- és böngészőprogramok támogatják az elektronikus aláírás és tanúsítvány használatát. Az egyéb lehetőségek kihasználásához különféle segédprogramokra, alkalmazásokba beépülő pluginokra lenne szükség.
Biztonságos aláíró eszközök használata
A biztonságos használathoz ajánlott biztonságos aláíró eszközök használata, például csipkártya és kártyaolvasó, vagy USB token elterjedése most kezdődik. Hátrányuk, hogy jelenleg még drágák, és a csipkártya esetében a kényelmes használathoz több helyen is szükséges kártyaolvasó (munkahely, otthon stb.), a USB token a hatékony és könnyű használathoz pedig még fejlesztésre szorul. Itt érdemes megemlíteni, hogy a számítástechnikában már megszokott, az idővel bekövetkező eszközárcsökkenések is hozzájárulhatnak a nagyobb elterjedéshez, amihez persze a felhasználói szám növekedése is hozzájárul.
A tanúsítványok ára
Természetesen a tanúsítványokért is fizetni kell, ami ugyancsak visszatartó erő a hagyományos aláírással szemben, főként ha az árért még nem kapjuk meg a megfelelő és elvárt teljesítményt.
Netlock Kft.
A Netlockot a Hírközlési Főfelügyelet (HíF) 2001. október 20-tól nyilvánította "fokozott biztonságú szolgáltatóvá". A Netlock a törvény által felsorolt mindhárom szolgáltatás végzésére (tanúsítványkiadás, időbélyegzés és privát kulcs elhelyezés) bejegyeztette magát. Ez tehát azt jelenti, hogy regisztrációs és hitelesítő funkciót végez, amely közben négy hitelesítési osztályban ad ki tanúsítványokat – de valójában csak három az, ami tényleges kötelezettségvállalás igazolására használható közülük. A cég támogatja a csak tanúsítványt kérőket is, de lehetővé teszi, hogy más cég saját használatra virtuális szolgáltatót hozzon létre nála, melynek csupán a rendelkezésre állását biztosítja, az adminisztrációs feladatok a megrendelő cégre áthárítódnak. A láncolt CA-tanúsítvány lehetővé teszi bármely vállalati CA bekapcsolását a Netlock által felülhitelesítettek körébe.
Teszt osztályú tanúsítványok
A teszt tanúsítvány a hálózatbiztonsági szolgáltatások tesztelési céljaira kiadott tanúsítvány. A teszt szinten a hitelesítésszolgáltató nem végez és nem vesz igénybe entitásazonosító szolgáltatásokat. A teszt tanúsítvány csak a megadott elektronikus cím létezését biztosítja az érintett felek számára, semmi többet. Érvényességi időtartama 1 hónap, igénylése on-line módon történik. Felelősséget érte a Netlock nem vállal.
"C" osztályú tanúsítványok
A "C" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát korlátozott, részben emberi beavatkozással történt ellenőrzési lépéseken keresztül azonosította a hitelesítésszolgáltató. Használata elektronikus levelezéshez, kisebb kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlja a kft. Felelősséget 50 000 forintig vállal az ilyen típusú tanúsítványokra. A "C" osztályú tanúsítványok kiadását általában az igazolványok másolatának bemutatása előzi meg.
"B" osztályú tanúsítványok
A "B" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát szigorúbb ellenőrzési lépések során azonosította a hitelesítésszolgáltató. Használatát elektronikus levelezéshez, közepes kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlja a cég. Felelősséget 500 000 Forintig vállal az ilyen típusú tanúsítványokra. A "B" osztályú tanúsítványok kiadását magánszemélyeknél több névre szóló igazolvány, közüzemi számlák bemutatása előzi meg.
"A" osztályú tanúsítványok
Az "A" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát szigorú ellenőrzési lépések során azonosította a hitelesítésszolgáltató. Használata nagy értékű tranzakcióknál, pénzügyi utasítások és információk ellenőrzésénél, szerződéskötéseknél ajánlott a Netlock szerint. Felelősséget 5 000 000 forintig vállal ezekre a tanúsítványokra. Az "A" osztályú tanúsítványok kiadását – ahol lehetséges – közjegyzői nyilatkozat ellenőrzése előzi meg.
Tanúsítványtípusok
Személyes aláíró és titkosító tanúsítványok
Személyes tanúsítványokat természetes személy igényelhet a saját nevében.
Meghatalmazásos aláíró és titkosító tanúsítványok
Meghatalmazásos (névjegykártyás) tanúsítványokat természetes személy igényelhet egy adott szervezet tagjaként. A szervezet – többek között – lehet gazdálkodó szervezet, hivatal, önkormányzat, egyesület, alapítvány. A tanúsítványban szerepel a személy szervezetben betöltött funkciója is.
Szervezet-aláíró és -titkosító tanúsítványok
Szervezettanúsítványokat szervezet vagy annak szervezeti egysége igényelhet saját nevében. A szervezet – többek között – lehet gazdálkodó szervezet, hivatal, önkormányzat, egyesület, alapítvány.
Szervertanúsítvány
Szervertanúsítványt internetcímmel (ún. host névvel) rendelkező, szervert üzemeltető természetes személy vagy szervezet igényelhet.
WAP Gateway tanúsítvány
WAP Gateway tanúsítványt WAP Gateway eszközt üzemeltető természetes személy vagy szervezet igényelhet.
VPN-tanúsítvány
VPN-tanúsítványt VPN-eszközt üzemeltető természetes személy vagy szervezet igényelhet.
Láncolt Hitelesítés Szolgáltató tanúsítvány
Egy adott szervezet a szervezet alkalmazottai számára történő tanúsítványkibocsátást lehetővé tevő tanúsítvány.
Árak
A tanúsítványok árai 400 Ft/hótól 3000 Ft/hóig terjedhetnek, típustól és regisztrációs erősségtől függően.
Magyar Távközlési Rt.
A Matáv Rt. jelenleg anyavállalata, a Deutsche Telekom eszközeit és know-how-ját adaptálja a magyarországi viszonyokra. A szolgáltatás értékesítését e-Szignó néven kezdte meg a HíF 2001. december 21-i regisztrációját követően. A törvényben meghatározott szolgáltatások közül csak kettőt nyújt, időbélyegzéssel nem foglalkozik – a cikk írásának pillanatában. A kibocsátott tanúsítványok száma 2000 júniusában 2-3 ezer között van, az ügyfélkör gyakorlatilag a Kereskedelmi és Hitelbank internet banking ügyfeleit jelenti.
Szolgáltatásának lényege, hogy a Matáv egy interneten keresztül elérhető számítástechnikai rendszert – egy Web-CA-t létesít és üzemeltet az ügyfél (például bank, nagyvállalat) számára, amely felhasználható digitális tanúsítványok kibocsátására a bank ügyfelei vagy a vállalat dolgozói, partnerei részére.
Tehát a Matáv mint szolgáltató virtuális CA-kat (VCA) definiál és bocsát rendelkezésre a saját eszközein keresztül minden ügyfelének, akik úgynevezett közvetítőként biztosítják egy webfelületen keresztül a szolgáltatás tartalommal való feltöltését, az egyedi ügyfélszerződésben leírt igényeik alapján elkészített tanúsítványtípusok használatával. Ennek megfelelően a regisztrációs szervezet is kétszintű, mivel helyi viszonylatban a Local Registration Authorityt (LRA) képviselő operátorok betanítását és tanúsítvánnyal ellátását a Matáv Master Registration Authorityjének (MRA) munkatársai végzik.
Matáv-tanúsítványok
Tanúsítványtípusokat külön a Matáv nem határoz meg az MRA, CA, LRA és BatchRA – a nagy mennyiségű, általában automatikus tanúsítványigényléseknél használható megoldás – profilokon kívül, ellenben szolgáltatási szabályzatában megadja az általa kezelhető legbővebb tanúsítvány mezőit, és kijelenti, hogy a kibocsátott tanúsítványtípusokat a tanúsítványmezők adatai alapján lehet azonosítani. A kibocsátott tanúsítványok típusát közvetítőnként határozzák meg, és azt az egyedi ügyfélszerződés, illetve a tanúsítványszabályzat rögzíti, melyben minden esetben szabályozzák
– azt, hogy a tanúsítvány az aláírót saját nevében történő elektronikus aláírásra, vagy más személy (szervezet) nevében történő elektronikus aláírásra jogosítja-e fel;
– a kulcshasználat lehetőségeit – például elektronikus aláírás, ügyfél-azonosítás, titkosítás stb.;
– a tanúsítványok felhasználásának korlátait és egyben a tanúsítványok használatához kapcsolódó jogkövetkezményeket, valamint
– az aláíró és az aláírás-ellenőrző feleket terhelő kötelezettségeket.
Díjak
A Matáv díjairól explicit információ nem lelhető fel. A szolgáltatási szabályzatban leírtak szerint a szolgáltatás érvényes díjait és fizetési feltételeit a közvetítővel kötött egyedi ügyfélszerződés rögzíti. Sejteni azért lehet, hogy a Matáv üzletpolitikája a nagy cégeknek kedvez, azaz a nagy tételben tanúsítványt rendelők bizonyosan számíthatnak jelentős kedvezményekre, így a darabonkénti ár nem mond semmit ebben az esetben. Azt lehet csupán tudni, hogy a szolgáltatás díjazása során alkalmazott díjelemeket az alábbiakban felsoroltak közül választják ki.
VCA létrehozásához, megvalósításához és üzemeltetéséhez kapcsolódó díjtételek
Egyszeri felállítási, testreszabási díj, amely egyszeri díjtétel, magában foglalja az egyedi ügyfélszerződésben meghatározott paraméterekkel rendelkező VCA felállítását, valamint 2 fő LRA-operátor kártyáját (a kapcsolódó kulcspárral és tanúsítvánnyal), olvasóját és oktatását.
A havi üzemeltetési díj az a havonta számlázandó díjtétel, amely magában foglalja az egyedi ügyfélszerződésben meghatározott paraméterekkel rendelkező VCA üzemeltetését. A konzultáció díja úgynevezett opcionális díjtétel, amely tartalmazza az egyedi ügyfélszerződésben rögzített, közvetítő által igényelt konzultációs tevékenység díját, a szolgáltatás létesítése és üzemeltetése során.
Kártyás tanúsítványokhoz kapcsolódó díjtételek
Csipkártya (+ telepítő) díja: egyszeri, kártyánként fizetendő díjtétel, amelyet akkor számláznak, ha a tanúsítvány, illetve a magánkulcs tárolásához a közvetítő csipkártyát rendelt meg.
Kártyaperszonalizálás díja: egyszeri, kártyánként fizetendő díjtétel, mely magában foglalja a kulcsok és a tanúsítvány elhelyezését a kártyán, valamint a kártya egyoldali indent nyomással történő perszonalizálását. Akkor kerül számlázásra, ha a tanúsítvány, illetve a magánkulcs tárolásához a közvetítő kártyát rendelt meg. A perszonalizációs rendszer szállítója a Cardnet Rt., auditálója a HunGuard Kft.
Tanúsítványokhoz tartozó díjtételek
Tanúsítványok éves díja: tanúsítványonként számlázott éves díjtétel. A Matáv az egész évi díjat a tanúsítvány kiadásakor számlázza egy összegben. A tanúsítvány éves díja magában foglalja a tanúsítvány korlátlan használatának lehetőségét az érvényességi időn belül. Tranzakciós díj a tanúsítvány használatához kapcsolódóan nincs. A tanúsítvány visszavonása esetén az éves díjból nincs visszatérítés. A tanúsítvány érvényességi időtartama – az egyedi ügyfélszerződés alapján – egy évnél rövidebb időszak is lehet. Az ennek megfelelő árakat az egyedi ügyfélszerződés tartalmazza.
Tanúsítványok regisztrációs díja: opcionális egyszeri, tanúsítványonként számlázandó díjtétel, melyet akkor számláz a Matáv, ha az aláírók tanúsítványkérelemben rögzített adatainak ellenőrzését, az adategyeztetési tevékenységet és a tanúsítványkérelmek jóváhagyását (LRA operátori funkciók) az egyedi ügyfélszerződésben rögzített feltételekkel a szolgáltató végzi.
Egyéb hitelesítésszolgáltatáshoz kapcsolódó díjak
Egyéb egyszeri vagy havi díjtételek, melyek akkor számlázandók, ha az egyedi ügyfélszerződésben rögzített módon a szolgáltató a közvetítő részére más szolgáltatásokat is biztosít (például közvetítő munkatársainak oktatása, vagy oktatási kurzusok aláíróknak, végfelhasználók részére biztosított ügyfélszolgálati tevékenység havidíja stb.).
Nyilvános kulcsú tanúsítványA nyilvános kulcsú tanúsítvány olyan adatsorozat, amely kapcsolatot teremt egy aszimmetrikus kulcspár egyik tagja (nyilvános kulcs) és egy azt birtokló entitás tulajdonságai között. Entitás lehet ebben a körben természetes személy, hardveres eszköz vagy szoftveres eljárás, processz. A tanúsítványok használata ott válik szükségessé, ahol valakinek megbízható módon igazolnia kell azt, hogy az elektronikus kötelezettségfelvállalás ténylegesen megtörtént, jogszerű. Megfigyelhetjük, hogy a fokozott biztonságú elektronikus aláírásnak (írásbeliség) nem feltétele a hozzá kapcsolódó tanúsítvány megléte, ellenben a teljes bizonyító erejű magánokiratnak már igen, sőt, itt már a legmagasabb szintű, minősített tanúsítvánnyal kell rendelkeznie az aláírónak. Hogyan lehet tanúsítványhoz hozzájutni? Ennek a kérdésnek a megválaszolásához el kell különítenünk a vállalati belső használatot a külső kommunikációtól. Ugyanis a belső digitális aláírási rendszer elfogadása csak a vállalaton belül biztosított, felső vezetői utasítás alapján, így ennek nem kell a törvényi előírásoknak megfelelnie, viszont a külső elfogadhatósága megkérdőjelezhető, illetve további intézkedéseket követel meg. A külső kommunikációban használatos tanúsítványokat célszerű olyan cégektől beszerezni (hitelesítésszolgáltatók, certificate authority, CA), akik nyilvánosan és a törvényi szabályozásnak megfelelően végzik tevékenységüket, hiszen elfogadhatóságuk nagyságrendekkel magasabb, mint egy belső vállalati rendszeré. Azonban elképzelhető hibrid megoldás is, hiszen nem minden vállalati dolgozónak van arra szüksége, hogy vállalaton kívülre hitelesen aláírhasson, viszont a belső kommunikációban általában minden dolgozó részt vesz. Ennek megfelelően, ha a külső elfogadhatóság is szempont, ott szolgáltatótól származó tanúsítványok használata javasolt, míg a belső kommunikációban megfelelő lehet a saját építésű és üzemeltetésű digitálisaláírás-rendszer is. Természetesen a megvalósítási költségek nagymértékben függnek a cég méretétől is. Kisebb cég számára is megoldás lehet a tanúsítványok bérlése. |
GIRO Elszámolásforgalmi Rt.
A GIRO Rt.-vel szerződést kötött pénzügyi intézmények, a Magyar Nemzeti Bank, a Magyar Államkincstár és a KELER Rt. lesz a GIRO által kibocsátott tanúsítványok alkalmazó közössége.
A tanúsítvány megszerzése
A tanúsítvány megszerzéséhez a bankoknál vezetett számlák tulajdonosainak a saját bankjuknál kell érdeklődniük. A GIRO a hitelesítési szolgáltatását a pénzintézetek – mint regisztrációs szervezetek – bevonásával nyújtja. A tanúsítványigénylést tehát a honos bank fogja befogadni és elbírálni.
Azonnal felmerül a kérdés, hogy ha több banknál is szeretnénk elektronikusan intézni bankügyeinket, vajon mindannyiszor újra kell-e regisztráltatni magunkat, vagy ha egyszer beléptünk a GIRO-s tanúsítvánnyal rendelkező ügyfelek táborába, szabadon mozoghatunk-e a továbbiakban a bankok között? Elképzelhető, hogy a bankok közösen megállapodnak abban, hogy a másik pénzintézet által végzett ügyfél-regisztrációt elfogadják mindenkire nézve érvényesnek. Nyilván bizonyos korlátozások mellett így alakulna ki, hogy milyen feltételek mellett lehetnének a pénzintézetek az ügyfelek számára "átjárhatóak". A Bankszövetség már dolgozik a bankok által közösen elfogadható tanúsítványszabványon, így a tanúsítvány felhasználási lehetősége várhatóan független lesz a regisztráció helyétől. A GIRO Rt. 2002 júniusáig még nem bocsátott ki egyetlen nyilvános tanúsítványt sem, de hamarosan várható az első ügyfél, a pénzintézetekkel kötendő megállapodások függvényében.
GIRO-tanúsítványfajták
A GIRO fokozott biztonságúnak nevezett, szolgáltatói és teszt osztályú tanúsítványokat fog kibocsátani. A szolgáltatói és teszt osztályú tanúsítványok kibocsátását és kezelését a GIRO nem nyilvános szolgáltatás keretében tervezi végezni. A szolgáltatási szabályzatban a fokozott biztonságúnak nevezett tanúsítványok kezelését találhatjuk meg. A fokozott biztonságú tanúsítvány olyan személyeknek, szervezeteknek vagy eszközöknek kiadott tanúsítvány, amely alanyát szigorú ellenőrzési lépések során azonosította a szolgáltató. Használatát pénzügyi tranzakcióknál, utasításoknál és információk eredetiségének és sértetlenségének ellenőrzésénél ajánlja a GIRO.
A GIRO felelőssége
Az általános szerződési feltételek rendelkeznek a felelősségvállalás mértékéről. E szerint a GIRO az olyan – bizonyított – vagyoni károkért, amelyek felelősségi körében keletkeztek, kártérítést fizet a következő káreseményenkénti felső határokkal:
– a fokozott biztonságú, a magánszemély részére kiadott személyi tanúsítványok esetében 100 000 forint/tanúsítvány, de összesen legfeljebb 50 000 000 forint;
– a fokozott biztonságú, szervezet részére kiadott tanúsítványok esetében 250 000 forint/tanúsítvány, de összesen legfeljebb 100 000 000 forint;
– a fokozott biztonságú eszköztanúsítványok esetében 250 000 forint/tanúsítvány, de összesen legfeljebb 50 000 000 forint.
A felelősség felvállalhatóságához a GIRO nem fogad el más által generált titkos kulcsot, azt minden esetben saját maga fogja újonnan generálni ügyfelei számára.
A GIRO díjai
Az ügyfelek által fizetendő díjakat a szolgáltatási szabályzat szerint – az általános szerződési feltételeknek megfelelően – a regisztrációs szervezet által közzétett díjszabás tartalmazza. Ilyen szervezettel azonban a GIRO Rt.-nek még nem volt a cikk írásának idején érvényes szolgáltatási szerződése. A díjszabást az teheti érdekessé, hogy a szolgáltató nyereségéből a tulajdonos bankok részesednek, így egyrészről érdekeltek a relatíve magas díjtételekben, másrészről a díjat a banki ügyfelek fogják megfizetni, így az alacsony díjak potenciális ügyfeleket – vagyis más oldalról jelentkező bevételt – jelenthetnek a kiélezett pénzpiaci versenyben.
MICROSEC Számítástechnikai Fejlesztő Kft.
A MICROSEC Kft. az Igazságügyi Minisztérium Cégnyilvántartási és Céginformációs Szolgálatát működteti. Ezen belül a MICROSEC E-SZIGNÓ Hitelesítés-Szolgáltatót a MICROSEC Kft. azért hozta létre, hogy megteremtse az elektronikus (köz)okiratok hiteles kibocsátásának lehetőségét, elősegítse az elektronikus aláírással rendelkező iratok nem peres eljárásokban, így a cégeljárásban történő alkalmazhatóságát, biztosítsa az ügyfélbarát elektronikus ügyvitel megvalósításához szükséges igazságügyi infrastruktúrát, támogassa a biztonságos elektronikus kereskedelmet, és kielégítse ügyfeleinek szakmai, üzleti és személyes digitális aláírás iránti igényeit. Ennek a szolgáltatásnak a keretén belül a bankok a cégbíróságoknak benyújtott elektronikus okirataikon elhelyezett digitális aláírásaik hitelességét a MICROSEC-től kapott tanúsítványokkal igazolják.
Az adatszolgáltatás formája
A számlát vezető pénzügyi intézménynek a pénzforgalmi számlára vonatkozó adatokkal kapcsolatos bejegyzési, illetve változásbejegyzési kérelmeiket, elektronikus levélben szabványos elektronikus okirati formában kell megküldeniük a cégbíróságok elektronikus ügyfélfogadó irodái számára. Az elektronikus ügyfélfogadó irodák automatái a küldemény átvételéről a feladókat digitális elismervény megküldésével értesítik. A digitális elismervények alkalmasak arra, hogy hitelt érdemlő módon igazolják a küldemények megérkezésének időpontját, illetve a küldemények átvételének tényét. A bejegyzési kérelem elektronikus nyomtatványában feltüntetett adatokat a pénzintézetek képviseletére feljogosított személyeknek a kérelem benyújtását megelőzően digitális aláírásukkal kell ellátniuk. Az elektronikus okiratokon feltüntetett képviselő szerepkörnek megfelelő digitális aláírásoknak rendelkeznie kell a Hírközlési Felügyeleten bejegyzett fokozott biztonságú hitelesítésszolgáltató által kiállított érvényes tanúsítvánnyal.
|
A Microsec E-SZIGNÓ hitelesítési szintjeinek megfelelő hitelesítési osztályok |
||||
|
Az aláíró azonosságának igazolása |
Microsec E-SZIGNÓ titkos kulcsának védelme |
Hitelesítést aláíró (és kérelmező) titkos kulcsának védelme |
Kivitelezett vagy tervezett felhasználói alkalmazások |
|
|
1. szint |
automatizált egyértelmű elnevezés és e-mail cím kutatása |
hitelt érdemlő hardver |
kódoló szoftver (PIN-védelem) ajánlott, de nem követelmény |
webböngészés és bizonyos e-mail használat |
|
2. szint |
ua., mint az 1. szint, plusz automatizált bejegyzési adatellenőrzés és automatizált címellenőrzés |
hitelt érdemlő hardver |
kódoló szoftver (PIN-védelem) követelmény on-line előfizetés, jelszócsere és szoftver érvényesítése |
egyéni, vállalaton belüli és vállalatok közötti e-mail |
|
3. szint |
ua., mint az 1. szint, plusz személyes jelenlét és személyazonosító dokumentumok, plusz 2. szintű automatizált személyazonosság ellenőrzés egyének esetén; plusz3. szintű üzleti adatok (vagy akták) ellenőrzése szervezetek esetén |
hitelt érdemlő hardver |
kódoló szoftver (PIN-védelem) kötelező; hardver token ajánlott, de nem követelmény |
személyes bankszolgáltatás, tagsági alapú on-line szolgáltatások, tartalom integritásszolgáltatások, szoftverérvényesítés |
