Az elektronikus aláírás hitelesítését a kormányok nyilvános kulcsú infrastruktúra (Public Key Infrastructure - PKI) használatával és hitelesítő központok rendszerének kiépítésével teszik lehetővé. A PKI-rendszerek alapjául aszimmetrikus kulcspárok szolgálnak: a magánkulcs fizikai formája többféle lehet, így például egy intelligens kártya (smartcard) vagy egy titkosított fájl. A nyilvános kulcs tetszőlegesen átadható bárkinek, ugyanúgy, mint az e-mail-cím. A kulcspár generálásakor megbízható matematikai algoritmusok teszik lehetővé, hogy a nyilvános kulcs ismeretében ne fejthessék vissza a hozzá tartozó magánkulcsot. Ugyanilyen algoritmusok biztosítják, hogy az aláírást ne lehessen a nyilvános kulcs ismeretében hamisítani.
Jogegyenlő digitális kézjegy
Az elektronikus aláírással ellátott dokumentum sérthetetlenségét a PKI oly módon teszi lehetővé, hogy az üzenetről úgynevezett digitális ujjlenyomatot, azaz egy fix hosszúságú kódot készít. Ezt a kódot a dokumentum aláírója a magánkulcsával titkosítja. Az így létrejött digitális aláírást az eredeti dokumentumhoz csatolva küldik tovább. Az aláírt dokumentum és az aláírás ellenőrzése úgy történik, hogy egy matematikai algoritmussal újra kiszámítják az eredeti dokumentum ujjlenyomatát, illetve dekódolják a nyilvános kulccsal a digitális aláírást, amelyből szintén előáll az ujjlenyomat. Amennyiben a két ujjlenyomatkód azonos, a dokumentum hitelesnek tekintendő, mivel annak tartalma a továbbítás során nem változott, s az aláírás az adott nyilvános kulcshoz tartozó magánkulccsal készült. Az aláíró személyazonosságát a nyilvános kulcs ismeretében a hitelesítésszolgáltató tanúsítja.
A piaci alapon működő hitelesítésszolgáltatók felügyeletére kijelölt Hírközlési Főfelügyelet (HÍF) és a Magyar Adatbázis-forgalmazók Szövetsége múlt heti e-szignó-konferenciáján Sík Zoltán informatikai kormánybiztos azt hangsúlyozta, hogy az elektronikus aláírásról szóló törvénnyel a magyar állam - a fejlett információs társadalmakkal szinte egyszerre - megteremti az elektronikus kereskedelem jogi hátterét. Az Európai Bizottság által 1999 decemberében elfogadott direktíva szerint idén nyárig valamennyi tagországban törvényt kell hozni a digitális aláírásról. Sík Zoltán szerint a 15 EU-tagország közül már csak Görögország, Hollandia és Finnország nem rendelkezik ilyen törvénnyel.
Három a magyar igazság
A magyar törvény három típusú elektronikus aláírást különböztet meg: egyszerű elektronikus aláírást - amelyet egy elektronikus szöveg alatt helyeznek el, csak általános bizonyító érvénnyel bír, s a bíróság sem köteles elfogadni -, fokozott biztonságú elektronikus aláírást - ez alkalmas az aláíró azonosítására, mivel csak hozzá köthető - s harmadik típusként a minősített elektronikus aláírást. Ez utóbbit a Hírközlési Főfelügyelet által nyilvántartásba vett hitelesítésszolgáltató minősíti, így bizonyíthatóan igazoló erejű.
A törvény elektronikus dokumentumból is háromfélét különböztet meg. Az első az általános jelsorozat (szöveg, hangfelvétel, térkép, videofelvétel), amit elektronikus aláírással láttak el. A második szintként meghatározott elektronikus irat már jellemzően szöveg, de társulhat hozzá fejléc vagy ábra is. A törvény harmadik szintként az elektronikus okiratot ismeri el, amely már jogokat és kötelezettségeket is rögzít. Az elektronikus okirat aláírója vállalja és elismeri a jogokat és a kötelezettségeket.
Dessewffy Anna, a Miniszterelnöki Hivatal Informatikai Kormánybiztosságának főcsoportfőnöke a törvényt értelmezve elmondta, hogy az nem teszi automatikussá az elektronikus ügyintézést. Ahhoz ugyanis, hogy az elektronikus ügyintézés megvalósuljon, erről az eljárástípusról szóló törvénynek is rendelkeznie kell - feltehetően a cégeljárás lesz a bíróságokon az első, elektronikusan intézhető ügytípus. A törvény szerint az ügyfél számára nem lehet kötelezővé tenni az elektronikus ügyintézést, számára az mindig csak alternatívaként jelenhet meg. Az önkormányzatok esetében újabb kitétel, hogy rendeletben kell kimondaniuk, miszerint illetékességi területükön használható az elektronikus aláírás. A családjogi és az öröklési jogi ügyleteket nem lehet csak elektronikus formában intézni, itt továbbra is szükséges a papíralapú ügyvitel.
A HÍF felügyel
Rényi István, a HÍF főosztályvezetője az elektronikus aláírási rendszerek szabályozásának fontosságáról szólva vázolta a nyilvános kulcsú titkosító rendszerek veszélyforrásait: ha például kitudódik vagy elvész a titkos kulcs, akkor annak birtokában más írhat alá a tulajdonos nevében. Ha a hitelesítésszolgáltató rendszere nem biztonságos, akkor a kiadott tanúsítványok válnak hiteltelenné. Itthon a Hírközlési Főfelügyelet veszi majd nyilvántartásba a hitelesítésszolgáltatókat: a minősített aláírásokat hitelesítő szolgáltatóknak 30 nappal működésük előtt kell bejelentést tenniük. A HÍF rendszeresen ellenőrzi majd a szolgáltatók működését, és ha szabálytalanságra bukkannak, a figyelmeztetésen túl pénzbüntetést is kiszabhatnak (a céget sújtó büntetés összege 100 ezertől akár 10 millió forintig is terjedhet, az ügyvezetőt pedig 50 ezertől egymillió forintig büntethetik), visszavonathatják a kiadott tanúsítványokat, sőt igazán súlyos esetben törölhetik is a nyilvántartásból a szolgáltatót.
Az elektronikus aláírás technikai megoldásainak megfelelőségét is tanúsítania kell valamilyen szervezetnek. A tanúsító szervezeteket a miniszter választja ki a jelentkezők közül. A kérelmező technikai megoldását auditálják, majd a kijelölő bizottság véleménye alapján a miniszter hozza meg a végső döntést. A tanúsító szervezetek és az általuk tanúsított megoldások listáját is a Hírközlési Főfelügyelet tartja nyilván.
Az adatvédelmi biztos hivatalának főosztályvezetője, Kolozsváry Sándor szerint a felhasználó titkos kulcsa különleges személyes adatnak minősül, és mint ilyet, biztonságosan kell tárolni. Az adatvédelmi törvényben szereplő információs önrendelkezési jog az elektronikus aláírásra is vonatkozik, vagyis személyes adatok csak az érintettek hozzájárulásával gyűjthetők. A magyar elektronikus aláírási törvény az EU-s szabályozáshoz hasonlóan támogatja az információs önrendelkezési jogot, és lehetővé teszi az álnév használatát. Előírja, hogy a hitelesítésszolgáltatók is kötelesek tevékenységük megkezdése előtt bejelentkezni az adatvédelmi nyilvántartásba - ennek elmulasztása esetén tevékenységük jogosulatlan adatkezelésnek minősül.
Nemzetbiztonsági érdek
A magánszféra korlátozásának tűnik viszont a törvény azon rendelkezése, miszerint a digitális aláíráshoz használt magánkulcs nem használható dokumentumok vagy levelezés titkosítására. "A 13. § (4) bekezdés nemzetbiztonsági érdekből nem teszi lehetővé az aláírás létrehozó adatnak (magánkulcsnak) titkosítás céljából történő felhasználását" - áll a törvény részletes indoklásában. Mivel azonban a polgári célú titkosító programok használata egyelőre legális, elképzelhető, hogy a hiteles aláírást kiváltó magánszemélyek két magánkulccsal rendelkeznek majd, az egyiket aláírásra, a másikat pedig titkosításra használják. Köntös Zoltán, az intelligens kártyákat is fejlesztő Neext Consulting ügyvezetője az Indexnek nyilatkozva elmondta: szerencsésebbnek tartaná, ha a polgárok a személyi igazolvány mintájára egyetlen digitális magánkulcsot használhatnának, mely egyértelműen azonosítja tulajdonosát.
A magántitok és a levéltitok védelmére az internetes adatkezelésről szóló ajánlásában (lásd keretes írásunkat) a titkosító szoftverek használatát javasolja Majtényi László adatvédelmi biztos is: "A polgári célú kriptográfia jogszerű használatának korlátozása káros, a bűnüldözés hatékonysága szempontjából előnyei kétségesek, viszont a személyes adatok védelme szempontjából hátrányai kétségtelenek."
Bodoky Tamás
Kiss Bori
Majtényi László az internetes adatkezelésről
Majtényi László weboldalán február óta olvasható az adatvédelmi biztos internetes adatkezeléssel kapcsolatos ajánlása, melyben a közérdekű adatok internetre vitelét, a polgári célú titkosító szoftverek használatát, az internetszolgáltatók adatkezelési elveinek nyilvánosságra hozatalát és a reklámcélú e-mailek jogi szabályozását javasolja.
Az adatvédelmi biztos az adatvédelmi törvény olyan módosítását szorgalmazza, mely előírná, hogy a közérdekű adatok meghatározott körét tegyék közzé vagy elérhetővé elektronikus formában is, az elektronikus információszabadság megteremtése érdekében. "Az Egyesült Államokban már 1996 óta életben van az 1966-os információszabadság-törvény modern módosítása, az Electronic Freedom of Information Act. Ez számos olyan kötelezettséget fogalmaz meg a közintézmények számára, amelyek nagyban elősegítik az információszabadság gyakorlati érvényesülését" - fogalmaz Majtényi.
Az adatvédelmi biztos azt ajánlja a parlamentnek, hogy döntsön arról, engedélyezi-e vagy sem az e-mail reklámcélú alkalmazását. Amennyiben legális lesz ez a törvényileg még nem szabályozott reklámforma, az Európai Bizottság ajánlásának megfelelően úgynevezett opt-out nyilvántartás vezetését szorgalmazza, az ilyen listán szereplőknek tilos reklámlevelet küldeni. Az EU-irányelv azt is előírja, hogy a reklámcélú e-mail legyen jól megkülönböztethető, hogy a levelezőprogramok filtereivel egyszerűen szűrhessék a reklámokra nem kíváncsi felhasználók.
Az internetezőknek jogukban áll tudni, hogy adataikat hogyan tárolják és kezelik a szolgáltatók. Külföldön törvények kötelezik az internetszolgáltatókat adatkezelési elveik nyilvánosságra hozatalára, a felhasználók pedig meg is tilthatják személyes adataik tárolását a szolgáltatójuknak. Az adatvédelmi biztos itthon is hasonló gyakorlatot szorgalmaz: felkéri a szolgáltatókat, hogy tegyék közzé adatvédelmi elveiket és intézkedéseiket, és tájékoztassák a felhasználókat a személyes adataik védelmét szolgáló lehetőségekről és teendőikről.
Majtényi László szerint a személyes adatok elektronikus védelmére legalkalmasabb eszköz a titkosítás. A polgári célú szoftveres titkosítás jelenleg Magyarországon nem tiltott. Az adatvédelmi biztos azt javasolja a polgároknak, hogy levél- és magántitkaik megőrzése, személyes adataik védelme érdekében használjanak titkosító szoftvereket.
További részletek: http://www.obh.hu/adatved/magyar/interaj.htm.
Az elektronikus aláírásról szóló törvény szövege: http://www.hif.hu/elektronikus.pdf
HÍF: http://www.hif.hu/
Az informatikai kormánybiztos honlapja: http://www.ikb.hu/
Az adatvédelmi biztos honlapja: http://www.obh.hu/adatved/magyar/index.htm