Miközben a papírra vetett aláírásokat viszonylag egyszerűen lehet hamisítani, sok helyen még mindig kötelező használatuk. Pedig létezik egy annál sokkal biztonságosabb megoldás: az elektronikus aláírás. Az elektronikus aláírás nem csak az aláíró személyét azonosítja minden kétséget kizáróan. Tartalmazza az aláírás pontos (meghamisíthatatlan) időpontját és a dokumentum integritását is védi, tehát a dokumentum aláírás után már nem módosítható, különben az aláírás érvényét veszti.
A minősített elektronikus aláírás tulajdonképpen egy kriptográfiai eljárás, aminek alkalmazása a világ számos országában – így hazánkban is – a kézzel írott, két tanú előtti aláírással egyenértékű. Nem összekeverendő a digitális aláírással, hiszen míg az utóbbi terminus elsősorban a technológiára hivatkozik, addig az elektronikus aláírás nem csupán informatikai, hanem jogi fogalom is egyben.
Több mint húsz éves múlt
1996-ban az ENSZ Nemzetközi Kereskedelmi Jogi Bizottsága (UNCITRAL) közzé tette az elektronikus kereskedelem szabályozásáról szóló (Model Law on Electronic Commerce) ajánlásait. A hetes cikk különösen nagy hatással volt az elektronikus aláírás fejlődésére, számos országban, többek között az Egyesült Államokban is hozzájárult elterjedéséhez. Ennek legújabb változata az elektronikus és kézzel történő aláírásokat egymással egyenértékűnek ismeri el, egyben nemzetközi szintre emelve elfogadottságát.
Az Európai Unióban a 910/2014-es számú szabályozás ad jogi kereteket az elektronikus azonosításra, hitelesítésre és bizalmi szolgáltatások (electronic IDentification, Authentication and trust Services, eIDAS) nyújtására. A hazánkban 2016. július 1-jétől alkalmazott direktíva szerint a fejlett PKI-alapú (Public Key Infrastructure) elektronikus aláírás a jogi eljárásokban kötelezően elismerendő, bizonyító erővel szolgál. Azaz, ha egy szerződés csak elektronikusan készül el, de azt a felek minősített elektronikus aláírással szentesítik, egyenértékűvé válik egy papíralapú és tollal aláírt szerződéssel.
Az eiDAS-t szabályozó rendeletnek köszönhetően bármely tagállamban kiadott minősített tanúsítvány az EU összes tagállamában érvényes. Tehát az Európai Unió bármely országában adtak ki egy minősített tanúsítványon alapuló minősített elektronikus aláírást, azt az EU területén bárhol el kell fogadni minősített elektronikus aláírásként.
Ettől az Unió nem csak az e-aláírás terjedését várja, hanem azt is, hogy a különböző technológiák uniós szintű versenye újabb, felhasználóbarátabb és egyszerűbb megoldások kifejlesztésére serkentik majd a bizalmi szolgáltatókat. Az első hazai, eIDAS minősítésű szolgáltató, a Microsec ennek szellemében fejlesztette ki a PassBy[ME] mobile ID szolgáltatását.
Hogyan zajlik egy elektronikus aláírás?
A hazai elektronikus aláírásról szóló törvény négy szolgáltatást különböztet meg a témában. A hitelesítés szolgáltatás az e-aláíráshoz szükséges tanúsítványok kibocsátására és fenntartására vonatkozik. Az eszközszolgáltatás az aláírásokat létrehozó eszközök és a magánkulcsok generálását és kibocsátását biztosítja, ezek az ügyfél nevén kívül nyilvános kulcsát is tartalmazzák, mellyel ellenőrizhető az általa aláírt dokumentumok hitelessége.
Az időbélyegző szolgáltatással igazolható, hogy adott dokumentum adott időpontban már létezett, ezzel megakadályozható a szerződések visszadátumozása. Az elektronikus archiválás az elektronikus aláírással (és időbélyegzővel) rendelkező dokumentumok megbízható, hiteles tárolását nyújtja.
Elektronikus aláírás elkészítéséhez szükség van egy nyilvános és egy magánkulcsból álló párra. Előbbi bárki számára, utóbbi viszont csak az adott személyt hitelesítő részére érhető el. A hozzá tartozó tanúsítvány révén bárki meggyőződhet az aláírás hitelességéről.
A kívánt dokumentumot egy aláírás-létrehozó szoftverrel lehet hitelesíteni. Erre jellemzően képesek a Microsoft termékek (például az Outlook), de alternatív megoldások özöne (Mozilla, Adobe stb.) is rendelkezésre áll. Az elektronikusan aláírt dokumentumot érdemes időbélyegzővel ellátni, ekkor nem csupán az bizonyítható be egyértelműen, hogy azt egy adott személy írta alá, hanem annak időpontja is transzparens módon egyértelművé válik. Az időbélyeg az aláírás érvényességi idejét is növeli.
Az elektronikusan aláírt dokumentumok hitelessége ellenőrző alkalmazással vizsgálható meg. Ez jellemzően az aláírást létrehozó alkalmazásokkal zajlik, melynek során megvizsgálják, hogy a dokumentumba ágyazott nyilvános kulcs megegyezik-e az aláíró tanúsítványában szereplővel, illetve azt is, hogy az aláírás készítésekor érvényesek voltak-e a felhasznált tanúsítványok. Emiatt célszerű egyben időbélyegzőt is alkalmazni elektronikus aláíráskor. Ebből következően a fogalom alatt gyakran nem csupán magát az elektronikus aláírást értik, hanem a hozzá csatolt időbélyegzőt is.
Következő cikkünkben az elektronikus aláírás hazai alkalmazását fogjuk körbejárni.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak