A technológia
A digitális aláírás (digital signature) az ún. aszimmetrikus kriptográfiai algoritmusra épülő technológia, amely teljes mértékben helyettesíteni képes a hagyományos aláírást. Egyértelműen azonosítja az aláíró személyét, az ún. időpecséttel (time stamp) igazolja az aláírás időpontját, valamint bizonyítja, hogy az így aláírt dokumentumot nem változtatták meg az aláírás pillanata óta, azaz a dokumentum eredetiségét, integritását.
Könnyű belátni a digitális aláírás előnyeit a klasszikussal szemben. A mai technológiai szinten gyakorlatilag hamisíthatatlan, ezért letagadhatatlan. Az aláírás eredetiségének igazolása nem igényel igazságügyi szakértőt, grafológust sem szükséges alkalmazni, a felhasználói felületen néhány kattintással ellenőrizhető. A legkisebb módosítás (tempering) bárhol az eredeti dokumentumban azonnal kitűnik, míg egy klasszikus módon aláírt papír könnyebben megváltoztatható, hamisítható az eredeti aláírás változatlanul hagyása mellett.
Igaz továbbá, hogy a digitálisan aláírt dokumentum azonnal továbbítható, nincs szükség postára, így olcsóbb, papírmentes, tehát környezetkímélő.
Bár a kettőt a napi gyakorlatban többnyire szinonimaként használják, a digitális aláírás nem azonos az elektronikus aláírással, amely tágabb fogalom. Ide tartozik az ujjlenyomat vagy kézzel elektronikus írólapon (pad) készült aláírás is. A Microsec a következőképpen fogalmaz: „A digitális aláírás elsősorban egy műszaki fogalom, amely a technológiára is utal (kriptográfiai transzformáció). Az elektronikus aláírás ezzel szemben jogi fogalom, amelyet jogszabály (az eIDAS Rendelet) határoz meg. Az eIDAS Rendelet az elektronikus aláírást nagyon tág és technológia-független fogalomként definiálja (»az elektronikus aláírás olyan elektronikus adat, amelyet más elektronikus adathoz csatolnak, illetve logikailag hozzárendelnek és amelyet az aláíró aláírásra használ«), így az elektronikus aláírás fogalmából nem következik feltétlenül kriptográfiai módszerek alkalmazása.” (ld. lejjebb)
Az aszimmetrikus kulcsú titkosítás
Az aszimmetrikus vagy más néven nyílt kulcsú titkosítás lényege az, hogy a kommunikáló részvevők egy kulcspárral rendelkeznek, éspedig egy nyilvános (public key) és egy titkos kulccsal (private key), amelyek között matematikai összefüggés áll fenn. A nyilvános kulcsot mindenki ismerheti, míg a titkos kulcsot a tulajdonos szigorúan magának őrzi meg.
A technológia használható egyrészt kommunikáció titkosítására, másrészt elektronikus aláírásra is. Míg titkosítás esetén mindig a kedvezményezett/címzett nyilvános kulcsát használjuk annak érdekében, hogy kizárólag ő legyen képes az üzenet visszafejtésére, addig aláírásnál a kezdeményező fél a saját titkos kulcsát használja az üzenet „aláírására”. Ezt az aláírást a fogadó fél aztán a küldött nyilvános kulcsával tudja „visszafejteni”, ezzel ellenőrizve a küldő felet.
Kommunikáció esetén a dokumentumot a fogadó partner nyilvános, valamint a saját titkos kulcsával írja alá a kezdeményező fél, és a kezdeményező fél nyilvános, valamint a saját titkos kulcsával fejti meg a fogadó fél. A nyilvános kulccsal titkosított dokumentumot csak az ahhoz tartozó titkos kulccsal lehet megfejteni.
A kulcsokat a szolgáltatók általában egy adathordozón (pendrive, token) adják a felhasználóknak, amit a titkosítás/aláírás/megoldás időtartamára benn kell tartani a számítógépben, és amelynek hiányában a kommunikáció működésképtelen.
Hash érték/lenyomat
Ahhoz, hogy a felhasználó biztos legyen abban, a dokumentumot nem változtatták meg illetéktelenül, a dokumentumból a kulcsokkal egy 256 vagy 512 bit hosszúságú bitsorozatot képeznek egy ún. kriptográfiai hash-függvénnyel, amely a dokumentumra egyedien jellemző. Ez a leképezés mindenképpen megváltozik az eredeti dokumentum legkisebb módosítása során is. Az így keletkezett egyedi jellemző a digitális tanúsítvány alapja.
Időpecsét
Az időpecsét vagy időbélyeg a dokumentum keletkezési idejének hiteles digitális igazolása. A dokumentumból megkeletkeztetett lenyomatot (hash) a felhasználó beküldi a szolgáltatóhoz, amely azt megbízható időigazolással visszaküldi. Időpecsét nélkül a digitális aláírás még hiteles (ekkor aláírás időpontjaként az aláíró gép ideje szerepel, ami nem hiteles), de az aláírás időpontja nem az, ami bizonyos esetekben perdöntő lehet, és egyes eljárás rendeknél jogilag elvárt.
Tanúsítás
Ahhoz, hogy a felhasználó biztos lehessen abban, valóban azzal kommunikál, akivel akar, és nincs közöttük valaki, aki mindkettőjükben azt a hitet kelti, hogy ő a partner (man-in-the middle), pedig nem az, a partnerek nyilvános kulcsait egy független harmadik félnek, tanúsító hatóságnak (certificate authority) hitelesíteni kell. Ez technológiailag azt jelenti, hogy a felhasználó nyilvános kulcsát és egyéb kiegészítő adatokat a hatóság digitálisan aláír és egy tanúsítványba foglal.
PKI
A digitális aláíráshoz tartozó eszközöket, eljárásrendeket együttesen Nyilvános Kulcsú Infrastruktúrának (Public Key Infrastructure, PKI) nevezzük.
Felhasználási területek
Szolgáltatók
Számos vállalat szolgáltat Magyarországon digitális aláírást azzal a megkötéssel, hogy a szerződő partnereknek előzetesen önkéntesen el kell fogadniuk a szolgáltatót mint megbízható partnert, mert a szolgáltató az állam által nem elismert. Ilyen például a nemzetközi piacon is mozgó DocuSign.
A nehézkes, drága, helyigényes, komoly logisztikát igénylő klasszikus papíralapú irattárolás helyett a szolgáltatók beszkennelik a tárolandó dokumentumokat, majd azokat digitálisan aláírják az eredetiséget igazolandó. Ilyen például a nemzetközi piacokon ugyancsak jelenlevő Iron Mountain.
A szolgáltatók harmadik kategóriájába azok a szolgálatók tartoznak, akiket az állam is elismer. Ezek az eIDAS rendelet által meghatározott és egyéb magyar jogszabályok által pontosított feltételeknek megfelelő bizalmi szolgáltatók. Magyarországon ilyen szolgáltató a Microsec és a NETLOCK.
További bizalmi szolgáltató maga az állami NISZ (AVDH, ESzemélyi), amely szűkebb területen, de ingyenes hozzáférést ad a digitális aláírás alapú szolgáltatásaihoz.
A magyar jogi környezet
A digitális aláírási gyakorlatot az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (eIDAS rendelet) szabályozza.
Ezt követte a 2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól (Eüsztv.), valamint a 137/2016. (VI.13.) Kormányrendelet az elektronikus ügyintézési szolgáltatások nyújtására felhasználható elektronikus alíráshoz és bélyegzőhöz kapcsolódó követelményekről.
A magyar gyakorlat
A COVID miatt – kicsit talán kényszerből is – az elektronikus aláírás egyre több helyen jelent meg, egyre több eljárásban elfogadott az elektronikus aláírás, magánvállalatok egymás közötti szerződéskötésre is egyre gyakrabban használják.
Ugyanakkor a magyar valóság a fenti idilli képet valamelyest árnyalja. A szabályozás nem egységes és számos kibúvót enged meg mind az állami, mind pedig a privát felhasználóknak.
Az eIDAS 25. cikk (1) bekezdés: csak arról szól, hogy bírósági eljárásokban az elfogadást nem lehet csak azért megtagadni, mert elektronikus, de más ürüggyel az elfogadás megtagadható, mint pl. az adott formátum olvasását vagy a saját iratkezelési szabályai szerinti hosszú távú megőrzést nem tudja biztosítani stb.
Az Eüsztv. 1. § 17. pont szerinti „elektronikus ügyintézést biztosító szervek” a 2. § (1) bekezdés szerint kötelesek az e-ügyintézést biztosítani. A 8. § (1) bekezdés miatt ennek részét képezi az is, hogy az ügyfélnek képesnek kell lennie arra, hogy az ügyintézési cselekményeit „elektronikus úton végezhesse, nyilatkozatait elektronikus úton megtehesse”. De például a közüzemi szolgáltatók csak akkor kötelesek elektronikus aláírást elfogadni, ha havonta átlagosan legalább 150 000 számlát bocsátanak ki. A nem közfeladatot ellátó szervek nem is kötelesek elfogadni, de önkéntesen vállalhatják.
A fenti jogszabályok bizonyos határok között kötelezik az állami szerveket a digitális aláírás elfogadására, de nem szankcionálják azokat, amelyek ezt mégsem teszik. Ugyanez még inkább igaz a magánvállalatokra.
Sajnos azonban továbbra is gyakori, hogy nemcsak magánvállalatok, hanem vezető állami intézmények sem fogadnak el digitálisan aláírt dokumentumot. Kézzel aláírva, lepecsételve, majd beszkennelve kérik, esetleg utána papíron is postai úton. Sokszor elektronikusan aláírt dokumentumot kinyomtatva kezelnek tovább és iktatják/dolgozzák fel, holott azt fontos hangsúlyozni, hogy az elektronikusan aláírt dokumentum kizárólag elektronikusan hiteles. Gyakori, hogy a kinyomtatott dokumentumot újra szkennelik, leginkább gépi úton olvasható (OCR) formátumba ahelyett, hogy az eredetit használnák fel. Emellett felesleges hangsúlyozni, mennyivel könnyebben hamisítható így egy kézzel készült aláírás vagy egy Mister Minitnél utángyártott pecsét.
Köszönetet mondok dr. Sorbán Kingának, dr. Homoki Péternek és Kovács Tamásnak az értékes kiegészítéseikért.