<<< Networkshop 2012 előadásomChipes (EMV) bankkártyák biztonsága >>>

Több, mint egy éve, hogy megjelent a könyvem, a NAGY E-SZIGNÓ KÖNYV, amelyben leírtam mindent, "amit az elektronikus aláírásról tudni akartál, csak féltél megkérdezni".

A PKI világa friss, folyamatosan változik. Mit írnék ma másképp a könyvben?

  1. Változtak az elektronikus aláíráshoz kapcsolódó egyes joghatások az Eat. és Pp. 2012-es április változásai kapcsán. Többek között:

    • Megjelent a minősített tanúsítványra épülő nem minősített aláírás fogalma. Az ilyen aláírással hitelesített dokumentum is teljes bizonyító erejű magánokirat (vagy közokirat), ugyanakkor sokkal egyszerűbben és akár nagy tömegben is készíthető, mert nem szükséges hozzá biztonságos aláírás-létrehozó eszköz (BALE).

    • Szervezet is kaphat minősített tanúsítványt, így már nemcsak természetes személy, hanem szervezet is bocsáthat ki nagy tömegben teljes bizonyító erejű magánokiratot vagy közokiratot.

    Nagyon komoly előrelépésnek tartom, hogy immár szervezet is bocsáthat ki nagy tömegben erős bizonyító erővel rendelkező dokumentumokat. Úgy gondolom, ma elsősorban itt érhető el jelentős megtakarítás az elektronikus aláírás segítségével.

  2. Változott az elektronikus aláíráshoz használható algoritmusok köre. Az Nemzeti Média- és Hírközlési Hatóság határozatában megtiltotta a szolgáltatóknak az SHA-1 lenyomatképző algoritmus használatát. Furcsa módon az 1024 bites RSA nem került betiltásra, pedig a nagy böngészőprogramok már elég régen tiltják, hogy a hitelesítés-szolgáltatók 1024 bites tanúsítványt bocsássanak ki. Sajnos az Eat. szerint az NMHH csak a szolgáltatókra vonatkozó határozatot hozhat, ezért épp a legkritikusabb helyre, pl. az aláíró által hitelesített lenyomatra nem vonatkozik a tiltás. Az algoritmusváltás időszerű volt, de ebben a formában a lényeg valahol elveszett.

  3. Az EU-s bizalmi listák ma sokkal nagyobb hangsúlyt kapnának. Amikor a könyvet írtam, még nem láttam, mi lesz belőlük, ezért csak egy igen apró fejezetet kaptak. Mára jól használható, előremutató technológiává kezdenek válni.

    Nem várható, hogy közös EU-s root jönne létre, így bizalmi listák alapján lehet majd külföldi aláírást automatizáltan ellenőrizni. Az egyes EU tagállamok által kibocsátott listák leírják, hogy az adott tagállamban milyen (hitelesítés-)szolgáltatók működnek, és tartalmazzák a szolgáltatók tanúsítványait. A Brüsszel által kibocsátott "listák listája" pedig azt írja le, hogy melyik tagállam listája hol található, és milyen tanúsítvány alapján ellenőrizhető. A listák listája alapján így - elvileg - bármely EU-s szolgáltató tanúsítványa beszerezhető. Még nem tisztult le teljesen, hogy hogyan kell használni a listákat, de nyilvánvalóan ők jelentik majd a továbblépést.

  4. A Ket. és végrehajtási rendeleteinek 2012-es változása, ismét újraalkotta a közigazgatásban használható elektronikus aláírásokra vonatkozó szabályokat. A könyvben csak a korábbi (még a 2005-ös) szabályozás bukása szerepel, mint negatív esettanulmány. Közben 2010-ben is megjelent egy szabályozás, de mire elterjedt volna, már hatályon kívül is helyezték. Az új, 2012-es szabályozás sok új lehetőséget nyit meg, bár néhány kérdést következetesen állami kézbe von.

  5. Számos sajnálatos PKI incidens történt az elmúlt egy-másfél évben. Ha most írnék könyvet a PKI-ről, le kellene vonni benne az elmúlt időszak tanulságait.

  6. Az elektronikus aláírásról, egyszerűen című kiadványban egészen jól sikerült összefoglalnom, amit egy végfelhasználónak az elektronikus aláírásról tudnia érdemes. Ezen kívül elkészült két "konzerv" aláírási szabályzat, az EGYSZERŰSÍTETT és a SZIGORÍTOTT, amelyek jó alapul szolgálhatnak, ha valaki szabályozni szeretné, hogy milyen e-aláírásokat szeretne befogadni. Igaz, ezek az anyagok is megérdemelnének egy frissítést a fenti változások miatt.

  7. Időközben változtak az elektronikus számlázásra vonatkozó jogszabályok. Az új szabályok új lehetőségeket nyitottak meg. Fő változás, hogy a papír alapú számlák tekintetében a megőrzési kötelezettség a - 13/2005. IHM rendelet szerint - digitalizált számla megőrzésével is teljesíthető, és az adóhatóság nem kérheti az eredeti, papír alapú példányt.

  8. Sokat foglalkoztam a biztonságos aláírás-létrehozó eszközök hazai és külföldi fogalmával, megjelenésével, és ennek keretében igen érdekes dolgokat tapasztaltam.

  9. Folyamatban van az elektronikus aláírásról szóló 1999/93/EC EU irányelv felülvizsgálata. A közelmúltban megjelent egy tervezet az új joganyagról. Bár ez még nem hatályos, bizonyos irányok jól látszanak benne.

Ha a későbbiekben eszembe jut még valami, frissíteni fogom ezt a bejegyzést, és beleírom.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.