Elektronikus hitelesség e-társadalomban mit, miért és hogyan? Erdősi Péter Máté, CISA http://www.erdosipetermate.hu Magyar Elektronikus Aláírás Szövetség, MELASZ elnokseg@melasz.hu Az elektronikus társadalomban a hitelesség központi kérdés akkor, ha a kommunikációs partnerek előtte nem találkoztak, vagy nem akarnak más módon meggyőződni a másik személy valódiságáról. A hitelesség műszaki szinten a sértetlenséget és a küldő eszközét hitelesíti, de a hitelességet személyi szintre kell emelni ahhoz, hogy az aláíró személye is hitelesíthető legyen. A mai általános elektronikus gyakorlat szerint a hitelességet sok esetben az biztosítja, hogy a hiteles papír alapú megoldások (aláírás, pecsét) mellett párhuzamosan él valamilyen elektronikus másolati forma, ami attól lesz hiteles, hogy a papír is ugyanazt tartalmazza ezt azonban az esetek többségében már nem ellenőrzik rendszeresen, emiatt az informatikai rendszerekben tárolt adatok hitelessége ma a legtöbb esetben megkérdőjelezhető. Az elektronikus hitelesítés [1] alapján definíció szerint az állított azonosság megerősítése, verification of identification. A hitelesítés tárgyai a következők lehetnek: 1. Azonosság (identity) Az azonosítás egy eljárás arra, hogy megállapítsuk ki vagy mi a partner a kommunikációban. Az azonosítás vonatkozhat természetes vagy jogi személyre (egyén vagy szervezet), illetve eszközre. A KI VAGY? illetve MI VAGY? megállapítására két esetben lehet szükség: a) a személy számonkérhetőségének biztosításához, vagy b) ha bízni akarunk abban, hogy az állított személy (szervezet, eszköz) ténylegesen az, ami állítva van róla. 2. Tulajdonság (attribute) A tulajdonság egy személy, szervezet, informatikai objektum vagy egy tranzakció különleges jellemzője. A tulajdonság a következőkre vonatkozhat: Jogosult valamit tenni? Például egy cég képviseletében aláírhat-e (képviseleti jog, utalványozási jog, tranzakció végrehajtási jog). Megfelel-e valamilyen szabványnak vagy jogi követelménynek? (pl. oktathat, auditálhat) A tranzakció adat-tartalma sértetlen, és le nem tagadható sem az elküldése, sem pedig a fogadása. A tulajdonság egy eszköz esetében az eszköz jogosultságát adja meg, például, hogy beléphet egy bizalmas hálózatba, vagy hogy egy adott céghez tartozik-e. A hitelesítési eljárások során három faktort szoktak ismertetni, ezek a következők: 1. Mit tudsz? (pl. jelszó megadása) 2. Mi van a birtokodban? (pl. egy hardveres token által generált kód megadása, vagy intelligens kártya használata) 3. Ki vagy? (pl. ujjlenyomat, írisz vagy más biometrikus adat megadása) Biztonsági szakértők egyetértenek ma abban, hogy a fenti három közül bármely kettő használata számít igazán biztonságosnak. A személyek hitelesítésénél a tudásalapú megoldás önmagában nem számítható biztonságosnak, ezért kiegészítő intézkedésekkel szokták még ellátni, ahol alkalmazzák. Az eszköz segítségével végzett személyhitelesítésnek van egy előnye (az eszközhasználat kényelmetlenségeit ellensúlyozandó) persze csak akkor, ha a rajta szereplő adatokat nem adjuk
oda egy nagy adatbázisba: az eszközök nincsenek egy koncentrált helyre begyűjtve, azaz minden egyes eszközt külön-külön kell megszerezni egy potenciális támadónak ez milliós nagyságrendben nehezen kivitelezhetővé teszi ennek megtámadását. Tegyük fel, hogy egy társadalomban a társadalom java része elsajátította az elektronikus hitelesítési technikákat és tudja is alkalmazni ezeket biztonságos módon. Mi változik, illetve mi változhat? Például a társadalom tagjai tudnak egymás között bármilyen szituációban elektronikusan hitelesen kommunikálni. Ez az alábbi helyeken jelenthet nagy változásokat a teljesség igénye nélkül: 1. ügyintézés: ismeretes, hogy a legmagasabb szintű ügyintézés kétirányú interakciót kíván meg mind az ügyintézőtől, mind pedig az ügyféltől, ez pedig valamilyen szintű elektronikus hitelesség nélkül nem képzelhető és nem valósítható meg. Ha viszont sokan intézzük az ügyeinket elektronikusan, akkor egyrészről csökkenhet az erőforrások felhasználása (ideértjük a papírfelhasználást is, a sorszám-cetlitől kezdve az írásbeli határozatokig bezárólag minden dokumentumot elektronikusan kapunk), másrészről növekedhet a gyorsabb kommunikáció miatt az ügyintézés sebessége is. Nagyon fontos megemlíteni itt azt is, hogy elektronikus ügyintézés esetén az ügyfélnek nem is kell bemennie az ügyfélszolgálati irodába autóval vagy tömegközlekedéssel, ügyes-bajos dolgait el tudja intézni kényelmesen otthonról a számítógép mellett ülve, ennek a mozgásukban korlátozottak is bizonyára örülnének. 2. számlázás, számlakivonatok, kötvények: a közüzemi, pénzintézeti és biztosítási szolgáltatások igénybe vevőinek számára kiküldött bizonylatok száma összesítve meghaladhatja az 50-100 milliót is havonta, hiszen egy-egy ügyfél több szolgáltatást is igénybe vesz általában. Ezek elektronikus útra terelése a tárolási kapacitásokat érdemben nem csökkenti, viszont a papírszükségletet igen. 3. szerződések aláírása: nem elhanyagolható hatása az elektronikus hitelesítési technikák ismeretének az, hogy tetszőleges e-befogadó partnerrel képes vagyok szerződni, teljesíteni és számlázni egész Európában. Ez a lehetőség egy adott vállalkozói kör számára az üzleti tevékenységeik kiterjeszthetőségét nyújtja, másrészről pedig a piaci versenyt erősítheti. Egy mondat erejéig megemlítjük, hogy egy folyóméter irat és ugyanennyinek megfelelő digitális dokumentum tárolása között az a különbség, hogy az 1 terrabájtos háttértároló üzembe állítása és működtetése egy informatikafüggő szervezetben könnyebb, mint 1 folyóméter polc és környezete rendelkezésre állásának biztosítása. További előnye az elektronikus hitelességnek, elektronikus aláírásnak, hogy a jogalkotók elfogadják egyrészről írásban megtett kötelezettségvállalásnak, másrészről teljes bizonyító erőnek az elektronikus hitelesség meghatározott feltételeknek megfelelő megvalósítását. A társadalmi hatások azonban csak akkor érhetők el, ha a társadalom számos tagja ismeri és használja az elektronikus hitelesítési technikákat. Ennek a feltétele az, hogy legyen mire használni, legyen hol megtanulni és legyen mit használni. Az elektronikus aláírási szolgáltatások az elmúlt 10 évben folyamatos fejlődésen mentek keresztül, amely eredményeképpen a szolgáltatási paletta kibővült és megfizethetővé vált. De egy tanúsítvány vásárlásakor nincs idő és nincs hely magas szintű oktatásokat megvalósítani, ami további oktatásokat tesz szükségessé. De mit is kell megtanulni az elektronikus hitelesség kapcsán? Az elektronikus hitelesítéshez kapcsolódó tudást szintekre lehet bontani, az alábbi módon: 1. felhasználó (használja) 2. oktató (tanítja a használatot) 3. rendszergazda (megteremti a használat informatikai feltételeit)
Minden szinten más-más tudásra van szükség, mégpedig: 1. hogyan működnek a hitelesítési funkciók, és hogyan kell azokat használni (készíteni és ellenőrizni)? 2. hogyan lehet rendszerezni és átadni tervezetten a hitelesítési tudást (oktatás és tréning)? 3. hogyan kell egy rendszert üzemeltetni ahhoz, hogy a felhasználók képesek legyenek használni megbízható és biztonságos módon a hitelesítési technikákat (telepítés és üzemeltetés). Más szóval egy felhasználónak érdemes megtanulnia a saját elektronikus aláírásának készítését, ellenőrzését, más elektronikus aláírásának ellenőrzését, ehhez kapcsolódóan az aláírási funkciók és programok használatát, valamint azt is, hogy hogyan érdemes megőrizni hosszabb távon az elektronikusan hitelesített adatainkat. Érdemes kutakodni továbbá azon helyek után is, ahol elfogadják és használhatóak az elektronikus hitelesítési technológiák (ilyen például az Ügyfélkapu regisztrációja, az elektronikus cégeljárás vagy a digitális közjegyző). Megjegyezzük, hogy [2] részletesebben foglalkozik a terület mit lehet megtanulni tematikus felosztásával. Attól ma már nem kell tartani, hogy az egyik aláíró program által készített aláírásokat a másik aláíró program nem fogja tudni használni, mert vannak már ma is olyan aláírás-készítő és ellenőrző programok, melyek együttműködése komoly tesztekkel bizonyított [3]. Az első körben hat ilyen programot teszteltek le sikeresen, de már csatlakozik hozzájuk a hetedik is, azaz bővül az együttműködésre képes szoftverek köre. A MELASZ kialakította azt az eljárásrendet, mely során az aláíró programok együttműködési képessége nemcsak egy időpillanatban, hanem folyamatosan a szoftverváltozásokhoz igazodóan tanúsítható, vagyis nem kell tartani az avulásból eredő funkcióvesztéstől sem. De hol lehet ma megtanulni az elektronikus hitelesítés használatát? A Magyar Elektronikus Aláírás Szövetség 2008-ban készített felmérése szerint [4] nem igazán találkoztunk általános- és középiskolákban ennek az új tudománynak az oktatásával, de a felsőoktatásban is csak szórványosan, speciális kollégiumok terén volt fellelhető ez a terület, amivel belátható több év alatt sem lehet tömegképzést megvalósítani. Ez a helyzet az elektronikus cégeljárás bevezetése után annyiban változott, hogy a jogászhallgatók tananyagában megjelent az elektronikus aláírás is. Több ilyen visszahatásra lenne szükség a jövőben is ahhoz, hogy e-társadalmi szinten ismerhessük ezt a technikát. Az Európai Unióban számos olyan projekt létezik 2010-ben, melyben a hitelességet az elektronikus aláírási technológiák biztosítják, ezért ennek ismerete ma már létfontosságúnak tűnik az európai emberek számára. Több irányelv, dokumentum kimondott célként jeleníti meg az elektronikus aláírás használatának elsajátítását, ilyen például az e-igazságszolgáltatás, az e-közbeszerzés. A használati oldal európai támogatása tehát már ma is megvan és létezik. A felhasználók azonban még mindig bizonytalannak tűnnek a hitelesítési technológiák használatában, Európában is. A felhasználói bizonytalanságot valószínűleg tényekkel lehet a legjobban csökkenteni. A tények terjesztése érdekében több projekt indult társadalmi szervezetek kezdeményezésében. Ezek közül több már le is zárult, és további projektek vannak folyamatban [5]. Az Informatika-Számítástechnika Tanárok Egyesülete (ISZE) a MELASZ-szal közösen oktatási pilot programot szervezett, melyet tíz iskolában próbáltunk ki. A résztvevő tanárok véleménye az volt. hogy a pilot hatókörébe került több száz diák számára a technológia elsajátítása nem okozott különösebb gondot, azonnal megértették és képesek voltak azt használni a megfelelő módon. Ehhez persze kellett a tudás átadásának szisztémája is, mely egy tanári kézikönyvben valósult meg [6]. 2009 sikeres évnek tekinthető az elektronikus aláírás számára, hiszen az ECDL Foundation akkreditálta az ECDL Elektronikus Hitelesség, Elektronikus Aláírás új modult, melynek gazdája a
Neumann János Számítógép-tudományi Társaság (NJSZT). Az első tanfolyamot is befejeztük, 2010. január 18. és február 8. között, az NJSZT ECDL Iroda szervezésében. Az itt megszerzett tapasztalatok nagyon biztatóak a jövőbeli oktatások számára. Öröm volt látni, hogy a kezdeti idegenkedések, tudáshiányból adódó ellenérzések a tréning végére hogyan alakultak át érdeklődéssé, egyeseknél lelkesedéssé is. Mindehhez annyit kellett tennünk, hogy ezt az elméletben igen bonyolultnak hangzó tudományt a gyakorlati szintre levittük, ami azt jelenti, hogy kompetencia-alapú oktatást megvalósítva az elektronikus aláírási készségek játszva elsajátíthatók a tapasztalat szerint. A kézzelfogható gyakorlat az, ami elveszi a ködös elmélet misztikusságát, és használhatóvá teszi ezt a tudást a hallgató számára, de nagyon fontosnak tartjuk, hogy platformfüggetlen módon történjen meg a tudás átadása. Ez a terület nem annyira kiforrott még, mint az informatika más területei, ezért ezt még a sokszínűség uralja. Ebből következik, hogy a felhasználó többször kerülhet abba a helyzetbe, hogy egyik program használatáról váltania kell a másik program használatára, amit csak akkor tud megtenni, ha az elektronikus hitelesség technikáit sajátítja el, nem pedig egyes programok használatát. Ezt olyan platformon lehetséges megtenni, ami független az egyes gyártóktól, ilyen például az ECDL [7]. Fontos tapasztalata volt ennek az oktatásnak, hogy az informatikai háttérrendszer felkészítése szükséges a sikeres oktatás megvalósításához, lévén az elektronikus aláírás használata is informatikafüggő folyamat, ezért nem nélkülözheti az informatikai rendszer előzetes felkészítését, ami az alábbiakban foglalható össze: 1. aláíró programok telepítése és paramétereik beállítása 2. internetkapcsolat biztosítása az on-line tanúsítvány- és visszavonási információk lekérdezéséhez 3. operációs rendszer jogosultságainak beállítása a programok használhatóságához 4. felhasználói tanúsítványok előre feltelepítése a kényelmes használat érdekében. Mindez nem működhet informatikai támogatás nélkül, azaz az elektronikus aláírás megfelelő használata függ az informatikai szervezet támogatásától vagy ellenkezésétől is, ahogyan ezt [8] is megmutatja. Összefoglalásként az lehet mondani, hogy az elektronikus hitelesség használata az informatizált, informatikafüggő folyamatokban ma már nem lehetőségként, hanem követelményként jelenik meg, aminek használatát el kell sajátítani, vagyis be kell integrálni ezt a tudást mind a graduális, mind a poszt-graduális képzésekbe, gyakorlat-orientált és kompetencia-alapú módon azért, hogy a korfa minden levelén el lehessen az elektronikus aláírás használatát sajátítani. Ehhez a háttérrendszer rendelkezésre áll magyar és európai viszonylatban egyaránt, a felhasználási területek egyre inkább bővülnek (nem is lehet ez másképpen akkor, ha egyre több helyen hagyják el a papírt), az elektronikus aláírási technológiákat ismerők száma folyamatosan növekszik, de ma még ez kevés ahhoz, hogy a hatásait e-társadalmi méretekben is érzékelhessük. Ezen kell tehát még a közeljövőben munkálkodnunk. Irodalomjegyzék [1] Vasvári György: Bankbiztonság szervezése; 2003. [2] Erdősi Péter Máté: Az elektronikus aláírás oktatásának fő kérdései a köz- felső- és posztgraduális oktatásban, Informatika a Felsőoktatásban 2008 Konferencia, Debrecen [3] Magyar Elektronikus Aláírás Szövetség MELASZ Ready 2.0 ajánlás, http://www.melasz.hu/lang-hu/melasz-ready-ajanlas
[4] Magyar Elektronikus Aláírás Szövetség, Felmérés az elektronikus aláírás oktatásáról, 2008. http://www.melasz.hu/lang-hu/remository?func=fileinfo&id=46 [5] Magyar Elektronikus Aláírás Szövetség Oktatási Projekt, http://www.melasz.hu/lang-hu/amelasz-hirei/1250-oktatasi-projekt-oesszefoglalo-az-eddigiekrl [6] MELASZ-ISZE Tanári Kézikönyv az elektronikus aláírás oktatásához, 2009. http://www.melasz.hu/lang-hu/remository?func=fileinfo&id=79 [7] ECDL Elektronikus Aláírás Modultankönyv, 2010. http://www.elektronikusalairaskonyv.hu [8] Erdősi Péter Máté: Elektronikus hitelesség, PKI rendszerek alkalmazási feladatai tömegméretekben, 2009. http://www.infota.org/biztmen/docs/pki_tomeg_v1.0.doc