docens BME Híradástechnikai Tanszék CrySyS Adat- és Rendszerbiztonság Laboratórium

Átírás

1 2001. évi XXXV. törvény az elektronikus aláírásról A biztonságos elektronikus kereskedelem alapjai (bmevihim219) Dr. Buttyán Levente docens BME Híradástechnikai Tanszék CrySyS Adat- és Rendszerbiztonság Laboratórium buttyan@hit.bme.hu, buttyan@crysys.hu Tartalom a törvény hatálya, alapelvek, definíciók az elektronikus aláírással kapcsolatos szolgáltatások jogkövetkezményei a szolgáltatások a szolgáltatások nyújtásának feltételei a hitelesítés-szolgáltatási tevékenység adatkezelés és adatvédelem az aláíró (jogai és kötelezettségei) a tanúsítvány felfüggesztése, ill. visszavonása a szolgáltató felelőssége a szolgáltató tevékenységének befejezése a Felügyelet (NHH) feladatai tanúsító szervezetek 2

2 Definíciók aláírás-létrehozó adat: olyan egyedi adat, amit az aláíró az aláírás létrehozásához használ (privát kulcs) aláírás-ellenőrző adat: olyan egyedi adat, amit az elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ (nyilvános kulcs) aláírás-létrehozó eszköz: olyan hardver, illetve szoftver eszköz, melynek segítségével az aláíró az aláírás-létrehozó adat felhasználásával az elektronikus aláírást létrehozza (pl. smart kártya) elektronikus aláírás: elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelelt és azzal elválaszthatatlanul összekapcsolt elektronikus adat 3 Definíciók időbélyegző: elektronikus dokumentumhoz végérvényesen hozzárendelt, azzal logikailag összekapcsolt igazolás, mely tartalmazza a bélyegzés időpontját, s amely a dokumentum tartalmához oly módon kapcsolódik, hogy azon az igazolás kiadását követő minden módosítás érzékelhető hitelesítés-szolgáltató (HSz): hitelesítés szolgáltatást végző személy vagy szervezet (CA) tanúsítvány: hitelesítés-szolgáltató által kibocsátott igazolás amely az aláírás ellenőrző adatot egy meghatározott személyhez kapcsolja, és igazolja a személy személyazonosságát 4

3 Definíciók minősített hitelesítés-szolgáltató: a Felügyelet által minősítettként nyilvántartásba vett hitelesítés szolgáltató a minősített szolgáltatóra vonatkozó követelményeket lásd később minősített tanúsítvány: olyan tanúsítvány melyet minősített szolgáltató adott ki fokozott biztonságú elektronikus aláírás: a következő követelményeknek megfelelő elektronikus aláírás: alkalmas az aláíró azonosítására és egyedülállóan hozzá köthető olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll a dokumentum tartalmához oly módon kapcsolódik, hogy azon minden az aláírás elhelyezését követő módosítás érzékelhető minősített elektronikus aláírás: olyan fokozott biztonségú aláírás, amely biztonságos aláírás-létrehozó eszközzel (BALE) készült, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki 5 Alapelv elektronikus aláírás, ill. elektronikus irat vagy dokumentum elfogadását (beleértve bizonyítási eszközként történő alkalmazását) megtagadni, joghatás kiváltására való alkalmasságát kétségbe vonni nem lehet kizárólag amiatt, hogy az aláírás illetve irat vagy dokumentum elektronikus formában létezik * minősített tanúsítványt bármely bírósági vagy államigazgatási eljárásban el kell fogadni * kivételek és korlátozásak 6

4 Szolgáltatások 1. (elektronikus aláírás) hitelesítés-szolgáltatás a HSz azonosítja az igénylő személyét tanúsítványt bocsát ki nyilvántartásokat vezet fogadja a tanúsítványokkal kapcsolatos változásokat nyilvánosságra hozza a tanúsítványhoz tartozó szabályzatokat, az aláírás-ellenőrző adatokat, és a tanúsítvány aktuális állapotára (különösen a visszavonásra) vonatkozó információkat 2. időbélyegzés 3. aláírás-létrehozó eszközön aláírás-létrehozó adat elhelyezése a szolgáltatásokat egyenként vagy azok közül többet együttesen is lehet nyújtani 7 A szolgáltatásnyújtás feltételei fokozott biztonságú szolgálatás belföldi lakhelyű természetes személy vagy belföldi székhelyű jogi személy 30 nappal a működés megkezdése előtt be kell jelenteni a Felügyeletnél a bejelentéshez csatolni kell a szolgáltatási szabályzatot aláírás vagy időbélyegző előállításához csak a Felügyeletnél nyilvántartásba vett (a tanúsításra jogosult szervezetek által kiadott igazolással rendelkező) aláíró eszköz használható minősített szolgálatás ua mint a fokozott biztonságú szolgáltatás + minősítést kell szerezni a Felügyelettől lásd bővebben később 8

5 A hitelesítés-szolgáltatási tevékenység a HSz köteles tájékoztatni a szolgáltatást igénylőt a szolgáltatás felhasználásának módjáról, biztonsági fokáról, a szolgáltatási szabályzatról, egyéb korlátozásokról a HSz a minősített tanúsítványban meghatározhatja a tanúsítvány felhasználásának tárgybeli, földrajzi, vagy egyéb korlátait, ill az egy alkalommal vállalható kötelezettség legnagyobb értékét a HSz azonosítja az igénylő személyét, majd saját aláírásával aláírt tanúsítvánnyal hitelesíti az igénylő aláírását a HSz biztosítja, hogy az aláírás-létrehozó adat és az aláírás-ellenőrző adat egyedi legyen, és egymáshoz tartozzon (feltéve hogy mindkettő a HSz-től származik) 9 A hitelesítés-szolgáltatási tevékenység a HSz fogadja és feldolgozza a tanúsítványokkal kapcsolatos változások adatait a HSz nyilvántartást vezet a tanúsítványok aktuális állapotáról (felfüggesztéséről vagy visszavonásáról) a HSz közcélú távközlő hálózatok segítségével bárki számára folyamatosan elérhető módon közzéteszi: visszavont tanúsítványok nyilvántartását az aláírás-ellenőrző adatokat saját szabályzatait a HSz a tanúsítványokkal kapcsolatos minden információt a tanúsítvány érvényességének lejártától legalább 5 évig megőriz a HSz tevékenységi köréből csak az új tanúsítványok kiadását szüneteltetheti 10

6 A minősített tanúsítvány tartalma annak megjelölése, hogy a tanúsítvány minősített a HSz és székhelyének azonosítója az aláíró neve (vagy álneve, ennek jelzésével) az aláíró speciális jellemzői, a szándékolt felhasználástól függően az aláírás-ellenőrző adat a tanúsítvány érvényességi idejének kezdete és vége a tanúsítvány azonosító kódja a kibocsátó HSz (fokozott biztonságú) aláírását a tanúsítvány felhasználásának korlátait 11 Az aláíró (jogai és kötelezettségei) az aláíró jogosult az aláírás-létrehozó adatot birtokolni a tanúsítvány felfüggesztését vagy visszavonását kérni az aláíró köteles a HSz-t tájékoztatni az azonosításhoz szükséges adatokról az aláírás-létrehozó adat elvesztéséről vagy annak illetéktelen személyhez való kerüléséről minden egyéb észlelt rendellenességről a tanúsítvánnyal összefüggő bármilyen jogvita megindulásáról az aláíró az aláírás-létrehozó adatot kizárólag aláírás létrehozására használhatja, beleértve a tanúsítványban jelzett korlátozásokat 12

7 A tanúsítvány felfüggesztése ill. visszavonása a HSz felfüggeszti a tanúsítványt, ha az aláíró ezt kéri a szolgáltatással kapcsolatos rendellenességről szerez tudomást megalapozottan feltételezhető, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy az aláírás-létrehozó adat nem az aláíró kizárólagos tulajdonában van a Felügyelet így rendelkezik a HSz visszavonja a tanúsítványt és ezt közzéteszi, ha az aláíró ezt kéri a szolgáltatással kapcsolatos rendellenesség nem orvosolható tudomására jut, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy az aláírás-létrehozó adat nem az aláíró kizárólagos tulajdonában van a Felügyelet így rendelkezik a HSz tevékenységét befejezte 13 A szolgáltató felelőssége a HSz felelős a minősített elektronikus aláírással vagy időbélyegzővel, illetve az ezzel ellátott dokumentummal okozott kárért, ha olyan aláíró eszközt használ, mely nincs a Felügyelet nyilvántartásában a szolgáltatást nem a korábban leírtaknak megfelelően nyújtja a felfüggesztéseket és visszavonásokat nem a korábban leírtak szerint végzi a bizonyítási teher a HSz-en van a szabályok megtartását neki kell bizonyítania 14

8 A szolgáltató tevékenységének befejezése 60 nappal a tevékenység befejezése előtt a HSz-nek értesítenie kell az ügyfeleit (a kiadott tanúsítványokban megjelölt aláírókat) és a Felügyeletet ettől kezdve új tanúsítványokat nem adhat ki 20 nappal a befejezés előtt a HSz köteles minden általa kiadott tanusítványt visszavonni ki kell jelölnie azt a HSz-t amely tevékenységét átveszi (különösen a visszavont tanusítványok nyilvántartását) ha a HSz fenti kötelességeinek nem tesz eleget, akkor a Felügyelet gondoskodik az új HSz kijelöléséről, és a kiadott tanúsítványok visszavonásáról 15 A Felügyelet feladatai minősítés a minősítéssel kapcsolatos eljárás során a felügyelet megvizsgálja a HSz technikai, működési, és személyi feltételek meglétét és folyamatos biztosítását (pl. büntetlen előélet és szakképzetség) a működési szabályoknak és a szolgáltatási szabályzatnak való megfelelést ha a HSz megfelel, akkor a Felügyelet minősített szolgáltatóként nyilvántartásba veszi nyilvántartások vezetése és közzé tétele minősített szolgáltatók fokozott biztonságú szolgáltatók aláírás-létrehozó eszközök aláírás-létrehozó eszközök tanusítására kijelölt szervezetek minősített HSz által kibocsátott tanúsítványtípusok megnevezése 16

9 A Felügyelet feladatai szolgáltatók ellenőrzése, intézkedések a Felügyelet jogosult ellenőrizni, hogy a HSz megfelel-e a törvény, a jogszabályok, és a szolgáltatási szabályzat előírásainak a Felügyelet helyszíni ellenőrzést tarthat, mely során helyiségekbe léphet be, iratokat, adathordozókat, tárgyakat, munkafolyamatokat vizsgálhat meg, felvilágosítást, nyilatkozatokat kérhet a Felügyelet évente legalább egyszer átfogó ellenőrzést tart intézkedések felhívhatja a HSz figyelmét az előírások betartására megtilthatja bizonyos technológiák és eljárások használatát elrendelheti új tanúsítvány kibocsátásának szüneteltetését elrendelheti korábban kiadott tanúsítványok visszavonását bírságot szabhat ki törölheti a szolgáltatót a minősített szolgáltatók közül 17 A Felügyelet feladatai bírságok kiszabása a bírság összege 100 eft eft-ig terjedhet, ha a HSz minősített szolgáltatónak adja ki magát anélkül, hogy a Felügyelet minősítette volna a HSz nem védi megfelelően saját aláírás-létrehozó adatát nem őrzi meg a tanúsítvány kibocsátásával kapcsolatos adatokat egyébként a bírság 50 eft 5000 eftüg terjedhet vezető tisztségviselőkkel szemben kiszabott bírság 50 eft 1000 eft-ig terjedhet 18

10 Tanusító szervezetek aláíró eszközök és egyéb aláírási termékek tanúsítására jogosult szervezetek és magánszemélyek a tanusító szervezeteket a Kijelölési Bizottság jelöli ki a szervezetek kijelölési kérelme alapján a Kijelölő Bizottság a Miniszterelnöki Hivatal Informatikai Kormánybiztosságához tartozik, és 5 tagból áll a tanúsító szervezet előírásoknak való megfelelését a bizottság által felkért szakértők végzik 19 16/2001 MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és azok szolgáltatóira vonatkozó részletes követelményekről 20

11 A szolgáltatókra vonatkozó követelmények szolgáltatási szabályzat a fokozott biztonságú szolgáltatónak (beleértve a minősített szolgáltatót is) tevékenységének megkezdése előtt szolgáltatási szabályzatot kell készítenie ezt a szolgáltatás megkezdésével egyidejűleg nyilvánosságra kell hozni (nyitott helyiség, Internet) a minősített szolgáltatás igénybevevőjét a szolgáltatási szerződés megkötése előtt tájékoztatni kell a szolgáltatási szabályzat tartalmáról és elérhetőségéről tevékenység befejezése a HSz informatikai rendszerében foglalt adatokról teljeskörű mentést kell végezni és azt minősített időbélyegzővel ellátni pénzügyi követelmények vagy bankgarancia (fokozott bizt: 3 MFt, minősített: 25 MFt) vagy letét (fokozott bizt: 3 MFt, minősített: 25 MFt) vagy kezesség (fokozott bizt: 100 MFt tőkéjű gazdasági társaság, minősített: 500 MFt tőkéjű gazdasági társaság) 21 A szolgáltatási szabályzat tartalma a HSz adatai (név, telephely, stb.) a Felügyeletnél történt nyilvántartásba-vétel dátuma verzió szám a szabályzat hatályba lépésének és megszűnésének dátuma a HSz által használt elektronikus aláírási termékek listája, és nyilatkozat, hogy ezeket a Felügyelet nyilvántartásba vette ügyfélszolgálat elérhetősége a HSz által vállalt rendelkezésre állási idők (pl. visszavonási nyilvántartás) tájékoztató a HSz által nyújtott szolgáltatásokról, a kibocsátott tanúsítványtípusokról, a kiadott tanúsítványok joghatásairól, a felhasználás feltételeiről, az aláíró és az ellenőrző felek kötelezettségeiről tájékoztató a tanúsítvány visszavonásának jogkövetkezményeiről tájékoztató arról hogyan kezeli a HSz a személyes adatokat 22

12 A minősített szolgáltatókra vonatkozó követelmények szolgáltatási szabályzat további elemei a folyamatos rendelkezésre állás biztosításának módja tevékenység befejezése utáni eljárás leírása annak leírását, hogy a HSz milyen módon felel meg az üzemeltetési és hozzáférési biztonsági követelményeknek milyen termékeket használ a szolgáltatás nyújtásához miként kívánja a karbantartási és telepítési hibákat elkerülni az üzemeltetés ellenőrzéséhez milyen eljárásokat alkalmaz hogyan gondoskodik az archivált adatok védelméről az informatikai rendszer hozzáférési jogosultságai (ki, mikor, hogyan?) rendkívüli üzemeltetési helyzet esetén követendő eljárások felfüggesztési ill visszavonási kérelem hitelesítésének módja... a szolgáltatói kulcsok menedszmentjének módja az aláírás-létrehozó adatok létrehozásának módja referencia időforrások megnevezése bizalmi munkakörök megnevezése és leírása 23 A minősített szolgáltatókra vonatkozó követelmények szolgáltatások rendelkezésre állásának biztosítása felelősségbiztosítás káreseményenként legalább 50 MFt-ig terjedő fedezet személyzeti biztonsági követelmények bizalmi munkakört csak megfelelő végzettséggel és szakmai tapasztalattal lehet betölteni (felső fokú végzettség + 3 év szakmai tapasztalat vagy középfokú végzettség + 5 év szakmai tapasztalat) bizalmi munkakörök: biztonsági tisztviselő (a szolgáltatás biztonságáért felelős) rendszeradminisztrátor (szolgáltatással kapcsolatos általános informatikai teendők) rendszerüzemeltető (folyamatos üzem, mentés, helyreállítás) egy személy nem tölthet be több bizalmi munkakört naplózni kell mely személyek milyen biztonsággal kapcsolatos tevékenységeket végeztek 24

13 A minősített szolgáltatókra vonatkozó követelmények szolgáltatói kulcspár kezelése a szolgáltatói magánkulcs létrehozását, használatát, mentését, fizikailag védett környezetben, legalább két bizalmi munkakört betöltő személy együttes részvételével kell végezni szolgáltatói nyilvános kulcs bárki számára folyamatosan elérhető kell legyen, azt az Interneten is elérhetővé kell tenni üzemeltetési és hozzáférési biztonság a hozzáférési jogosultságok megadásával, módosításával és visszavonásával kapcsolatos tevékenységeket legalább két bizalmi munkakört betöltő személy részvételével kell végrehajtani fizikai és környezeti biztonság az aláírási termékeket és azokat a helyiségeket ahol ilyen termékek vannak fizikailag védeni kell a belépések időpontját, a tartózkodás célját, kilépések időpontját naplóban kell rögzíteni 25 A minősített szolgáltatókra vonatkozó követelmények aláírási termékek a minősített szolgáltatás nyújtásához használt aláírási termékeket elkülönítve kell kezelni az egyéb tevékenységhez használt termékektől minden használt terméket kockázatelemzésnek kell alávetni, és ez alapján biztonsági osztályokba sorolni folyamatos üzemmenet biztonsági mentések készítése, szükség esetén a teljes informatikai rendszer helyreállítása a mentéseket védeni kell a módosítások ellen, ill. az ellen, hogy jogosulatlan személyek a mentett állományokhoz hozzáférjenek naplózás minden a szolgáltatás nyújtásával vagy az informatikai rendszerrel kapcsolatos eseményt naplózni kell biztosítani kell, hogy a napló ne legyen törölhető vagy módosítható a naplóról rendszeresen mentést kell készíteni 26

14 A minősített szolgáltatókra vonatkozó követelmények archiválás a tanúsítványokkal kapcsolatos információkat a törvényben előírt ideig archiválni kell az archivált állományt védeni kell a módosítástól ezért azt időpecséttel és minősített aláírással kell ellátni időszinkronizáció a tanúsítvány nyilvántartásban, a visszavonási nyilvántartásban, és a naplóban feltüntetett időt olyan gyakorisággal kell szinkronizálni a szolgáltatási szabályzatban megadott referencia időforráshoz, hogy a saját idő és a referencia időforrás közti eltérés ne haladja meg az 1s et 27 A minősített szolgáltatókra vonatkozó követelmények tájékoztatási kötelezettség a tanúsítványt igénylő személyt tájékoztatni kell az aláírás-létrehozó adat használatával kapcsolatos biztonsági intézkedésekről az aláírás-létrehozó eszköz használatáról az aláíró és az aláírást ellenőrizni kívánó felek felelősségéről a tanúsítványok felfüggesztésének, visszavonásának módjáról a tanusítványok kibocsátásának körülményeiről a tanúsítvány érvényességi idejéről a szolgáltatási szabályzat tartalmáról és elérhetőségéről a tanúsítvánnyal kapcsolatos korlátozásokról a szolgáltatói nyilvános kulcsról, annak elérhetőségéről a szolgáltatási díjról a tanúsítvány érvényességi ideje legfeljebb 2 év 28

15 A minősített szolgáltatókra vonatkozó követelmények aláírás-létrehozó eszköz minősített HSz az aláírás-létrehozó adatot csak a szolgáltatást igénybe vevő aláírás-létrehozó eszközében tárolhatja ha az aláírás-létrehozó adatot az aláírás-létrehozó eszközön kívül hozzák létre, akkor annak aláírás-létrehozó eszközön kívüli másolatát azonnal törölni kell, amint az aláírás-létrehozó adat az aláírás létrehozó eszközbe került a HSz az aláírás-létrehozó eszközt, valamint a hozzáférést biztosító ellenőrző adatot (pl, PIN) közvetlenül az igénylőnek adja át, erről a naplóban feljegyzést készít tanúsítványok visszavonása, felfüggesztése a kérelmező visszavonási vagy felfüggesztési jogosultságáról meg kell győződni a visszavonási és felfüggesztési kérelmek prioritást élveznek, a szolgáltatónak ezeket kell először feldolgoznia 29 További dokumentumok 15/2001 MeHVM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról A Kormány 151/2001 rendelete a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 2/2002 MeHVM irányelve a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről ezen előírások a szolgáltatókra nem kötelezőek,... amennyiben azonban egy minősítést kérelmező HSz ezen előírásoknak igazoltan megfelel a Felügyelet megadja a minősítést 30