AZ ELEKTRONIKUS ALÁÍRÁS HASZNÁLATÁNAK

Hasonló dokumentumok
Elektronikus aláírás és titkosítás beállítása MS Outlook 2010 levelezőben

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

Elektronikus aláírás. Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Hitelesít szervezetek.

Elektronikus hitelesítés a gyakorlatban

Dr. Beinschróth József Kriptográfiai alkalmazások, rejtjelezések, digitális aláírás

Dr. Bakonyi Péter c.docens

Adat és Információvédelmi Mesteriskola 30 MB. Dr. Beinschróth József SAJÁTOS LOGIKAI VÉDELEM: A KRIPTOGRÁFIA ALKALMAZÁSA

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

Azt írom alá, amit a képernyőn látok?

Szabó Zoltán PKI termékmenedzser

Titkosítás NetWare környezetben

Számítógépes vírusok. Barta Bettina 12. B

Elektronikus aláírás. Gaidosch Tamás. Állami Számvevőszék

Az Outlook levelező program beállítása tanúsítványok használatához

Készítette: Fuszenecker Róbert Konzulens: Dr. Tuzson Tibor, docens

Gyakran ismétlődő kérdések az elektronikus aláírásról

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Diszkrét matematika I.

KIBOCSÁTÓI TÁJÉKOZTATÓ V 1.0. Tájékoztató anyag az elektronikus számlakibocsátói oldal számára

ELEKTRONIKUS ALÁÍRÁS E-JOG

Elektronikus levelek. Az informatikai biztonság alapjai II.

Sapientia Egyetem, Matematika-Informatika Tanszék.

MÁSOLATKÉSZÍTÉSI REND

TESZ INTERNET ÉS KOMMUNIKÁCIÓ M7

Szabályzat a papíralapú dokumentumokról elektronikus úton történő másolat készítésének szabályairól

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Kétcsatornás autentikáció

TANÚSÍTVÁNY. tanúsítja, hogy a Utimaco Safeware AG által kifejlesztett és forgalmazott

Aláírási jogosultság igazolása elektronikusan

Információs társadalom

Memeo Instant Backup Rövid útmutató. 1. lépés: Hozza létre ingyenes Memeo fiókját. 2. lépés: Csatlakoztassa a tárolóeszközt a számítógéphez

Nagy Gábor compalg.inf.elte.hu/ nagy ősz

Az elektronikus aláírás és gyakorlati alkalmazása

Informatika 6. évfolyam

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK. (1992. évi LXIII. tv. hatályát vesztette: december 31.) (2011. évi CXII. tv. hatályba lépése: január 1.

Közigazgatási informatika tantárgyból

A KÖZÉPSZINTŰ ÉRETTSÉGI VIZSGA INFORMATIKA TÉMAKÖREI: 1. Információs társadalom

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

TERC V.I.P. hardverkulcs regisztráció

Áttekintés a GPG/PGP-ről Mohácsi János NIIF Intézet

ELEKTRONIKUS ALÁÍRÁS ISMERTETŐ

4. Válasszuk ki a dolgozót, majd nyomjuk meg az gombot. Megjelenik a dolgozó adatlapja. 5. Nézzük át, hogy minden adat helyesen van-e kitöltve, szüksé

PKI: egy ember, egy tanúsítvány?

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Informatika szóbeli vizsga témakörök

Aláírási jogosultság igazolása elektronikusan

TANÚSÍTVÁNY. tanúsítja, hogy a Magyar Posta Biztosító Zrt. és a Magyar Posta Életbiztosító Zrt., illetve a Magyar Posta Zrt. által üzemeltetett

Nagy Gábor compalg.inf.elte.hu/ nagy ősz

5.1 Környezet Hálózati topológia

Kriptográfia I. Kriptorendszerek

ECDL Információ és kommunikáció

EXE, OCX, DLL és CAB fájlok aláírása SignCode alkalmazással

A MOKKA hitelesítő szoftver telepítése és használata

S, mint secure. Nagy Attila Gábor Wildom Kft.

Biztonság a glite-ban

2. rész BEVEZETÉS A SZÁMÍTÓGÉPEK VILÁGÁBA. Az információ elérésének és felhasználásának képessége.

SZÓBELI ÉRETTSÉGI TÉMAKÖRÖK

HP ProtectTools Felhasználói útmutató

Sapientia Egyetem, Műszaki és Humántudományok Tanszék.

1. tétel. A kommunikáció információelméleti modellje. Analóg és digitális mennyiségek. Az információ fogalma, egységei. Informatika érettségi (diák)

Bevezetés...2. Az Informatikai Rendszer...3. A rendszergazda...4. A felhasználókra vonatkozó szabályok...5

BEVEZETÉS A SZÁMÍTÓGÉPEK VILÁGÁBA

Információ és kommunikáció

Elektronikus aláírás ellenőrzése PDF formátumú e-számlán

SZÁMÍTÁSTCHNIKA. Facskó Ferenc Számítástechnika Informatika

Sapientia Egyetem, Matematika-Informatika Tanszék.

Tájékoztató. a NISZ Zrt. elektronikus aláírással kapcsolatos szolgáltatásairól

Kezdő lépések Microsoft Outlook

AZ E-CURIA ALKALMAZÁS HASZNÁLATI FELTÉTELEI - a segítőkre irányadó változat

Információ és kommunikáció

Ingrid Signo Felhasználói kézikönyv. Pénztári használatra

TestLine ae01tesztje-01 Minta feladatsor

Evolution levelező program beállítása tanúsítványok használatához

Felhívjuk a figyelmet, hogy az MS Windows XP operációs rendszer támogatását a Microsoft már év április 8-án megszüntette!

TestLine ae01tesztje-01 Minta feladatsor

TestLine - kkvtestnk01tesztje-01 Minta feladatsor

TestLine - kkvtest02tesztje-01 Minta feladatsor

A Ket. végrehajtási rendeletei

2015. évi törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól

Károli Gáspár Református Egyetem

Médiatár. Rövid felhasználói kézikönyv

Felhasználói kézikönyv. Verzió: 1.01

1. Digitális írástudás: a kőtáblától a számítógépig 2. Szedjük szét a számítógépet 1. örök 3. Szedjük szét a számítógépet 2.

3Sz-s Kft. Tisztelt Felhasználó!

Elektronikus dokumentumkezelés, mint az Oktatási Hivatal hatékonyságnövelésének új eszköze

Alapismeretek. Tanmenet

Dr. Péterfi Éva UNION VIG Biztosító Zrt

NGP Áttekintés. GEMSYS EUROPE Kft Budapest, Gervay u

A Microsoft terminálszolgáltatás ügyfél oldali hardverigényének meghatározása

DOAS Mentés Másolása Helyi Terminálra

Elektronikus ügyintézés Az Ügyfélkapu

Informatika biztonsági szabályzat

Az Elektronikus Ügyintézési Felügyelet oldalán ( találhatóak meg a tájékoztató anyagok, ütemtervek, határidők

Automatikus vírusvédelmi megoldások az Interneten

Emelt Szintű etanácsadó Képzés

Windows biztonsági problémák

Átírás:

AZ ELEKTRONIKUS ALÁÍRÁS HASZNÁLATÁNAK BIZTONSÁGI PROBLÉMÁI Dr. Leitold Ferenc Veszprog Kft., Veszprémi Egyetem Információs Rendszerek Tsz. fleitold@veszprog.hu BEVEZETÉS Az elektronikus aláírásról szóló törvény elfogadása mérföldk az információs társadalom magyarországi életében. A törvény azonban jogi oldalról közelíti meg az elektronikus aláírás problémakörét, nem vagy csak minimális mértékben foglalkozik biztonsági kérdésekkel. Sajnos a gyakorlatban számos olyan elterjedt eszköz és eljárás létezik, melyeknek az elektronikus aláírásra történ használata súlyos biztonsági problémákat vet fel. Minden elektronikusan aláírónak, aláírást elfogadónak elemi érdeke, hogy a rendszer használata során keletkez biztonsági réseket csökkentsük, illetve a rendszer felállításával ne teremtsünk újabbakat. Az eladás megpróbálja összegezni az elektronikus aláírás használatából ered, illetve a törvényi elírásokból következ támadási pontokat. AZ ELEKTRONIKUS ALÁÍRÁS MKÖDÉSI HÁTTERE Az elektronikus aláírás létrehozása, illetve a létez elektronikus aláírás ellenrzése/elfogadása az alábbi lépésekben történik: 1. Els lépésben a küld eszközén eláll az aláírandó dokumentum. 2. Az aláírandó dokumentum bináris kódsorozatából elkészül a dokumentumra egyedileg jellemz ujjlenyomat. Ez az eljárás Hash algoritmusok segítségével valósítható meg, melyek lényege, hogy az ujjlenyomatból csak nagyon nehezen lehet elállítani az eredeti dokumentumot. 3. Az ujjlenyomatot valamely nyilvános kulcsú algoritmus kulcspárjának titkos részével titkosítjuk. Az így elálló kódsorozat a dokumentumhoz rendelt digitális vagy elektronikus aláírás. 4. A küld ezt követen a dokumentumot és a hozzá rendelt digitális aláírást továbbítja. 5. A fogadó megkapja a dokumentumot és a digitális aláírást.

6. A dokumentumból ugyanazzal a Hash algoritmussal, mint a küld elállítja a dokumentumhoz rendelt ujjlenyomatot. 7. Elállítja továbbá a digitális aláírásból a küld nyilvános kulcsának felhasználásával a digitális aláíráshoz rendelt ujjlenyomatot. 8. Abban az esetben, ha ez a két ujjlenyomat megegyezik, a fogadó biztos lehet abban, hogy az elektronikus aláírás az ellenrzéshez felhasznált nyilvános kulcs titkos párjával készült. A módszer matematikai elmélete önmagában NEM biztosítja tehát azt, hogy az elektronikus aláírást az aláíró személyéhez rendeli. Ezt az elektronikus aláírásról szóló törvény oldja meg. Jelen eladás NEM foglalkozik azokkal a veszélyekkel, melyeket az alábbiak jelentenek: A nyilvános kulcsú algoritmus okozta támadási lehet0ség: megfelelen nagy számítási kapacitással a leggyakrabban használt RSA algoritmus is visszafejthet. Az ujjlenyomatot készít0 Hash algoritmus okozta támadási lehet0ség: megfelelen nagy számítási kapacitással elképzelhet, hogy generálható olyan dokumentum, amely egy létez ujjlenyomathoz tartozik. Az elektronikus aláírásról szóló törvény által megvalósított hitelesítési eljárás okozta támadási lehet0ség: a törvény által megszabott eljárás az, amely garantálja, hogy a nyilvános kulcsú algoritmus titkos kulcsa valóban az aláírónak vélt személy birtokában van. AZ ELEKTRONIKUS ÉS A PAPÍR ALAPÚ ALÁÍRÁS ÖSSZEHASONLÍTÁSA Az aláírás létrehozásakor két alapvet fontosságú dolgot kell figyelembe venni: 1. Az aláírónak pontosan tudnia kell, hogy mit ír alá, meg kell azt értenie, és el kell döntenie, hogy valóban azt szeretné-e aláírni. 2. Az aláírónak biztosnak kell lennie abban, hogy azt és csakis azt írja alá, amit szeretne. Nézzük, hogyan teljesülnek a felvetett szempontok a papír alapú, illetve az elektronikus aláírás esetében. Ha egy papír alapú szerzdést szeretnénk az aláírásunkkal ellátni, pontosan tudjuk, hogy mit írunk alá:

CSAK A SZEMÜNKNEK KELL ELHINNI, HOGY MIT LÁTUNK! Nyilvánvaló továbbá, hogy azt is csak a szemünknek kell elhinnünk, hogy mit írunk alá, milyen papírra helyezzük el aláírásunkat. Amennyiben viszont elektronikusan szeretnénk az aláírást a dokumentumon elhelyezni, akkor El kell hinnünk a szemünknek, hogy azt látjuk és értjük, ami a monitoron vagy nyomtatásban megjelenik. El kell hinnünk továbbá, hogy ami megjelent, annak pontosan az az értelme, amit a háttértár egy állományának bitsorozata jelképez. Végül el kell hinnünk, hogy az aláírás létrehozásával csak és kizárólag az általunk aláírni szándékozott állomány bitsorozatához képzdik az aláírás. A szemének általában minden értelmes ember elhiszi, hogy mit lát, így a továbbiakban csak az utóbbi két problémával foglalkozunk. BITSOROZAT MEGJELENÍTÉSE Alapvet elvárás (lenne), hogy az aláírandó dokumentum minden információt tartalmazzon annak értelmezéséhez, illetve megjelenítéséhez. Amennyiben ugyanis az értelmezéshez bármilyen máshonnan vett információ szükséges, úgy befolyásolni lehet a dokumentum megjelenített képét. Tipikusan ilyen információ például a karakterek képe. Egy Word dokumentum nem tartalmazza azokat a betktípusokat, amelyek szükségesek ahhoz, hogy a dokumentum képét megjelenítsük. Így a betktípusok változtatásával elérhet, hogy ugyanazon dokumentum megjelenített képe más és más legyen. Sajnos ugyanez a helyzet az ASCII szövegállományokkal is. Jóllehet, itt nincsenek betktípusok, de a megjelenítéshez szükséges a karakterek képének az ismerete. Ez pedig a dokumentumon (a szöveg bitsorozatán) kívüli információ, melyet az ASCII szabvány rögzít, azonban a megjelenítést a számítógépek szoftverei végzik. Ahhoz tehát, hogy biztosítsuk a dokumentum és a megjelenített képe közti egyértelmkséget elengedhetetlen, hogy a dokumentum önmagában tartalmazza a karakterek bináris képét. Felvetdik a kérdés, hogy milyen lehetségei vannak egy támadónak, hogy ezen biztonsági hézagot kiaknázza:

1. Megteheti, hogy ha hozzáfér a másik számítógéphez, akkor egy kis alkalmazással felcserélje a betkk képét valamely betktípusban. 2. A betkk felcserélését elérheti egy kis programmal is. 3. Ezt a kis programot akár bejuttathatja egy e-mail elküldésével is. Erre rengeteg lehetséget kínálnak az utóbbi idben egyre népszerkbb e-mail vírusok példái. Megállapíthatjuk tehát, hogy egy rosszindulatú támadó könnyedén megteheti azt (különösen ha például a partnere nem ért az informatikai biztonsághoz), hogy a laikus partner számítógépébe bejuttat valamilyen programot, ami aztán gondoskodik arról, hogy az aláíró ne azt lássa a képernyn, amit aláír. Megteheti azt is, hogy az aláírást követen (például egy meghatározott idben) teljesen kiirtja magát a laikus számítógépérl. Ezt követen a laikus felhasználó hiába bizonyítaná igazát az elektronikus aláírás a törvény szerint a bíróság eltt bizonyító erejk BITSOROZAT ALÁÍRÁSA Amennyiben pontosan tudjuk azt, hogy mit szeretnénk aláírni (vagy legalábbis elhisszük azt) elláthatjuk a dokumentumot elektronikus aláírásunkkal. Ahhoz, hogy ezt megtegyük aláíráslétrehozó eszközre van szükségünk. Az aláírás-létrehozó eszköz mindenképpen tartalmaz szoftver elemeket és tartalmazhat hardver elemeket is. Lényege, hogy amikor úgy döntünk, hogy egy dokumentumot szeretnénk aláírni, akkor minden feltétel adott a számítógépben, hogy ezt megtegyük. Manuálisan nem vagyunk képesek arra, hogy ellenrizzük azt, hogy valóban azt a bizonyos bitsorozatot látjuk el aláírással, amit szeretnénk és abban sem lehetünk bizonyosak, hogy más bitsorozathoz nem készül aláírás. Tipikus támadási lehetség lehet például az alábbi módszer: egy kis program (amit az elz fejezetben leírt módszerek bármelyikével bejuttathatunk a számítógépbe) figyel egy olyan interaktív tevékenységet, amit a felhasználónak kell megtennie az után, hogy az aláíráshoz szükséges valamennyi feltételt elállított (pl. behelyezte a chipkártyáját az olvasóba). Az esemény hatására érzékeli, hogy a felhasználói program milyen információkat küld aláírásra pl. a kártyaolvasónak. Ezt elküldi az olvasónak és megvárja a választ, de nem továbbítja a felhasználói programnak, hanem miután megkapta elküld egy másik bitsorozatot olvasónak aláírásra. Ha ez megtörtént, csak azután küldi vissza az elsként megkapott aláírt választ a felhasználói programnak. Az egész természetesen olyan gyorsan történhet, hogy a felhasználó

semmit sem vesz észre. St! Még azt is megteheti a kis program, hogy az e-mail vírusok többségéhez hasonlóan, a saját SMTP rutinjával visszaküldi az aláírt bitsorozatot a támadónak! ALÁÍRT DOKUMENTUM TOVÁBBÍTÁSA Amennyiben rendelkezünk egy elektronikusan aláírt dokumentummal, akkor ezt szeretnénk továbbítani partnerünk felé. Megtehetjük ezt például úgy, hogy floppy lemezre másoljuk és elvisszük az illetnek. Ebben az esetben azonban semmivel sem könnyebb az életünk, mintha papíron írnánk alá a szerzdést. Az igazi könnyebbséget az jelenti, ha anélkül, hogy felállnánk a székünkbl, az információs szupersztrádán továbbítjuk az aláírt dokumentumot. Azonban tisztában kell lennünk azzal, hogy egy egyszerk e-mail elküldése az kb. olyan biztonságú, mintha egy képeslapot adnánk fel a postán. Tekintettel arra, hogy szerzdéseinket, nyilatkozattételeinket, adóbevallásunkat általában szeretjük bizalmasan kezelni, így alapvet elvárás, hogy minimum egy zárt borítéknak megfelel biztonsági szinttel továbbíthassuk az aláírt üzenetet. Ehhez kiváló megoldást nyújt a nyilvános kulcsú kriptográfia, melyet nem csak az elektronikus aláírásra, hanem titkosításra is használhatunk. Azonban ezt a felhasználási módot, az aláíráshoz használt kulcspár tekintetében a törvény egyértelmken kizárja. Törvényes keretek között az egyedüli megoldás, ha egy másik kulcspárt használunk titkosítási célra. Titkosítás esetén alapvet követelmény, hogy a titkosított üzenetet csak és kizárólag a címzett tudja kicsomagolni. Nézzünk erre egy egyszerk példát: Tegyük fel, hogy két cégvezet szerzdést szeretne kötni egymással, és elektronikusan szeretnék azt aláírni. Tegyük fel továbbá, hogy egyikük (vagy esetleg mindegyikük) Windows operációs rendszer alatt Outlook-kal levelezik. Mindkét cégnek az internetes támadásoktól félve hatékony tkzfalrendszere van. Ahhoz, hogy a szerzdéskötést e-mail-en keresztül, titkosítva le tudják bonyolítani, mindenképpen szükséges, hogy a tkzfalrendszer átengedjen olyan e-mail-eket, amelyek titkosítva vannak és a tkzfal nem képes azt megvizsgálni. Ha viszont ez így van az Outlook-ot használó cégvezet(k) számítógépe a tkzfalon kívül, titkosított üzenetekkel könnyen támadható. A támadónak nem kell mást tennie, mint e-mailben, titkosítva elküldeni támadó programját a cégvezetnek. Például a Badtrans vírushoz hasonlóan az Outlook alatt nem szükséges a cégvezetnek bármit tennie ahhoz, hogy a programkód elinduljon és elvégezze azt, amit a támadó szeretne.

ÖSSZEFOGLALÁS Az eladás két problémakört igyekezett körüljárni: Amennyiben az aláírás-létrehozó eszköz egy más célra is használt PC, akkor ez egy hatalmas biztonsági hézagot vet fel. Semmi probléma olyan esetben, ha egy zárt rendszerben célgépek csak meghatározott feladatot látnak el (például bankautomaták.) A fokozott biztonságú elektronikus aláírás, a törvényi definíció alapján, olyan elektronikus aláírás, amely többek között rendelkezik azzal a feltétellel, hogy olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll. Ezek alapján megállapíthatjuk, hogy semmilyen Windows alapú operációs rendszer nem lehet az alapja az aláírás-létrehozó eszköznek. Az aláírt dokumentum biztonságos továbbításának lehetsége a tkzfalrendszerek védelmi képességeit teszi próbára. Különösen gondot jelent a probléma, ha valamely államigazgatási szerv esetén kötelezvé válik az elektronikus aláírás elfogadása. Kérdés, hogy az APEH hogyan oldja meg azt, hogy titkosított üzeneteket fogadjon anélkül, hogy biztonsági tkzfalrendszerén csorba essék. A 90-es évek elején (lehet, hogy még manapság is) gyakran elfordult, hogy a nagykörúton haladó 4-es, illetve 6-os villamos vezetje figyelmeztette az utasokat: Figyelem! A villamoson zsebtolvajok vannak, kérjük kedves utasainkat, vigyázzanak értékeikre! Ki kérdjelezné meg a villamosvezet figyelmeztetésének jogosságát? Pedig minden támadásra felhívó nyilvános üzenetnek két hatása van: Egyrészt az emberek szorosabban fogják táskáikat, bels zsebbe teszik át irataikat, azaz jobban vigyáznak az értékeikre (a törvénytisztelk számára ez a természetes). Másrészt viszont a potenciális, újabb zsebtolvajoknak az üzenet felhívja a figyelmét arra, hogy ez egy jó lehetség, amit ki lehet használni, akkor, vagy késbb, egy másik alkalommal. Jelen eladás megpróbálta az elektronikus aláírás használatával kapcsolatosan, a lehetséges támadási pontokat bemutatni. Nyílván eme figyelmeztetésnek is két hatása lehet. Azonban minden digitálisan aláírónak, aláírást elfogadónak érdeke, hogy a rendszer használata során jelentkez veszélyekkel tisztában legyen, illetve megtegyen mindent annak érdekében, hogy ezeket a réseket csökkentse. Ha felszáll valaki a villamosra, szeretne tisztában lenni a rá leselked fenyegetésekkel, támadási lehetségekkel.

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés