Mivel tudom megnézni a tartalmát az es3 kiterjesztésű file-oknak? Most jegyeztettem be egy gazdasági társaságot és amit kaptam a cégbiróságtól bele szeretnék nézni. De hogy? Mivel?
Itt találtok ingyenes teszt tanúsítványokat. Ki lehet próbálni mi,hogy merre... https://www.netlock.net/index.cgi?lang=HU&tem=ANONYMOUS/online/online_indul.tem
Hm feléled a topic, örülök neki.
Habár én nem a jogi, hanem a gyakorlati alkalmazási kérdéseivel foglalkozom az elektronikus aláírásnak, azért megpróbálok hozzászólni.
Az 1. pontoddal kapcsolatban az alábbiakat gondolom.
A CA tevékenység végzésének szigorú követelményei vannak, ezen felül külön hatósági engedélyre nincs szükség, így elérhető, hogy a tagállam hatósága által felállított szubjektív szempontok nem zárnak ki szolgáltatókat a tevékenységi engedély megszerzéséből, ugyanez biztosítja a CA szolgáltatás egységességét is.
Az NHH feladata, hogy ellenőrizze, hogy a CA-k a megfelelő keretek között végzik-e a tevékenységüket, elviekben ez a garancia arra, hogy a tevékenységet folyamatosan jól látják el.
Az önkéntes akkreditációs rendszer kialakítására esetleg amiatt lehet szükség, hogy a versenyhelyzetben az egyes szolgáltatók valamilyen téren többet tudjanak felmutatni (pl. Információ biztonsági irányítási rendszer megléte, stb).
Gondolom hogy az NHH az egységes szabályozás alapján ad ki engedélyt és vonja vissza azt.
Most hogy nézem van egy RFC a témában (2527) ami egy nemzetközi Szolgáltatási Szabályzat kerete, ennek, illetve a helyi törvényi kereteknek kell megfelelnie a Szolgáltató saját Szolgáltatási szabályzatának, ez alapján kell működnie, ezt ellenőrzi az NHH ez garantálja hogy minden okés.
42
Látom én vagyok 5 hónapja az első hozzászóló, de remélem ez megváltozik a téma aktualitását tekintve. Én is foglalkozom már egy ideje a kérdéssel, elsősorban jogi szempontból, és lenne 1-2 kérdés amivel nem tudok zöld ágra vergődni.
Az Európai Tanács 1999/93/EK irányelve kimondja: a tagállamok nem köthetik a hitelesítés-szolgáltatói tevékenység végzését előzetes hatósági engedély megszerzéséhez. Közvetlenül utána ugyan szól arról, hogy a tagállamok kialakíthatnak önkéntes akkreditációs rendszereket, azonban ezek minden esetben csak ÖNKÉNTESEK lehetnek! A problémám a következő: ha a tagállamok nem köthetik a hitelestésszolgáltatás nyújtását előzetes hatósági engedélyhez, akkor hogyan garantálható, hogy a CA-k valóban el tudják látni a megbízható harmadik fél feladatát. Egyébként a magyar szabályozás a HIF engedélyéhez köti a CA-k működését és a HIF jogosult azt vissza is vonni. És mi a csuda a HIF ha nem HATÓSÁG?????
Mit tudtok a készülő jogszabály módosításról? Úgy tudom hogy nem sokára az országgyűlés elé kerül a tv.módosítás és erről szeretnék infokat szerezni.
Remélem hogy sikerül feléleszteni a topicot!!! Válaszaitokat előre is köszi!
"Hosszútávon gondolkodva azonban nagyon is kérdéses, hogy én mondjuk 2030-ban egy elektronikusan keletkezett 2004-es dokumentum kapcsán hogyan fogom megállapítani, hogy a a dokumentum aláírásakor a root CA-tól az aláíró tanúsítványáig mindegyik érvényes volt-e?"
Mindegyik tanúsítványt el kell tárolni, mindegyikhez kell megfelelo visszavonási információ. Azt, hogy az adott évben mi volt az érvényes Root CA kulcs, a CA-nak kell tudnia produkálni.
"Továbbgondolva az egyes algoritmusok feltörésére is fel kell készülni hosszú távon. Erre olvastam valahol újra időpecsételéses megoldást, ahol az eredeti kinyert hasht pecsételik le még az algoritmus feltörésének idejét megelőző pecséttel. "
Vagy a szabványos megoldás szerint archiválási szándékkal egy másik algoritmussal újra aláírhatsz egy régebbi aláírást, ezzel vállalva a felelosséget az érvényességért.
Azt persze én is tudom, hogy az aláíráskori érvényesség a lényeg, nem az ellenőrzéskori.
Hosszútávon gondolkodva azonban nagyon is kérdéses, hogy én mondjuk 2030-ban egy elektronikusan keletkezett 2004-es dokumentum kapcsán hogyan fogom megállapítani, hogy a a dokumentum aláírásakor a root CA-tól az aláíró tanúsítványáig mindegyik érvényes volt-e?
Erre is alkalmas a CLR, OCSP? Vagy inkább azt kell csinálnom, hogy az aláírásnál már másképp járok el, mondjuk adott időpillanatban érvényes CLR-t is tárolok az aláírás mellé?
Továbbgondolva az egyes algoritmusok feltörésére is fel kell készülni hosszú távon. Erre olvastam valahol újra időpecsételéses megoldást, ahol az eredeti kinyert hasht pecsételik le még az algoritmus feltörésének idejét megelőző pecséttel.
"Egyrészt továbbra sem vagyok biztos abban, hogy pl. egy APEH által keletkeztetett levél ha beérkezik hozzám, azt én szkennelem, minősített elektronikus aláírással és időpecséttel ellátom, azzal én olyan szintű hiteles dokmentumnak kerülök a birtokába, ami egy eljárásban felhasználható."
Ez egyértelmű. Ha nyomtatsz egy levelet, amire rá van írva, hogy APEH és aláírod kézzel, attól még nem lesz hivatalos APEH levél. Erre valóban csak az lenne a megoldás, amit utána írtál. ("Talán ha a levél eredeti aláírói írnák alá a szkennelt imaget, az egy lépéssel közelebb vinne a hitelességhez.") Ez, tekintve hogy TIFF-et, vagy más képet is aláírhat ha garantálni tudja a megfelelő megjelenítést teljesen megfelelő.
"...attól még a külső kommunikációra ... fokozott elektronikus aláírást kell használni..."
Erre lehet megoldás, ha a céges CA egy tanúsított CA sub CA-ja. Bár valószínűleg ez nem lenne sokkal költséghatékonyabb mint megvenni pár 10 vagy 100 tanúsítványt.
"További probléma még az, hogy egy elektronikus aláírás adott időpillanatbani érvényességének ellenőrzése nem egyszerű feladat..."
Ez bizony nem egyszerű. Erre van több megoldás, jelenleg a CRL (tanúsítvány visszavonási lista) a legelterjedtem, amit előre rögzített időközönként adnak ki és tartalmazza az érvénytelen tanúsítványokat. Egy aláírás akkor bizosan érvényes, ha az aláírás ideje után kiadott CRL is van hozzá. Van szebb megoldás is, az OCSP ami egy-egy tanúsítványról mondja meg, hogy az adott pillanatban érvényes volt-e.
"Aztán a szkenelt dokumentumoknál felmerül még az is, hogy sok esetben nekem a dokumentumot jogszabály alapján osszabb ideig kell megőriznem, mint amíg a tanúsítványom, kulcspárom érvényes."
A tanúsítvány érvényessége szolgáltató függő, általában egy év. Archiválni lehet az aláírt dokumentumokat, a megfelelő, ellenőrzéshez szükséges adatok mentésével. (Tanúsítványlánc, visszavonási információk.) Az aláírás nem attól lesz érvényes, hogy a tanúsítvány adott pillanatban érvényes-e, hanem attól, hogy az aláírás idején az volt.
Örülök nagyon hogy végre rajtam kívül mást is érdekel a téma.
Igazából én még mindig a hiteleség kérdését feszegetném. Ha jól tudom, az egyes szintű elektronikus aláírásoknál igazából az az egyik különbség, hogy a tanúsítvány kiadásakor más szintű vizsgálaton esik át a személy. A használt kulcsok, algoritmusok azonosak.
Illetve ha jól emlékszem vannak ezeka csod a BALE eszközök, amelyek "zárt rendszerként" működve írják alá.
Elektronikusan keletkezett doksinál a hitelesség nem annyira kérdéses, ha azok a személyek írják alá a doksit, akik egyébként aláírnák a papír alapút is, akkor azt mondom, hogy az elektronikus megoldás még biztonságosabb a papír alapú megoldásnál is (pl. szerződésben lapcsere).
De ha egy papír alapú dokumentum szkennelése után szeretnénk belőle hiteles elektronikus változatot készíteni, az már nagyon kérdéses.
Egyrészt továbbra sem vagyok biztos abban, hogy pl. egy APEH által keletkeztetett levél ha beérkezik hozzám, azt én szkennelem, minősített elektronikus aláírással és időpecséttel ellátom, azzal én olyan szintű hiteles dokmentumnak kerülök a birtokába, ami egy eljárásban felhasználható.
Az elektronikus aláírás, időpecsét azt megmutatja, hogy ki írta alá, mikor, változott-e az image, de azzal kapcsolatban hogy ez a szkennelt image azonos-e az eredeti papír alapú dokumentummal, nincs semmilyen garancia.
Talán ha a levél eredeti aláírói írnák alá a szkennelt imaget, az egy lépéssel közelebb vinne a hitelességhez.
A saját CA-t én is nagyon jónak tartom, belső kommunikációra teljesen megfelelő és ami lényeges költségkíméő megoldás. Viszont itt is azt látom, hogy ha a belső kommunikációra hesználok egy gagyialáírást, attól még a külső kommunikációra (pl. egy szerződés aláírására) fokozott elektronikus aláírást kell használni... Na ennél a pontnál küldene el a vezérigazgató a sunyiba.
További probléma még az, hogy egy elektronikus aláírás adott időpillanatbani érvényességének ellenőrzése nem egyszerű feladat. Egy része automatizálható, de ha visszagondolunk arra, hogy mi történik pl. ha a tanúsítványt kiadó cég működési engedélyét bevonják és ezzel érvénytelenné válik az összes általa kiadott tanúsítvány? Mondjuk hasonló dolgok a sima papíros ügyintézésben is vannak (pl. szerződéskötéskor már felszámolás alatt levő cég).
Emlékszem hogy valami internetes oldalon lehet nézegetni, hogy milyen tanúsítványok lettek visszavonva, ez enyhén szólva nem ergonómikus megoldás.
Aztán a szkenelt dokumentumoknál felmerül még az is, hogy sok esetben nekem a dokumentumot jogszabály alapján osszabb ideig kell megőriznem, mint amíg a tanúsítványom, kulcspárom érvényes.
Szóval lehet ennél komolyabban is felhasználni, ha van például egy cégnek saját CA-ja, ahhoz ír egy megfelelő cégszintű szabályzást (mindneki személyesen kéri a rendszergazdától, felel érte stb.) akkor belső folyamatok hitelesítésére, dokumentumok aláírására ez is jó. A fokozott/minősített tanúsítványok nagy előnye, hogy ország/világ szinten elfogadott.
Ha Alice és Bob egymás között leveleznek és Alice-nek van egy CA-ja, (hitelesítés szerver magyarul talán) amivel otthon ad ki tanúsítványokat akkor jó.
(Tehát egy sufi végében üzemelő szervertől kapott kulcspárral/tanúsítvánnyal hiába hitelesítesz egy levelet, a világon egy bíróság sem fogja mérvadónak tekinteni.)
Egy ideje foglalkozom a dologgal, ha vannak konkrét kérdések megpróbálok válaszolni.
Először: a digitális aláírás az aláírandó dokumentum lenyomatával (hash) és a te privát kulcsoddal végez egy matematikai műveletet, aminek az eredménye az aláírás értéke. A publikus kulcsod (a kulcspár másik fele) alapján megállapítható, hogy te írtad-e alá.
Tanúsítvány: a publikus kulcsodhoz rendlet információk (név mail stb), mint az igazolványod, amiben benne van az aláírásod és összevethető a frissen írttal. Ezt a tanúsítványt a hitelesítés szolgáltató -hitelesíti-, azaz a saját kulcsával aláírja. Az övét is egy, az övét is egészen addig amíg eljutunk a root CA-ig, (legfelső szintű hitelesítésszolgáltató) akinek elhiszed hogy aláírhatja a saját tanúsítványát.
Nagyon nagy vonalakban:
Aláírás -> hash képzés a doksiból, aláírás, időpecsét (harmadik fél által hitelesített időpont és az aláírt doksi hash értéke, ezzel bizonyítod, hogy mikor írtad alá) -> esetleg adatok gyűjtése
Én már kétszer nekifutottam, hogy megszerezzem, de nem sikerült. Elöször egy éve - akkor valamilyen programhiba (tüzfal?) miatt megszakadt a kulcsok letöltése, és onnan nem volt további lehetöség. Ott voltak a kulcsok a gépen, csak nem lehetett használni. Aztán az idén újra megpróbáltam. Letöltöttem a kulcsot, és egy-két hét múlva válaszoltak is, hogy vegyem fel a kapcsolatot xy-nal. Felvettem, megírta, hogy valami szerzödést kell letöltenem, kinyomtatni, kitölteni, és visszafaxolni. Megtettem. Megint két hét és jött a válsz, hogy valamilyen adatot rosszul írtam be. Akkor küldtek postán egy helyesen kitöltött nyomtatványt, amit csak alá kellett írnom, és visszafaxolni. Megtettem, újabb hét, és már meg is kaptam a linket, ahova kattintva már meg is kaphattam (volna) a certificate-et. Csakhogy rákattintva megint hibát jelzett. Az ügyfélszolgálattal kiderítettük, hogy a folyamat elkezdése óta újrainstalláltam a rendszert, de elég lett volna, ha a böngészöt installálom újra, már akkor dugába döl az egész. Innen nincs továbblépés, elölröl kell kezdeni az egész procedúrát - itt már besokalltam.
Szóval az egész úgy müködik, hogy egy hiteles szolgáltató generál minden jelentkezönek két (128-byteos) egyedi primszámot. Az egyik csak a hitelesítönél (nyilvános kulcs), a másik csak a kliensgépen tárolódik (privát kulcs). A kettö szorzata egy egyedi szám, amiböl bármlyik kulcs ismerete esetén megmondható, hogy hiteles-e az aláírás (maradék nélkül osztható vele). Amikor elküldesz egy dokumentumot, akkor használhatod a kulcsot aláírásra - ekkor a címzett a hitelesítönél le tudják ellenörizni, hogy tényleg a te küldted-e. És lehet titkosításra is használni - ekkor az egész dokumentumot a kulcsoddal bekódolja a program. (Asszem így müködik...)
Arra semmiféle garancia nincs, hogy "hitelesen szkennelt"-e valaki, csak arra, hogy tényleg ö küldte el a dokumentumot. Innentöl kezdve pedig jogilag felelös a dokumentum hitelességéért.
Ok, tudom, hogy minden bitsorozatból keletkeztethető hash, az meg kódolható azzal a vacak kulccsal. De ezzel csak azt tudják később leellenőrizni:
- hogy az aláírt bitsorozat azonos e az aktuálissal
- érvényes volt-e az aláírásom az aláírás időpontjában
- a tanúsító szervezet "aktív" volt-e abban az időpontban.
Illetve timestamp szolgáltatással az aláírás idejét.
Szerintem az egyik veszélyforrás az, hogy a beszkennelt dokumentum nem azonos az eredetivel, tehát a szkennelés során
- veszhet el információ
- korruptálódhat az image
A szkennelést követően valakinek a felelőssége az elektronikus hitelesítés (aláírás), akkor őneki kell megállapítani, hogy a szkennelt image azonos az eredetivel? Ezt hogy végzed el 100.000.000 image esetén. Egy szkenner percenként 40-280 imaget keletkeztethet, ezek ellenőrzése lehetetlen.
Ha nem zárt a rendszerem megfelelően, akkor nem kerülhető el, hogy szkennelés és aláírás között az image megváltozzon.
Ha én szkennelek egy más által írt/aláírt papír alapú dokumentumot, akkor azt hitelessé teszi az én elektronikus aláírásom? Ezt kétlem.
Ilyen kérdések foglalkoztatnak.
A NetLockkal nekem vannak személyes tapasztalataim, de szerintem a fenti kérdésekre még ők sem tudják a választ.
A jelenlegi helyzetben (jogi, technikai) már sok cégnek mozgatja a fantáziáját az elektronikusan aláírt hiteles dokumentumok kezelése. Gondolok itt a számlákra, szerződésekre, levelekre, ajánlatokra stb.
Már több minősített hitelesítésszolgáltató van. (NetLock, Mávinformatika)
A magánkulcsok tárolása, az elektronius aláírás és hitelesítés technikai feltételei már rég rendelkezésre állnak. Most már van 2 hitelesített kriptográfiai hardver is Magyarországon.
Az elektronikus aláírást az új levelezőrendszerek kezelik.
Az egyszerű e-mailtól a szerződésekig elvileg már minden kezelhető elektronikusan, hitelesen.
Mit gondoltok, mennyi időre van még szükség az elektronikus hiteles dokumentumok elterjedéséig.
Mire várunk még, hogy a cégek közötti kapcsolatban elterjedjen?
Mit gondoltok keletkeztethető-e egy papír alapú dokumentumból hiteles elektronikus dokumentum?
Nem látom a digitális aláirások tekintetében elég következetesnek a kormányzatot.
A könyvitel szakszámvitel-tájékoztató szerint a számviteli törvény tervezett módositásai amelyet 2001-től terveznek életbe léptetni, még mindig nem fogadják el számviteli bizonylatnak az elektronikus okiratot.
Enélkül pedig az egész törvény nem sokat fog érni.
