Amíg az Internet az egyetemek, kutatóintézetek hálózata volt, nem helyeztek különösebb súlyt a biztonsági és hitelességi kérdésekre. A kilencvenes évek második felében azonban az Internet és más számítógépes hálózatok egyre nagyobb szerepet játszanak a gazdaságban és - bár egyelőre kisebb mértékben - a közigazgatásban és az igazságszolgáltatásban is. Nem mindegy tehát, hogy a jogszabályok fűznek-e, és ha igen, milyen joghatásokat az elektronikus úton elkészített, továbbított, fogadott és tárolt okirathoz, illetve a digitális aláíráshoz.
A digitális aláírás jogi szabályozásának szükségességét már szinte valamennyi fejlett ország, illetve a témában érintett nemzetközi szervezet felismerte. A legelső digitális aláírásról szóló törvényt az Egyesült Államokban, Utah államban fogadták el 1995-ben. Ennek hatására más tagállamok is megalkották a digitális aláírásról rendelkező jogszabályukat (például Új-Mexikó vagy Washington állam), illetve tervezik azt. Az egységes szabályozás érdekében a kongresszus néhány hónapja kezdeményezte a digitális aláírás és az elektronikus hitelesítés szövetségi szintű szabályozását.
Európában
több ország is készül hasonló szabályozásra, az első konkrét jogszabály Németországban készült el 1997-ben. A digitális aláírások hatályát itt az információs és kommunikációs szolgáltatásokról szóló törvényben szabályozták, a kulcs használatát (lásd keretes írásunkat) a kulcsnak egy kulcshitelesítő szervezet által történő elfogadásához köti-e. Az Európai Unió hivatalos dokumentumai közül elsőként az 1994-ben készült Bangemann-jelentés említi a kriptográfia és ezen belül a digitális aláírás jelentőségét. A témakörrel eddig a legrészletesebben az Európai Bizottságnak egy tavaly októberben kiadott közleménye foglalkozik, amely elsősorban a digitális aláírásnak az elektronikus kereskedelemben betöltött szerepére koncentrál. A különböző nemzeti szabályozók helyett a közös belső piac megteremtése érdekében egységes keretszabályozást tartanak fontosnak, amelyet legkésőbb az ezredfordulóig kell megalkotni.
A Miniszterelnöki Hivatal Informatikai és Távközlési Irodája, illetve az Informatikai és Távközlési Kormánybizottság által előkészített, az elektronikus okiratok jogi hatályáról szóló
nem az első lesz azon jogszabályok sorában, amelyek az elektronikus úton tárolt, illetve továbbított okiratok alaki szabályait, továbbá a hozzájuk fűződő jogkövetkezményeket meghatározzák. Ilyen rendelkezés található például a számvitelről, a társadalombiztosításról vagy az adózás rendjéről szóló törvényekben is.
Az elektronikus irat aláírását és az elektronikus bélyegző készítését a törvénytervezet egy vagy több testületre kívánja bízni. A nyilvántartásra jogosított szervezetek között szerepel a Magyar Országos Közjegyzői Kamara (MOKK) is, a tervezet átmenetileg több, a digitális aláíráshoz szükséges, a digitális aláírások hitelesítésével összefüggő feladatot ad a szervezet, illetve a közjegyzők hatáskörébe. A MOKK tagjaként a közjegyző részére a tanúsítványok digitális aláírására szolgáló kulcsot és a tanúsítványt a tervezetben még meg nem nevezett hatóság adja ki.
A közjegyző
kérelemre a digitális aláíráshoz szükséges nyilvános és titkos részből álló kulcspárt generál (egyéb esetben a kérelmező által benyújtott kulcspárt hitelesíti), és a kulcspár kiadásával egy időben tanúsítványt állít ki természetes személy részére.
A külföldi tanúsítványok esetében a tervezett jogszabály úgy rendelkezik: az Európai Unió tagállamainak vagy az Európai Gazdasági Közösség más társult államainak külföldi tanúsítványával rendelkező, hivatalos aláírási kulccsal ellenőrizhető digitális aláírások, amennyiben egyenértékű biztonsággal rendelkeznek, egyenértékűek a törvény szerinti digitális aláírásokkal. Az előző rendelkezések alkalmazandók abban az esetben is, ha a tanúsítvány elismeréséről hatályos nemzetközi szerződés rendelkezik.
Mozsik Tibor
(mozsik [at] ludens [dot] elte [dot] hu)
Kulcskérdések
A digitális aláírásra manapság használt eszközök döntő része a nyilvános kulcsú, más néven aszimmetrikus titkosítás elvén működik. Az 1976-ban Whitfield Diffie és Martin Hellman által kifejlesztett nyilvános kulcsú titkosítási eljárás újdonsága, hogy amíg a hagyományos, vagyis a titkos kulcsú kriptográfiai eljárásnál egyetlen kulcsot kell ismerni az üzenet kódolásához és dekódolásához, a nyilvános kulcsú titkosításnál minden egyes felhasználóhoz két kulcs - egy titkos és egy nyilvános - tartozik. A digitális aláírás valójában többet nyújt a hagyományos aláírásnál, amely elsősorban a hitelesítést szolgálja. A digitális aláírás, illetve a nyilvános kulcsú titkosítás lehetséges funkciói a következők lehetnek: titkosság (privacy) - a kódolt üzenetet csak a címzett képes elolvasni, a titkosított információ mindenki más számára elérhetetlen; hitelesség (authenticity) - a kapott üzenetről a címzett egyértelműen meg tudja állapítani, hogy az üzenet valóban attól jött, aki azt aláírta; és végül a sértetlenség (integrity) - a küldött és a kapott üzenet ugyanaz, az üzenet továbbítása közben a szövegben történt legkisebb változtatás is könnyen kimutatható.
Mint bármilyen más elektronikus úton tárolt információt, a nyilvános kulcsokat is alá lehet digitálisan írni, amit a gyakorlatban kétféleképpen használnak. Az egyik ilyen megoldás a bizalmi háló: ha olyan aláírással kapunk egy nyilvános kulcsot, amit hitelesnek tekintünk, akkor magát a nyilvános kulcsot is elfogadhatjuk. Ilyen bizalmi hálón alapul például a Pretty Good Privacy szabadon terjeszthető titkosítási programja. A másik lehetséges megoldás a kulcs hitelesítése egy szervezet által (certification authority, röviden CA). Ha egy közjegyző vagy valamilyen szervezet digitális aláírásával hitelesíti valakinek a nyilvános kulcsát, akkor ezt megfelelő jogi szabályozás esetén a gazdasági életben, az államigazgatásban vagy az igazságszolgáltatásban is használni lehet. A világon számos szervezet, illetve magáncég működik már, amelyik nyilvános kulcsok hitelesítésével, illetve kulcspárok kiadásával foglalkozik.
