Miért szükséges és hogyan működik elméletileg?

A következő veszélyek fenyegethetik az elektronikus formában kezelt állományokat:

  • illetéktelen hozzáférés: az állományba az arra fel nem hatalmazott személy nyer betekintést,
  • módosítás: a hozzáférés során illetéktelen, nem ellenőrzött módosítás történik,
  • színlelés: adott üzenet feladója / fogadója valaki másnak adja ki magát,
  • üzenet tagadás: adott üzenet feladója / fogadója az üzenet feladásának tényét vagy az üzenet tartalmát nem ismeri el,
  • üzenet visszajátszás: üzenet sokszor egymás után történő ismételt elküldése.

A fentiekre a nyilvános kulcsú kódolás elnevezésű technológia nyújtja a legkorszerűbb megoldást, amely két alapvető funkciót valósít meg, ezek a titkosítás, és az elektronikus aláírás készítése.

A technológia megfelelő működését különböző eljárásrendek, szervezetek, egyéb eszközök fogják biztosítani, amelyeket együttesen Nyilvános Kulcsú Infrastruktúrának nevezünk.

A nyilvános kulcsú kódolás megvalósításához egy kulcs-párra és egy tanúsítványra van szükség. A kulcs-pár az eszköz, amellyel elektronikus aláírást lehet előállítani, illetve titkosítási műveleteket lehet végrehajtani. A kulcs-pár egy magánkulcsból és egy nyilvános kulcsból áll. A nyilvános kulcs mindenki számára hozzáférhető, a magánkulcs kizárólag az elektronikus aláírás létrehozójának birtokában van. Ha az egyik kulccsal kódolunk egy szöveget, a dekódolás csak a kulcs párjával végezhető el, a kulcsok összetartozását csupán e tulajdonságuk bizonyítja, ezen túlmenően nem lehet az egyik kulcsból annak párjára következtetni.

Titkosítás során a feladó elkészíti a levelét, majd azt a címzett nyilvános kulcsával kódolja. A kódolt üzenet az Interneten keresztül eljut a címzetthez, amelyet az kizárólag a saját kezelésében lévő magánkulcsával fog tudni (a kulcs-pár működés miatt), dekódolni, az üzenetet elolvasni.

Elektronikus aláírás készítése során a feladó egy úgynevezett lenyomatot készít saját leveléről. A lenyomatból az üzenetet nem lehet előállítani, de az üzenet legkisebb megváltozása esetén a lenyomat teljes mértékben meg fog változni. A feladó ezt a lenyomatot fogja a saját kezelésében lévő magánkulcsával kódolni, amely kódolt lenyomatot nevezzük elektronikus aláírásnak.

A rendszer működésének egyik sarokköve, hogy megbízható harmadik fél vállaljon garanciát az egész külvilág felé arra, hogy adott kulcs-pár, adott aláíróhoz tartozik. Erre szolgál a tanúsítvány. A tanúsítványok kiadását és egyéb kezelését végző szervezet a Hitelesítés Szolgáltató.

A hitelesítés szolgáltató olyan, a tanúsítvány kibocsátásra specializálódott szervezet, amely arra vállalkozik, hogy egy adott földrajzi területen belül fellelhető esetleges aláírókat az adott terület jogi, közigazgatási, gazdasági rendszerének alapos ismeretében felépített eljárásrend alkalmazásával hitelt érdemlően azonosítsa, és ezek alapján igazolja akár az egész világ felé létezésüket és adataik valódiságát. A rendszerben kiemelt jelentőséggel bír a hitelesítés szolgáltató magánkulcsának védelme, mivel ezzel az eszközzel fogja a Szolgáltató az általa kibocsátott tanúsítványokat hitelesíteni, azaz elektronikusan aláírja azokat.

A hitelesítés szolgáltató létezését önmaga igazolja önmaga számára kibocsátott tanúsítvánnyal. Az ehhez az úgynevezett főtanúsítványhoz kapcsolódó bizalmat a szervezet - pl. pénzintézetekhez hasonlóan - hagyományos üzletpolitikai eszközökkel építi ki, amelyek közül a legfontosabbak a következők: transzparens, stabil, erős pénzügyi hátterű működés, büntetlen előéletű, magas szakmai felkészültségű vezetők és munkatársak, auditok elvégeztetése, ezek eredményének nyilvánosságra hozatala, bekerülés a nemzetközi hitelesítés szolgáltatói listára, felelősségbiztosítás, pénzügyi garancia nyújtása a tanúsítványokkal történő esetleges visszaélésből eredő kár megtérítésére. A Netlock Kft. esetében, ezen biztosítékokról ITT olvashat bővebben.


A NETLOCK tanúsítványok

A minősített tanúsítvány olyan kizárólag természetes személyeknek kiadott tanúsítvány, amely alanyát közjegyzői ellenőrzési lépések során azonosította a hitelesítés szolgáltató. Használata igen nagy értékű, pénzügyi tranzakciók, államigazgatási ügymenetek végrehajtása, pénzmozgást vagy hivatalos határozatok készítését eredményező üzenetváltás hitelesítése esetén ajánlott. A regisztráció során a hitelesítés szolgáltató kizárólag közjegyző által közjegyzői okiratba foglalt adatokat fogad el. Minősített tanúsítvány kizárólag személyes és munkatársi aláíró típusban adható ki. Felelősségbiztosítás értékhatára: 10 millió forint.

A fokozott "A" osztályú tanúsítvány olyan szervereknek kiadott tanúsítvány, amely alanyát közjegyző bevonásával, szigorú ellenőrzési lépések során azonosította a hitelesítés szolgáltató. Használata nagy értékű, pénzügyi tranzakciók végrehajtása, pénzmozgást eredményező üzenetváltás hitelesítése, továbbá szerződéskötések esetén ajánlott. A regisztráció során a hitelesítés szolgáltató kizárólag közjegyző által hitelesített adatokat fogad el. Felelősségbiztosítás értékhatára: 5 millió forint.

A fokozott "B" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát szintén szigorú ellenőrzési lépések során azonosította a hitelesítés szolgáltató. Használata elektronikus levelezéshez, közepes kockázatú tranzakciókhoz, online szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlott. A regisztráció során a hitelesítés szolgáltató az aláíró személyes megjelenését és eredeti dokumentumainak bemutatását követeli meg, és ezek alapján győződik meg a kiadási feltételek meglétéről. Felelősségbiztosítás értékhatára: 500 ezer forint.

A fokozott "C" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát korlátozott ellenőrzési lépéseken keresztül azonosította a hitelesítés szolgáltató. Használata elektronikus levelezéshez, kisebb kockázatú tranzakciókhoz ajánlott. A regisztráció során dokumentum másolatok alapján történik meg a hitelesítés, személyes megjelenésre nincs szükség. Felelősségbiztosítás értékhatára: 50 ezer forint.

A fentieken kívül INGYENES SZOLGÁLTATÁS keretében vehetők igénybe a teszt tanúsítványok, amelyek a szolgáltatás technikai tesztelését teszik lehetővé.


Tanúsítvány fajták

Személyes aláíró tanúsítvány: természetes személy igényelheti a saját nevében, kizárólag elektronikus aláírás előállítására használható (minősített és fokozott B, C osztály).

Személyes titkosító tanúsítvány: természetes személy igényelheti a saját nevében, kizárólag titkosításra használható (fokozott B, C osztály).

Munkatársi aláíró tanúsítvány: természetes személy igényelheti egy adott szervezethez tartozóként (minősített és fokozott B, C osztály).

Munkatársi titkosító tanúsítvány: természetes személy igényelheti az előző típus feltételeivel. (fokozott B, C osztály)

Bélyegző tanúsítvány: jogi személy igényelheti (fokozott B, C osztály).

Szervezeti titkosító tanúsítvány: jogi személy igényelheti, a szervezeti aláíró tanúsítvánnyal megegyező feltételekkel (fokozott B, C osztály).

SSL tanúsítvány: domain névvel rendelkező szervert üzemeltető természetes vagy jogi személy igényelheti, web szerverekkel történő biztonságos kommunikáció kialakítására használható (fokozott A, B, C osztály).

VPN tanúsítvány: VPN adaptert (pl. routert) üzemeltető természetes vagy jogi személy igényelheti, LAN-ok nyílt hálózaton, titkosított adatcsatornával történő összekötésének támogatására használható (fokozott B, C osztály).

WAP Gateway tanúsítvány: WAP Gateway szervert üzemeltető természetes vagy jogi személy igényelheti, biztonságos WAP kommunikáció kialakításához használható (fokozott B, C osztály).

Login tanúsítvány: LAN hálózatokba, PC-kre történő bejelentkezéshez használható tanúsítvány (Láncolt Hitelesítés Szolgáltatás keretében igényelhető).

IPSEC tanúsítvány: LAN hálózatok adatforgalmának titkosítására használható tanúsítvány (Láncolt Hitelesítés Szolgáltatás keretében igényelhető).

Láncolt Hitelesítés Szolgáltatás: A rendszer két fő elemből áll, ezek a tanúsítványok kibocsátásáraés kezelésére vonatkozó eljárásokat tartalmazó szabályzatok, illetve a kibocsátáshoz szükséges technikai infrastruktúra (hardver és szoftver).

A rendszer felépítését beüzemelésének és használatának módját a NETLOCK Kft. írja elő a megrendelő szervezet által megadott költségvetési lehetőségek, meglévő infrastrukturális eszközök és alkalmazott eljárások maximális figyelembevételével, a megrendelővel folytatott egyeztetést követően.

A rendszer akkor válik tanúsítványkiadásra alkalmassá, amikor a NETLOCK Kft. által kibocsátott rendszerhitelesítő tanúsítványt feltöltik. Ekkor a szervezet, a rendszer és a tanúsítvány birtokában olyan végfelhasználói tanúsítványok kibocsátására válik képessé és jogosulttá, melyek elfogadási köre mindenben megegyezik a NETLOCK Kft. által kiadott tanúsítványokéval.

Az üzemeltetési jogért havonta licencdíjat kell fizetni a kibocsátott tanúsítványok számától függően.


Az időbélyegzés menete

Az időbélyegzés lényege annak bizonyítása, hogy az adott dokumentum (elektronikus adathalmaz) egy meghatározott időpillanatban már biztosan létezett. Az időbélyegzéssel szemben támasztott három alapvető követelmény:

  • az adatot magát kell időbélyeggel ellátni;
  • biztosítani kell, hogy az adatot semmilyen módon ne lehessen megváltoztatni a leleplezés veszélye nélkül;
  • lehetetlen legyen egy dokumentumot oly módon időbélyegezni, hogy a dátum és az időpont ne egyezzen meg a pillanatnyival.

Maga az időbélyegzési tranzakció üzenetcseréből áll. Az első üzenetet az időbélyegzést kérelmező entitás (magánszemély vagy cég) küldi az időbélyegzést végző szervezetnek (időbélyegzés-szolgáltató), ez az üzenet az időbélyegzés-kérelem. A második üzenet az időbélyegzés-szolgáltató válasza a kérelemre, maga az időbélyeg.

Az időbélyeg-kérelem a bélyegeztetni kívánt dokumentum lenyomatát tartalmazza. A válaszban az időbélyeg-szolgáltató ehhez a lenyomathoz legalább két megbízható időforrásból vett referenciaidő adatot kapcsol, és ezeket az adatokat saját elektronikus aláírásával ellátva visszaküldi az igénylőnek.

Az időbélyeggel ellátott dokumentumok az írásbeliség, a minősített időbélyeggel ellátott elektronikus okiratok a teljes bizonyító erejű magánokiratok súlyával igazolják, hogy az adott dokumentum a pecsét elhelyezésének időpontjában már létezett.


Kulcstároló eszközök

A magánkulcsok védelmének ma ismert leghatékonyabb módja, ha a kulcsokat úgynevezett kulcstároló modulokban hozzuk létre, használjuk, illetve tároljuk.

Az intelligens kártyák méretükben a mindennapi használatban is előforduló mágneses sávval ellátott bankkártyák szabványait követik, felületükön a telefonkártyákon is látható érintkező látható.

Az USB Tokenek USB porton keresztül csatlakoztathatók a személyi számítógépekhez. Külső megszemélyesítésük, hibrid eszközként történő alkalmazásuk nem szokásos. Mindkét eszköztípus legfontosabb közös tulajdonságai közé tartoznak a következők.

A magánkulcs az eszközben jön létre, biztonságos körülmények között. Az egyes eszközöket nemzetközi audit cégek vizsgálják felül biztonsági szempontból (FIPS, CEN stb. minősítések). Az eszközt a magánkulcs még használat (digitális aláírás készítése, titkosítás dekódolása) közben sem hagyja el, illetve a magánkulcsot az eszközből kimásolni semmilyen módon nem lehet. A kulcs használata PIN számmal, jelszóval védett, melynek adott számú hibás megadása esetén a kriptográfiai eszköz blokkolja magát. Az eszközök többsége rendelkezik a blokkolást feloldó, külön (néha többszintű) kóddal.


Az elektronikus hitelesítés jogszabályi hátteréről

Az elektronikus hitelesítések hazai és európai jogi környezete jelentősen megváltozott. (Bővebben lásd eIDAS tájékoztató oldalunkat.)

2016. július 1-jétől kell alkalmazni az Európai Parlament és Tanács belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló 910/2014/EU Rendeletét (eIDAS-t), ami egységes keretet határoz meg az elektronikus hitelesítésre és ügyintézésre az EU területén. Ugyanettől a naptól az elektronikus hitelesítésre vonatkozó új előírásokat hazánkban az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (Eüt.) és a hozzájuk kapcsolódó végrehajtási rendeletek tartalmazzák.

Az elektronikus hitelesítés legfontosabb uniós és hazai jogi alapelvei a következők:

  • Az EU egyik tagállamában kibocsátott minősített elektronikus aláírást / bélyegzőt az összes többi tagállamban el kell ismerni minősített elektronikus aláírásként / bélyegzőként.
  • Az eIDAS szerint az Unió területén a minősített elektronikus aláírást lagalább a saját kezű aláírással egyenértékűnek kell tekinteni és ez alapján kell a joghatását meghatározni, bélyegzők esetében pedig vélelmezni kell a hozzájuk kapcsolódó adatok sértetlenségét.
  • A fokozott biztonságú aláírás és bélyegző joghatását az eIDAS nemzeti hatáskörbe utalja.
    • az okirat, melyen kiállítója minősített elektronikus aláírást vagy bélyegzőt helyezett el, teljes bizonyítékul szolgál az ellenkező bebizonyításáig
    • a minősített tanúsítványon alapuló fokozott biztonságú bélyegző vagy aláírás ugyanolyan elbírálás alá esik, mint a minősített aláírás vagy bélyegző
    • nem minősített tanúsítványon alapuló fokozott biztonságú aláírás vagy bélyegző esetén a velük hitelesített elektronikus okiratban foglaltakat az ellenkező bizonyításig meg nem hamisítottnak kell tekinteni
  • Az eIDAS az SSL-tanúsítványokra is egységes európai szabályozást alkotott, s bevezette a minősített és nem minősített SSL-tanúsítvány fogalmát.
  • A titkosító- és authentikációs tanúsíványokra vonatkozóan az új jogszabályok sem tartalmaznak rendelkezéseket.

Kérdéseivel bátran keresse Ügyfélszolgálatunkat elérhetőségeinken.


Tanúsítvány kibocsátásához szükséges dokumentumok

  • Személyes azonosításra alkalmas okmányok (részletesen lásd lentebb)
  • Belépési nyilatkozat (a tanúsítvány típusának megfelelően aláírva/hitelesítve)
  • Cégkivonat (üzleti tanúsítvány igénylése esetén):
    • 30 napnál nem régebbi, eredeti dokumentum bemutatása a Regisztrációs Egység kollégái előtt
    • Amennyiben az ügyfélnek nem áll módjában a 30 napnál nem régebbi cégkivonat eredeti példányát bemutatni, úgy a Regisztrációs Egység kollégái az ügyfél kérésére a NETLOCK Kft. mindenkor hatályos árlistájában meghatározott díj ellenében elektronikus közokirati formában lekérdezik a cégkivonatot
  • Aláírási címpéldány (üzleti tanúsítvány igénylése esetén)
  • Kitöltött és aláírt Hozzájáruló és elfogadó nyilatkozat (5 vagy ezt meghaladó számú munkatársi tanúsítvány igénylése esetén).

A NETLOCK Kft. szolgáltatásainak igénybevételéhez a természetes személy azonosítása a személyazonosító dokumentumok alapján történik.

Személyes azonosításra alkalmas okmányok: (a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény 29. § (3) alapján):

  • érvényes személyazonosító igazolvány, vagy
  • érvényes kártyaformátumú vezetői engedély, vagy
  • érvényes útlevél és
  • a lakcímkártya lakcímet tartalmazó oldala.

A NETLOCK Kft. az elektronikus aláírásról szóló 2001. évi XXXV. törvény 12. § (1) bekezdésének megfelelően jogosult az aláíró személyazonosító igazolványa, útlevele, (kártyaformátumú) gépjárművezetői engedélye vagy egyéb, személyazonosításra alkalmas okmánya alapján személyazonosságát megállapítani.