Embed Size (px)
DESCRIPTION
Digitális aláírás. ?. Skriba Jenő. !. Az elektronikus aláírás nem a beszkennelt kézzel írott aláírást jelenti, hanem a kódolás egy speciális változata. Elektronikus aláírás def. - PowerPoint PPT Presentation
Citation preview
Digitális aláírás
?
Skriba Jenő
Az elektronikus aláírás nem a beszkennelt kézzel írott aláírást
jelenti, hanem a kódolás egy speciális változata
!
Elektronikus aláírás def.
Elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt
elektronikus adat
Hagyományos aláírás vs. elektronikus aláírás
• Lemásolható
• Átvihető más dokumentumra
• Dokumentum utólag módosítható
• Hamisítható
• Letagadható
Hagyományos aláírás vs. elektronikus aláírás
• A dokumentum egy jellemző kivonatát, ellenőrzőösszegét tartalmazza,
• Nem vihető át más dokumentumra
• Dokumentum aláírás után nem módosítható
• Hamisítás nehéz (csak ha a kulcsot valaki megszerzi)
• letagadhatatlan
Hagyományos aláírás vs. elektronikus aláírás
• Aláíróra jellemző,• Elválaszthatatlanul hozzákapcsolódik az aláírt dokumentumhoz• Kódolással képződik
• speciális szerkezettel rendelkezik, • bizonyítható, hogy ki volt az, aki a kódolást elvégezte, • bizonyítható, hogy az illető pontosan mely dokumentumot kódolta.
• (Így ha ugyanaz a személy több dokumentumot ír alá, az egyes dokumentumokhoz tartozó aláírásainak különböznie kell egymástól. Ha egy bűnöző átmásolja valakinek az elektronikus aláírását egy másik dokumentumra (amit az illető nem írt alá), kimutatható lesz, hogy az aláírás és ezen másik dokumentum nem tartoznak össze.)
HITELES
E-aláírás elkészítése
aláírandó dokumentum +
saját aláírás-létrehozó adat
(magánkulcs)
titkos és egyedi
Információ védelme
• Titkosítás: dokumentumot (vagy más, bizalmas információt) olyan módon kódolunk, hogy azt illetéktelen személyek ne olvashassák el. A kódolás általában valamilyen kriptográfiai kulcs
segítésével történik. • Hitelesítés: Illetéktelen személyek ne módosíthassák
észrevétlenül (e-aláírás)
Információ védelme
• kódolás, • dekódoláskriptográfiai kulcs segítésével történik • kriptográfiai kulcsok kizárólag a jogosult felek birtokában
vannak. • A kulcs egy szám, bitsorozat, amely meghatározott
hosszúságú lehet. E hosszúságot nevezzük kulcsméretnek, amely alapvetően meghatározza a kódolás biztonságát.
• Kulcsgenerálás: az adott hosszúságú bitsorozatok közül – valamilyen véletlent is használó módszerrel – kiválasztunk egyet.
Információ védelme – szimmetrikus kulcsú kriptográfiai megoldások
• A kódoláshoz és dekódoláshoz ugyanazt a kulcsot használjuk. Az ilyen eljárások biztonsága a kulcs titkosságán alapszik.
• a kódolásra és dekódolásra használt kulcsot titkokban kell tartani,
• Hátránya: titkos kulcsot biztonságos módon kell eljuttatni a fogadó fél számára, hogy illetéktelen fél ne ismerhesse meg.
Információ védelme – szimmetrikus kulcsú kriptográfiai megoldások
Információ védelme – asszimmetrikus kulcsú kriptográfiai
megoldások • kódolás és a dekódolás nem ugyanazzal a
kulccsal történik. • minden félnek van egy nyilvános és egy
magánkulcsa• Ha titkosított üzenetet szeretnénk küldeni
valakinek, meg kell szereznünk az ő nyilvános kulcsát, és azzal kell kódolnunk a neki szóló üzeneteket. Az így kódolt üzeneteket a címzett a saját magánkulcsával fejtheti vissza.
Információ védelme – asszimmetrikus kulcsú kriptográfiai
megoldások
Információ védelme – asszimmetrikus kulcsú kriptográfiai megoldások
• Előnye: kommunikálhatunk valakivel biztonságosan (titkosan vagy hitelesen), hogy előtte nem állapodtunk meg közös titkos kulcsban.
• Alapvető követelmény:hitelesen jussunk hozzá a másik fél nyilvános kulcsához. Egy kulcs használata előtt meg kell bizonyosodnunk róla, hogy a kulcs valóban annak a személynek (szervezetnek) a birtokában van, akinek titkos üzenetet szeretnénk küldeni, vagy akinek az aláírását ellenőrizni szeretnénk. E célra tanúsítványokat szokás használni. A tanúsítvány egy megbízható szervezet, egy hitelesítés szolgáltató által kiállított igazolás arról, hogy egy adott magánkulcs egy adott személyhez vagy entitáshoz (alanyhoz) tartozik.
Az aláírás-létrehozó adatot általában intelligens kártyán tartják.
Egy olyan hardver alapú biztonságos eszköz, mely előállítja, tárolja és védi a kriptográfiai kulcsokat, valamint biztonságos környezetet biztosít a kriptográfiai funkciók végrehajtására.Pl.: PC bővítő kártya, intelligens kártya, USB token
E-aláírás elkészítéseHardver kriptográfiai eszköz
E-aláírás ellenőrzése
• A kapott dokumentum és az elektronikus aláírás összetartozik-e, tehát az aláírás valóban az aláíró tanúsítványához tartozó aláírás-létrehozó adattal (magánkulccsal) készült-e?
• Az elektronikus aláíráshoz tartozó tanúsítvány érvényes volt-e az aláírás pillanatában. Ellenőriznünk kell az aláírásra szolgáló tanúsítvány érvényességét az aláírás időpontjára nézve.
E-aláírás ellenőrzése
• Tanúsítványt megbízható, bevizsgált szervezet, ún. hitelesítés szolgáltató állít ki emberek vagy számítógépek részére.
• A tanúsítvány egyrészt annak a megnevezését tartalmazza, akinek a számára a tanúsítványt kiállították, és
• olyan információkat tartalmaz, amely segítségével mások biztonságosan - titkosan vagy hitelesen - kommunikálhatnak a tanúsítvány birtokosával.
• Az elektronikus aláírás használatához (létrehozásához és ellenőrzéséhez) szükséges műveleteket számítógépes programok végzik.
• A programok felhasználói felülete elrejti a technológia bonyolultságát, és csak azt jelzi, hogy mely dokumentumot kik írták alá.
Jogszabályok• 2001. évi XXXV. törvény az elektronikus aláírásról• Az Európai Parlament és a Tanács 1999/93/EK Irányelve az elektronikus aláírással kapcsolatos
közösségi keretrendszerről• 3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek
szolgáltatóira vonatkozó részletes követelményekről• 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól• 12/2005. (X. 27.) IHM rendelet az elektronikus ügyintézési eljárásban alkalmazható
dokumentumok részletes technikai szabályairól• 13/2005. (X. 27.) IHM rendelet a papíralapú dokumentumról elektronikus úton történő másolat
készítésének szabályairól• 194/2005. (IX. 22.) Korm. rendelet a közigazgatási hatósági eljárásokban felhasznált elektronikus
aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocs• 195/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézést lehetővé tevő informatikai
rendszerek biztonságáról, együttműködési képességéről és egységes használatáról• 2007. évi CXXVII. törvény az általános forgalmi adóról• 2000. évi C. törvény a számvitelről• 46/2007. (XII. 29.) PM rendelet az elektronikus számlával kapcsolatos egyes rendelkezésekről• 47/2007. PM rendelet a számla, egyszerűsített számla és nyugta adóigazgatási azonosításáról,
valamint a nyugta adását biztosító pénztárgép és taxaméter alkalmazásáról szóló 24/1995. (XI. 22.) PM rendelet módosításáról
• 24/1995. PM rendelet a számla, egyszerűsített számla és nyugta adóigazgatási azonosításáról, valamint a nyugta adását biztosító pénztárgép és taxaméter alkalmazásáról
• APEH Közlemény az elektronikus számlázásról, 2005.08.31.
Szabványok, műszaki specifikációk
• CWA 14167 - Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures
• CWA 14170 - Security Requirements for Signature Creation Applications• CWA 14171 - Procedures for Electronic Signature Verification• ETSI TR 102 038: XML format for Signature Policies• ETSI TS 101 903 V1.2.2. (2004-04): XML Advanced Electronic Signatures (XAdES)• ETSI TS 101 903 v1.3.2 (2006-03): XML Advanced Electronic Signatures (XAdES)• ETSI TS 101 456 - Minősített tanúsítványokat kibocsátó hitelesítés-szolgáltatókra
vonatkozó szabályozási követelmények• ETSI TS 102 042 - Hitelesítés szolgáltatókra vonatkozó szabályozási követelmények• ETSI TS 101 862 - Minősített tanúsítvány profil• ETSI TS 102 280: Certificate Profile for Certificates Issued to Natural Persons• RFC 3280 - Tanúsítvány és tanúsítvány visszavonási lista profil• RFC 5280 - Tanúsítvány és tanúsítvány visszavonási lista profil• RFC 3647 - Hitelesítési rend és szolgáltatási szabályzat keretrendszer• RFC 3039 - Minősített tanúsítvány profil• RFC 3161 - Time-Stamp Protocol (TSP)• RFC 2560 - Online Certificate Status Protocol (OCSP)
Jelenlegi főbb felhasználási területek
• Adóbevallás
• Cégeljárás
• Ügyvédi ellenjegyzés
• Közigazgatási hatósági eljárás
• Elektronikus számlázás
• OEP-OWL
Az Ügyfélkapu biztonsága
Az Ügyfélkapu biztonsági alapelve:Az Ügyfélkapu biztonsági alapelve: a kockázattal arányos, szükséges és elégséges mértékű biztonság garantálása
• az azonosítás az online banki rendszerekkel azonos biztonságú• a legnagyobb biztonsággal képes a jogosulatlan hozzáférések
kiszűrésére és megakadályozására mind a regisztrációs kóddal, mind az elektronikus aláírással történő azonosítás esetében
• a személyes adatok és a továbbításra kerülő információk az Ügyfélkapu rendszerében még az üzemeltetők számára sem hozzáférhetők
• független minőségbiztosító szervezet, valamint adatvédelmi szakértők bevonásával a biztonsági és adatvédelmi szabályok betartásának folyamatos figyelése, szükség esetén azonnali intézkedések megtétele
Az Ügyfélkapu indulása, 2005. április 1. óta a rendszer Az Ügyfélkapu indulása, 2005. április 1. óta a rendszer több mint 2 millió tranzakcióttöbb mint 2 millió tranzakciót bonyolított le, bonyolított le,
és és biztonsággal összefüggő probléma nem merült felbiztonsággal összefüggő probléma nem merült fel!!
Az adattovábbítás biztonsága
Attribútumok(feladó neve, kinek a nevében teszi,mit küld, kinek küldi)Tartalom leíró metaadatok
Közmű boríték
Hitelesítő attribútumok
Felhasználó által csomagolt (titkosított) tartalom
Felhasználói boríték
Az azonosítás és az adattovábbítás két különböző funkció!Az azonosítás és az adattovábbítás két különböző funkció!AzonosításAzonosítás: : személyes megjelenéshez kötöttszemélyes megjelenéshez kötött elektronikus aláírás vagy regisztrációelektronikus aláírás vagy regisztrációAdattovábbításAdattovábbítás: : bármilyen elektronikus aláírás bármilyen elektronikus aláírás (titkosító algoritmus), ha a hivatal (titkosító algoritmus), ha a hivatal
rendelkezik a nyilvános kulccsalrendelkezik a nyilvános kulccsal(Az adó- és járulékbevallásnál egyedi titkosító (privát) kulcs minden formanyomtatvány része!)(Az adó- és járulékbevallásnál egyedi titkosító (privát) kulcs minden formanyomtatvány része!)
1. A felhasználók személyazonosítás után tudják a különböző alkalmazásokban 1. A felhasználók személyazonosítás után tudják a különböző alkalmazásokban összeállított dokumentumaikat becsomagolt (titkosított) tartalomként a hatóság összeállított dokumentumaikat becsomagolt (titkosított) tartalomként a hatóság postafiókjába küldenipostafiókjába küldeni2. A becsomagolt tartalom a rendszer által továbbítandó, de nem feldolgozandó (nem 2. A becsomagolt tartalom a rendszer által továbbítandó, de nem feldolgozandó (nem bontja fel, nem dekódolja – ehhez a kulcs nem áll rendelkezésére)bontja fel, nem dekódolja – ehhez a kulcs nem áll rendelkezésére)3. A becsomagolt tartalomhoz a szállító réteg által értelmezhető és értelmezendő leíró 3. A becsomagolt tartalomhoz a szállító réteg által értelmezhető és értelmezendő leíró adatok (attribútumok) tartoznak (címzett, feladó, hash, stb.)adatok (attribútumok) tartoznak (címzett, feladó, hash, stb.)4. A rendszer ezen leírók alapján végzi el a becsomagolt tartalommal a szükséges 4. A rendszer ezen leírók alapján végzi el a becsomagolt tartalommal a szükséges műveleteketműveleteket
IdőbélyegElektronikus aláírás
24
Kriptográfiai alapismeretek
• Szimmetrikus rejtjelezés – ugyanaz a kulcs titkosításhoz és megfejtéshez (DES, 3DES, stb.)
25
Kriptográfiai alapismeretek
• Aszimmetrikus titkosítás – két kulcs (RSA) és a tanúsítvány
A kulcs-pár
Tanúsítvány26
Az elektronikus aláírás és ellenőrzés
Adat
Lenyomatképzés az adatból
Lenyomat
Kódolás
(a feladó magánkulcsával)
Elektronikus aláírás Elektronikus aláírás
Lenyomatképzés az adatból
Lenyomat
Dekódolás
(a feladó nyilvános kulcsával)
Lenyomat
Adat
27
Lenyomatképzés az adatból
Lenyomat
Az időbélyegzés
Időbélyeg
Lenyomat
+
Referencia idő
+
Időbélyeg szolgáltató
aláírása
I d ő b
é l y e g
Időbélyeg-szolgáltatóIdőbélyeg-szolgáltató
Adat
28
• 1. Aláírás-létrehozó adat: olyan egyedi adat (jellemzően kriptográfiai magánkulcs), melyet az aláíró az elektronikus aláírás létrehozásához használ.
• 2. Aláírás-ellenőrző adat: olyan egyedi adat (jellemzően kriptográfiai nyilvános kulcs), melyet az elektronikusan aláírt elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ.
• 3. Aláírás-létrehozó eszköz: olyan hardver, illetve szoftver eszköz, melynek segítségével az aláíró az aláírás-létrehozó adatok felhasználásával az elektronikus aláírást létrehozza.
• 4. Aláíró: az a természetes személy, aki az aláírás-létrehozó eszközt birtokolja és a saját vagy más személy nevében aláírásra jogosult.
• 5. Biztonságos aláírás-létrehozó eszköz: az e törvény 1. számú mellékletében foglalt követelményeknek eleget tevő aláírás-létrehozó eszköz.
• 6. Elektronikus aláírás: elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat.
• 7. Elektronikus aláírás ellenőrzése: az elektronikusan aláírt elektronikus dokumentum aláíráskori, illetve ellenőrzéskori tartalmának összevetése, továbbá az aláíró személyének azonosítása a dokumentumon szereplő, illetve a hitelesítés-szolgáltató által közzétett aláírás-ellenőrző adat, tanúsítvány visszavonási információk, valamint a tanúsítvány felhasználásával.
• 8. Elektronikus aláírás felhasználása: elektronikus adat elektronikus aláírással történő ellátása, illetve elektronikus aláírás ellenőrzése.
• 9. Elektronikus aláírás hitelesítés-szolgáltató: a 6. § (2) bekezdése szerinti tevékenységet végző személy (szervezet).
• 10. Elektronikusan történő aláírás: elektronikus aláírás hozzárendelése, illetve logikailag való hozzákapcsolása az elektronikus adathoz.
• 11. Elektronikus aláírási termék: olyan szoftver vagy hardver, illetve más elektronikus aláírás alkalmazáshoz kapcsolódó összetevő, amely elektronikus aláírással kapcsolatos szolgáltatások nyújtásához, valamint elektronikus aláírások, illetőleg időbélyegző készítéséhez vagy ellenőrzéséhez használható.
• 12. Elektronikus dokumentum: elektronikus eszköz útján értelmezhető adategyüttes.• 13. Elektronikus aláírás érvényesítése: annak tanúsítása minősített elektronikus aláírás vagy e szolgáltatás
tekintetében minősített szolgáltató által kibocsátott időbélyegző elhelyezésével, hogy az elektronikus dokumentumon elhelyezett elektronikus aláírás vagy időbélyegző, illetve az azokhoz kapcsolódó tanúsítvány az időbélyegző elhelyezésének időpontjában érvényes volt.
• 14. Érvényességi lánc: az elektronikus dokumentum vagy annak lenyomata, és azon egymáshoz rendelhető információk sorozata, (így különösen azon tanúsítványok, a tanúsítványokkal kapcsolatos információk, az aláírás-ellenőrző adatok, a tanúsítvány aktuális állapotára, visszavonására vonatkozó információk, valamint a tanúsítványt kibocsátó szolgáltató elektronikus aláírás ellenőrző adatára és annak visszavonására vonatkozó információk), amelyek segítségével megállapítható, hogy az elektronikus dokumentumon elhelyezett fokozott biztonságú vagy minősített elektronikus aláírás, illetve időbélyegző, valamint az azokhoz kapcsolódó tanúsítvány az aláírás és időbélyegző elhelyezésének időpontjában érvényes volt.
• 15. Fokozott biztonságú elektronikus aláírás: elektronikus aláírás, amely• a) alkalmas az aláíró azonosítására,• b) egyedülállóan az aláíróhoz köthető,• c) olyan eszközökkel hozták létre, amelyek kizárólag az aláíró befolyása alatt állnak, és• d) a dokumentum tartalmához olyan módon kapcsolódik, hogy minden - az aláírás elhelyezését követően a
dokumentumon tett - módosítás érzékelhető.• 16. Időbélyegző: elektronikus dokumentumhoz végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt
olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett.
• 17. Minősített elektronikus aláírás: olyan - fokozott biztonságú - elektronikus aláírás, amelyet az aláíró biztonságos aláírás-létrehozó eszközzel hozott létre, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki.
• 18. Minősített hitelesítés-szolgáltató: az e törvény szabályai szerint nyilvántartásba vett, minősített tanúsítványt a nyilvánosság számára kibocsátó hitelesítés-szolgáltató.
• 19. Minősített tanúsítvány: az e törvény 2. számú mellékletében foglalt követelményeknek megfelelő olyan tanúsítvány, melyet minősített szolgáltató bocsátott ki.
• 20. Szolgáltatási szabályzat: a 6. § (1) bekezdése szerinti szolgáltató tevékenységével kapcsolatos részletes eljárási és egyéb működési szabályokat tartalmazó szabályzat.
• 21. Tanúsítvány: a hitelesítés-szolgáltató által kibocsátott igazolás, amely az aláírás-ellenőrző adatot a 9. § (3), illetőleg (4) bekezdése szerint egy meghatározott személyhez kapcsolja, és igazolja e személy személyazonosságát vagy valamely más tény fennállását, ideértve a hatósági (hivatali) jelleget.
• 22. Archiválási szolgáltató: az e törvényben meghatározott, az elektronikus aláírással ellátott dokumentumok elektronikus archiválására vonatkozó szolgáltatást nyújtó szolgáltató.
• 23. Hitelesítési rend: olyan szabálygyűjtemény, amelyben egy szolgáltató, igénybe vevő vagy más személy (szervezet) valamely tanúsítvány felhasználásának feltételeit írja elő igénybe vevők valamely közös biztonsági követelményekkel rendelkező csoportja, illetőleg meghatározott alkalmazások számára.
• 24. Időbélyegzési rend: olyan szabálygyűjtemény, amelyben egy szolgáltató, igénybe vevő vagy más személy (szervezet) valamely időbélyegző felhasználásának feltételeit írja elő igénybe vevők valamely közös biztonsági követelményekkel rendelkező csoportja, illetőleg meghatározott alkalmazások számára.
• 25. Igénybe vevő: elektronikus aláírással kapcsolatos szolgáltatást igénybe vevő természetes személy, jogi személy vagy jogi személyiség nélküli szervezet.
• 26. Lenyomat: olyan meghatározott hosszúságú, az elektronikus dokumentumhoz rendelt bitsorozat, amelynek képzése során a használt eljárás (lenyomatképző eljárás) a képzés időpontjában teljesíti a következő feltételeket:
• a) a képzett lenyomat egyértelműen származtatható az adott elektronikus dokumentumból;• b) a képzett lenyomatból az elvárható biztonsági szinten belül nem lehetséges az elektronikus
dokumentum tartalmának meghatározása vagy a tartalomra történő következtetés;• c) a képzett lenyomat alapján az elvárható biztonsági szinten belül nem lehetséges olyan
elektronikus dokumentum utólagos létrehozatala, amelyre alkalmazva a lenyomatképző eljárás eredményeképp az adott lenyomat keletkezik.
• 27. Minősített szolgáltató: a minősített hitelesítés-szolgáltató és az e törvény 6. § (1) bekezdésének b)-d) pontjában meghatározott szolgáltatásokat nyújtó olyan szolgáltató, amely a szolgáltatók nyilvántartásában valamely szolgáltatás tekintetében minősített szolgáltatóként szerepel.
