Mindenekelőtt: minden aláírás egy adat. Ez így van akkor is, ha egy papíralapú szerződésre írjuk rá a nevünket, ami tartalmazza az egyedi, csak a saját kézírásra jellemző tulajdonságokat. Az aláírásunkat elemezve egy szakértő nagy valószínűséggel le tudja ellenőrizni annak a hitelességét – de esetenként az aláírást ellenőrző tanúkra is szükségünk lehet. Nincs ez másként az elektronikus aláírások esetében sem.
.jpg)
E-aláírási alapok
Az e-aláírás ugyanis szintén egy adat, de abból egy speciális fajta. Elektronikus lenyomat, ami szerves részét képezi az azt tartalmazó dokumentumnak.
A hiteles elektronikus aláírás “kikeveréséhez” három hozzávalóra lesz szükségünk. Kell hozzá egy dokumentum és kell hozzá egy két részből álló pecsét. Ennek a pecsétnek a két része maga az aláírás: két kulcs. Egy nyilvános és egy privát.
Ha a dokumentum az “ABC” karaktersort tartalmazza, a nyilvános kulcs pedig a “0” -ás számot, akkor ezt a kettőt kell kiegészíteni az “1” -es számot tartalmazó privát, csak az én birtokomban lévő kulcsommal. Ez az a bizonyos, a (végletekig leegyszerűsítve) az “ABC+0+1” függvényen alapuló folyamat, ami egy lepecsételt, számos kiegészítéssel ellátott elektronikusan aláírt dokumentumot fog végül eredményezni.
Ennek okán az elektronikus aláírás egyik fő ismérve, hogy nem csupán az aláíró személyét azonosítja be (akár úgy is, hogy az nincs az aláírás helyszínén), hanem az aláírt dokumentumot is.
Maga az aláírás így mindig változik, ugyanannak a személynek két különböző dokumentumon két különböző azonosítója keletkezik.
Az azonosító ugyanis egy bonyolult kódolást épít be a dokumentum szerkezetébe, amit, ha “csak úgy” kiragadok és “áthelyezek” egy másik dokumentumba, azonnal érvénytelenné válik az aláírásom.
Ugyanakkor, ha a teljes dokumentumot másolom (és nem módosítok benne semmit) akkor a másolat, a benne szereplő elektronikus aláírással együtt továbbra is hiteles dokumentumnak számít. Ezen tulajdonsága miatt a dokumentum bármikor továbbküldhető bárkinek, tulajdonképpen még az sem szükséges, hogy az eredeti az aláíró birtokában maradjon: maga a dokumentum tanúsítja önmaga hitelességét, így például az Adobe Sign szoftverrel létrehozhatóak olyan aláírási láncok, amik biztosítják a dokumentum minden egyes aláírói számára, hogy az előző aláíró már látta és elfogadta az adott dokumentumot.
Ez a fajta kettős garancia arra, hogy ha valaki utólag, szándékosan változtatná meg a szöveget a birtokában lévő, elektronikusan aláírt dokumentumon, az elveszítse a hitelességét. A szövegtörzs megváltoztatása után a szöveg már nem a tanúsítványnak megfelelő “ABC” elemeket tartalmazza, ezt a változást pedig az e-aláírás jelezné, és az irat a továbbiakban már nem lenne hitelesnek tekinthető.
De van egy kis gond a tanúsító kulcsokkal: egy hozzáértő könnyedén létre tud hozni ilyenből bármennyit.
Hogyan lehet akkor mégis hiteles egy ilyen dokumentum?
Az e-aláírás elfogadását az Európai Unióban, az eIDAS rendelet szabályozza. Az ilyen módon aláírt dokumentum így jogérvényes dokumentumnak számít. A rendelet az elektronikus aláírást az Unió teljes területén érvényesnek mondja ki, így a szabályozás Magyarországon is érvényes.
A 2015. évi CCXXII. törvény, valamint az elektronikus ügyintézési szolgáltatások nyújtására felhasználható elektronikus aláíráshoz és bélyegzőhöz kapcsolódó követelményekről szóló 137/2016. (VI. 13.) Korm. rendelet 2016 júliusától szabályozza a hazai e-azonosítással kapcsolatos feltételeket, és lehetővé teszi, hogy a Magyarországon létrehozott elektronikus aláírást az Európi Unió tagországaiban is elfogadják.
A szabályozás igen szigorú, és trendkövető, de ami a legfontosabb, mindenekelőtt meghatároz kétféle identitási szolgáltatót (olyan céget vagy szervezetet, aki hiteles azonosító kulcsot tud kiadni). A törvény különbséget tesz minősített és nem minősített szolgáltató között.
Az aláíró az általuk kibocsátott kulcsot felhasználva tudja teljes hitelességgel azonosítani magát az aláírás kezelő szoftver felé.
Értelemszerűen a “minősített szolgáltató” szint a magasabb szint. Az ilyen szolgáltatókról a Nemzeti Hírközlési Hatóság listát vezet, munkájukat folyamatos minőség ellenőrzésnek vetik alá, így az ilyen szolgáltatók által kibocsátott azonosítók használata esetén, ha bíróság elé kerül egy ügy, akkor nem a dokumentum kibocsátójának, hanem a dokumentum hitelességét támadó félnek kell bizonyítani az igazát.
De mi történik, ha ilyen szolgáltatást veszek igénybe?
Leegyszerűsítve a folyamatot az, hogy a dokumentum a saját aláírásomon kívül kiegészül egy újabb aláírással (a bizalmi szolgáltató aláírásával), aki kezeskedik azért, hogy én, én vagyok.
Ezt az aláírást pedig valakinek szintén tanúsítania kell, hiszen ki tudhatná egy ilyen tanúsító cégről, hogy elfogulatlan? Így elvileg egy végtelen lánc kellene, hogy kialakuljon a dokumentumban.
Itt jönnek képbe a “gyökértanusítók”, akik a piramis legfelső szintjén állnak. Magyarországon ezt a szerepet a Nemzeti Média és Hírközlési Hatóság látja el - a minősített tanúsítók tőle kapják a jogkörüket - és vállalják az ezzel járó (jogi és anyagi) felelősséget. Rendelkeznek a megfelelő jogi, informatikai és infrastrukturális háttérrel is.
A nem minősített szolgáltatók ezzel szemben bizalmi alapon szolgáltatnak, és nincsenek folyamatosan ellenőrizve az NMHH által. Egy párhuzammal élve olyan ez, mint egy közjegyző és a szomszéd Juliska néni közötti különbség: mindketten tanúsíthatják a dokumentumot, de ha bíróságra kerül az általuk kibocsátott tanúsítvány, csak az egyikük tudná ezt letagadni.
Az aláírások típusai
A szolgáltatást biztosító cégeken kívül a törvény az aláírások között is különbséget tesz, és három aláírás típust különböztet meg.
Ezek közül a legegyszerűbb, amit minden nap használunk, amikor aláírjuk például az e-mailjeinket, az a NEM FOKOZOTT BIZTONSÁGÚ aláírás. Ez egy nem titkosított, egyszerű aláírás. Nem áll mögötte hitelesítési szolgáltatás és nem felel meg a biztonsági előírásoknak, de mivel egy adott szolgáltatás használatához kötött, a törvény nem tekintheti semmisnek, ha a bíróság egy ilyen dokumentummal, e-maillel találkozik, azt vizsgálnia kell.
A második kategória a FOKOZOTT BIZTONSÁGÚ aláírás. Az ilyen aláírás már titkosítást végez (kriptográfia) és kulcs alapú, gyakorlatilag minden felhő alapú szoftveres és a személyes megjelenést megkövetelő, aláíró pad alapú aláírás ilyen.
Ennél már igénybe lehet venni hitelességi szolgáltatót (nem minősített, pl. Wacom, Adobe) vagy minősített (ezzel foglalkozó cég) - így az aláírás letagadhatatlan lesz, és azt a bíróság a szolgáltatótól függően fogja kezelni.
Előnye, hogy úgy lehetséges aláírást kibocsátani, hogy az aláíró személy nem tartózkodik egy helyszínen az aláírást fogadó féllel, így az ügyintézési idő jelentősen csökken.
Fontos megjegyezni, hogy ha a hitelességi szolgáltató minden kritériumnak maximálisan megfelel ez az aláírás forma a MINŐSÍTETT aláírásnak megfelelő biztonságot nyújt, jogilag is így kezeli az Európai Unió.
A legbiztonságosabb a MINŐSÍTETT ELEKTRONIKUS ALÁÍRÁS. Ez egy hardveres titkosítású, fokozott biztonságú, minősített hitelességi szolgáltató által kibocsájtott aláírás.
Ilyen van például az e-személyiben is - ez esetben a Magyar Állam garantálja az állampolgárai hitelességét. Mivel a biztonsági kártya használatához az aláírónak a kártyával a leolvasót kell megérintenie, a személyazonossága 100%-ig garantálható. Ez a tulajdonsága egyben a hátránya is. Cserében minden bíróság előtt megáll, a hiteltelenségét annak a félnek kell bebizonyítania, aki kételkedik abban, és amíg ez nem történik meg, addig ez az aláírás hitelesnek minősül.
Ha szívesen böngésznél az e-aláírás bevezetését támogató termékek között, akkor ajánljuk alábbi cikkünket, illetve az Adobe Sign-t.
Figyelem! A tartalom legalább 2 éve nem frissült! Előfordulhat, hogy a képek nem megfelelően jelennek meg.