skillPOOL Szakértői Klaszter

E-aláírás az eIDAS korában

Fél éve hatályos az elektronikus aláírásokat is egységesítő EU rendelet

2016. december 29. - Microsec Zrt.

eidas.jpgAmikor már mindenkinek a zsebében ott van az okos telefon, amivel gyakorlatilag éjjel-nappal online elérhető, amikor már a gyermekeink is életük jelentős hányadát az interneten élik, amikor már a lakásunk egyes berendezései is az internetre vannak kötve, joggal várhatnánk el, hogy a munkánkban és az ügyintézésben is ezt a megszokott kényelmet és gyorsaságot kapjuk az internetes lehetőségek révén. De sok esetben még mindig személyes vagy papír alapú eljárásra van szükség, amennyiben alá kell írnunk valamit, például ha bankszámlát akarunk nyitni vagy szerződést kötni.

Azonban olyan változások vannak folyamatban, amelynek köszönhetően hamarosan mindezt már elektronikusan, például az okos telefonunk segítségével is elintézhetjük. E változások zászlóshajója az eIDAS Rendelet (1), amely Európai Unió szinten egységes jogi keretet teremt az elektronikus dokumentumoknak, aláírásoknak és az erre vonatkozó bizalmi szolgáltatásoknak. Ehhez kapcsolódóan megjelent egy magyar törvény (2) is, amely tisztázza a Rendelet viszonyát a magyar joggyakorlatban használt fogalmakkal.

Az eIDAS Rendelet 2016. július 1-jén hatályba lépett rendelkezései meghagyják az elektronikus aláírás létező gyakorlatát, viszont kiszélesítik a megvalósítási lehetőségeket, egységes európai piacot teremtenek, és ezáltal elősegítik az elektronikus aláírás terjedését. Tehát nem kell jelentős változásra számítani azokon a területeken, ahol már jelenleg is elektronikus aláírást használunk, például az elektronikus cégeljárásban, fizetési meghagyások esetében, végrehajtási iratok kézbesítésében stb. Azonban egyre több területen és egyre kényelmesebb formában használhatjuk majd az elektronikus aláírást.

Az elektronikus aláírás alkalmazásával a kézzel írott aláírással egyenértékű, bizonyító erejű okiratot lehet létrehozni. Sőt, az elektronikus aláírás a papír alapú aláírásnál nagyobb biztonságot nyújt, mivel egy elektronikus aláírás nemcsak az aláíró személyéhez köthető egyértelműen, hanem az aláírt dokumentum teljes tartalmához is. Egy aláírt fájlban már egyetlen bit megváltoztatása is kimutatható, emiatt sem az aláíró kiléte, sem a dokumentum tartalma nem hamisítható.

Az elektronikus aláírás alatt nem a kézzel írott aláírásunk beszkennelt változatát kell érteni, hanem az aláírandó elektronikus adaton (fájlon) végzett kódolási műveletet. Az elektronikus aláírást biztosító technológia a Nyilvános Kulcsú Infrastruktúra (Public Key Infrastructure, PKI), amely aszimmetrikus kulcsú kriptográfián alapul. A PKI ugyanaz a technológia, amely a biztonságos web böngészést is garantálja, amikor egy HTTPS weboldalt nyitunk meg.

Amikor interneten intézünk egy ügyet, például bankolunk, vásárolunk vagy egyszerűen levelezünk, gyakran kell magunkat azonosítani. Ezt egyszerűbb esetben pusztán egy felhasználónévvel és jelszóval megtehetjük, de amikor nagyobb a csalás kockázata, akkor ún. többfaktoros azonosításra van szükség, hogy a szolgáltató meggyőződhessen az ügyfél kilétéről. Az elektronikus aláírás is hasonló célt szolgál, hiszen ez is azonosítja az aláíró személyét, azonban ennél többet is nyújt: olyan bizonyítékot szolgáltat, amely utólag is felhasználható, miután már kiléptünk a rendszerből, és nemcsak a szolgáltató felé igazolja kilétünket, hanem bárki felé. Nem véletlen tehát, hogy például szerződéskötéshez aláírásra van szükség és nem elegendő az azonosítás. Ugyanez érvényes a nagy értékű tranzakciókra: aláírás esetén kétséget kizáróan bizonyítható, hogy ki hagyta azt jóvá, és a tranzakció tartalma, például az összeg sem hamisítható. Az aláírás használata tehát nagyobb biztonságot nyújt és sokkal letisztultabb felelősségi viszonyokat eredményez a szolgáltató és az ügyfél között.

Korábban az elektronikus aláírás használatához jellemzően három dologra volt szükségünk: egy biztonságos aláíró eszközre, amely a titkos aláíró kulcsunkat védi; egy tanúsítványra, amely a nyilvános kulcsunkat tartalmazza; és egy szoftverre, amellyel az aláírásokat készíthetjük és ellenőrizhetjük. Mindezt egy hitelesítés-szolgáltatónál tudtuk beszerezni. A titkos kulcsot jellemzően chipkártyán vagy USB tokenen tároljuk, hogy ne lehessen lemásolni és így a tudtunk nélkül ellopni, és amely csak PIN kóddal használható (akárcsak egy bankkártya). A tanúsítványt a hitelesítés-szolgáltató állítja ki, miután személyesen azonosított bennünket, és feltünteti benne az adatainkat és a nyilvános kulcsunkat. Ez a tanúsítvány minden aláírásunkban megjelenik és igazolja, hogy az aláírást mi hoztuk létre.

Ma azonban mind a jogszabályi környezet, mind a technológia abba az irányba halad, hogy az elektronikus aláírás mindenki számára könnyebben elérhetővé váljon. Például az új e-személyi igazolványokban olyan chip van, amely képes elektronikus aláírásra. Ez tehát használható biztonságos aláíró eszközként egy megfelelő kártyaolvasóval. Ezen kívül néhány éven belül lehetséges lesz aláírást készíteni felhő alapú szolgáltatással is. A dokumentumainkat már ma is tárolhatjuk a felhőben, de hamarosan az aláíró kulcsunkat is. Hogy a biztonság ne sérüljön, és a kulcsot kizárólag a tulajdonosa használhassa, ehhez olyan megbízható rendszerek szükségesek, amiknek a műszaki specifikációja még kidolgozás alatt van. Végül készíthetünk aláírást akár mobiltelefonnal is. A mai okos telefonok többsége már képes a PKI technológia használatára. Mindössze egy tanúsítványra és egy alkalmazásra van szükség ehhez.

Magyarországon elsőként a Microsec kezdte meg az eIDAS szerinti, új formátumú minősített aláíró tanúsítványok kibocsátását a Rendelet hatálybalépésének időpontjában, és azóta az eIDAS Rendeletnek megfelelő elektronikus aláírás hitelesítés-szolgáltatást nyújt. Másrészről a Microsec PassBy[ME] Mobile ID (3) szolgáltatása segítségével a mobiltelefon egy olyan általános eID eszközzé alakítható, amely azonosításra és aláírásra is alkalmas. A Microsec által kibocsátott minősített tanúsítványnak köszönhetően pedig ezzel az aláírással olyan elektronikus okiratok készíthetők, amelyek a magyar jog (4) szerint teljes bizonyító erővel bírnak.

Az ilyen okiratok bíróság előtt is megállják a helyüket, ezért ily módon akár szerződést is köthetünk. A teljes bizonyító erejű elektronikus aláírás alkalmazásával tehát megvalósítható, hogy akár az interneten keresztül is lehessen intézni mindazt, amihez korábban papír alapú dokumentumokat kellett személyesen aláírni vagy postázni.

 

Réti Kornél, elektronikus aláírás szakértő

Microsec Számítástechnikai Fejlesztő Zrt. - a skillPOOL tagja

 

(1) AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről  http://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:32014R0910

(2) 2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól  http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A1500222.TV 

(3) PassBy[ME] Mobile ID  https://www.passbyme.com/

(4) 1952. évi III. törvény a polgári perrendtartásról  http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=95200003.TV

A bejegyzés trackback címe:

https://skillpool.blog.hu/api/trackback/id/tr6312080941

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.