Minősített elektronikus aláírás

A post-ot 2010. április 6-án frissítettem.

Több projekt kapcsán is előjött az elektronikus aláírás témakör, hogyan kell minősített aláírást készíteni. Több dokumentum szól arról, hogy mi az az elektronikus aláírás, tanúsítványok, hitelesítésszolgáltatások, de kevés helyen van összefoglalva, hogy Magyarországon milyen lehetőségeink vannak, és ezek milyen szabványokra épülnek.

Mi köze ennek a Java-hoz? Egyrészt feladat lehet elektronikus aláírást készíteni, illetve ellenőrizni Java alkalmazásból, másrészt van olyan elektronikus aláírást létrehozó termék is, melyet Java-ban fejlesztettek.

Ezzel a témakörrel kapcsolatban magyar nyelven rengeteget lehet megtudni Almási István "Elektronikus aláírás és társai" című könyvéből.

Én most csak arra térnék ki, hogy mi kell az elektronikus aláírás készítéséhez? Egyrészt kell egy tanúsítvány, mely tartalmazza a tulajdonos személyes adatait, a tulajdonos nyilvános kulcsát, valamint hitelesítve van egy harmadik fél, a hitelesítésszolgáltató által (ez a tanúsítvány hitelesítésszolgáltató általi elektronikus aláírásával történik). Szükség van egy aláíró eszközre, mely általában egy token, mágneskártya, USB eszköz stb. Ez az eszköz végezheti az aláírást oly módon, hogy beküldésre kerül az aláírandó adat, és az aláírást adja vissza (megakadályozva ezzel a magánkulcs másolásának lehetőségét) - ennek neve a BALE, biztonságos aláírás-létrehozó hardver eszköz. Valamint szükség van egy környezetre, melyben az aláírás történik, mondjuk egy személyi számítógépre, és különböző szoftver eszközökre, melyek az aláíró eszközzel kommunikálnak.

A könyv megírása óta a magyar hitelesítésszolgáltatókkal (certificate authority or certification authority - CA) kapcsolatban több változás is történt, melyeket nyomon lehet követni a Nemzeti Hírközlési Hatóság Elektronikus aláírásokkal kapcsolatos nyilvántartásokat tartalmazó honlapján.

Itt fel vannak sorolva a nem-minősített és minősített szolgáltatók is, a minősítettek a következők:

• Máv Informatika, tanúsítvány kiadási rendszere a Trust&Sign, majd a Trust&CA
• Microsec e-Szignó
• NetLock

A GIRO HIT@LES szolgáltatás és a Magyar Telekom (volt Matáv) e-Szignó is megszűnt, a megszűnő szolgáltatásokat átvevő szervezet a NetLock. Az Educatio viszont nem minősített, csak fokozott biztonságú hitelesítés szolgáltató, érdekesség vele kapcsolatban, hogy a MÁV Informatika Zrt. az alvállalkozója, és tanúsítványkiadói, és részben ügyfélszolgálati feladatokat lát el, de a jogi felelősséget az Educatio viseli.

Valamint létrehoztak egy Közigazgatási Gyökér Hitelesítés-szolgáltatót (KGYHSZ) is, melynek jellegtelen honlapján megtudható, hogy az előbb felsorolt hitelesítésszolgáltatók mindegyikét felülminősítette, azaz egyaránt jogosultak közigazgatási felhasználásra szolgáló, hivatali aláíráshoz és ügyfél által használt aláíráshoz kapcsolódó tanúsítványok kibocsátására.

Ahhoz, hogy minősített aláírást hozzunk létre, a minősített tanúsítványunkon kívül szükség van egy biztonságos tanúsított minősített aláírást létrehozó termékre is, melyet jelenleg két szervezet tanúsít, hogy az adott hardver (ide tartozik a BALE is) és szoftver megfelel-e aláírás létrehozására:

• Hunguard
• Matrix

Az elektronikus aláírás és annak rokon, kapcsolódó és származékos technológiák népszerűsítésére létrejött a Magyar Elektronikus Aláírás Szövetség, mely kiadott egy MELASZ-Ready Ajánlást, melynek célja, hogy a magyar közigazgatás számára kidolgozzon egy olyan feltételrendszert az elektronikus aláírás formátumára, és egy olyan tanúsítási eljárást, mellyel biztosítható a különböző eszközök által készített aláírások kompatibilitása. A szabvány a W3C XML Advanced Electronic Signatures (XAdES) szabványon alapul. A XAdES XML formátumú, és hátránya, hogy az aláírt dokumentum megtekintéséhez először ki kell csomagolni azt. Mivel a PDF a PKCS szabványok közül válogatott, az a XAdES-szel nem kompatibilis, előnye viszont, hogy az aláírt dokumentum azonnal megnyitható, kicsomagolás nélkül.

A következő aláírási termékek tanúsítottak, melyek képesek minősített aláírás létrehozására. Mindegyiknél jelzem, hogy Melasz Ready-e.

• Polysys CryptoSigno, a Magyarországon első platform független, Java-ban implementált fejlesztő készlet. Melasz Ready.
• Microsec e-Szignó, mely két fő részből áll: XadesSigner megbízható aláírás létrehozó modul, és EsignoNav felhasználói felületből. Microsoft Visual C++ fejlesztés. Ennek létezik egy e-Szignó Automata nevezetű változata is, mely több platformon is használható, és parancssorosan, valamint C-ből, Java-ból és COM csatoló felületen is el lehet érni. Van böngészőbe telepíthető plugin is. Melasz Ready.
• Argeon Infosigno egy SDK, melyet C++ és .NET programozási nyelveken tudunk használni. Melasz Ready.
• Grepton MultiSigno (korábban Kopint-Datorg fejlesztés, melyet a Grepton vásárolt meg). Kicsit mostohán bánik vele, a honlapján nem igazán lehet megtudni, hogy a termékcsaládnak milyen részei vannak, használható-e külső alkalmazásból, milyen programozási nyelven lehet megszólítani. Ugyan egy dokumentációban olvasható, hogy Melasz Ready, de a Melasz honlapján nem szerepel.
• E-Group SDX egy termékcsalád, mely tartalmaz szerver oldali és kliens oldali (van böngészőbe épülő változata is) aláíró modulokat. Melasz Ready.