Megvalósíthatósági tanulmány hitelesítő szolgáltató létrehozására Szerkesztők: Dravecz Tibor Egerszegi Krisztián Szerzők: Dravecz Tibor Egerszegi Krisztián Erdősi Péter Dr. Kiss Ferenc Marczisovszky Dániel Siklósi Attila Urbanovits György BME GTK Információ- és Tudásmenedzsment Tanszék Detim Kft. Egerszegi Consulting Kft. Insurance Technology Kft. INTEGRITY Kft. Molág Bt. EGERSZEGI CONSULTING INTEGRITY, 2002 1
Tartalomjegyzék Tartalomjegyzék... 2 Összefoglaló... 3 Bevezetés... 5 Európai szolgáltatók... 9 Nemzetközi szolgáltatók... 14 Hazai szolgáltatók... 19 A hitelesítés-szolgáltatás... 26 Gyakorlati megvalósítási lehetőségek... 32 a.) Computer Associates etrust PKI... 32 b.) Utimaco SafeGuard PKI... 39 c.) Egyedi fejlesztés lehetősége... 45 d.) További termékek... 51 Felhasználók, erőforrásigény, bevételek és költségek... 55 Bevételek és kiadások... 55 Felelősség és felelősségvállalás... 58 Megoldási javaslat... 60 Előnyök és hátrányok az ISzT, tagjai és regisztrátorok részére... 61 Jogszabályi kötelmek... 62 Melléklet... 64 Irodalomjegyzék... 65 EGERSZEGI CONSULTING INTEGRITY, 2002 2
Összefoglaló Az ISZT (Internet Szolgáltatók Tanácsa), olyan tanulmány elkészíttetését határozta el, melynek alapján képet kaphat a PKI (Public Key Infrastructure) rendszerek alkalmazásának pillanatnyi állapotáról, környezetéről és megvalósítási feltételeiről különös tekintettel a hitelesítés-szolgáltatásnyújtásra. A döntést az indokolja, hogy 2001-ben Magyarországon is megteremtődtek a PKI-rendszerek használatának jogi feltételei, melynek következtében eddig három hitelesítés-szolgáltató kezdte meg működését a nyilvánosság számára, és még több üzemel zárt körben. A PKI-piacon telítettségről azonban távolról sem beszélhetünk, ami maga után vonja további szolgáltatók megjelenésének magas valószínűségét. Emellett szól az is, hogy a tanúsítvány-piac a teljes körű használat kialakulása után nyereséggel kecsegtet, a viszonylag magas beruházási költségek ellenére is. Ha 1.000.000,-ra tesszük a potenciális tanúsítvány-birtokosok végső számát, 5.000,- Ft/év tanúsítvány-ár ami a jelenlegi legalacsonyabb piaci ár körül mozog mellett is 5 milliárd Ft/év a várható teljes bevétel. Ezzel szemben áll a fokozott biztonságú szolgáltatók kialakításának 20-60 millió forintos becsült beruházási és indulás utáni éves üzemeltetési költsége 1, valamint a minősített szolgáltatók minimális 2-300 millió Ft-os becsült beruházási költsége 2. Megjegyezzük, hogy ezeket az eddigi tapasztalatok alapján becsült költségeket a szabályozási költségek és az induláskor hiányzó feltételek (gépterem, eszközpark, üzemeltetési személyzet és tapasztalat, működő biztonsági alrendszer) akár 50%-kal is módosíthatják felfelé. A tanulmány a szolgáltató megvalósításához szükséges információkat az alábbi felépítésben teszi közzé: Az elektronikus aláírás és tanúsítvány fejezet bevezet az aláíráshoz kapcsolódó fogalmakba, folyamatokba, és felhasználási lehetőségekbe. Az Európai szolgáltatók részben kitekintünk néhány Európában megvalósított szolgáltatóra, az EU Irányelven keresztül, majd ezt követően a Nemzetközi szolgáltatók kínálatába nyújtunk betekintést. A Hazai szolgáltatók fejezetben a magyar törvényi szabályozás érdemeit és hiányosságait foglaljuk össze, majd ismertetjük a három eddigi hazai szolgáltató kínálatát, árait a Szolgáltatási Szabályzataik és Általános Szerződési Feltételeik tükrében. A Hitelesítés-szolgáltatás fejezet elméleti hátteret nyújt ahhoz, hogy egy szolgáltatás kiépítésekor mire kell figyelni, mit kell implementálni a vonatkozó nemzetközi szabványok alapján. Ez a fejezet tartalmaz egy javaslatot is az ISZT-szolgáltató felépítésére. A Gyakorlati Megvalósítási Lehetőségek fejezet bemutatja az elméleti modell két különböző szoftvergyártó termékével történő megvalósíthatóságának lehetőségét. A fejezet végén található egy öszszehasonlítás, melynek célja, hogy nagyságrendileg elhelyezze a hitelesítés-szolgáltató kiépítésének szoftveres költségeit. Ebből kiemelve a két megoldással körülbelül elérhető tanúsítvány árak: Szoftvergyártó Tanúsítvány Darabszám Ár/darab (Ft) Utimaco Safeguard PKI 10.000 2.700 100.000 840 1.000.000* 250 * korlátlan tanúsítvány számra is az 1.000.000 darabos ár áll fenn, így e mennyiség felett a tanúsítványok ára tovább csökken. CA etrust PKI 10.000 1.100 100.000 450 1.000.000 60 Két termék, ill. megoldás részletes tárgyalása mellett tárgyaljuk a nyílt szoftver alapú egyedi fejlesztést lehetőségét. 1 szoftver licenc és támogatás díjai nélkül 2 egyesek milliárdos költségekkel tartják csak megvalósíthatónak minősített szolgáltató létrehozását EGERSZEGI CONSULTING INTEGRITY, 2002 3
Ún. fokozott biztonságú szolgáltató megvalósítását jártuk körül, tárgyaljuk a lehetséges felhasználási és felhasználói kört, a domén regisztrációval összehasonlítva tekintjük át a beruházásokat és üzemeltetési kiadásokat. Végkövetkeztetésként hitelesítő szolgáltató létrehozását javasoljuk franchise rendszerben. EGERSZEGI CONSULTING INTEGRITY, 2002 4
Bevezetés Az elektronikus aláírás és tanúsítvány A biztonságos elektronikus kommunikáció az e-világ egyre gyorsuló fejlődésével alapvető igényként fogalmazódik meg a felhasználók részéről. Egy jó és egyre inkább terjedő megoldás az elektronikus aláírás használata, amellyel például a kommunikáló felek ellenőrizni tudják az egymásnak küldött üzenetek eredetét, tartalmát, megbízhatóságát és sértetlenségét. De nem ilyen egyszerű a helyzet, mert az elektronikus aláírás egy gyűjtőfogalom. Minden eljárás elektronikus aláírásnak nevezhető, amely hitelesítés céljára szolgál. Így elektronikus aláírásnak tekinthető amit igazából nem is kellene annak tekinteni az elektronikusan beírt név vagy beszkennelt aláírásminta is, de ezek egyáltalán nem nevezhetők biztonságosnak. Biztonságos megoldásnak tekinthetjük a következőkben részletezésre kerülő MAC (Message Authentication Code) kódot és az aszimmetrikus kriptográfián alapuló digitális aláírást. MAC kód A MAC kód a szimmetrikus kriptográfián alapszik, tehát a kommunikáló felek ugyanazzal a kulccsal kódolják és oldják meg az üzeneteiket. Ennél az eljárásnál egy meghatározott algoritmus alapján az üzenet egészéből vagy egy részéből az algoritmussal képzett kódot továbbítanak az üzenettel együtt a hitelesség és sértetlenség bizonyítására. Ez jó megoldás lehet kis létszám esetén, ahol a kódoláshoz és dekódoláshoz alkalmazott kulcsot a felek biztonságosan el tudják egymáshoz juttatni, vagy meg tudnak állapodni kódolási eljárásban a kommunikáció előtt, anélkül, hogy illetéktelen fél ezekhez az információkhoz hozzáférne. A szimmetrikus kriptográfia hátránya, hogy nagy létszám esetén már a kulcsok bizalmas kezelése nem igazán megoldható, valamint a kommunikáló felek egyértelműen nem azonosíthatóak az azonos kulcs miatt. Digitális aláírás A szimmetrikus kriptográfia esetén említett hátrányok kiküszöbölésére az aszimmetrikus kriptográfia adhat jó megoldást. Itt nem szükséges előzetes megállapodás a használt eljárásról vagy az alkalmazott kulcsról, mivel itt az aláírás/titkosítás és az ellenőrzés/megoldás egy ismert közös eljárás segítségével, de két különböző kulcs felhasználásával történik. A két kulcs nyilvános és privát kulcs jellemzője, hogy egymásból nem állíthatók elő, mégis alkalmasak arra, hogy a privát kulcs segítségével kódolt üzenetről a nyilvános kulccsal megállapítsuk, hogy az üzenetet a privát kulccsal kódolták. A digitális aláírás készítése és ellenőrzése tulajdonképpen egy tetszőleges adathalmazból képzett digitális ujjlenyomat, vagy másképpen egy adatsorozatból képzett fix hosszúságú egyedi digitális jelsorozat transzformálása egy aszimmetrikus kulcspár segítségével. Egy továbbítandó adatból képzett ujjlenyomatot a küldő a saját privát kulcsával bekulcsol, amit a fogadó egyrészt a küldő nyilvános kulcsával megold, másrészt újra előállít hiszen az algoritmus ismert, így ellenőrzi, hogy az átküldött adat a küldés folyamán nem változott-e meg. Aláírás Ellenőrzés szöveg aláírt szöveg elektronikus csatorna aláírt szöveg szöveg HASH algoritmus digitális ujjlenyomat 1 egyenlő Hiteles HASH algoritmus =? digitális ujjlenyomat Titkosítás digitális aláírás digitális aláírás Megoldás digitális ujjlenyomat 2 nem egyenlő Nem hiteles Aláíró privát kulcsa Kérdés: Ez tényleg a küldő kulcsa? Aláíró nyilvános kulcsa 1. ábra: Digitális aláírás készítésének és ellenőrzésének folyamata EGERSZEGI CONSULTING INTEGRITY, 2002 5
Ez a tulajdonság jól használható az elektronikus kommunikáció során a kommunikáló felek személyének az azonosítására, feltéve, ha igazolható, hogy nyilvános kulcshoz tartozó privát kulcs az üzenet feladójának kizárólagos birtokában van. Erről nem egyszerű meggyőződni, mivel a kommunikálók általában földrajzilag nem egy helyen tartózkodnak, vagyis tulajdonképpen a digitális aláírás önmagában nem jelent teljes megoldást a távollevők közötti kommunikáció esetén az azonosítási problémára. Ehhez szükség van egy megbízható harmadik fél bevonására is. Tanúsítvány alapú hitelesítés A tanúsítvány alapú hitelesítést a PKI (Public Key Infrastructure Nyílt kulcsú infrastruktúra) rendszerekkel lehet megvalósítani, mely a tanúsítványok segítségével garantálhatja a kommunikáló felek személyazonosságát. Egy PKI-rendszer a teljesség igénye nélkül az alábbi komponenseket tartalmazhatja: Aláírási Politika és Szabályzatok Hitelesítés-szolgáltató Regisztrációs hatóság Tanúsítvány elosztás PKI-megfelelő alkalmazások Fontos látnunk, hogy a digitális aláírás és a tanúsítványok kibocsátása különálló funkcióként jelentkezik a PKI-rendszerben. Lehetséges megvalósítani digitális aláírás-rendszert tanúsítványok nélkül is (pl. PGP), és lehetséges a digitális aláírás-ellenőrző kulcsokat tanúsíttatni is. Nyilván ez utóbbi magasabb megbízhatóságot nyújthat, megfelelő megvalósítás esetén. További elemek is megvalósíthatóak a PKI-rendszerben: időbélyegzés (TS Timestamping): melyet a digitális aláírás mögé helyezve igazolja, hogy az aláírással ellátott dokumentum (kötelezettségvállalás) nem létezett az időpecsét előtt, és biztosítja, hogy a tanúsítvány lejárta vagy visszavonása után a korábban készített amúgy hiteles digitális aláírás továbbra hiteles maradjon. a valós idejű tanúsítvány-állapot szolgáltatás (OCSP): ezzel on-line módon ellenőrizhetjük az aláírás érvényességét (ennek főként azonnali tranzakciók esetében van jelentősége) a tulajdonság-tanúsítás (attributum authority): mellyel eldönthetjük, hogy az adott aláírónak van-e jogosultsága ahhoz, amit aláírt (pl. értékhatárig történő aláírási jog) Ebben a struktúrában a korábban említett megbízható harmadik fél a digitális aláíráshoz kapcsolódó tanúsítványok előállítását végző hitelesítés-szolgáltató (Certification Authority CA). A CA tanúsítja, hogy a felhasználó és a felhasználó privát kulcsához tartozó nyilvános kulcs összetartozik, valamint felelősségvállalást követel meg a felhasználótól, hogy a privát kulcsot csak a felhasználó ismeri. Így a tanúsítvány tartalmazza a felhasználó meghatározott adatait és a nyilvános kulcsát. Emellett a CA-nak egy nyilvántartást kell vezetnie az általa kibocsátott tanúsítványokról és azok aktuális állapotáról (érvényességéről, érvényesség megszűnéséről és annak okáról, időpontjáról, stb.), és ezt nyilvános távközlési hálózaton elérhetővé kell tennie az érintettek számára, akik így ellenőrizni tudják kommunikáló partnerük és az üzenetek hitelességét. Aláírás Ellenőrzés szöveg aláírt szöveg elektronikus csatorna aláírt szöveg szöveg HASH algoritmus digitális ujjlenyomat 1 egyenlő Hiteles HASH algoritmus =? digitális ujjlenyomat Titkosítás digitális aláírás digitális aláírás Megoldás digitális ujjlenyomat 2 nem egyenlő Nem hiteles Certificate Aláíró privát kulcsa Certificate Aláíró nyilvános kulcsa CA 2. ábra: Digitális aláírás készítésének és ellenőrzésének folyamata CA-val EGERSZEGI CONSULTING INTEGRITY, 2002 6
A tanúsítványok használatának mikéntjét és feltételeit meg kell határozni a kapcsolódó szabályzatokban, és ezt az érintettekkel el kell fogadtatni ill. a felhasználókat megfelelő képzésben kell részesíteni a tanúsítványok használatával kapcsolatban. Tanúsítvány típusok Tanúsítványokat többféle célra lehet kibocsátani, így megkülönböztethetünk szervezet, szerepkör, személy és eszköz tanúsítványt. Szervezet tanúsítvány Egy szervezet vagy annak szervezeti egységének tanúsítására szolgál, mellyel szervezeti szintű aláírást lehet készíteni. Ez egy vállalat esetében megfelel a cégszerű aláírásnak. Szerepkör tanúsítvány Ez a tanúsítvány bizonyítja, hogy egy természetes személy valamely szervezet tagja, és emellett tanúsíthatja a szervezetben betöltött funkcióját is. Személy tanúsítvány Természetes személy azonosítására szolgáló tanúsítvány. Eszköz tanúsítvány Az eszköz tanúsítvány egy bizonyos eszköz mely lehet például szerver tanúsítására szolgál. A tanúsítványok használatánál figyelni kell arra, hogy mikor, milyen típusú tanúsítványt használunk, mert várható, hogy egy személy több tanúsítványtípussal is rendelkezik a szervezetben betöltött helyétől függően. Például egy cégjegyzésre jogosult felhasználó nem mindegy, hogy a személyes tanúsítványát vagy a szervezet tanúsítványát használja egy szerződés hitelesítésénél, mert a személy tanúsítvány ehhez nem elegendő, hanem a cégszerű aláíráshoz hasonlóan a szervezet tanúsítvány szükséges ahhoz, hogy a céget érintő kérdésekben megbízható módon felvállalhasson kötelezettségeket. EGERSZEGI CONSULTING INTEGRITY, 2002 7
Felhasználási lehetőségek A PKI rendszerek és így a tanúsítvány alapú hitelesítés felhasználási lehetőségei zárt és nyílt hálózatok esetén: elektronikus kommunikáció, levelezés: biztosítható a kommunikáció hitelessége, sértetlensége és letagadhatatlansága webes felület, szolgáltatás elérése: különféle szolgáltatásokhoz, területekhez történő hozzáférés a felhasználó egyértelmű azonosítása után webes felületen hitelesített alkalmazások futtatása: különféle alkalmazások futtatása előtt meggyőződhet a felhasználó azok eredetéről, hitelességéről (ide tartozik a szerver tanúsítvány is) megbízható szoftver disztribúció: a felhasználó képes a tanúsítvány által hitelesített szoftverek és a nem hitelesített szoftverek megkülönböztetésére, és ez alapján történő felhasználására vagy elvetésére Internet Banking szolgáltatások: banki tranzakciók, lekérdezések végrehajtása biztonságosan elektronikus ügyintézés, adóbevallás, adatszolgáltatási kötelezettség teljesítése: gyorsan, kényelmesen a felhasználó egyértelmű azonosítása mellett interneten keresztüli vásárlás: a vásárlás biztonságának növelése, a felek megbízható azonosításával, ami a bizalom növekedésével járhat beléptető rendszer: intelligens kártya segítségével, PIN-kóddal védett, biometrikus azonosítással a zárt területekre számítógépes bejelentkezés (login): a hagyományos felhasználói név/jelszó páros helyett intelligens kártyája használatával jelentkezik be a munkaállomására a felhasználó hálózati erőforrás-elérés: a kártya birtokosához különböző hálózati erőforrások elérése rendelhető, vagy tiltható (fájl-szerver, nyomtató.) Single Sign On: egyszeri azonosítás után több rendszerhez történő hozzáférés, természetesen mindegyik rendszerhez a megfelelő jogosultságokkal távoli elérés: külső helyszínről vagy otthonról a felhasználó pl. virtuális magánhálózaton keresztül hozzáférhet a vállalat hálózatának bizonyos részeihez biztonságos drótnélküli kommunikáció Megállapíthatjuk tehát, hogy az alkalmazás sokrétűsége is nehezíti a bevezetését, hiszen a PKIrendszert önmagában használni nem lehetséges, minden implementáció előtt meg kell mondani azt is, hogy mire lesz használva a rendszer. EGERSZEGI CONSULTING INTEGRITY, 2002 8
Európai szolgáltatók Jogi háttér, az 1999/93 EU Irányelv 1999. december 13-án az Európai Tanács irányelvet fogadott el az elektronikus aláírás szabályozásáról (továbbiakban: irányelv). Az irányelv kötelezi a tagállamokat, hogy legkésőbb 2001. július 19-ig az irányelv rendelkezéseire figyelemmel szabályozzák az elektronikus aláírások használatát, vagy ha korábban már létezett tagállami szabályozás, akkor teremtsék meg az irányelv rendelkezési és a saját szabályozásuk közötti összhangot. Az irányelv rendelkezései alapvetően két csoportra oszthatók. Az első csoportba sorolhatók azok a rendelkezések, amelyek az áruk és szolgáltatások, konkrétan az elektronikus aláírási termékek és a hitelesítés szolgáltatók által nyújtott szolgáltatások Közösségen belüli szabad mozgását, illetőleg a fogyasztók érdekeinek védelmét hivatottak biztosítani. A másik csoportba pedig azok a rendelkezések sorolhatók, amelyek az elektronikus kereskedelemben rejlő lehetőségek kiaknázhatósága érdekében az elektronikus aláírások jogi elismerésére kötelezik a tagállamokat. Fontos megemlíteni a 3. cikk 1. pontjában foglalt tilalmat, amely szerint a tagállamok nem köthetik a hitelesítés szolgáltatás nyújtását előzetes hatósági engedély megszerzéséhez. A rendelkezés célja, hogy a tagállamok ilyen módon ne akadályozhassák a tagállamon belüli vagy a különböző tagállamok hitelesítés szolgáltatói közötti versenyt. Szabályozási elv tehát a hitelesítés szolgáltatás előzetes hatósági engedélyezésének tilalma. A másodikként megemlítendő rendelkezéscsoportba az elektronikus adathitelesítés technológia semlegességét és az elektronikus aláírási termékek interoperabilitásának támogatását kimondó rendelkezések tartoznak (bevezető rész (5) és (8) pontok). E rendelkezések szintén az áruk és szolgáltatások szabad mozgását hivatottak biztosítani. A 3. cikk 3. pontja szerint a tagállamok kötelesek felügyelni azon hitelesítés szolgáltatók tevékenységét, amely hitelesítés szolgáltatók minősített tanúsítványokat bocsátanak ki. A rendelkezés kettős célt szolgál, egyfelől biztosítja a fogyasztók érdekeinek a védelmét, másfelől biztosítékul szolgál arra nézve, hogy a biztonsági követelményeket a hitelesítés-szolgáltatók egyformán teljesítsék. A 3. cikk 2. pontja szerinti önkéntes akkreditáció elve ezzel szemben azt jelenti, hogy bár a tagállamok saját rendszerét alakíthatják ki a hitelesítés-szolgáltatók akkreditálásának, de az akkreditálást nem tehetik a hitelesítés-szolgáltatók számára kötelezővé. Az akkreditálás így elsődlegesen a fogyasztói bizalom megnyerését szolgálhatja. Ugyanakkor megfigyelhető, hogy a német elektronikus aláírási törvény szerint, az akkreditáltság ténye azzal a jogkövetkezménnyel jár, hogy az akkreditált hitelesítés-szolgáltatók esetében vélelmezni kell, hogy a szolgáltatók és az általuk kibocsátott tanúsítványok megfelelnek a német jogszabályokban meghatározott informatikai-biztonsági és egyéb technikai és eljárási követelményeknek. Végül, de nem utolsósorban az irányelv 7. cikke szerint a tagállamok, kötelesek a külföldi hitelesítésszolgáltató által kibocsátott minősített tanúsítványnak ugyanolyan jogi hatályt biztosítani, mint a belföldi által kibocsátott minősített tanúsítványnak, ha: 1. a hitelesítés-szolgáltató amely kibocsátotta teljesíti az irányelv követelményeit, és valamely tagállamban önkéntes akkreditáláson esett át; 2. tagállam által kötött két vagy többoldalú szerződés a külföldi hitelesítés-szolgáltatót vagy a tanúsítványt elfogadottnak minősíti, 3. belföldi hitelesítés szolgáltató meghatározott módon felelősséget vállal azért, hogy a külföldi által kibocsátott tanúsítvány megfelel a minősített tanúsítvánnyal szemben támasztott biztonsági követelményeknek. Az irányelv a jogi elismerés szempontjából három aláírás típust különböztet meg. Elektronikus aláírás minden olyan adat, mely egy másikhoz kapcsolódik vagy logikailag társítható vele, és hitelesség igazolására használható. A fejlett elektronikus aláírás definíciója: egyedülálló módon köthető az aláíróhoz; alkalmas az aláíró azonosítására; olyan eszközökkel készült, mely az aláíró egyedüli ellenőrzése alatt áll; valamint a vonatkozó adathoz oly módon kapcsolódik, amellyel minden későbbi változtatás felismerhető. A tagállamoknak egyrészről biztosítaniuk kell azt, hogy a minősített tanúsítvánnyal rendelkező és biztonságos eszközön készült fejlett elektronikus aláírással aláírt dokumentum jogilag egyenértékű legyen a kézírással aláírt irattal, továbbá ez bizonyítékként elfogadható legyen a jogi eljárásokban. Másrészről, nagyon fontos ezt is szem előtt tartani az összes elektronikus aláírás EGERSZEGI CONSULTING INTEGRITY, 2002 9
vonatkozásában az irányelv arra kötelezi a tagállamokat, hogy bírósági és hatósági eljárásokban a (tetszőleges) elektronikus aláírással aláírt iratok és az elektronikus aláírások bizonyítási eszközként való felhasználását ne tagadják meg pusztán azok elektronikus formája miatt, vagy mert nem rendelkezik minősített tanúsítvánnyal, vagy mert nem akkreditált szolgáltató által kibocsátott minősített tanúsítvánnyal van ellátva az aláírás, továbbá azért se tagadják meg az elfogadást, mert az nem biztonságos eszközön készült. Az irányelv 3. cikkének 7. pontja szerint a tagállamok az elektronikus aláírások közszférán belüli használatát további követelményekhez köthetik. Ezeknek a követelményeknek azonban objektíveknek, arányosnak, és előre megismerhetőknek kell lenniük, továbbá nem vezethetnek a piaci szereplők hátrányos megkülönböztetéséhez. Piaci szereplők az EU-ban EuroPKI 1996/1997-ben zajlott az ICE-TEL projekt (Internetworking Public Key Certification Infrastructure for Europe) a TELematics Application Programme keretén belül, melynek célja az volt, hogy megoldást kínáljon az ipari és akadémiai kutató intézeteknek az Internet-használat biztonsági problémáira. A cél elérése érdekében olyan biztonságos alkalmazásokat fejlesztettek ki, melyek az európai országokon átívelő széles skálájú nyilvános kulcsú tanúsítvány struktúrát használnak a felhasználók hitelesítésére, és rendelkezésre bocsátották az összes szükséges technológiai komponenst is, amivel az egymáshoz csatlakozás könnyen megvalósíthatóvá vált. Ez a projekt alapozta meg az EuroPKI programot, melynek keretében egy non-profit szerveződés felállított egy páneurópai nyilvános kulcsú infrastruktúrát (PKI). Az első lépésként létrejött root-ca kezelése a torinói Security Group kezében van (Politecnico di Torino). A PKI hierarchia a következőképpen épül fel: EuroPKI Top Level CA (Torino) EETIC CA (European Entrapreneurs Telematics Initiatives Committee) Italian CA Slovenian CA Polish CA Norvegian CA (UNINETT) British CA (University College of London) Irish CA (Trinity College of Dublin) Austrian CA (Institute for Applied Information Processing and Communications) Az olasz és a szlovén CA alá további sub-ca-k csatlakoznak. Árak Árakról nincs tudomásunk, csak azt lehet tudni, hogy non-profit módon végzi az EuroPKI a szolgáltatását. IKS GmbH Jena A cég egy thüringiai regionális Internet-szolgáltató, aki komplex megoldásokat is nyújt ügyfeleinek az információ-menedzsment területén. Kétszintű tanúsítványt bocsát ki: low level security és high level security szinten, személyek és eszközök (számítógépek) számára. A regisztrációs folyamatokat csak személyesen lehet elintézni. Az ügyfelek a kulcspárjaikat a saját lokális rendszerükön generálhatják. A cég felhívja a figyelmét a felhasználóknak, hogy a kulcsgenerálási folyamat során (és végén), a nyilvános kulcs az egyetlen adat, mely elhagyhatja a lokális rendszert a biztonság sérülése nélkül. Az új tanúsítványokhoz történő hozzáférést a tulajdonos e-mailben kapja meg. Ezen kívül természetesen biztosított a tanúsítványok kereshetősége és a visszavonási eljárások kezelése is. EGERSZEGI CONSULTING INTEGRITY, 2002 10
Árak Client certificate Típus Érvényesség Ár Teszt 2 hét ingyenes Normál 6 hónap 7 euró Normál 1 év 10 euró Megújítás 6 hónap 5 euró Server and Group certificate Típus Érvényesség Ár Teszt 2 hét ingyenes Normál 6 hónap 150 euró Normál 1 év 300 euró Megújítás 6 hónap 150 euró Deutsche Telekom (www.telekom.de) A Deutsche Telekom, mint vezető távközlési és telekommunikációs vállalat, fő tevékenységei mellett foglalkozik teljes PKI megoldás bevezetésével, támogatásával és szerver típusú tanúsítványkiadással is. Hitelesítés szolgáltatói tevékenysége alatt a DT több mint százezer tanúsítványt bocsátott ki. Termékek ServerPass A ServerPass tanúsítvány Internet szerverek és a biztonságos SSL-en keresztül történő kommunikáció hitelesítésére szolgál. A tanúsítvány ára 255 euró/év, de teszt célra 1 hónapig ingyenesen elérhető felelősségvállalás nélkül. A nem teszt célra kiadott tanúsítványhoz tartozó felelősségvállalás mértékéről nincs hivatalos információnk. PKS (Public Key Service) Ez egy komplett PKI megoldás, melyet a DT üzemeltet, és a kibocsátott tanúsítványok után egyegyszeri kibocsátási díjat és egy folyamatos éves díjat számít fel. A CA-t a Deutsche Telekom üzemelteti Trust Center néven és egy ún. Master RA (központi regisztrációs hatóság) gyűjti be az igényléseket a kihelyezett RA-któl, amik elvégzik az azonosítási folyamatot is. EGERSZEGI CONSULTING INTEGRITY, 2002 11
3. ábra: A Deutsche Telekom PKI megoldásának felépítése A kibocsátott tanúsítványok fajtája egyedi megegyezés alapján történik, a tanúsítványokat a DT javaslata szerint, saját előállítású chip-kártyán helyezik el. A felelősségvállalás pontos mértékéről nincs hivatalos információnk. A tanúsítványok egyszeri kiállítási díja 53,48 euró chip kártyán, és 10,10 euró mágneslemezen. Ez egy átlagos ár, ettől eltérés egyedi esetekben előfordulhat. A PKS szolgáltatás éves alapdíja 97,44 euró tanúsítványonként. Árak ServerPass Típus Érvényesség Ár Teszt 1 hónap ingyenes Normál 1 év 255 euró PKS Típus Érvényesség Ár Normál 1 év 97,44 euró (+ kiállítás díja) Önkéntes akkreditációs szervezetek Európában A PKI-szolgáltatókkal szemben támasztott követelmények két oldalról közelíthetőek meg. Egyrészt fontos ismerni azt, hogy az állam milyen törvényi szabályozást állít fel a szolgáltatók számára, másrészt a piac önszabályozásának érvényesülése is garantálhatja a fogyasztói érdekek védelmét. Nyilvánvalóan ott jöhet létre és erősödhet meg az önkéntes akkreditáció intézménye, ahol az állam kevésbé kíván beavatkozni a piaci szereplők tevékenységeibe. Két ilyen rendszerről teszünk említést az alábbiakban (tscheme, TTP.NL), de megjegyezzük, hogy a működésük még pusztán elméleti jelentőségű, mivel akkreditált tagjaik 2002 februárjának végén még nincsenek. tscheme A tscheme angol kezdeményezés. Létrejöttét az inspirálta, hogy az angol kormányzat felismerte, az elektronikus kereskedelem alapját képező megbízhatóság, bizalmasság, biztonság megvalósításául szolgáló kriptográfiai alkalmazások, PKI-rendszerek használatát szabályozni kell, a széles körben való elterjeszthetőség érdekében. A piac úgy gondolta, hogy képes saját magát szabályozni, és kialakított egy önszabályozó sémát ebben a vonatkozásban. Ez tükröződik is az angol elektronikus kommuniká- EGERSZEGI CONSULTING INTEGRITY, 2002 12
cióról szóló törvényben, mely jóváhagyott megbízható harmadikfélről tesz említést (The approval of trusted third parties (Trust Service Providers TSPs)). A tscheme tagjai tehát lefedik az angol piac összes szegmensét, a kormányzattól a szolgáltatókig, gyártókig és felhasználókig egyaránt. Tagjai: APACS, Barclays, RBG, Viacode, BCC/ChamberSign, TrustWise, Chubb, CSSA, ICL, Vodafone, Microsoft, Consumers Association, DMA,e-centre, FEI, IBM, DTI, Cabinet Office, Interclear Működésének alapelvei: kidolgozza a jóváhagyás követelményeit, definiálja az elfogadható technikai és működési eljárásokat, felelős a jóváhagyási folyamatért, a jóváhagyásokat kezeli (kibocsátja, felülvizsgálja, visszavonja), előmozdítja a megbízható szolgáltatások létrejöttét. Fontos látni azt is, hogy a tscheme gyakorlatilag akkreditációs tevékenységet végez, auditot nem folytat. A jóváhagyás folyamatában a szerepe a követelmények kidolgozására és az általa elfogadott elemző szakértők felsorolására korlátozódik. A szakértő (cég) kidolgozza a folyamodó TSP-re vonatkozó jelentést, melynek birtokában a TSP benyújtja akkreditációs kérelmét a tscheme felé. A tscheme ezt elbírálja a szükséges policy-k, szabályzatokkal együtt és dönt az elfogadásról. Ha döntése pozitív, a jóváhagyott szolgáltatásra ki lehet tenni a tscheme emblémát, jelezve annak megfelelőségét, megbízhatóságát. 2002 februárjában a következő cégek várnak folyamodványuk elbírálására: The Royal Bank of Scotland Group, BT plc, ViaCode Limited, Nexus TSP Limited, ChamberSign. TTP.NL A TTP.NL (Trusted Third Parties) projektet az ECP.NL (Electronic Commerce Platform, Netherlands) hozta létre, 1997-ben. A projekt célja, hogy minősített szolgáltatókra vonatkozó követelményeket fogalmazzon meg, egyrészt az EU Direktívával összhangban, másrészt az ETSI TS 101 456 szabványnak megfelelően. A követelmények, a sémák kibocsátására 2000-ben került sor. A projekt további koordinálására létrejött a Központi Szakértői Tanács (Central Council of Experts, CCE). A CCE feladata a létrejött sémák karbantartása valamint a Tanúsítvány Testület munkájának felügyelete. A Tanúsítvány Testület jogosult auditálni a PKI-folyamatokat, a biztonsági alrendszert és a szervezeti megbízhatóságot. A CCE feladati közé az alábbiak tartoznak: 1. a létező sémák karbantartása (biztonsági, TTP.NL), 2. a Tanúsítvány Testület bevonása a munkába, 3. a TTP.NL márkajelzés kezelése, 4. az Informatikai Biztonság címke menedzselése, 5. európai harmonizáció, 6. részvétel az Önkéntes Akkreditációs Eljárások kidolgozásában, további feladatok: 1. promóció, 2. oktatási és tréning programok kidolgozása, terjesztése, 3. aktív részvétel az ECP.NL munkájában. A TTP.NL akkreditációról nincsen információnk. EGERSZEGI CONSULTING INTEGRITY, 2002 13
Nemzetközi szolgáltatók Verisign (www.verisign.com) Az amerikai Verisign cég vezető szolgáltató a digitális hitelesítő szolgáltatások piacán. A hitelesítő szolgáltatások mellett PKI és egyéb biztonsági megoldások értékesítésével, tanácsadásával, oktatásával is foglalkozik. A tanúsítványok háromféle szintűek lehetnek, Class 1, Class 2 és Class 3. Ez a szint az ellenőrzési, azonosítási folyamatot jellemzi; a leggyengébb a Class 1, ami csak email cím ellenőrzést végez, ezt követi a Class 2, ami meghatározott iratokkal történő igazolást is igényel, melyeket független forrásból ellenőriz, és a legerősebb a Class 3, ami az ellenőrzés során a személyes jelenlétet is megköveteli. Termékek Personal ID (személy tanúsítvány) A személyes kommunikáció bizalmasságának és hitelességének biztosítására szolgáló tanúsítvány. Az ellenőrzés során az email címet vizsgálják, és lényegében ez a tanúsítvány a felhasználó és az email cím összetartozását igazolja. Az ára 14,95 USD/év és 1000 USD felelősségvállalást tartalmaz, de lehetőség van egy 60 napos ingyenes tesztperiódus igénybevételére, ám ekkor a Verisign nem vállal semmilyen felelősséget. Az ellenőrzési folyamat Class 1 szintű. Server ID (szerver tanúsítvány) Szerver és weboldalak összetartozásának tanúsítására szolgál. Az ára az SSL titkosítás erősségétől függően változik. 40 bit erősség esetén 895 USD/év, 128 bit erősség esetén pedig 1395 USD/év a tanúsítvány ára. A tanúsítványokhoz 100000 USD-s felelősségvállalás tartozik. Az ellenőrzési folyamat Class 3 szintű. Code Signing Digital ID Szoftverfejlesztőknek kínált tanúsítványfajta, mellyel az elkészített szoftver, alkalmazás vagy kód hitelesíthető, így az ügyfél, vagy felhasználó megbizonyosodhat, hogy megbízható forrásból származó szoftvert, alkalmazást vagy kódot kap. A tanúsítvány a hozzáadott plusz szolgáltatások függvényében 400 USD vagy 695 USD lehet egy évre. A felelősségvállalás mértéke a hitelesíteni kívánt kódoktól, alkalmazásoktól függően változó. Az ellenőrzési folyamat Class 1 szintű. Az ellenőrzési folyamatról, illetőleg, hogy melyik szintű ellenőrzés pontosan mit követel meg a felhasználótól, nem rendelkezünk hivatalos információval. Árak Personal ID Típus Érvényesség Ár Teszt 60 nap ingyenes Normál 1 év 14,95 USD Server ID Típus Érvényesség Ár 40 bit SSL 1 év 895 USD 128 bit SSL 1 év 1395 USD Code Signing ID Típus Érvényesség Ár Normál 1 év 400 USD Bővített 1 év 695 USD Globalsign (www.globalsign.com) Nemzetközi hitelesítés-szolgáltató, főleg Európára koncentrál. A tanúsítványkiadás mellett széleskörű PKI rendszerekhez kapcsolódó szolgáltatásokat is kínál ügyfeleinek. EGERSZEGI CONSULTING INTEGRITY, 2002 14
Termékek PersonalSign 3 szintű személyazonosság igazolására szolgáló tanúsítvány. PersonalSign Demo: ez egy ingyenes, egy hónapi érvényes csupán teszt célokra szolgáló tanúsítvány, mindenféle garanciavállalás nélkül. Az igénylés során csak email cím ellenőrzés történik. PersonalSign 2: ez egy, 1 évig érvényes tanúsítvány, mely igénylése során a személyazonosság megállapítása az email cím ellenőrzésével ill. egy személyazonosság igazoló irat (útlevél/jogosítvány) aláírt másolatának a céghez való eljuttatásával történik. A tanúsítvány ára 16 euró/év és 2480 euró felelősségvállalást tartalmaz. PersonalSign 3 Pro: ez a legnagyobb garanciát nyújtó tanúsítvány, mely a PersonalSign 2 tanúsítvány követelményein túl személyes megjelenést is igényel a Globalsign regisztrációs hatóságainál. Ilyen regisztrációs hatóság jelenleg 17 országban van, így ezt a tanúsítványt csak ezekben az országokban lehet igényelni. A tanúsítvány ára 50 euró/év és 37500 eurós felelősségvállalást tartalmaz. ServerSign Szerver és a hozzá tartozó domén név hitelességének, valamint 56 bites SSL-en megvalósuló biztonságos kapcsolat igazolására szolgál, így lehetővé teszi a biztonságos kommunikációt az üzleti partnerek és ügyfelek, felhasználók között. Az igénylés során ellenőrzik, hogy kinek a tulajdonában van a domén név, és vizsgálják a tulajdonos igazoló iratait, cég esetén a céges papírokat. A tanúsítvány ára 175 euró/év és 37500 eurós felelősségvállalást tartalmaz. ServerSign for WAP A ServerSign-hoz hasonló elven működik csak WAP szerver hitelesítésére szolgál és a WAP szerver és a WAP-os eszköz közti biztonságos kommunikációt teszi lehetővé. A tanúsítvány áráról és az ellenőrzés módszeréről nincs hivatalos információ, valószínűleg a ServerSignéval megegyezően történik. A tanúsítvány 37.500 eurós felelősségvállalást tartalmaz. HyperSign A ServerSign-nal megegyező tanúsítvány, csak ez már 128 bites SSL kapcsolatot igazol, éves díja 225 euró, a felelősségvállalás mértéke változatlanul 37.500 euró. ObjectSign Szoftverfejlesztőknek és terjesztőknek kialakított tanúsítvány, mely az ügyfél felé igazolja a szoftver, alkalmazás vagy kód eredetét. Az igénylés során ellenőrzik az igénylő email címét, és vizsgálják hivatalos iratait. A tanúsítvány ára 175 euró/év, 37.500 eurós felelősségvállalást tartalmaz. Árak PersonalSign Típus Érvényesség Ár Demo 1 hónap ingyenes PersonalSign 2 1 év 16 euró PersonalSign 3 Pro 1 év 50 euró ServerSign Típus Érvényesség Ár Normál 1 év 175 euró ServerSign for WAP Típus Érvényesség Ár Normál n/a n/a EGERSZEGI CONSULTING INTEGRITY, 2002 15
HyperSign Típus Érvényesség Ár Normál 1 év 225 euró ObjectSign Típus Érvényesség Ár Normál 1 év 175 euró Entrust (www.entrust.com) A kanadai székhelyű Entrust főleg PKI és biztonsági termékek, megoldások értékesítésére helyezi a hangsúlyt, de ezek mellett foglalkozik tanácsadással, és a következőkben részletezett hitelesítés szolgáltatásokkal is. Termékek WEB Server Certificates Ez a tanúsítvány azonosítja a weboldalt és engedélyezi az SSL-en keresztül történő biztonságos kommunikációt. A böngésző programok több mint 99%-a támogatja az Entrust root CA-t. A tanúsítvány 1 évre 149 USD, 2 évre 275 USD. WAP Server Certificates A tanúsítvány azonosítja a WAP szervert, és engedélyezi a biztonságos kommunikációt a WAP képes eszköz ill. a WAP szerver között. Az ára 1 évre 749 USD, 2 évre 1.295 USD, de lehetőség van egy 21 napig érvényes ingyenes teszt tanúsítvány kipróbálására. A tanúsítványok kibocsátásához szükséges ellenőrzési folyamatról, valamint a felelősségvállalás mértékéről nincs hivatalos információnk. Árak WEB Server Certificate Típus Érvényesség Ár Normál 1 év 149 USD Normál 2 év 275 USD WAP Server Certificates Típus Érvényesség Ár Normál 1 év 749 USD Normál 2 év 1.295 USD Thawte Corporation (www.thawte.com) A cég központja a dél-afrikai Cape Town-ban van (Fokváros), itt folyik a technikai support, a kutatásfejlesztés és a marketing stratégia kidolgozása is. Az amerikai iroda csupán az amerikai tanúsítványokkal kapcsolatos tevékenységeket végzi. A cégnek az alábbi országokban van képviselete, mely ellátja egyben az adott országokban a tanúsítványok értékesítését is: Ausztrália, Brazília, Kanada, Costa Rica, Kína, Horvátország, Észtország, Franciaország, Németország, Hong Kong, Izrael, Japán, Portugália, Puerto Rico, Oroszország, Szingapúr, Szlovénia, Spanyolország, Svédország és Anglia. A cég egy olyan világméretű digitális tanúsítvány-megoldás szállító, amely az Internet használat biztonságosabbá tételéhez biztosít eszközöket. Ezen belül a Thawte megbízható harmadik félként tanúsítvány-szolgáltatóként is működik az Interneten. Tanúsítványokat cégeknek és magánszemélyeknek egyaránt szolgáltat, az ügyfelek on-line módon is azonosíthatják magukat. EGERSZEGI CONSULTING INTEGRITY, 2002 16
Termékek SuperCerts: az összes kommunikációt 128-bites erős titkosítással támogatja meg. Korábban az USA-ból exportált böngészők csak a 40-bites titkosítást ajánlották fel. Ez a tanúsítvány lehetővé teszi a non-usa böngészők számára, hogy 128-bites erős titkosítást használjanak, egy saját site hozzáférésekor. Ehhez szükséges, hogy a site látogatói minimum IE 5.01 vagy Netscape 4.7 böngészőt használjanak. Wildcard Certs: A "wildcard" tanúsítvány egy olyan domén névhez tartozó tanúsítvány, mely megengedi, hogy a domén névben wildcard-karakterek ("*") szerepeljenek (pl. *.domain.com. Ha egy kliens a tanúsítvány alapján ellenőrizni kívánja a host-nevet, ez a tanúsítvány érvényes lesz mind a www.domain.com, a www1.domain.com, mind pedig a www2.domain.com host-nevekre is. Tehát kiválóan használható sub-domain-ek egyetlen tanúsítvánnyal történő levédésére. SSL-szerver Certs: A web-szerverhez történő 40-, 56-, és 128-bites SSL-hozzáférést támogatja meg tanúsítvánnyal. A kulcsok hosszát dinamikusan választja meg, a szerver és a kliens tulajdonságai alapján. Developer Certs: A fejlesztői tanúsítványok használatával lehetővé válik a megírt programkód aláírása a nyilvános hálózaton történő továbbítás előtt, így biztosítható az útközbeni változások észlelése. Personal Cert: Ez a tanúsítvány a hagyományos elektronikus levelezés aláírásához, illetve annak ellenőrzéséhez használható. Árak SuperCert Új ár Megújítás 1 évre: 300 USD 1 évre: 300 USD 2 évre: 600 USD 2 évre: 600 USD WildcardCert Új ár Megújítás egyéni elbírálás egyéni elbírálás SSL-szerver certs Új ár Megújítás 1 évre: 125 USD 1 évre: 100 USD 2 évre: 225 USD 2 évre: 200 USD Developer certs Új ár Megújítás 1 évre: 200 USD 1 évre: 100 USD Personal certs Új ár Megújítás n/a n/a Digital Signature Trust (www.digsigtrust.com) A Digital Signature Trust az USA-ban egy vezető hitelesítés-szolgáltató cég. A digitális azonosítás és tanúsítványkiadás mellett végeznek ezekhez kapcsolódó szolgáltatási, tanácsadási tevékenységet is. Termékek TrustID Personal Certificate Magáncélú személyazonosításra szolgáló tanúsítvány, mely egy évre 24 USD-be kerül, ezért 1. 000 USD felelősségvállalást tartalmaz. EGERSZEGI CONSULTING INTEGRITY, 2002 17
TrustID Business Certificate Üzleti célú személyazonosításra szolgáló tanúsítvány, mely tartalmazza a felhasználó szervezetét és a felhasználó szervezetben betöltött szerepkörét is. Az ellenőrzés során vizsgálják a szervezet valódiságát, így megerősítést kérnek a szervezettől, hogy valóban igényli-e e szolgáltatást a felhasználó részére. Éves díja 175 USD, az előzőhöz hasonlóan ez is 1.000 USD felelősségvállalást tartalmaz. TrustID Server Certificate SSL csatornán keresztül kommunikáló webszerverek azonosítására kibocsátott tanúsítvány. Az ellenőrzés során vizsgálják a szervezet valódiságát, hogy a szervezet tulajdonában van-e az adott doménnév, így megerősítést kérnek a szervezettől, hogy valóban igényli-e ezt a szolgáltatást. Éves díja 175 USD, 250.000 USD felelősségvállalást tartalmaz. Az ellenőrzés folyamata során mindhárom tanúsítványfajtánál a vizsgált adatok érvényességét és valódiságát hiteles és független forrásból (pl. állami nyilvántartás) származó információkkal vetik öszsze, a tanúsítványok kibocsátására csak az egyezőség esetén kerül sor. Árak TrustID Personal Certificate Típus Érvényesség Ár Normál 1 év 24 USD TrustID Business Certificate Típus Érvényesség Ár Normál 1 év 175 USD TrustID Server Certificate Típus Érvényesség Ár Normál 1 év 175 USD EGERSZEGI CONSULTING INTEGRITY, 2002 18
Hazai szolgáltatók Törvényi szabályozás állása, hiányosságai Az elektronikus aláírásról szóló 2001. évi XXXV. törvény szeptember 1-jén lépett hatályba. A végrehajtáshoz ez azonban önmagában kevés, alkalmazását rendeletek segítik, készítik elő. A törvény az aláírás használatához számos rendelet megalkotásához ad felhatalmazást. Ennek értelmében az állami ellenőrzést megvalósító Hírközlési Főfelügyelet (a továbbiakban Főfelügyelet) e törvénnyel kapcsolatos feladatkörét és hatáskörét a 151/2001 Kormányrendelet szabályozta, valamint kormányrendelet fogja majd várhatóan leírni a központi közigazgatási szervek és helyi önkormányzati szervek elektronikus aláírással, az azokat hitelesítő szolgáltatókkal kapcsolatos követelményeket is. A Miniszterelnöki Hivatalt (MeH) vezető miniszter a 16/2001 rendeletben szabályozta az elektronikus aláírással kapcsolatos szolgáltatások és szolgáltatókra vonatkozó részletes követelményeket, a 15/2001 rendeletben pedig rendelkezett az elektronikus aláírási termékek tanúsítását végző szervezetekről, kijelölési szabályaikról. A MeH minisztere állapította meg a 20/2001. MeHVM rendeletben a Főfelügyeletnek e törvény alapján járó igazgatási szolgáltatási díjak mértékét is, a pénzügyminiszterrel egyetértésben, valamint irányelvet fog kibocsátani a 16-os rendelet záró rendelkezése alapján. Ebben olyan szabványokon és műszaki előírásokon nyugvó alapelvek lesznek megfogalmazva, hogy ha ezeknek egy szolgáltató eleget tesz, akkor a Főfelügyelet köteles a vonatkozó követelményeknek megfelelő szolgáltatónak tekinteni ezek tekintetében legalábbis. Kérdés, vajon a felügyeleti szerv számára elégséges lesz-e az, ha egy szolgáltató a leírt követelményeknek megfelelően működve kéri a minősítését, bár nyilvánvalóan nem lehet cél az automatikus minősítés megadása sem. Néhány gondolat az aláírások jogkövetkezményeiről. Amennyiben az aláírás minősített, azt bármely olyan bírósági, vagy államigazgatási eljárásban el kell fogadni, amelyeknél ezt a megfelelő rendelet lehetővé teszi. Ez egyben azt is jelenti, hogy a rendeletek nélkül nem használhatjuk az elektronikus aláírást az állammal folytatott ügyintézéseinkben. Ezen kívül a fokozott biztonságú elektronikus aláírással ellátott elektronikus irat kielégíti az adott jogviszonyban az írásba foglalás követelményét a meghatározott kivételeken kívül. Mindezeken túl bármely elektronikus aláírással ellátott irat, dokumentum kötelezettség-vállalásának elfogadását, bizonyítási eszközként történő alkalmazását sem lehet megtagadni kizárólag amiatt, hogy az aláírás csak elektronikus formában létezik. Más kérdés persze, hogy ezen túlmenően még milyen követelményeket kell kielégítenie az elektronikus dokumentumnak ahhoz, hogy a nyugtázásától eljuthassunk a teljes körű elfogadásáig. A miniszterek a törvény záró rendelkezései szerint rendeletekkel fogják szabályozni azoknak a jogviszonyoknak a körét, ahol mód van kizárólag elektronikus iratok, dokumentumok használatára, valamint megállapítják az ezekkel történő ügyintézés sajátos szabályait is. Ugyanezt meg kell tenniük majd a helyi önkormányzatoknak is, hogy rendeletben szabályozzák azokat az eljárásokat, ahol mód lesz elektronikus iratokkal intézni az ügyeket. A felhatalmazási rész ugyan kizárólagos elektronikus ügyintézésről beszél, de a 3. 7-es pontja kimondja, hogy jogszabály nem teheti az elektronikus aláírás használatát kötelezővé. Megállapítható tehát, hogy a közeljövő, számos értelmezési feladatot is tartogat a jogalkotók számára, a szükséges rendeletek kodifikálásán túl. Elektronikus aláírási termékek tanúsítását végző szervezetek nyilvántartásba vételéről nincsen még hír. Nyilvános szolgáltatást hazánkban csak nyilvántartott és felügyelt szolgáltató nyújthat. A nyilvántartás megindult, ez azt is jelenti egyben, hogy a hatósági eljárás módszere kialakult, és elvégezhetővé vált. A törvény azonban olyan fogalmat, mint "fokozott biztonságú hitelesítés-szolgáltató" nem ismer. Ha részletesen áttanulmányozzuk a jogszabályokat, arra a következtetésre jutunk, hogy meg kell különböztetni az elektronikus aláírások és a tanúsítványok, sőt a szolgáltatók osztályozási kategóriáit is, mert nem ugyanazok. A törvény alapján háromtípusú elektronikus aláírás létezhet (normál, fokozott biztonságú, minősített), de csak kéttípusú tanúsítvány lehetséges: minősített és nem minősített. A 16/2001-es Kormányrendelet vezeti be a "fokozott biztonságú szolgáltató" fogalmát is implicit módon. Fokozott biztonságú tanúsítványról azonban egyik jogszabály sem tesz említést, csak fokozott biztonságú szolgáltatásról. Megállapítható az is, hogy a fokozott biztonságú szolgáltatónak a kibocsátott (nem minősített) tanúsítványait úgy tűnik nem kell fokozott biztonságú elektronikus aláírással hitelesítenie. Továbbá a fokozott biztonságú elektronikus aláírás kritériumai között nem szerepel az, hogy tanúsítvánnyal is rendelkeznie kell. Következésképpen tehát abból, hogy a szolgáltató fokozott biztonságú, nem következik automatikusan az, hogy az általa kibocsátott tanúsítványok fokozott biztonságú elektronikus aláíró adatokhoz (privát kulcs) kapcsolódnak. EGERSZEGI CONSULTING INTEGRITY, 2002 19
A különböző szolgáltatók közötti különbséget a tanulmány készítésének idején tehát nem az általuk kibocsátott tanúsítvány típusa határozza meg, hiszen eddig Magyarországon csak nem minősített címkéjű tanúsítvány kibocsátására van lehetőség. Mi jelenti akkor a különbséget a különböző tanúsítványok között? A választ a regisztrációs folyamatokban kell keresnünk. Különböző szintűnek értékelünk egy tanúsítványt akkor, ha az személyhez vagy eszközhöz kötődik, illetve a személyhez kötődő tanúsítványnál az is fontos, hogy milyen mértékben, mennyire erősen győződött meg a regisztrációs hatóság a személy identitásáról (e-mail cím, személyi igazolvány, tanúk, közjegyzői igazolás). A magyarországi szolgáltatók kínálatát a tanúsítvány-típusaik, és a hozzájuk kapcsolódó regisztrációs folyamatok mentén járjuk körbe. NetLock Informatikai és Hálózatbiztonsági Korlátolt Felelősségű Társaság Korát tekintve a Netlock a legrégebbi motoros ezen a pályán, hiszen már több mint öt éve, elsőként kezdte meg tanúsítványok szolgáltatását Magyarországon. Szolgáltatását informatikai biztonsági szempontokból megbízható módon és helyen nyújtja. A HÍF 2001. október 20-tól nyilvánította "fokozott biztonságú szolgáltatóvá" azaz vette lajstromba. A Netlock a törvény által felsorolt mindhárom szolgáltatás végzésére (tanúsítvány-kiadás, időbélyegzés és privát kulcs elhelyezés) bejegyeztette magát. Ez tehát azt jelenti, hogy regisztrációs és hitelesítő funkciót végez, amely közben négy hitelesítési osztályban ad ki tanúsítványokat de valójában csak három az, ami tényleges kötelezettség-vállalás igazolására használható közülük. A szolgáltatások nyújtásának módjaiban a cég rugalmas, támogatja a csak tanúsítványt kérőket is, de lehetővé teszi, hogy nála virtuális szolgáltatót hozzon létre más cég saját használatra, melynek csupán a rendelkezésre állását biztosítja, az adminisztrációs feladatok a megrendelő cégre áthárítódnak. Valamint a láncolt CA-tanúsítvány lehetővé teszi bármely vállalati CA bekapcsolását a Netlock által felülhitelesítettek körébe. Teszt osztályú tanúsítványok A teszt tanúsítvány a hálózatbiztonsági szolgáltatások tesztelési céljaira kiadott tanúsítvány. A teszt szinten a hitelesítés szolgáltató nem végez, illetőleg nem vesz igénybe entitás-azonosító szolgáltatásokat. A teszt tanúsítvány csak a megadott elektronikus cím létezését biztosítja az érintett felek számára, semmi többet. Érvényességi időtartama 1 hónap, igénylése on-line módon történik. Felelősséget erre a Netlock nem vállal. "C" osztályú tanúsítványok A "C" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát korlátozott, részben emberi beavatkozással történt ellenőrzési lépéseken keresztül azonosította a hitelesítés szolgáltató. Használata elektronikus levelezéshez, kisebb kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlja a kft. Felelősséget 50.000,- Ft-ig vállal ezen típusú tanúsítványokra. A C-osztályú tanúsítványok kiadását az alábbiak ellenőrzése előzi meg: Ellenőrzés Személyek azonosításához Szervezetek azonosításához Szerverek azonosításához Nyilvános kulcs ellenőrzése Jogosultság ellenőrzéséhez Funkció ellenőrzéséhez C osztály B osztályban regisztrált 2 tanú Postacím, telefonszám létezése Személyi igazolvány másolata Adóigazolvány bemutatása Közüzemi számlák másolata Nyilvános cégnyilvántartási adatok Postacím, telefonszám létezése Saját domén név Kérelem elektronikus aláírása Igénylő felhatalmazása Nyilatkozat a funkció ellátásáról EGERSZEGI CONSULTING INTEGRITY, 2002 20