Szabványok, törvények

A digitális aláírásról szóló törvényben leírtak alapján a tanúsítványok kiadásáért Nyilvános Kulcsú Infrastruktúrával rendelkező hitelesítés-szolgáltatók felelősek. Fokozott biztonságú elektronikus aláírás használatához elegendő egy Hitelesítés-szolgáltatónál (HSz) kiadott tanúsítvány, de a minősített elektronikus aláíráshoz Minősített Hitelesítés-szolgáltatótól (MHSz) kell tanúsítványt szerezni. A két aláírásfajta közötti különbség abban mutatkozik meg, hogy a Hitelesítés-szolgáltató, ami a tanúsítványt kiállította eleget tett-e a szükséges követelményeknek, amelyektől Minősített Hitelesítés-szolgáltatóvá válhatott. Ezen követelmények meghatározása a Hírközlési Főfelügyelet feladata. A Minősített Hitelesítés-szolgáltatókra vonatkozó követelménylista foglalkozik a Nyilvános Kulcsú Infrastruktúrával szemben támasztott szoftveres és hardveres, illetve a szolgáltató muködésével kapcsolatos egyéb elvárásokkal. A minősített elektronikus aláírás legfontosabb jogkövetkezménye, hogy teljesen azonos értékű egy szerződés papíron született, kézi aláírásával. A fokozott biztonságú aláírás bizonyító erejét a bíróság mérlegelheti. A minősített aláírással lehetővé válik pl. az elektronikus adóbevallás, az elektronikus szavazás is. A Nyilvános Kulcsú Infrastruktúrák (mind az OSI, mind a TCP/IP modellre épülők) működése nemzetközi szabványokon alapul.

A távközlési világban (X.25 hálózati protokoll) a hétrétegu OSI (Open System Interconnection) modell minden szintjén megvannak a jól kidolgozott protokollok a kommunikációhoz. Az ITU (International Telecommunication Union), a távközlési szabványokkal foglalkozó világszervezet ajánlásai között szerepel a tanúsítvány formátumára (ITU-T X.509), vagy a Névtár adataira vonatkozó (ITU-T X.500) szabvány is.

Az internetes világban (IP hálózati protokoll) is a jól működő ITU-ajánlásokat vették alapul (X.509-es tanúsítvány), bár az IP gyengeségei miatt a legtöbb protokollt csak a biztonság rovására tudták átültetni a különböző szoftverfejlesztő cégek a TCP/IP-s környezetbe (az X.500, a Directory Access Protocol - DAP - protokollt is egyszerűsíteni kellett az internetnél: Lightweight Directory Access Protocol - LDAP). A legelterjedtebb IP-alapú protokoll az SSL (Secure Socket Layer), ami a felhasználó számítógépén futó böngésző (web browser) és az internet-szolgáltató (web server) között valósít meg biztonságos kommunikációt azzal, hogy a felhasználó (client) és a kiszolgáló (server) is azonosítja magát (tanúsítványaikat kicserélik és ellenőrzik), s utána rejtjelezetten folytatják a beszélgetést.

A távközlési protokollok és az azokat pontosan (mindenféle 'hátsó bejárótól' mentesen, s emiatt biztonságosan) megvalósító, bevizsgált termékek állnak szemben az internetes, ad hoc szabványokat megvalósító termékekkel, s - a nem nyílt forráskódú szoftvereknél - a bizonytalansággal, hogy mit 'építhettek be' még a programba, amivel esetleg bizalmas információk is kerülhetnek illetéktelenek kezébe.

Az igények különbözők lehetnek: más biztonsági szintre van szükség katonai, kormányzati szerveknél, közjegyzői vagy banki intézményeknél, mint magánembereknél vagy kisebb cégeknél. Magyarországon a kormányzati szervekre vonatkozólag létezik (az EU irányelveket követő) szabályozás, amelyet az Informatikai Tárcaközi Bizottság 17-es ajánlása (ITB 17) fogalmaz meg. Ennek értelmében a tagállamok kormányzati szerveinek számítógépes hálózatai közötti kompatibilitás és a biztonságos kommunikáció miatt X.500-as (Névtárhoz való hozzáférési), X.400-as (üzenetkezelési) protokollt és az EDIFACT (üzenet formázott tartalmára vonatkozó, elektronikus adatcserén alapuló - Electronic Data Interchange, EDI) szabványt kell alkalmazni. A magánszférára nem vonatkozik hasonló szabályozás, csak amit a Hírközlési Főfelügyelet állít ki követelménylistát a Minősített Hitelesítés-szolgáltatóknak. Az internetes közösség elektronikus kereskedelmében a cégek vagy vásárlók és kiszolgálók egymás közt külön állapodnak meg a szerződéskötés feltételeiről (pl. milyen Minősített Hitelesítés-szolgáltató által kiállított tanúsítványt fogadnak el stb.).

Az európai szabályozás az EU 1999-es irányelve (Directive 1999/93/EC) után indult el. A CEN (European Comitte for Standardization - Comité Européen de Normalisation) ISSS (Information Society Standardization System) és az ITCSB (Information and Communications Technologies Standards Board) EESSI (European Electronic Signature Standardization Initiative) munkacsoportja kapta a szabványosítás feladatát. A munka három fázisra lett felosztva. Ebből kettő már befejeződött, s jelenleg a harmadik fázis van terítéken. Magyarország is ezeket a szabványokat fogja átvenni.

Az első Minősített Hitelesítés-szolgáltatók várhatóan a 2002. év első felében kapják meg minősítésüket és kezdik meg működésüket az állami-, pénzügyi- és magán szektorban.