Minősített elektronikus aláírás

A post-ot 2013. december 23-án frissítettem.

Több projekt kapcsán is előjött az elektronikus aláírás témakör, hogyan kell minősített aláírást készíteni. Több dokumentum szól arról, hogy mi az az elektronikus aláírás, tanúsítványok, hitelesítésszolgáltatások, de kevés helyen van összefoglalva, hogy Magyarországon milyen lehetőségeink vannak, és ezek milyen szabványokra épülnek.

Mi köze ennek a Java-hoz? Egyrészt feladat lehet elektronikus aláírást készíteni, illetve ellenőrizni Java alkalmazásból, másrészt van olyan elektronikus aláírást létrehozó termék is, melyet Java-ban fejlesztettek.

Ezzel a témakörrel kapcsolatban magyar nyelven rengeteget lehet megtudni Almási János "Elektronikus aláírás és társai" című könyvéből.

Én most csak arra térnék ki, hogy mi kell az elektronikus aláírás készítéséhez? Egyrészt kell egy tanúsítvány, mely tartalmazza a tulajdonos személyes adatait, a tulajdonos nyilvános kulcsát, valamint hitelesítve van egy harmadik fél, a hitelesítésszolgáltató által (ez a tanúsítvány hitelesítésszolgáltató általi elektronikus aláírásával történik). Szükség van egy aláíró eszközre, mely általában egy token, mágneskártya, USB eszköz stb. Ez az eszköz végezheti az aláírást oly módon, hogy beküldésre kerül az aláírandó adat, és az aláírást adja vissza (megakadályozva ezzel a magánkulcs másolásának lehetőségét) - ennek neve a BALE, biztonságos aláírás-létrehozó hardver eszköz. Valamint szükség van egy környezetre, melyben az aláírás történik, mondjuk egy személyi számítógépre, és különböző szoftver eszközökre, melyek az aláíró eszközzel kommunikálnak.

A könyv megírása óta a magyar hitelesítésszolgáltatókkal (certificate authority or certification authority - CA) kapcsolatban több változás is történt, melyeket nyomon lehet követni aNemzeti Hírközlési Hatóság Elektronikus aláírásokkal kapcsolatos nyilvántartásokat tartalmazó honlapján.

Itt fel vannak sorolva a nem-minősített és minősített szolgáltatók is, a minősítettek a következők:

A GIRO HIT@LES szolgáltatás és a Magyar Telekom (volt Matáv) e-Szignó is megszűnt, a megszűnő szolgáltatásokat átvevő szervezet a NetLock.

Valamint létrehoztak egy Közigazgatási Gyökér Hitelesítés-szolgáltatót (KGYHSZ) is, melynek jellegtelen honlapján megtudható, hogy az előbb felsorolt hitelesítésszolgáltatók mindegyikét felülminősítette, azaz egyaránt jogosultak közigazgatási felhasználásra szolgáló, hivatali aláíráshoz és ügyfél által használt aláíráshoz kapcsolódó tanúsítványok kibocsátására. Jelenleg tanúsítványt nem bocsát ki.

Ahhoz, hogy minősített aláírást hozzunk létre, a minősített tanúsítványunkon kívül szükség van egy biztonságos tanúsított minősített aláírást létrehozó termékre is, melyet jelenleg két szervezet tanúsít, hogy az adott hardver (ide tartozik a BALE is) és szoftver megfelel-e aláírás létrehozására:

Az elektronikus aláírás és annak rokon, kapcsolódó és származékos technológiák népszerűsítésére létrejött aMagyar Elektronikus Aláírás Szövetség, mely kiadott egy MELASZ-Ready Ajánlást, melynek célja, hogy a magyar közigazgatás számára kidolgozzon egy olyan feltételrendszert az elektronikus aláírás formátumára, és egy olyan tanúsítási eljárást, mellyel biztosítható a különböző eszközök által készített aláírások kompatibilitása. A szabvány a W3C XML Advanced Electronic Signatures (XAdES) szabványon alapul. A XAdES XML formátumú, és hátránya, hogy az aláírt dokumentum megtekintéséhez először ki kell csomagolni azt. Mivel a PDF a PKCS szabványok közül válogatott, az a XAdES-szel nem kompatibilis, előnye viszont, hogy az aláírt dokumentum azonnal megnyitható, kicsomagolás nélkül.

A következő aláírási termékek tanúsítottak, melyek képesek minősített aláírás létrehozására. A Melasz a tanúsított termékek között az összeset felsorolja az InfoCA-n kívül.