Technology

e-alairas
Forrás: andrewpatrick.ca
E-aláírás az eIDAS korában

Mit tud és miért jó az elektronikus aláírás?

Amikor már mindenkinek a zsebében ott lapul az okostelefon, amellyel éjjel-nappal online elérhető, amikor életük jelentős részét már a gyerekek is az interneten élik, amikor már a lakásunk egyes berendezései is az internetre vannak kötve, joggal várhatnánk el, hogy a munkánkban és az ügyintézésben is kényelmet és gyorsaságot kapjunk az internetes lehetőségek révén. Réti Kornél, a Microsec PKI-szakértőjének írása

A gyakorlat azt mutatja, hogy hivatalos ügyek intézésekor sok esetben még mindig személyes vagy papíralapú eljárásra van szükség, amennyiben alá kell írnunk valamit, például ha bankszámlát akarunk nyitni vagy szerződést kötni. Azonban már olyan változások vannak folyamatban, melyeknek köszönhetően hamarosan mindezt elektronikusan, például az okostelefonunk segítségével is elintézhetjük. E változások zászlóshajója az eIDAS rendelet*, amely európai uniós szinten egységes jogi keretet teremt az elektronikus dokumentumoknak, aláírásoknak és az erre vonatkozó bizalmi szolgáltatásoknak. Ehhez kapcsolódóan megjelent egy magyar törvény is**, amely tisztázza a rendelet viszonyát a magyar joggyakorlatban használt fogalmakkal.

Az eIDAS rendelet 2016. július 1-jén hatályba lépett rendelkezései meghagyják az elektronikus aláírás létező gyakorlatát, viszont kiszélesítik a megvalósítási lehetőségeket, egységes európai piacot teremtenek, ezáltal elősegítik az elektronikus aláírás terjedését. Tehát nem kell jelentős változásra számítani azokon a területeken, ahol már jelenleg is elektronikus aláírást használunk, például az elektronikus cégeljárásban, fizetési meghagyások esetében vagy végrehajtási iratok kézbesítésében. Azonban egyre több területen és egyre kényelmesebb formában használhatjuk majd az elektronikus aláírást.

Elektronikus aláírás – dióhéjban
Az elektronikus aláírás alkalmazásával a kézzel írott aláírással egyenértékű, bizonyító erejű okiratot lehet létrehozni. Sőt, az elektronikus aláírás a papíralapú aláírásnál nagyobb biztonságot nyújt, mivel egy elektronikus aláírás nemcsak az aláíró személyéhez köthető egyértelműen, hanem az aláírt dokumentum teljes tartalmához is. Egy aláírt fájlban már egyetlen bit megváltoztatása is kimutatható, emiatt sem az aláíró kiléte, sem a dokumentum tartalma nem hamisítható. Az elektronikus aláírás alatt nem a kézzel írt aláírásunk beszkennelt változatát kell érteni, hanem az aláírandó elektronikus adaton (fájlon) végzett kódolási műveletet. Az elektronikus aláírást biztosító technológia a Nyilvános Kulcsú Infrastruktúra (Public Key Infrastructure, PKI), amely aszimmetrikus kulcsú kriptográfián alapul. A PKI ugyanaz a technológia, amely a biztonságos web böngészést is garantálja, amikor egy HTTPS weboldalt nyitunk meg.

Amikor interneten intézünk egy ügyet, például bankolunk, vásárolunk vagy egyszerűen levelezünk, gyakran kell magunkat azonosítani. Ezt egyszerűbb esetben pusztán egy felhasználónévvel és jelszóval megtehetjük, de amikor nagyobb a csalás kockázata, akkor úgynevezett többfaktoros azonosításra van szükség, hogy a szolgáltató meggyőződhessen az ügyfél kilétéről. Az elektronikus aláírás is hasonló célt szolgál, hiszen ez is azonosítja az aláíró személyét, azonban ennél többet is nyújt: olyan bizonyítékot szolgáltat, amely utólag is felhasználható, miután már kiléptünk a rendszerből, és nemcsak a szolgáltató felé igazolja kilétünket, hanem bárki felé. Nem véletlen tehát, hogy például szerződéskötéshez aláírásra van szükség és nem elegendő az azonosítás. Ugyanez érvényes a nagy értékű tranzakciókra is: aláírás esetén kétséget kizáróan bizonyítható, hogy ki hagyta azt jóvá, és a tranzakció tartalma, például az összeg sem hamisítható. Az aláírás használata tehát nagyobb biztonságot nyújt és sokkal letisztultabb felelősségi viszonyokat eredményez a szolgáltató és az ügyfél között.

Korábban az elektronikus aláírás használatához jellemzően három dologra volt szükségünk: egy biztonságos aláíró eszközre, amely a titkos aláíró kulcsunkat védi; egy tanúsítványra, amely a nyilvános kulcsunkat tartalmazza; és egy szoftverre, amellyel az aláírásokat készíthetjük és ellenőrizhetjük. Mindezt egy hitelesítés-szolgáltatónál tudtuk beszerezni. A titkos kulcsot jellemzően chipkártyán vagy USB tokenen tároljuk, hogy ne lehessen lemásolni és így a tudtunk nélkül ellopni, és amely csak PIN-kóddal használható (akárcsak egy bankkártya). A tanúsítványt a hitelesítés-szolgáltató állítja ki, miután személyesen azonosított bennünket, és feltünteti benne az adatainkat és a nyilvános kulcsunkat. Ez a tanúsítvány minden aláírásunkban megjelenik és igazolja, hogy az aláírást mi hoztuk létre.

Merre tovább?
Ma azonban mind a jogszabályi környezet, mind a technológia abba az irányba halad, hogy az elektronikus aláírás mindenki számára könnyebben elérhetővé váljon. Például az új e-személyi igazolványokban olyan chip van, amely képes elektronikus aláírásra. Ez tehát használható biztonságos aláíró eszközként egy megfelelő kártyaolvasóval. Ezenkívül néhány éven belül lehetséges lesz aláírást készíteni felhő alapú szolgáltatással is. A dokumentumainkat már ma is tárolhatjuk a felhőben, de hamarosan az aláíró kulcsunkat is. Hogy a biztonság ne sérüljön, és a kulcsot kizárólag a tulajdonosa használhassa, ehhez olyan megbízható rendszerek szükségesek, amiknek a műszaki specifikációja még kidolgozás alatt van. Végül készíthetünk aláírást akár mobiltelefonnal is. A mai okos telefonok többsége már képes a PKI-technológia használatára. Mindössze egy tanúsítványra és egy alkalmazásra van szükség ehhez.

Magyarországon elsőként a Microsec kezdte meg az eIDAS szerinti, új formátumú, minősített aláíró tanúsítványok kibocsátását a rendelet hatálybalépésének időpontjában, és azóta az eIDAS Rendeletnek megfelelő elektronikus aláírás hitelesítés-szolgáltatást nyújt. Másrészről a Microsec PassBy[ME] mobile ID-szolgáltatása segítségével a mobiltelefon olyan általános eID-eszközzé alakítható, amely azonosításra és aláírásra is alkalmas. A Microsec által kibocsátott minősített tanúsítványnak köszönhetően pedig ezzel az aláírással olyan elektronikus okiratok készíthetők, amelyek a magyar jog szerint teljes bizonyító erővel bírnak. Az ilyen okiratok bíróság előtt is megállják a helyüket, így akár szerződést is köthetünk. A teljes bizonyító erejű elektronikus aláírás alkalmazásával tehát megvalósítható, hogy akár az interneten keresztül is lehessen intézni mindazt, amelyhez korábban papíralapú dokumentumokat kellett személyesen aláírni vagy postázni.

* Az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről.

** 2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól.