Elektronikus aláírás - Fogalmak

Aláírás-ellenőrző adat: Olyan egyedi adat (jellemzően kriptográfiai nyilvános kulcs), amelyet az elektronikusan aláírt elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ.

Az aláírás-ellenőrző adat gyakran szerepel tanúsítványban, amelyben egy hitelesítés szolgáltató az elektronikus aláírásával igazolja, hogy az aláírás-ellenőrző adat mely személyhez vagy berendezéshez tartozik.

Aláírás-létrehozó adat: Olyan egyedi adat (jellemzően kriptográfiai magánkulcs), amelyet az aláíró az elektronikus aláírás létrehozásához használ.

Álneves tanúsítvány: Akkor nevezünk egy tanúsítványt álneves tanúsítványnak, ha a tanúsítványban nem a tanúsítványhoz tartozó felhasználó (aláíró) valódi neve szerepel, hanem valamelyik más szöveg. Az elektronikus aláírásról szóló törvény kötelezővé teszi, hogy a hitelesítés szolgáltatók álneves tanúsítványokat is bocsássanak ki. Sajnos az álneves tanúsítványok jelentősen megnehezítik a többi, nem álneves tanúsítvány használatát is, ugyanis az álneves tanúsítványban bármilyen név - akár egy másik személy neve is, akihez a tanúsítvány alanyának semmi köze nincsen - előfordulhat. Álneves tanúsítvány esetén sajnos - pusztán a tanúsítvány alapján - semmilyen támpontunk nem lehet arról, hogy a tanúsítvány valójában kihez is tartozik. Ennek megfelelően sok felhasználó és sok szervezet következetesen visszautasítja az álneves tanúsítványok alapján aláírt dokumentumokat.

FONTOS: Mielőtt egy tanúsítványt elfogadnánk, mindig ellenőrizzük, hogy nem álneves tanúsítványról van-e szó! Sajnos a Magyarországon működő hitelesítés szolgáltatók egymástól eltérő módon jelölik, hogy a tanúsítvány álneves. Van olyan szolgáltató, amelyik az aláíró nevébe (CN) bizonyos speciális karaktereket is behelyez, és ezzel jelöli, hogy álnévről van szó. Olyan szolgáltató is van, amelyik a tanúsítvány valamely mezejében jelzi, hogy az aláíró neve (CN) nem a valódi nevet tartalmazza, tehát nem szabad rá támaszkodni.

Elektronikus aláírás: Elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat.

Elektronikus aláírás ellenőrzése: Az elektronikus dokumentum aláíráskori, illetve ellenőrzéskori tartalmának összevetése, továbbá az aláíró személyének azonosítása a dokumentumon szereplő, illetve a hitelesítés-szolgáltató által közzétett aláírás-ellenőrző adat, valamint a tanúsítvány felhasználásával.

Fokozott biztonságú elektronikus aláírás: A fokozott biztonságú elektronikus aláírásokra enyhébb jogszabályi előírások vonatkoznak, mint a minősített elektronikus aláírásra. A tanúsítvány kibocsátása során kevésbé szigorú ellenőrzés is elegendő és a tanúsítványhoz nem feltétlenül szükséges intelligens kártyát vásárolni. Így a fokozott biztonságú elektronikus aláíráshoz használható tanúsítványokat a minősített tanúsítványoknál jelentősen kedvezőbb áron kínálhatjuk.

Hitelesítési rend: Az elektronikus aláírásról szóló törvény szerint: "Olyan szabálygyűjtemény, amelyben a Szolgáltató valamely tanúsítvány felhasználásának feltételeit írja elő igénybe vevők valamely közös biztonsági követelményekkel rendelkező csoportja, illetőleg meghatározott alkalmazások számára."

A hitelesítés szolgáltató minden tanúsítványt valamely hitelesítési rend szerint bocsát ki, és szerepelteti azon hitelesítési rend (vagy rendek) azonosítóját (OID-jét) a tanúsítvány Certificate Policies mezejében, amelyeknek az adott tanúsítvány megfelel. A hitelesítési rend tartalmazza (vagy a szolgáltató szolgáltatási szabályzatában meghivatkozza), hogy az adott hitelesítési rendnek megfelelő tanúsítványokat pontosan milyen módon kell ellenőrizni. A szolgáltatók csak akkor vállalnak felelősséget a tanúsítvány felhasználásáért, ha azt ellenőrzéskor a megfelelő hitelesítési rend szerint ellenőrizték.

A hitelesítési rend (Certificate Policy) korábbi elnevezése tanúsítvány típus.

Hitelesítő egység: A hitelesítés szolgáltató rendszerének egy egysége, amely tanúsítványok aláírását végzi. Egy hitelesítő egységhez mindig egy aláírókulcs tartozik. A Magyarországon működő hitelesítés szolgáltatók mind több hitelesítő egységet működtetnek, ugyanis a jogszabályok előírják, hogy a minősített tanúsítványok kibocsátására használt magánkulcsot (és így az őt magába foglaló hitelesítő egységet) más célra (például fokozott biztonságú tanúsítványok kibocsátására) nem használhatják.

Időbélyegzési rend: Olyan szabálygyűjtemény, amelyben a Szolgáltató az általa kibocsátott időbélyegzők felhasználásának feltételeit írja elő igénybe vevők valamely közös biztonsági követelményekkel rendelkező csoportja, illetőleg meghatározott alkalmazások számára.

Legfelső szintű hitelesítés szolgáltató, root hitelesítés szolgáltató: A nyilvános kulcsú infrastruktúrában a felhasználók a hitelesítés szolgáltatók által kibocsátott tanúsítványok alapján ellenőrizhetik egymás, illetve más hitelesítés szolgáltatók tanúsítványait. Akinek van tanúsítványa, azzal biztonságosan (például titkosan vagy hitelesen, akár elektronikusan aláírva) kommunikálhatnak. Mindezt anélkül tehetik, hogy előzetesen közös titkos kulcsban állapodtak volna meg.

Ahhoz, hogy valaki tanúsítványokat ellenőrizhessen, meg kell, hogy bízzon legalább egy hitelesítés szolgáltatóban. Ezáltal elfogadja azon hitelesítés szolgáltató által kibocsátott tanúsítványokat, valamint elfogadja az azon hitelesítés szolgáltató által felülhitelesített hitelesítés szolgáltatókat és az azok által kibocsátott tanúsítványokat is.

Ez a hitelesítés szolgáltató, amelyiknek a kulcsára a felhasználó minden ellenőrzést visszavezet, az ún. legfelső szintű vagy root hitelesítés szolgáltató. A root hitelesítés szolgáltató kulcsát nem lehetséges a nyilvános kulcsú infrastruktúra segítségével ellenőrizni, így ahhoz a felhasználó más módon kell, hogy hozzájusson. (A legtöbb szoftver - például a Windows - eleve tartalmazza bizonyos legfelsőbb szintű hitelesítés szolgáltatók nyilvános kulcsait.) Ha a root hitelesítés szolgáltató kulcsa kompromittálódik, azt nem lehet a nyilvános kulcsú infrastruktúrán belül közzétenni, erre más megoldást- például a médiát - kell választani.

Minősített elektronikus aláírás: A minősített elektronikus aláírás a legszigorúbb biztonsági követelményeknek megfelelő elektronikus aláírás. Minősített elektronikus aláírás létrehozásához minősített tanúsítvány szükséges, valamint az aláírást-létrehozó adatot biztonságos aláírás-létrehozó eszközön kell tárolni, és az aláírást ezen eszköz segítségével kell létrehozni. Bizonyos szolgáltatások igénybevételéhez minősített elektronikus aláírásra van szükség.

Nyilvános kulcs: A nyilvános kulcsú infrastruktúra minden szereplője két kulccsal rendelkezik: titkos kulccsal és nyilvános kulccsal. A titkos kulcsát mindenki titkokban tartja (esetleg például intelligens kártyával is védi), míg a nyilvános kulcsát nyilvánosságra hozza. A nyilvános kulcsot általában tanúsítvány formájában hozzák nyilvánosságra. A tanúsítvány azt jelenti, hogy egy ún. hitelesítés szolgáltató elektronikus aláírással látja el, így a nyilvános kulcs hitelességét, sértetlenségét bárki ellenőrizheti.

A nyilvános kulcs segítségével bárki ellenőrizheti azon aláírásokat, amelyeket a titkos kulcs segítségével hoztak létre. Más alkalmazásokban a nyilvános kulcs segítségével titkosított üzenet küldhető, amelyet csak a titkos kulcs birtokosa tud dekódolni.

Online tanúsítvány-állapot (OCSP) szolgáltatás: Az online tanúsítvány-állapot szolgáltatás (OCSP) segítségével az összes tanúsítvány aktuális visszavonási állapota lekérdezhető. A lekérdezés azonnali, hiteles választ ad egy tanúsítvány állapotáról. E szolgáltatás segítségével állapítható meg egy tanúsítvány visszavonási állapota a leggyorsabb és legbiztonságosabb módon. A tanúsítvány-állapot válasz hitelessége később is ellenőrizhető, így e válaszok bizonyítékként is felhasználhatóak.

Az OCSP szolgáltatás a leghatékonyabb módja egy tanúsítvány visszavonási állapota lekérdezésének. Míg a hagyományos visszavonási listák (CRL-ek) esetében egy aláírás érvényességét leghamarabb csak a következő visszavonási lista közzététele után (azaz akár napokkal az aláírás időpontja után) lehet bizonyítani, addig az OCSP esetében azonnali, hiteles válasz érkezik, amely csatolható az aláírt dokumentumhoz.

Regisztráció: Az az eljárás, amely során a hitelesítés szolgáltató megállapítja egy felhasználó (vagy aláíró) személyazonosságát, összegyűjti és ellenőrzi azon adatokat, amelyeket a későbbiekben nyilvántart róla, illetve a tanúsítványában szerepeltet. A regisztráció során összegyűjtött információkat az elektronikus aláírásról szóló törvény szerint a hitelesítés szolgáltatónak a tanúsítvány lejárta után 10 évig meg kell őriznie.

Bizonyos esetekben a hitelesítés szolgáltató munkatársának személyesen találkoznia kell a felhasználóval (aláíróval), hogy személyesen azonosíthassa valamely igazolványa alapján. Minősített tanúsítványok kibocsátásához jogszabály teszi kötelezővé a személyes regisztrációt, de a hitelesítés szolgáltató is dönthet úgy, hogy bizonyos típusú tanúsítványokat kizárólag személyes regisztráció során bocsát ki. Mivel a tanúsítványból megállapítható, hogy személyes regisztráció során bocsátották ki, az ilyen tanúsítványokban mások várhatóan jobban megbíznak. Bizonyos felhasználók illetve szervezetek kikötik, hogy kizárólag személyes regisztráció során kibocsátott tanúsítványt fogadnak el.

Tanúsítvány felfüggesztése: Ha egy tanúsítványt felfüggesztenek, éppúgy érvénytelenné válik, mintha visszavonták volna. Egyetlen különbség, hogy a felfüggesztett tanúsítványok újra érvényessé tehetőek, ha visszaállítják őket.

Tanúsítvány visszavonása: Ha egy tanúsítványt visszavonnak, érvénytelenné válik, és soha többet nem tehető érvényessé. Az érvénytelen tanúsítványokat várhatóan senki nem fogja elfogadni. Amint egy elektronikus aláírásra szolgáló tanúsítványt visszavonnak, a hitelesítés szolgáltató ezt (visszavonási listán illetve OCSP segítségével) közzéteszi, és e tanúsítvány alapján ezen túl nem lehet érvényes dokumentumokat aláírni. (A korábban aláírt dokumentumok érvényességét a visszavonás nem érinti.)

A tanúsítványokat általában akkor vonják vissza, ha a hozzájuk tartozó titkos kulcs (például aláírás létrehozó adat) illetéktelen kezekbe került.

Tanúsítvány visszavonási lista (Certificate Revocation List, CRL): Valamely okból felfüggesztett vagy visszavont, azaz érvénytelenített tanúsítványok azonosítóit tartalmazó elektronikus lista, amelyet a hitelesítés-szolgáltató bocsát ki. A CRL alapú ellenőrzésnél sokkal gyorsabb módja egy tanúsítvány ellenőrzésének az OCSP szolgáltatás használata.

Titkos kulcs, magánkulcs, aláíró kulcs: A nyilvános kulcsú infrastruktúra minden szereplője két kulccsal rendelkezik: titkos kulccsal (vagy magánkulccsal) és nyilvános kulccsal. A titkos kulcsát mindenki titkokban tartja (esetleg például intelligens kártyával is védi), míg a nyilvános kulcsát - például tanúsítvány formájában - nyilvánosságra hozza. A titkos kulcs szolgálhat például elektronikus aláírás létrehozására (ez esetben aláíró kulcsnak hívjuk) vagy titkosított üzenetek visszafejtésére.

Titkos kulcs kompromittálódása: Kompromittálódása alatt azt értjük, ha a titkos kulcs valami miatt illetéktelen kezekbe kerül, vagy feltételezhető, hogy illetéktelen kezekbe került. Ilyenkor a kulcsot birtokló illetéktelen személy visszaélhet a kulccsal és a tanúsítvánnyal: például, elektronikus aláírást hozhat létre a tanúsítványhoz tartozó felhasználó nevében.

Kompromittálódás esetén haladéktalanul értesíteni kell a titkos kulcshoz tartozó tanúsítványt kibocsátó hitelesítés szolgáltatót, aki visszavonási listán illetve OCSP segítségével közzéteszi, hogy a tanúsítvány e pillanattól fogva érvénytelen.

Tranzakciós limit: Azon értékhatár, ameddig a minősített tanúsítvány használható. Az ezen értékhatár feletti (anyagi, erkölcsi, eszmei stb.) értékű dokumentumok aláírására az adott tanúsítvány nem alkalmas. Amennyiben a tanúsítvánnyal ezen értékhatár feletti értékű dokumentumot írtak alá, akkor az aláírás nem érvényes. Egyéb elnevezései: pénzügyi tranzakicós korlát, ügyleti érték, egy alkalommal vállalható kötelezettség legmagasabb mértéke.