Elektronikus rendszerek a közigazgatásban
elektronikus aláírás és archiválás elméletben Előadó: Erdősi Péter Máté, CISA
elektronikus aláírással kapcsolatos szolgáltatási szakértő BDO Magyarország IT Megoldások Kft.
Fujitsu Akadémia
Tartalom
Miről beszélünk? Az információ hitelessége A kétkulcsos titkosítás Alapvető közszolgáltatások X509 tanúsítvány tartalma és típusai A hitelesítésszolgáltatókra vonatkozó szabályozás és a nyilvános szolgáltatók működése Időbélyegzés, archiválás
Erdősi Péter Máté, CISA
2
Miről beszélünk? Nemzeti Média- és Hírközlési Hatóság statisztikai adatai
Tanúsítvány-kibocsátás
http://nmhh.hu/dokumentum/4024/szum_data04_11pub_v33.pdf Erdősi Péter Máté, CISA
3
Miről beszélünk? Nemzeti Média- és Hírközlési Hatóság statisztikai adatai
Időbélyeg-kibocsátás
http://nmhh.hu/dokumentum/4024/szum_data04_11pub_v33.pdf Erdősi Péter Máté, CISA
4
Az információ hitelessége Definíciók: Információ: ? Hitelesítés: az állított azonosság megerősítése Hitelesség: valaminek a forrása az, amit megjelöltek és tartalma eredeti Hiteles: a forrás és a tartalom eredetisége megerősítetté vált
Azonosítás vagy hitelesítés (eID vs. e-aláírás)? Azonosítás (Identification) Hitelesítés (Authentication) Feljogosítás (Authorization)
Erdősi Péter Máté, CISA
5
Hitelesség megszerzése és...
Hiteles információ
Hitelesíthető információ
Nem hiteles információ Erdősi Péter Máté, CISA
6
A kétkulcsos titkosítás Mitől lesz kétkulcsos? Működése:
Crypto (Crypto ( Message, Key1) ,Key2) = Message, ahol
Titkos üzenet Mcrypted = Crypto ( Message, Key1) és
Key1 ≠ Key2
Ebből: Crypto (Mcrypted, Key2) = Message
Melyik a titkos és melyik a nyilvános? Mitől függ a működés hatékonysága? Üzenet hossza Titkosító algoritmus műveletigénye Biztonság
Erdősi Péter Máté, CISA
7
A digitális aláírás készítése
Erdősi Péter Máté, CISA
8
A digitális aláírás ellenőrzése
Erdősi Péter Máté, CISA
9
Alapvető közszolgáltatások G2C vagy C2G relációban az állampolgároknak nyújtandó e-szolgáltatások köre 1. személyi jövedelemadó-bevallás 2. munkaügyi központ szolgáltatás 3. közkönyvtárak szolgáltatásai 4. felsőoktatási intézményekbe való jelentkezés 5. társadalombiztosítással kapcsolatos ügyintézés 6. gépjármű-regisztráció 7. rendőrségi bejelentés 8. lakcímváltozással kapcsolatos ügyintézés 9. hatósági bizonyítványok igénylése 10. személyi dokumentumokkal kapcsolatos ügyintézés 11. építési engedélyeztetés indítása 12. egészségügyi szolgáltatás igénybevétele Erdősi Péter Máté, CISA
10
Alapvető közszolgáltatások G2B vagy B2G relációban a vállalkozásoknak nyújtandó e-szolgáltatások köre
1. áfa-bevallás 2. társaságiadó-ügyintézés 3. vámügyintézés 4. járulékfizetés 5. elektronikus közbeszerzés 6. cégbejegyzés 7. statisztikai adatszolgáltatás 8. környezetvédelmi engedélykérés Erdősi Péter Máté, CISA
11
Alapvető közszolgáltatások
Alapvető közszolgáltatások (Common List of Basic Public Services) négy szolgáltatási szintje (COM(2000) 330 Final)
ötödik szint: személyre szabott ügyintézés
Probléma: hitelesség, írásbeliség, bizonyító erő → elfogadhatóság Erdősi Péter Máté, CISA
12
STORK – Secure idenTity accrOss boRder linKed
Erdősi Péter Máté, CISA
13
Jogi háttér 93/1999 EU Irányelv (hatályát veszti legkésőbb 2016. július 1-én) ● 910/2014/EU Európai Tanácsi Rendelet: hatályba lépett 2014. szeptember 17-én, alkalmazni – egyes kivételekkel - 2016. július 1-től kell majd, mint egy nemzeti törvényt ● Elektronikus aláírási törvény (2001. évi XXXV. törvény), jelenleg hatályos, felülvizsgálata folyamatban ●
Erdősi Péter Máté, CISA
14
Jogi háttér Elektronikus aláírás 25. cikk ● e-közigazgatás Az elektronikus aláírás joghatása (1) Az elektronikus aláírás joghatása és bírósági ● helyi eljárásokban bizonyítékként való ● regionális elfogadhatósága nem tagadható meg kizárólag ● kontinentális amiatt, hogy az elektronikus formátumú, illetve nem felel meg a minősített elektronikus ● globális aláírásra vonatkozó követelményeknek. (2) A minősített elektronikus aláírás a saját kezű aláírással azonos joghatású. (3) A valamely tagállamban kibocsátott minősített tanúsítványon alapuló minősített elektronikus aláírást az összes többi tagállamban el kell ismerni minősített elektronikus aláírásként. Erdősi Péter Máté, CISA
15
A tanúsítvány tartalma Történet:
ITU (International Telecommunication Union): X509v3 - 1996 (v2 - 1993, v1 - 1988) RFC 5280 (2008): Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Alap mezők
Verzió sorozatszám algoritmusazonosító kibocsátó érvényesség alany, tulajdonos az alany nyilvános kulcsa a kibocsátó egyedi azonosítója (v2, v3)
Kiterjesztések Digitális aláírás Erdősi Péter Máté, CISA
16
A tanúsítvány tartalma Azonosítók: country organization, organizational unit, distinguished name qualifier, state or province name, common name serial number. Kibocsátó és alany adatai:
locality,
title,
surname,
given name,
initials,
pseudonym,
generation qualifier
Erdősi Péter Máté, CISA
17
A tanúsítvány tartalma Kiterjesztések Private
Kibocsátói információk hozzáférhetősége a kiterjesztésekben
Tulajdonosi információk hozzáférhetősége a kiterjesztésekben
Digitális aláírás
Kinek az aláírása szerepel a tanúsítványban? Van-e a kibocsátónak is tanúsítványa?
Erdősi Péter Máté, CISA
18
A tanúsítványok típusai ●
Digitális aláírás dimenziói, legalább 14, sok-sok paraméterrel
Aláírási dimenziók ● ● ● ● ● ● ● ● ● ● ●
Megjelenítés (kódolás) Aláírás típus Bizonyító erő Komplexitás Érvényességi idő Aláíró típusa Algoritmus Kulcshossz Kulcstároló Elhelyezkedés Szerkeszhetőség
Erdősi Péter Máté, CISA
Tanúsítvány dimenziók ● ● ●
Tanúsítvány szabvány Tanúsítvány típusa Tanúsítvány kibocsátó
19
A tanúsítványok típusai Milyen szabvány szerint kódolt?
X509v3 PGP
Mire alkalmas?
Aláírás Titkosítás Hitelesítés, szerepkör igazolás
Milyen jogi vélelem fűzhető hozzájuk?
Teljes bizonyító erő, meg nem változás vélelme, létezés vélelme Írásbeliség Bizonyítási eljárásokban való felhasználás meg nem tilthatósága
Erdősi Péter Máté, CISA
20
A tanúsítványkibocsátók működése Tanúsítványok kibocsátása Tanúsítványkérelem Tanúsítvány mezőinek kitöltése Tanúsítvány digitális aláírása Tanúsítvány publikálása
Tanúsítványkibocsátók
Nyilvános Zárt Európai Unióban elfogadott Globálisan elfogadott (?) Megbízhatóság?
Erdősi Péter Máté, CISA
21
A hitelesítésszolgáltatók működése Elektronikus aláírási törvény (2001.XXXV.Tv,Eat.) 6.§(1): Hitelesítésszolgáltatás Időbélyegzés Aláíráslétrehozó eszközök az aláíráslétrehozó adat elhelyezése Archiválásszolgáltatás
Hitelesítéssszolgáltatáson belül
Azonosítja az igénylő személyét Tanúsítványt bocsát ki Nyilvántartásokat vezet Fogadja a tanúsítványokkal kapcsolatos változások adatait Nyilvánosságra hozza a szabályzatokat, az aláírásellenőrző adatokat, és a tanúsítvány aktuális állapotára vonatkozó információkat (visszavonás)
Erdősi Péter Máté, CISA
22
A hitelesítésszolgáltatók működése Szabályozás Működésre vonatkozó előírások (3/2005. IHM. R.) Pénzügyi követelmények Tájékoztatási követelmények Minden szolgáltatóra és külön a minősített szolgáltatókra
Működésre vonatkozó előírások minősített szolgáltatókra Rendelkezésre állás 99,9%, egy kiesés maximális ideje 3 óra lehet Minden bizalmi munkakörben dolgozónak munkaviszonyban kell állnia a szolgáltatóval Folyamatosan ellenőrzött minőség- és információbiztonsági irányítási rendszerrel kell rendelkezniük A bizalmi munkaköröket egymástól szét kell választani
Erdősi Péter Máté, CISA
23
A hitelesítésszolgáltatók működése Pénzügyi követelmények
Legalább 25 millió Ft-os bankgarancia, vagy óvadék, vagy készfizető kezes Felelősségbiztosítás, a tanúsítványban vállalt ügyleti érték 5szörösére
Tájékoztatási követelmények Ügyfeleket szerződéskötés előtt teljeskörűen kell tájékoztatni Nemzeti Média- és Hírközlési Hatóságot minden 3 óránál nagyobb leállásról tájékoztatni kell Nemzeti Média- és Hírközlési Hatóságot minden tervezett változtatásról 30 nappal korábban tájékoztatni kell Szolgáltatói kulcs kompromittálódás esetén minden ügyfelet és érintett felet haladéktalanul tájékoztatni kell
Erdősi Péter Máté, CISA
24
Időbélyegzés Időjelzések Állított idő - Tanúsított idő Pontos idő – Pontatlan idő Hiteles idő – Nem hiteles idő
Időszinkronizáció Stratum 0: atomóra, GPS óra Stratum 1: szerverek, melyek a Stratum 0-hoz szinkronizáltak Stratum 2: eszközök, melyek a Stratum 1 szerverekhez szinkronizáltak
Támadási formák Időátállítás Üzenet visszajátszása
Erdősi Péter Máté, CISA
25
Archiválás Hosszú távú hitelesség
Feltételei
Kriptográfia gyengülése
Hosszú távú értelmezhetőség
Biztonságos őrzés
Támadási formák Hitelesség elveszt(et)ése Aláírás csere
algoritmus kompromittálódás (új aláírás készítése jogosulatlanul)
dokumentum kompromittálódás (új dokumentum beillesztése jogosulatlanul)
Erdősi Péter Máté, CISA
26
Köszönöm a figyelmet!
Erdősi Péter Máté, CISA http://www.erdosipetermate.hu mailto:
[email protected]
Erdősi Péter Máté, CISA
27
