A digitális aláírás elterjedésének lehetőségei és korlátai 1

Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikai Kar A digitális aláírás elterjedésének lehetőségei és korlátai 1 Szerzők: Szabó Áron, Krasznay Csaba Konzulensek: Horányi Özséb, Hamp Gábor 2001. november 10. 1 Jelen dolgozat 1. helyezést ért el a 2001. november 14-én, a Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Karán tartott TDK-n, a Szociológia és kommunikáció szekcióban.

1 Bevezető... 3 2 A digitális aláírás fontossága a világban... 4 2.1 A kézi és elektronikus aláírás általánosságban... 4 2.2 Az elektronikus aláírás használatának lehetőségei és követelményei... 5 3 A digitális aláírás és a magyar szabályozás... 7 4 A digitális aláírás, mint kriptográfiai eljárás... 9 4.1 A felhasználó találkozása a kriptográfiával... 9 4.2 A digitális aláírás lépésről-lépésre... 10 4.3 A Nyilvános Kulcsú Infrastruktúrák technológiai lehetőségei... 16 4.4 A törvény és a nemzetközi, illetve hazai szabványok... 17 5 A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 19 5.1 A kérdőív felvételének háttere... 19 5.2 A kérdőívre adott válaszok kiértékelése... 21 5.3 A tapasztalatok összegzése... 35 6 A digitális aláírás a felsőoktatásban... 36 6.1 A felsőoktatási intézmények és a papírmunka csökkenése... 36 6.2 A technológiai kérdések és a diákigazolvány találkozása... 37 6.3 A digitális aláírás felsőoktatási intézménybeli lehetséges alkalmazásai... 40 7 Befejezés... 46 8 Köszönetet mondunk... 47 9 Irodalomjegyzék... 48 10 Internetes hivatkozások... 49 2

1 Bevezető A dolgozatban a digitális aláírás témakörével, hazai elterjedésével foglalkozunk. A jelenlegi helyzetkép felvázolását segítendő egy próbakérdőívet állítottunk össze, amit az Interneten tettünk közzé. A kérdésekre adott válaszokból leszűrtük a kérdőívre, illetve a válaszadók témához való hozzáállására vonatkozó tanulságokat. Az Egyesült Államokban már teljesen mindennapi dolog a digitális aláírás használata (gyakran úgy, hogy a bankkártyájával online fizető üzletember nem is tud róla), s az erre irányuló törekvés érezhető Európában is. Az Európai Unió tagállamainak (és leendő tagállamainak) is pótolniuk kellett a hiányosságokat, s meg kellett hozniuk a saját jogi szabályozásukat a digitális aláírásra vonatkozólag. A törvény hazánkban is elkészült, de kérdés, hogy milyen lesz a digitális aláírás fogadtatása, hogy milyen gyorsan és milyen területen fog először elterjedni a használata. Ezen dolgozatban pontosan ezt a fogadtatást próbáljuk elemezni az internetes kérdőívre adott válaszok alapján, s a felsőoktatásban mutatunk be néhány olyan lehetőséget, ahol a digitális aláírás használata komoly segítséget jelenthet, s az előnyöket ismertetve a hallgatókkal, előadókkal talán könnyebben beférkőzhetne az emberek tudatába az aláírás használatának gondolata. A dolgozat első részében (2. fejezet) egy pillanatnyi helyzetképet vázolunk fel a digitális aláírás alkalmazási köréről napjainkban. Igyekszünk több nemzetközi példát kiragadni és bemutatni a digitális aláírás használatának lehetőségeivel kapcsolatban. A következő fejezetben (3. fejezet) a magyar digitális aláírásra vonatkozó törvényről szólunk, kiemelve a számunkra érdekesebb részeket. Bevezető 3

Ezután esik szó (4. fejezet) a digitális aláírás műszaki megfogalmazásáról, a kriptográfiai eljárás bemutatásáról, s röviden a rejtjelező algoritmusok történetéről, fajtáiról. A dolgozat 5. fejezetében az elektronikus aláírással kapcsolatban összeállított kérdőívünket kitöltő emberek válaszai alapján készült statisztikát mutatjuk be, majd (6. fejezet) foglalkozunk az elektronikus aláírás felsőoktatásban való felhasználási lehetőségeivel is. Ennek kapcsán fogunk kitérni a chipkártyák különböző fajtáira, s a felsőoktatásban használatos diákigazolványra. 2 A digitális aláírás fontossága a világban 2.1 A kézi és elektronikus aláírás általánosságban A digitális aláírás feladatát tekintve megegyezik a hagyományos kézjeggyel, azaz arra szolgál, hogy az aláíró minden kétséget kizáróan hitelesíteni tudjon egy szöveget. A kézjegy tehát egyértelműen kötődik az aláíróhoz - ugyanígy az elektronikus megfelelője is. A helyes szóhasználatot szem előtt tartva fontos megjegyezni, hogy mást értünk elektronikus aláírás és digitális aláírás alatt. Az ETSI szabványaiban pontosan meg van határozva a kettő közötti különbség. A magyar törvény is kimondja, hogy háromféle elektronikus aláírás lehet: az egyszerű elektronikus aláírásnak semmilyen matematikai alapja nincsen (ez felel meg annak, amikor odaírjuk a nevünket az e-mail végére, mint pl. "Szabó Áron", vagy "Krasznay Csaba"). A fokozott biztonságú és minősített elektronikus aláírás alapja azonban egy bonyolult számításokat végző eljárás. A kriptográfiában ennek az eljárásnak a neve a digitális aláírás. A digitális aláírás fontossága a világban 4

2.2 Az elektronikus aláírás használatának lehetőségei és követelményei Az Internet terjedése, az Internet-használók számának növekedése lehetőséget teremtett arra, hogy a világ legkülönbözőbb pontjain élő emberek, cégek - akár ismeretlenül is - kapcsolatba kerülhessenek egymással, így az internetes világban egyre nőtt az igény a kézjeggyel történő hitelesítés elektronikus megfelelője iránt. Az egyszerű levelezéstől a kormányzati ügyeken át a pénzügyi tranzakciókig mindenhol szükségessé vált az ügyfél egyértelmű beazonosíthatósága, és az általa küldött üzenet hitelessége. Az "arc nélküli", elektronikus világban nehéz kideríteni, hogy "ki ül a vonal túlsó végén", hogy pontosan kitől is kaptuk az üzenetet, de a digitális aláírás használatával megoldhatóvá válik a másik fél azonosításának problémája. A legegyszerűbb eset a levelezés. Magánemberként valószínűleg keveseknek jutna eszébe, hogy leveleit aláírva, esetleg rejtjelezve (s így mások számára olvashatatlanná téve) küldje el barátainak, ismerőseinek, hiszen ha az üzenet nem ér célba, vagy tartalma kitudódik, abból nem valószínű, hogy komoly anyagi kára származna az illetőnek. Cégeknél viszont már egyáltalán nem mindegy, hogy a fontos információhoz illetéktelenek hozzáférnek-e vagy sem. A kommunikáció során négy alapelvnek kell teljesülnie: bizalmasság (confidentiality) sértetlenség (integrity) hitelesség (authentication) letagadhatatlanság (non-repudiation). Az üzenetek különböző támadásoknak lehetnek célpontjai. Az egyszerű információszerzés ellen (amikor a támadó csak figyeli a csatornát, ahol az üzenetek haladnak) jó megoldás lehet, ha az üzeneteket rejtjelezzük, így a támadó, aki valahogy hozzájut a levélhez, csak olvashatatlan szöveggel, értelmezhetetlen bitsorozattal találja magát szemben. Ezzel teljesül a bizalmasság alapelve. Ez akkor sérülhet, amikor a A digitális aláírás fontossága a világban 5

támadó megszerzi a rejtjelezett üzenet visszafejtéséhez szükséges titkos információt (titkos kulcsot), mivel így hozzájuthat az üzenet tartalmához is: visszafejti az értelmezhetetlen jelsorozatot, és olvasható formához jut. A támadó azonban nemcsak megfigyelőként vehet részt. A küldő és a vevő közé ékelődve eljátszhatja akár az egyik, akár a másik szerepét. Veszélyes lehet, amikor a küldő üzenetét egy közbeékelődő támadó (ún. man-in-the-middle) fogadja, aki az eredeti szöveget megváltoztatva küldi tovább az igazi vevőnek. A digitális aláírás használatával viszont az üzenet sértetlensége és a küldő kiléte, hitelessége könnyen ellenőrizhetővé válik. Az elektronikus kézjegy egyedisége ráadásul garantálja a letagadhatatlanságot is. Az egyszerű levelezésen túl a csatornákon más üzenetek is vándorolhatnak. Ma már elfogadott, hogy szerződéseket küldenek egymásnak a partnerek Interneten keresztül. Ezen üzenetek továbbítása és aláírása során szintén szerepet kapnak kriptográfiai eljárások. A cégek szintjén történő elektronikus kereskedelem (B2B, Business-to- Business) mellett már a magánszférában is teret hódít az "e-business". Az Egyesült Államokban a háziasszonyoknál már bevett szokás, hogy a különböző katalógusokat Interneten keresztül rendelik meg, s abban böngészve választják ki a kívánt árut, s adják fel rendelésüket az Interneten - használva a digitális aláírást. Magáról a használatról azonban a háziasszony nem is biztos, hogy tud, hiszen az internetes kereskedelemben lévő pénzmozgást segítő protokollok (pl. SSL - Secure Socket Layer, SET - Secure Electronic Transaction) automatikusan elvégzik ezt. Magyarországon még nem örvend ilyen nagy népszerűségnek az Internet, illetve a benne rejlő lehetőségek, mint az elektronikus kereskedelem, de a jogi háttér megszületésével elképzelhető, hogy a következő néhány évben ugrásszerűen meg fog nőni itthon a digitális aláírást használók száma. A digitális aláírás fontossága a világban 6

A jogi háttér fontos a kereskedelemben is, de a digitális aláírás kapcsán szokták emlegetni az elektronikus kormányzat, elektronikus önkormányzat fogalmát is, aminek megteremtéséhez szintén szükséges volt a megfelelő szabályozás. Az állampolgári bürokratikus ügyek közt elsőként hozzák fel az adóbevallást, mint olyan hivatalos iratot, amit érdemes lenne elektronikus formában, digitálisan aláírva elküldeni az illetékes hatóságnak. Elektronikus adatszolgáltatásra már korábban is volt példa: a TB bevallásokat lehetett mágneses adathordozón beadni, de a mágneses adathordozók tárolása hatalmas problémát okozott. A digitális aláírást használati terület szempontjából - ahogy azt Rózsahegyi Zsolt, a NetLock Kft. ügyvezetője is kifejtette (a 2001. május 28-29-én tartott "Digitális aláírás konferencia" elnevezésű konferencián) - magán-, kormányzati és pénzügyi szférára lehet felosztani. Egyszerűen fogalmazva ez azt jelenti, hogy az emberek használni fogják elektronikus kézjegyüket levelezéseikhez (magán szféra), hivatalos ügyeik Interneten keresztül történő intézéséhez, mint adóbevallás, szavazás elküldéséhez (kormányzati szféra) és pénzügyi tranzakciók lebonyolításához, mint vásárláshoz, vagy egyéb banki tevékenységhez (pénzügyi szféra). 3 A digitális aláírás és a magyar szabályozás A Magyar Köztársaság Parlamentje 2001. május 29-én fogadta el a 2001/XXXV. számú törvényt az elektronikus aláírásról. Ez volt a világ harmadik elektronikus aláírás törvénye. Jelentősége abban áll, hogy egyenrangúvá teszi a digitálisan aláírt elektronikus okiratokat a hagyományos, papír alapú iratokkal. Mindez elősegíti az előző pontban vázolt felhasználási területek elterjedését, az infokommunikációs társadalom kifejlődését. Tekintsük át, hogy miről is szól pontosan a törvény! A szabályozás háromféle elektronikus aláírást ismer: egyszerű elektronikus aláírás, fokozott biztonságú elektronikus aláírás, minősített elektronikus aláírás. Az elsőnek, A digitális aláírás és a magyar szabályozás 7

ami pl. egy szkennelt aláírás, semmilyen jogkövetkezménye nincs. A fokozott biztonságú aláírás a nyilvános kulcsú titkosításon alapul, de azt nem bevizsgált infrastruktúrával kínálja a szolgáltató. A bíróság mérlegelheti bizonyítékként való elfogadását. A minősített aláírás teljesen egyenrangú a hagyományos kézírással. Bizonyos törvényileg meghatározott kivételeken (pl. örökösödési jog, házasság) kívül az élet minden területén lehet használni. A minősített elektronikus aláírás hitelességét védelmezni kell egészen addig, amíg ennek ellenkezője ki nem derül. Igaz ez akkor is, ha az aláírást külföldi cég bocsátotta ki, de azt egy magyar minősített hitelesítés szolgáltató is elfogadja. A Minősített Hitelesítés-szolgáltatókat és az általuk használt eszközöket a Hírközlési Felügyelet vizsgálja, felügyeli. Fokozott Biztonságú Szolgáltatóknak csak bejelentési kötelezettségük van. Az elektronikus aláírás szolgáltatás három területből áll össze: elektronikus aláírás hitelesítés szolgáltatás, időbélyegzés, aláírás-létrehozó adat (titkos kulcs) elhelyezése az aláírás-létrehozó eszközön (pl. smart card). A hitelesítés szolgáltatás a tanúsítvány kibocsátást jelenti, az időbélyegzés az aláírás létrehozásának hiteles idejét bizonyító szolgáltatás. A szolgáltatók kötelesek betartani bizonyos adatvédelmi szabályokat, mivel személyes adatokkal dolgoznak, pl.: a tanúsítvány kiállításánál szükséges bemutatni a személyi igazolványt. A szolgáltató visszavonási listát vezet. Ezen szerepelnek a visszavont tanúsítványok. Visszavonás akkor lehetséges, ha pl. a felhasználó kártyáját ellopják. A szolgáltatóknak komoly felelőssége van, a működésével kapcsolatos minden dolgot szabályzatba kell foglalnia, biztosítással kell rendelkeznie, mindent meg kell tennie a szolgáltatás folyamatos üzemeltetéséért. A digitális aláírás és a magyar szabályozás 8

A törvény általában megfelel az Európai Unió direktívájának. Több pontja hazánk csatlakozása után lép csak érvénybe. Mint említettük, hazánk volt a harmadik ország, ahol a törvényt elfogadták. Ez azonban nem jelenti azt, hogy a megvalósítás terén is ilyen jól állnánk. Az Unióban pl. már túl is vannak a kezdeti lelkesedésen, az ottani szakemberek totális kudarcnak tartják az ottani elektronikus közigazgatási projektet. De emiatt nem kell elkeseredni, hiszen vegyük csak példának az Internetet vagy a mesterséges intelligencia kutatást: a kezdeti túlfűtött lelkesedés után egy hatalmas bukás, többnyire nagyobb, mint amekkora megérdemelt lenne, utána lassú emelkedés egy normális szintre. Azaz a digitális aláírás használata kikerülhetetlen lesz, de a közeljövőben a szabályozás ellenére csodákat nem lehet tőle várni. Vegyük példának az Egyesült Államokat, ahol az 1999-es törvény lehetővé tette az e-szignó használatát, egyben megengedte a titkosító szoftverek exportját, de a 2001. szeptember 11-i események után többen kétségbe vonták ennek a törvénynek a hasznát, sajnálatosan egybemosva terroristák titkosító szoftvereit az elektronikus kereskedelem digitális aláírásával. 4 A digitális aláírás, mint kriptográfiai eljárás 4.1 A felhasználó találkozása a kriptográfiával Magyarországon ma még csak az üzleti szférában, cégek szintjén (B2B) használják a digitális aláírást a szerződések megkötésénél, levelezésnél, illetve az Internet banking szolgáltatás igénybevételénél. A 2001. évi XXXV. törvény elfogadása az elektronikus aláírásról talán elősegítette, hogy a fogalmat megismerjék a mindennapi emberek is, de a tapasztalatok azt mutatják, hogy a használatával szembeni bizalmatlanság még nagy. Nagyon sokan elutasítják a digitális aláírást mondván, amit egy gép produkálhat egy egyéni kézjegy helyett, az csak rossz lehet. Mások próbálnak érdeklődni a digitális aláírás működésével kapcsolatban, de mélyebb szinten nehéz elmagyarázni a A digitális aláírás, mint kriptográfiai eljárás 9

működésüket úgy, hogy a kérdezőnek el lehessen oszlatni a kételyeit. Az algoritmusokat kriptológiával foglalkozó matematikusok fejlesztették ki. Az informatikusok, programozók, akik különböző alkalmazásokba beleépítik ezeket szintén nem feltétlenül rendelkeznek olyan ismeretekkel, amelyek alapján meg tudnák ítélni, hogy az adott algoritmus jó-e, hogy milyen könnyen lehet feltörni. Az ilyen kérdésekben bizony a kriptológusok (lehetőleg minél több, független) véleményére kell hagyatkoznunk. Ebből kifolyólag a digitális aláírást (pl. egyszerű levelezéshez) használó magánszemélynek sem kell értenie a háttérben lévő számelméleti problémákhoz. 4.2 A digitális aláírás lépésről-lépésre A kriptológia két területtel foglalkozik: a kriptográfiával és a kriptoanalízissel. A kriptográfusok fejlesztenek ki új algoritmusokat, amelyekkel lehet rejtjelezni, vagy amelyek képesek digitális aláírás létrehozására. A kriptoanalitikusok ezen algoritmusok gyenge pontjait próbálják meg feltérképezni azzal, hogy kísérletet tesznek az eredeti szöveg visszafejtéséhez szükséges kulcs kitalálására. A ma használt algoritmusok matematikai értelemben vett nagy nehézségű számelméleti problémákon alapulnak. Példának általában a prímfaktorizációt szokták felhozni, de vannak más ilyen jellegű problémák is. Jó algoritmust kitalálni nem egyszerű dolog. Számtalanszor volt arra példa, hogy szoftverfejlesztő cégeknél a programozók (kriptológiai ismeretek nélkül) kísérleteztek új algoritmusok kifejlesztésével és saját programjaikba való beépítésével. Ezen próbálkozások eredményei azonban nem feleltek meg a célnak. A kriptoanalízissel foglalkozó matematikusok sok ilyet vizsgáltak meg, és rendszerint néhány óra elég volt ahhoz, hogy az algoritmust megfejtsék és feltörjék. Téves tehát az a képzet is, hogy az algoritmus nem ismerete megemeli a biztonság szintjét. Léteznek olyan - nagy A digitális aláírás, mint kriptográfiai eljárás 10

szakértelemmel rendelkező kriptográfusok által kifejlesztett - algoritmusok is, amelyeknek ismert a működése, mégis kevesebben bíznak meg bennük. Tipikus példa erre a DSA (Digital Signature Algorithm) amelyet az NSA (National Security Agency, USA - Nemzetbiztonsági Hivatal, Amerikai Egyesült Államok) fejlesztett ki. Még nem találtak rá jó törő eljárást, s a felhasználók, illetve a többi kriptográfus tart tőle, hogy esetleg az NSA emberei ismernek hozzá mégis egy algoritmust, amivel rövid idő alatt visszafejthetnek bármit, csak ezt nem tették közzé. Egy algoritmus feltörése is kemény feladat. A kriptoanalítikusok világában a "feltörés" szó alatt egy olyan eljárást kell érteni (pl. ismert nyílt szöveg alapú támadás, rejtjelezett szöveg alapú támadás stb.), amellyel a kriptográfusok által kitalált rejtjelező, vagy digitális aláírást létrehozó algoritmus által előállított kódolt szöveghez (olvashatatlan, értelmetlen írásjelekből álló szöveghez, szövegrészhez) meg tudják találni a kulcsot, és így vissza tudják fejteni vele a kódolt szöveget. Ez közérthetőbben, de mégis egy kicsit a matematika oldaláról nézve azt jelenti, hogy a rejtjelezés során, ha a kulcs (később lesz erről szó bővebben) méretét (aminek segítségével az olvasható szöveget kódolom, azaz értelmetlen szöveggé alakítom át) növelem néggyel (ami négy bittel hosszabb kulcsot jelent), akkor visszafejtésnél 2 4 -szer annyi esetet kell megvizsgálnom (hiszen egy bit kétféle értéket vehet fel: nullát és egyet). A valóságban más jellegű matematikai számításokat kell végezni, de jól szemlélteti, hogy a kulcsméretet lineárisan (itt: néggyel) növelve a visszafejtéshez szükséges idő exponenciálisan nő. Egy algoritmus akkor tekinthető "feltörtnek", ha ezen visszafejtéshez találnak olyan módszert, ami sokkal kevesebb időt igényel. Egy exponenciális időben feltörhető algoritmusnál egy 4096 bites kulcs esetén a mai összes szuperszámítógépnek együtt is több időre lenne szüksége, mint ahány másodperc eltelt az Univerzum születése óta. A fenti kriptológiával kapcsolatos ismertető után szeretnénk egy áttekintést nyújtani a különféle rejtjelező, vagy digitális aláírást létrehozó algoritmusokról, illetve a digitális aláírás keletkezéséről. A digitális aláírás, mint kriptográfiai eljárás 11

Az első, biztonságos kommunikáció feltételeinek - bizalmasság, sértetlenség, hitelesség, letagadhatatlanság - megfelelő algoritmusokat, amelyek matematikai nehézségű problémákon alapultak, a '70-es évek közepén fejlesztették ki. A három számelmélettel foglalkozó kutató - R. Rivest, A. Shamir, L. Adleman - nevének kezdőbetűi alapján az egyik 1978-ban kifejlesztett algoritmus a keresztségben az RSA nevet kapta. A sok éve tartó - az algoritmus feltörésére irányuló - próbálkozások sem hoztak eredményt, így az RSA algoritmust ma is előszeretettel alkalmazzák a kriptográfiai eljárásoknál. Az RSA egy aszimmetrikus (vagy nyilvános kulcsú) kódoló algoritmus. A kódolás történhet nyilvános kulccsal (rejtjelezés), és titkos kulccsal is (ha az üzenet lenyomatát kódoljuk ezzel, akkor az lesz a digitális aláírás). A rejtjelezéssel az üzenet tartalmát (szövegét) lehet megváltoztatni úgy, hogy az más számára érthetetlen legyen. Ez biztosítja a bizalmasságot. (A digitális aláírással a fejezet második részében foglalkozunk részletesebben.) A felhasználó az algoritmus segítségével egy kulcspárt tud generálni magának. A kulcsok 0 és 1 értékű bitekből álló sorozatok. Az algoritmus működése maradékos osztáson (modulo), és hatványozáson alapul. A kulcspár egyik részét (nyilvános kulcs) a felhasználó nyilvánosságra hozhatja, s csak a hozzá tartozó párt (titkos kulcs) kell titokban tartania. Léteznek szimmetrikus kódoló algoritmusok is. Ott kulcspár helyett egyetlen kulcs van, amit titokban kell tartania a felhasználónak (itt ezzel lehet rejtjelezni). Az aszimmetrikus kódoló algoritmusoknak tehát pont az az előnye, hogy nyilvánosságra hozva a fél nyilvános kulcsát, azzal rejtjelezve bárki - akár ismeretlen személy, cég is - tud a félnek üzenetet küldeni, amit a fél a titkos kulcsával fejt vissza. Szimmetrikus kódoló algoritmusok esetén a rejtjelezett kommunikáció megkezdése előtt valamilyen módon a felek egymás tudomására kell, hogy hozzák a titkos kulcsokat, ami nehezen oldható meg biztonságos módon. A szimmetrikus kódolásnál kell megemlíteni az ún. one-time pad módszert is, ahol a rejtjelező kulcs egy valódi véletlen bitsorozat, hossza A digitális aláírás, mint kriptográfiai eljárás 12

megegyezik a rejtjelezendő szöveg hosszával és bitenkénti "kizáró vagy" (XOR) kapcsolatba kell hozni a kulcsot és a szöveget a rejtjelezéshez. Ennek már elméleti síkon (a matematika által) is bizonyított a megfejthetetlensége. A hibrid rejtjelezés használatánál a két módszer keveredik: aszimmetrikus kulcsok segítségével megállapodnak a felek egy közös - szimmetrikus - kulcsban (session key), és ezen kulcsot használva folytatják a rejtjelezett kommunikációt. A hibrid rejtjelezés ötvözi az aszimmetrikus kódolás egyszerűbb kulcshasználatát (nincs szükség kulcscserére) és a szimmetrikus kódolás gyorsaságát. A rejtjelezett üzenetküldés főbb lépései: Alice megírja Bobnak a levelet nyílt szöveg Alice rejtjelezi a levelet Bob nyilvános kulcsával rejtjelezett szöveg Bob megkapja a levelet, és visszafejti azt saját (Bob) nyílt szöveg titkos kulcsával A kódoló algoritmusokon alapuló lehetőségek közé tartozik a digitális aláírás is. Itt is kódolás történik, de nem az üzenet tartalmát (szövegét), hanem csak az abból nyert ún. lenyomatot (hash, message digest) kódoljuk a titkos kulccsal. A lenyomat előállításánál olyan algoritmusokat alkalmazunk, amelyekre igaz az, hogy a szöveg és a hozzá tartozó lenyomat gyakorlatilag megfeleltethetők egymásnak (ennek is megvan a maga matematikai háttere), azaz akár egyetlen betű megváltoztatásával is teljesen más lenyomat képződik a szövegről (tehát ha valaki illetéktelen próbál módosítani a A digitális aláírás, mint kriptográfiai eljárás 13

szövegen, az kiderül a lenyomat változásából), illetve egy lenyomathoz nagyon nehezen lehet előállítani más szöveget. Ez biztosítja a sértetlenséget. Ilyen algoritmusok ma az SHA-1, az MD5 és a RIPEMD-160. A lenyomatból akkor lesz digitális aláírás, ha azt a fél a saját titkos kulcsával kódolja. Ez biztosítja a hitelességet és a letagadhatatlanságot. A digitális aláírás tehát gyakorlatilag megfelel azoknak az elvárásoknak, amiket egy kézi aláírásnak is nyújtania kell. A digitális aláírású üzenetküldés és üzenetfogadás főbb lépései: Alice levelet ír Bobnak nyílt szöveg Alice elkészítteti a programmal a szöveg lenyomatát nyílt szöveg lenyomat (Alice) Alice aláírja a levelet, azaz kódolja a lenyomatot a nyílt szöveg saját (Alice) titkos kulcsával kódolt lenyomat (Alice) Bob megkapja a levelet és a hozzá tartozó digitális nyílt szöveg aláírást kódolt lenyomat (Alice) Bob elkészítteti a programmal a szöveg lenyomatát nyílt szöveg kódolt lenyomat (Alice) lenyomat (Bob) A digitális aláírás, mint kriptográfiai eljárás 14

Bob visszafejti Alice nyilvános kulcsával az aláírást (Alice) nyílt szöveg lenyomat (Alice) lenyomat (Bob) Bob összehasonlítja az Alice által küldött lenyomatot, és a nyílt szöveg saját maga által készített lenyomatot lenyomat (Alice)???? lenyomat (Bob) Ha ezek megegyeznek, akkor hiteles az üzenet. A magyar törvénykezés értelmében lehetőség van egyszerű elektronikus aláírás, fokozott biztonságú elektronikus aláírás, illetve minősített elektronikus aláírás használatára. Az utóbbi két esetben az aláírás mögött egy ún. Nyilvános Kulcsú Infrastruktúra (Public Key Infrastructure - PKI) áll. A digitális aláírás alkalmazásának teljes megértéséhez szükség van arra, hogy kitérjünk ezen rendszerekre. A Nyilvános Kulcsú Infrastruktúra főbb elemei: CA RA használó DS használó A digitális aláírás, mint kriptográfiai eljárás 15

A Nyilvános Kulcsú Infrastruktúra (szoftver-hardver együttes) legfontosabb feladata az ún. tanúsítvány kiállítása. A tanúsítványban (certificate) a fél neve van hozzárendelve a fél nyilvános kulcsához. Ezt a hozzárendelést a Tanúsító (Certification Authority - CA) végzi el, miután megkapta a Névadótól (Registration Authority - RA) a szükséges adatokat (pl. ügyfél egyedi neve, ügyfél lakhelye, ügyfél munkahelye stb.), s a tanúsítványt a Névtárrendszerben (Directory System - DS) helyezi el. Különböző megoldások léteznek, a tanúsítvány is többféle minősítésű lehet, s ettől függően többféle módon történhet a regisztráció is. A legegyszerűbb esetben elég Interneten keresztül bejelentkezni, s megadni a kért adatokat, de komolyabb tanúsítványoknál a fél személyes megjelenése, arcképes igazolvánnyal történő azonosítása szükséges, s az általa megadott adatok közjegyzői ellenőrzés után kerülnek csak be a rendszerbe. A kommunikáció során ezen tanúsítványok léte (ellenőrzése) biztosítja a felek számára azt, hogy a másik fél létezik, s valóban az, akinek kiadja magát. 4.3 A Nyilvános Kulcsú Infrastruktúrák technológiai lehetőségei A Nyilvános Kulcsú Infrastruktúrák működése különböző nemzetközi szabványokon alapul. A távközlési, adatkommunikációs világban (pl. ITU-T ajánlások világában, mint az X.25-ös hálózati protokoll) az OSI (Open System Interconnection) modell minden szintjén megvannak a jól kidolgozott protokollok a kommunikációhoz. Az ITU (International Telecommunication Union), a távközlési szabványokkal foglalkozó világszervezet ajánlásai között szerepel a tanúsítvány formátumának előírása (ITU-T X.509, X.520 ajánlás), vagy a Névtár egészének meghatározása (ITU-T X.500-as ajánlássorozat). Az internetes világban (IP hálózati protokoll) is a jól kidolgozott ITU-ajánlásokat vették alapul. Ilyenek az X.509-es tanúsítványra, illetve az X.500-as Névtárhoz való A digitális aláírás, mint kriptográfiai eljárás 16

hozzáférésre (Directory Access Protocol - DAP) vonatkozó ajánlások (ez utóbbit csak leegyszerűsített formában lehet használni a TCP/IP-s modellben: Lightweight Directory Access Protocol - LDAP). A legelterjedtebb megvalósítás az IP-alapú protokollok között az SSL (Secure Socket Layer), ami a használó számítógépén futó böngésző (web browser) és az Internetszolgáltató (web server) között valósít meg biztonságos kommunikációt azzal, hogy a használó (client) és a kiszolgáló (server) is azonosítja magát (tanúsítványaikat kicserélik és ellenőrzik), s utána rejtjelezetten folytatják a beszélgetést. A távközlési protokollok és az azokat pontosan (mindenféle 'hátsó bejárótól' mentesen, s emiatt biztonságosan) megvalósító, bevizsgált termékek állnak szemben az internetes, ad hoc szabványokat megvalósító termékekkel, s - a nem nyílt forráskódú szoftvereknél - a bizonytalansággal, hogy mit 'építhettek be' még a programba, amivel esetleg bizalmas információ is kerülhet illetéktelenek kezébe. 4.4 A törvény és a nemzetközi, illetve hazai szabványok Az elektronikus aláírásról szóló törvényben leírtak alapján a tanúsítványok kiadásáért Nyilvános Kulcsú Infrastruktúrával rendelkező hitelesítés-szolgáltatók felelősek. Fokozott biztonságú elektronikus aláírás használatához elegendő egy Fokozott Biztonságú Szolgáltatónál kiadott tanúsítvány, de minősített elektronikus aláíráshoz Minősített Hitelesítés-szolgáltatótól (MHSz) kell tanúsítványt szerezni. A két aláírásfajta közötti különbség attól függ, hogy a Hitelesítés-szolgáltató, aki a tanúsítványt kiállította, eleget tesz-e a szükséges követelményeknek, amelyektől Minősített Hitelesítés-szolgáltatóvá válhatott. Ezen követelmények meghatározása, elfogadása és ellenőrzése a Hírközlési Felügyelet feladata. A Minősített Hitelesítésszolgáltatókra vonatkozó követelménylista foglalkozik a Nyilvános Kulcsú Infrastruktúrával szemben támasztott szoftveres és hardveres, illetve a szolgáltató A digitális aláírás, mint kriptográfiai eljárás 17

működésével kapcsolatos egyéb elvárásokkal. A minősített elektronikus aláírás legfontosabb jogkövetkezménye, hogy teljesen azonos értékű egy szerződés papíron született, kézi aláírásával. A fokozott biztonságú aláírás bizonyító erejét a bíróság mérlegelheti. Az igények különbözők lehetnek: más biztonsági szintre van szükség katonai, kormányzati szerveknél, közjegyzői vagy banki intézményeknél, mint magánembereknél vagy kisebb cégeknél. Magyarországon a kormányzati szervekre vonatkozólag létezik (az EU irányelveket követő) szabályozás, amelyet az Informatikai Tárcaközi Bizottság 17-es ajánlása (ITB 17) fogalmaz meg. Ennek értelmében a tagállamok kormányzati szerveinek számítógépes hálózatai közötti kompatibilitás és a biztonságos kommunikáció miatt X.500-as (Névtárrendszeri), X.400-as (üzenetkezelési) és az EDIFACT (üzenet formázott tartalmára vonatkozó elektronikus adatcsere - Electronic Data Interchange, EDI) szabványokat kell alkalmazni. A magánszférára nem vonatkozik hasonló szabályozás, csak a követelménylista, amit a Hírközlési Felügyelet állít ki a Minősített Hitelesítés-szolgáltatóknak. Az internetes közösség elektronikus kereskedelmében a cégek vagy vásárlók és kiszolgálók egymás közt külön állapodnak meg a szerződéskötés biztonsági követelményeiről (pl. milyen Minősített Hitelesítésszolgáltató által kiállított tanúsítványt fogadnak el stb.). Az elektronikus aláírás európai szabályozása az EU 1999-es irányelve (Directive 1999/93/EC) után indult el. A CEN (European Comittee for Standardization - Comité Européen de Normalisation) ISSS (Information Society Standardization System) és az ITCSB (Information and Communications Technologies Standards Board) EESSI (European Electronic Signature Standardization Initiative) munkacsoportja kapta a szabványosítás feladatát. A munka három fázisra lett felosztva. Ebből kettő már befejeződött, s jelenleg a harmadik fázis van terítéken. Magyarország is ezeket a szabványokat fogja átvenni. A digitális aláírás, mint kriptográfiai eljárás 18

Az első Minősített Hitelesítés-szolgáltatók várhatóan a 2002. év első felében kapják meg minősítésüket és kezdik meg működésüket az állami-, pénzügyi- és magán szektorban. Hitelesítés-szolgáltatók már ma is léteznek. Ilyenek működhetnek akár egy felsőoktatási intézményben is, kiadva tanúsítványokat a diákoknak, előadóknak vagy a Dékáni hivatalokban, Adminisztrációs szobákban dolgozó alkalmazottaknak. Dolgozatunk témája szempontjából ez egy nagyon fontos megállapítás. 5 A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 5.1 A kérdőív felvételének háttere A digitális aláírás jövője nagyban függ attól, hogy a mindennapi emberek miként reagálnak rá. Lehet az aláíró algoritmus nagyon jó, vagy a csatorna megbízható, de ha a felhasználó nem bízik meg egy ilyen "fekete doboz" működésében (amennyiben az aláírás létrehozása során a műveletek a felhasználó elől rejtve maradnak, s csak a végeredményt látja), akkor nem fogja használni. A finnek bizalmatlansága miatt csökkent a lelkesedés, a németeknél is kudarcot vallott az elektronikus szavazásra tett kísérlet (igaz, ott digitális aláírás helyett csak kódokkal és programokkal lettek volna azonosítva a szavazók, de az érdektelenség így is egy komoly jelzés volt). Magyarországon vajon milyen fogadtatása lesz a digitális aláírásnak? A kérdésre mi is megpróbáltunk választ találni, de hogy valóban bejönnek-e a számításaink azt is hamarosan megtudhatjuk, hiszen a 2001. évi XXXV. törvény az elektronikus aláírásról szeptember 1-vel hatályba lépett, és a Fokozott Biztonságú Szolgáltatói címre pályázók már be is adták a kérelmüket a Hírközlési Felügyeletnek. A NetLock Kft. már 1996. óta működik, mint Hitelesítés-szolgáltató és állít ki tanúsítványokat ügyfeleinek. A Giro Rt. a bankoknak nyújt szolgáltatást 1994. óta, amely értelmében a bankok közötti kommunikáció során használja a digitális A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 19

hitelesítést. A Matáv Rt. is benyújtotta a Hírközlési Felügyelethez a Deutsche Telekom rendszerén alapuló, Fokozott Biztonságú Szolgáltatáshoz szükséges bejelentését, amely műszaki háttérrel már szolgáltat, és mérlegeli, hogy saját rendszerrel a Minősített Hitelesítés-szolgáltatók piacára lépjen. A digitális aláírást a különféle elektronikus ügyintézések (pl. levelezés, adatszolgáltatás, banki tevékenység stb.) során kellene használni. A lakosság elektronikus ügyintézéssel kapcsolatos vélekedéséről, attitűdjeiről és jelenlegi használati szokásairól 2001. márciusában a Miniszterelnöki Hivatal Informatikai Kormánybiztossága végeztetett felmérést (Kopint-Datorg MEH-IKB, 2500 válaszadó), és ehhez kapcsolódóan állítottunk mi is össze egy kérdőívet, amellyel az Internet-használó közösséget céloztuk meg. A kérdőívben arra összpontosítottunk, hogy megtudjuk: ha a mindennapi embert (pl. diák, alkalmazott) rákényszerítik, hogy bizonyos területeken (pl. felsőoktatási intézményben, munkahelyén) alkalmazzon digitális hitelesítést, meg fogja-e szokni és szeretni az alkalmazását, illetve azután fogja-e más területeken is használni. A digitális aláírással a gyakorlatban a válaszadók többsége valószínűleg még nem nagyon találkozott, ezért a kérdéseket úgy próbáltuk megfogalmazni, hogy legyen bennük egy kis felvilágosítás is a használattal kapcsolatban, illetve igyekeztünk felvázolni a lehetséges alkalmazási területek egy részét is körvonalakban. Az elektronikus aláírásról szóló kérdőívünkkel az Internet-használó közösséget céloztuk meg, ennek megfelelően az Interneten tettük közzé. A potenciális válaszadókhoz honlapokra kitett hivatkozásokon (linkeken), internetes portálokon, fórumokon megjelentetett cikkeken, illetve levelezőlistákra küldött figyelemfelkeltő leveleken keresztül próbáltuk meg eljuttatni a kérdőív létének hírét. A közel négy hétig tartó felmérés az adatbázis 2001. október 31-i lezárásával és az adatok elmentésével ért véget. A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 20

5.2 A kérdőívre adott válaszok kiértékelése A kérdőív három nagyobb részből állt: demográfiai adatok gyűjtéséből a kitöltőkről (név nélkül, 390 kitöltő), a cégekről néhány tájékoztató jellegű adat gyűjtéséből (név nélkül, 125 kitöltő), az Internetről, levelezésről, digitális aláírás használatáról és a használat körülményeiről, illetve azzal kapcsolatos félelmekről szóló kérdésekből (név nélkül, 390 kitöltő). 1. Neme? Férfi 87.7% Nő 12.3% A kérdőív első részében a kitöltők demográfiai adatait vettük fel. Az Internethasználattal kapcsolatos felméréseknél a kitöltő neme, kora, lakhelye szinte mindig előfordul, így ezek megoszlásáról voltak már sejtéseink. Az adatok mégis fontos tájékoztatást adtak arról, hogy az összes Internetező közül mennyien foglalkoznak az internetes biztonság, a megfelelő hitelesítés kérdésével, mennyire bíznak meg az emberek Internetben. A 390 kitöltő 87,7%-a férfi és csak a 12,3%-a nő, ami eltér az egyszerű Internet-használók nemek szerinti megoszlásától (a Kopint-Datorg MEH- IKB felmérése alapján az Internethez hozzáférő, és azt használók megoszlása a következő: 53,5% férfi, 46,5% nő). Az Internetet sokféleképpen lehet használni: azok, akik az oktatási, szórakozási oldalát tekintik elsődlegesnek a lehetőségek közül valószínűleg nem törődnek a biztonsági kérdésekkel. Sokkal nagyobb összegek forognak kockán egy üzleti alkalmazásnál, sokkal fontosabb a biztonság, és ennek megteremtése szakember segítségét igényli. A műszaki területek iránti érdeklődés inkább a férfiakra jellemző, így a válaszadók köre szűkülhetett azon Internethasználókkal (és itt elsősorban olyan nőkről van szó), akik más területen képzettek és A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 21

munkájuk során (vagy saját érdekek miatt) egyszerű információszerzésre használják a Világhálót. 2. Kora? 0-15 év 0.0% 15-25 év 41.1% 25-40 év 43.2% 40-60 év 13.7% 60 év felett 2.1% A kor szerinti megoszlásnál meg kell jegyezni, hogy - noha a statisztika nem mutatja ki, de - a 15 év alatti korosztály érdeklődése egyre komolyabb az Internet-biztonság iránt. Napjainkban is hallani olyan híreket, melyek szerint 15 éves "cyber-kalózok", "hackerek" írnak vírusokat, amelyek tönkretesznek számítógépes rendszereket, vagy törnek be internetes honlapokra. A felmérés célkorosztálya nem ez a korosztály volt, ezért nem jelennek meg a statisztikában. A 15-25 év közötti réteg tartalmazza a felsőbbéves gimnazistákat, illetve a felsőoktatásban tanulókat (akik iskolában, otthon gyakran használják az Internetet), a 40 éves kor felettiek hányada pedig jelentősen csökkent a válaszadóknál. A Kopint-Datorg MEH-IKB-féle felmérésből is az derült ki, hogy a 35 év alatti korosztály "eszköze" az Internet (akár munkában, akár szórakozás terén), 55 év felett pedig gyakorlatilag eltűnik a használat. A mi statisztikánk nagyjából megerősítette a Kopint-Datorg MEH-IKB eredményeit. 3. Lakóhelye? Budapest 69.6% Megyeszékhely 15.6% Város 11.1% Község 2.9% Falu 0.8% A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 22

A lakóhelyek szerinti megoszlás a mi felmérésünkben azokon alapul, akikhez eljutott a kérdőív. A Kopint-Datorg MEH-IKB felmérésénél a mintába kerülésnél fontolták meg jól, hogy milyen arányban szerepeljenek benne a válaszadók. Ennek megfelelően az utóbbinál más volt az Internet-használók aránya is. A statisztikai adatokban azonban nem volt akkora eltérés: a fővárosban élők használják a legtöbben az Internetet (69,6%), illetve érdeklődnek a digitális aláírás iránt. Az ország megyeszékhelyein (15,6%) és városaiban (11,1%) élők aránya közel azonos volt. A községekben és falvakban lakók együtt a válaszadók 3,7%-át tették ki. Ez részben a cégek eloszlását is mutathatja, hiszen feltehetőleg sok olyan szakember is kitöltötte a kérdőívünket, akik munkájukból (pl. cégnél rendszergazdai szerepet tölt be) adódóan foglalkoznak a biztonság témakörével. 4. Hol szokott Ön számítógépet használni? (Több válasz is lehetséges!) Otthon 37.7% Munkahelyen 32.6% Oktatási intézményben 16.3% Internet kávézóban 3.4% Könyvtárban 4.9% Egyéb helyen 5.1% Az Internetet elérni - a csatlakozás helyét nézve - ma már sokféleképpen lehet. A felmérésünkben nagyon fontos észrevenni, hogy azok, akik "Internet-kávézóban", "könyvtárban" (sőt, valószínűleg az "egyéb helyen", illetve "oktatási intézményben" rubrikát bejelölők egy része is) szoktak Internetezni, azok feltehetőleg nem rendelkeznek otthoni eléréssel, de mégis szükségük van a használatára munkájuknál, tanulásnál, szórakozásnál. Ezen felhasználók aránya a 8-10%-ot (vagy akár többet is) elérheti. Az okok között - ahogy az a Kopint-Datorg MEH-IKB felméréséből is A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 23

kiderül - a számítógép hiánya, és ezzel együtt a rossz anyagi helyzet szerepel. Az emberek az államtól várnak más, vagy még nagyobb mértékű támogatást, hogy számítógéphez juthassanak, illetve növekedni tudjon az Internet-használók tábora. Ebből a közvélemény-kutatásból az is kiderül, hogy országos szinten az emberek 63,1%-a (amiben szerepet játszik az is, hogy a megkérdezettek 49,6%-a "szegényes megélhetésű") nincs Internet közelében, de ez is alátámasztja a mi eredményünket, miszerint országos szinten legalább 5%-a az embereknek annak ellenére nem tud hozzáférni a Világhálón levő hatalmas mennyiségű információhoz, hogy szüksége van rá. A dolgozatunk témájának (a digitális aláírás és a diákok kapcsolatának) szempontjából érdemes felhívni a figyelmet az oktatási intézményben Internetezők számára, ami 16,3%-át teszi ki az összes válaszadónak. A mi eredményeink egyébként nagyságrendileg megint megegyeznek a hivatkozott felmérés eredményeivel. 5. Az Ön cége (Ha magánszemélyként kíván válaszolni a kérdésekre, kérem ugorjon a 8. kérdésre!) < 15 főt foglalkoztat 49.6% 15-50 főt foglalkoztat 17.0% 50-250 főt foglalkoztat 15.6% > 250 főt foglalkoztat 17.8% 6. Az Ön cégének 2000. évi nettó árbevétele < 500 millió forint 67.8% 500-2500 millió forint 18.2% > 2500 millió forint 14.0% 7. Az Ön cége jelenleg kizárólag külföldi tulajdonú 12.9% többségi külföldi tulajdonú 4.8% A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 24

többségi hazai tulajdonú 7.3% kizárólag hazai tulajdonú 75.0% 8. Az Ön cége regionális hálózat tagja 17.6% globális hálózat tagja 12.0% független 70.4% A KSH legfrissebb adatai szerint Magyarországon 906.133 működő szervezet van. Nekünk a KSH 1999-es adatait sikerült megszerezni. Eszerint 136.129 kettős könyvvitelt vezető vállalkozás volt Magyarországon. Ennek 81,7%-a foglalkoztatott 15 főnél kevesebb embert, 14,1%-a 15-50 fő között, 3,5%-a 50-249 fő között és 0,7%-a 250 főnél többet. A mi kimutatásunkból az látszik, hogy az elektronikus aláírás leginkább a nagyobb vállalatok "játéka" lesz. Bár 2000-ben a vállalatok 39,44%-a külföldi tulajdonban volt, kérdőívünket döntően hazai tulajdonú, független cégek képviselői töltötték ki. Ennek oka valószínűleg az, hogy felhívásunkkal nem értük el a multikat. De más forrásokból megerősíthetjük az első két kérdés eredményét: a "kicsik" egy ideig nem fognak jelentős szerepet játszani a piacon. Sajnos a szolgáltatók sem őket, és nem is a magánembereket fogják megcélozni az első években. 9. Ha szokott Ön elektronikus levelet írni, akkor kb. mekkora a kimenő levélforgalom? 0-10 levél naponta 63.4% 10-30 levél naponta 31.1% 30-50 levél naponta 3.4% 50-100 levél naponta 1.6% > 100 levél naponta 0.5% A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 25

A 9. kérdéssel a digitális hitelesítés egyik lehetséges felhasználási területét próbáltuk meg felmérni: az elektronikus levelezést. A válaszadók többsége (63,4%) 10-nél kevesebb levelet ír naponta, ami megfelel egy egyszerű magánfelhasználó levelezési szokásainak. A fennmaradó 36,6% nagy része feltehetőleg munkájából (pl. cégnél) adódóan rendelkezik ekkora kimenő levélforgalommal. A digitális aláírás használata várhatóan itt fog megjelenni a legmarkánsabban. 10. Mit tart elképzelhetőnek? (Több válasz is lehetséges!) Illetéktelenek hozzáférnek levelezéséhez 22.1% Ügyfele letagadja egy üzenet kézhezvételét 14.4% Az Ön nevében küld üzenetet illetéktelen 16.4% Egy aktív vírus adatokat juttat illetékteleneknek 16.9% Az Ön Internet böngészését figyelik illetéktelenek 19.8% Ügyfele letagadja egy általa írt üzenet elküldését 10.4% 11. Melyik jelent nagy kockázatot Önnek/cégének? (Több válasz is lehetséges!) Illetéktelenek hozzáférnek levelezéséhez 23.1% Ügyfele letagadja egy üzenet kézhezvételét 12.3% Az Ön nevében küld üzenetet illetéktelen 22.0% Egy aktív vírus adatokat juttat illetékteleneknek 21.0% Az Ön Internet böngészését figyelik illetéktelenek 12.5% Ügyfele letagadja egy általa írt üzenet elküldését 9.1% A kérdőív következő két kérdése a felhasználó által elképzelt veszélyek lehetőségére, illetve a tényleges bekövetkezés okozta károkra vonatkozott. Reális kockázati tényezőként szerepel mindegyik pont, de a két legkiemelkedőbb a levelezés és böngészés megfigyelése. A HVG megbízásából a Medián Közvélemény- és Piackutató A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 26

Intézet készített felmérést 400 fő megkérdezése alapján a 18 év feletti Internetezők félelmeiről (ld. HVG, XXIII. évfolyam 43. Szám, 2001. október 27). A válaszadók által leggyakrabban említett félelem az az illetéktelenek (itt: családtagok) otthoni (magán-) levelezésbe való engedély nélküli betekintése. Ez ritkán jár komolyabb következménnyel, viszont a második helyen a munkavállaló munkahelyi tevékenységeinek megfigyelése (pl. milyen leveleket ír, merre bóklászik az Interneten stb.) szerepel, amiről már néhány esetben cégeknél be is igazolódott a gyanú. A cégvezetés számára hasznos információt jelenthet tudni azt, hogy az alkalmazott mivel foglalkozik, amikor a "főnök" éppen nincs jelen, hogy képes önállóan dolgozni, milyen szálakon indul el az Interneten, kikkel tartja a kapcsolatot. Az ilyen megfigyelések (a céges rendszergazdák intézik többnyire) miatt akadt már peres ügy is, hiszen "az adatvédelmi törvény szerint az efféle praktikákhoz a munkavállaló hozzájárulása szükséges, sőt még ilyen esetben is aggályos lehet a beérkező e-mailek elolvasása, az ugyanis harmadik felet is érint" (HVG, 2001. október 27.). Az elképzelhető veszélyek és a tényleges anyagi kárral járó veszélyek listája azonban különbözik. A válaszadók három kategóriában gondolják úgy, hogy komoly gondot okozhat a felhasználónak, mint magánembernek, vagy mint a cég alkalmazottjának: az illetéktelenek levelekhez való hozzáférése, a rendszerbe került vírusok által illetékteleneknek kiszolgáltatott céges információ, vagy titkos adatok (pl. a "főnök" titkos kulcsa, amivel digitálisan aláírja leveleit), illetve más nevében levelek küldése illetéktelenek által (pl. szerződés aláírása digitálisan úgy, hogy valaki a "főnöknek" adja ki magát - ehhez szükség van a "főnök" titkos kulcsára). A cégek elleni támadás nagyon gyakran a cégeken belülről indul, az alkalmazottak körében megjelenő korrupciónak a kiszűrése pedig nehéz feladat, de mindenképpen szükséges, hiszen beláthatatlan következményei lehetnek annak, ha pl. a "főnök" titkos (aláíró) kulcsát egy céges alkalmazott kiszolgáltatja illetéktelenek kezébe. 12. Véleménye szerint Önnek/cégének melyik típusú ügylet, kommunikáció esetén érné meg elektronikus bonyolítást A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 27

alkalmazni, figyelembe véve a költség- és időmegtakarítást? APEH adatszolgáltatása 17.1% TB adatszolgáltatása 14.5% KSH adatszolgáltatása 10.8% Önkormányzat adatszolgáltatása 12.5% Gazdasági kamarák adatszolgáltatása 7.6% Munkaügyi Központ adatszolgáltatása 8.4% Felügyeleti szervek adatszolgáltatása 9.2% Cégbíróság ügyintézése 9.3% Közjegyzői szolgáltatások igénybevétele 10.6% A 12. kérdés a válaszadók elektronikus ügyintézésről alkotott elképzeléseiről próbált képet adni. Az "APEH adatszolgáltatása" pont kiemelkedő (17,1%) szereplése annak is betudható, hogy a felhasználók mindig ezzel a példával találkoznak, mindig ezt említi a média. Ezt látszik alátámasztani az is, hogy a médiában egyre többet hangoztatott téma, az elektronikus önkormányzat is "dobogós" helyezést ért el. A "TB adatszolgáltatása" elektronikus úton pedig nem újdonság, hiszen már évek óta be lehet nyújtani a bevallásokat mágneses adathordozón. A Kopint-Datorg MEH-IKB felmérés erre a kérdésre sokkal részletesebben tér ki, nekünk ez nem volt célunk. 13. Tudott-e Ön arról, hogy léteznek olyan matematikai eljárások, amelyek segítségével, - mint saját aláírásunk esetében - csak az adott személyre jellemző, egyedi elektronikus jelet lehet létrehozni (digitális aláírás)? Igen 96.0% Nem 4.0% A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 28

14. Tudott-e Ön arról, hogy a digitális aláírásról - fontossága (pl. e-business térhódítása) miatt, az EU-s elvárásoknak megfelelően - hazánkban is született törvény? Igen 88.8% Nem 11.2% 15. Hallott-e már Ön arról, hogy elkészült az elektronikus kereskedelmet szabályozó törvény tervezete, amiből hamarosan törvény fog születni? Igen 67.9% Nem 32.1% 16. Hallott-e már Ön arról, hogy a magyar elektronikus aláírásról szóló törvény értelmében ún. hitelesítésszolgáltatók fognak működésbe lépni, akik az aláírások mellé tanúsítványokat adnak ki? Igen 75.3% Nem 24.7% A következő néhány kérdésben mértük fel a válaszadók tájékozottságát - most már az elektronikus aláírásról általánosságban, a minősített elektronikus aláírásról (aminek a digitális aláírás, mint eljárás az alapja) és az elektronikus kereskedelemről, illetve a minősített elektronikus aláíráshoz kapcsolódó infrastruktúráról, a Minősített Hitelesítésszolgáltatók megjelenéséről. A válaszadók többsége figyelemmel követi a fejleményeket, legalábbis ez derül ki abból, hogy a nemrég benyújtott elektronikus kereskedelemről szóló törvényjavaslatról is 67,9%-uk hallott már. Az elektronikus aláírási törvény ismertségét elsősorban a médiának köszönhetjük, hiszen rengeteget foglalkoztak a témával. A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 29

17. Ha lenne Önnek tanúsítványa, akkor milyen területen használná a digitális aláírását? (Több válasz is lehetséges!) Elektronikus levelezés 27.3% Elektronikus kereskedelem 25.0% Elektronikus kormányzat 19.1% Banki tevékenység 27.4% Sehol sem 1.3% 18. Ha használná Ön a digitális aláírását, hogy leveleit, tranzakcióit hitelesítse, akkor mennyi pénzt áldozna arra, hogy tanúsítványa legyen? < 1000 forintot havonta 70.9% 1000-2000 forintot havonta 22.8% 2000-3000 forintot havonta 3.5% 3000-4000 forintot havonta 0.3% 4000-5000 forintot havonta 0.8% > 5000 forintot havonta 1.6% 19. Éves átalánydíjat vagy alkalmankénti felszámolást tartana ésszerűbbnek a digitális aláírással járó költségek térítésére? Éves átalánydíj 75.4% Alkalmankénti felszámolás 24.6% A tanúsítványok kiállíttatása (Minősített Hitelesítés-szolgáltatónál) és használata a magyar törvény értelmében a digitális aláírás használatának velejárója (amennyiben törvényi támogatást szeretnénk tudni digitális aláírásunk mögött). Ez szükséges a A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 30

digitális aláírás ellenőrzéséhez. Léteznek olyan tanúsítványok is, amelyeket nem Minősített Hitelesítés-szolgáltatók adnak ki, ám ezek nem biztos, hogy szabványosak, nem felelnek meg a törvénynek és emiatt valószínűleg csak egy adott területen, egy szűk csoport tudja használni. Ilyen a PGP (Pretty Good Privacy) "tanúsítványa" is, ahol csak egy név és egy fénykép van (ha van) hozzárendelve a nyilvános kulcshoz és lenyomatához (fingerprint), vagy az SSL tanúsítványa (ez már valóban tanúsítványnak nevezhető), ami ugyan az ITU-T X.509-es ajánlásán alapul, de mivel a kommunikáció során a digitális aláírást (és az ellenőrzésnél a tanúsítványt) csak a kapcsolat felépítésénél használják (azaz a tényleges, bizalmasan kezelt - rejtjelezett - adatátvitelnél nem) nem kaphat törvényi támogatást. A tanúsítványok használatára vonatkozólag nem volt különösebb kiemelkedő pont: akinek lesz, az használni fogja. A nagyobb kérdés az volt, hogy ha lesz, akkor mennyit áldozna rá a felhasználó. Reális árakat (NetLock Kft. árlistája) vettünk alapul a kérdőív készítésénél. Éles különbség volt a magánemberek által rászánt összeg és a cégek, céges alkalmazottak számára kiállítandó tanúsítványokra fordított költség között. Az utóbbiakról szóban végeztünk kisebb közvélemény-kutatást. A céges ügyintézésnél fontos a hitelesség, ezért ott az 5000 forintot is megadnák egy tanúsítványért. A kérdőívben a válaszadók, mint magánemberek 70,9%-a 1000 forintnál kevesebbet, 22,8%-a pedig 1000 és 2000 forint közötti összeget adna egy tanúsítványért havonta. A válaszadók 75,4%-a jobbnak tartja az éves (több havi) átalánydíjas fizetést, mint az alkalmankénti felszámolást (24,6%). Az utóbbi esetben olyan felhasználókról van szó, akik ritkán (valóban csak nagyon fontos üzenetek hitelesítésénél, viszont akkor mindenképpen) használnának digitális aláírást. Számukra jónak tűnne egy "telefonkártyás" megoldás, amelynek értelmében lenne egy "lebeszélhető összeg" (tanúsítvány használati keret), amiből alkalmanként vonódna le a használati ár. A keretet ki kellene használni egy bizonyos határidőn belül (a tanúsítvány lejárta előtt). 20. A digitális aláírás létrehozásához pl. elég lehet egy smart card-ot berakni a kártyaolvasóba és egyet A digitális aláírás a mindennapi életben - a kérdőívre adott válaszok elemzése 31