A digitális aláírás | 2021.04.18.

Többrészes figyelemfelhívó, leleplező blogbejegyzésem első részeként fogadjátok szeretettel! A második rész számtalan érdekes, izgalmas információt tartogat majd, érdemes követni.

A digitalizáció terjedésével megnőtt az igény arra, hogy olyan esetekben is lehessen szerződéseket kötni, amikor a szerződő felek előzetesen nem találkoztak fizikailag. Például egy bank tudjon hitelszerződést kötni egy magánszeméllyel akkor is, ha az illető korábban nem volt a bank ügyfele, így a bank nem rendelkezik a személy azonosításához szükséges adatokkal. A koronavírus járvány miatt ez a megoldás még jobban felértékelődött és egyre több cég kínál erre megoldásokat.

Ahhoz, hogy egy cég vagy magánszemély elektronikus aláírást használhasson előzetesen egy azonosítási folyamatot kell lefolytasson, amely során igazolja a személyazonosságát. Ezt egy un. hitelesítés szolgáltatónál tudja megtenni a regisztrációs folyamat alkalmával.

Az 541/2020. (XII. 2.) Korm. rendelet a bizalmi szolgáltatások esetében a személyes jelenléttel egyenértékű biztosítékot nyújtó, nemzeti szinten elismert egyéb azonosítási módszerekről 3. § (1) bekezdése alapján videotechnológiás azonosítás esetén a bizalmi szolgáltató élő telekommunikációs kapcsolat során videófelvétel útján képmást készít az ügyfélről, majd összeveti az ügyfélről készített fényképet és az azonosításhoz felhasznált okmányban szereplő képmást. Az azonosítás akkor megfelelő, ha a bizalmi szolgáltató által egyértelműen megállapítható, hogy az okmányban szereplő személy azonos a videófelvételen szereplő ügyféllel.

2015 évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól 82. § (1) bekezdés alapján a bizalmi szolgáltató által kibocsátott tanúsítványnak az abban foglalt adatokat a valóságnak megfelelően kell tartalmaznia. Ennek érdekében a bizalmi szolgáltató a tanúsítványba foglalandó adatokat köteles ellenőrizni, így különösen

1. a tanúsítvány tartalmától függően ellenőrzi a tanúsítvány alany személyazonosságát,
2. a személyazonosság megállapításához használt azonosító adatok valódiságát és
3. – ha van ilyen – közhiteles vagy más központi nyilvántartásban foglalt adatokkal való megegyezőségét.

A videotechnológiás azonosítást végző bizalmi szolgáltató köteles megbizonyosodni arról, hogy az okmány alkalmas és megfelel videotechnológiás azonosítás elvégzésére, így:
a) az okmány megfelel az okmányt kiállító hatóság előírásainak,
b) az egyes biztonsági elemek – különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek – felismerhetőek és sérülésmentesek, és
c) az okmány azonosítója megegyezik az ügyfél által közölt okmányazonosítóval, felismerhető és sérülésmentes.

Az elektronikus aláírást – amely valójában egy kriptográfiai módszerekkel védett azonosító – a hitelesítés szolgáltató állítja ki az azonosítást követően. Az ügyfél az aláíráshoz ezt az azonosítót használja, oly módon, hogy azt a szolgáltató teszi rá arra a dokumentumra, amelyet alá szeretne írni, így lesz az hiteles. Két aláírás típust különböztetünk meg a fokozott biztonságú aláírást, melynek használatával magánokiratok készíthetők és a minősített aláírást, amely alkalmazásával a kézzel írott aláírással egyenértékű, teljes bizonyító erejű okiratot lehet létrehozni.

Fontos kiemelni, hogy az ilyen módon aláírt dokumentum, szerződés esetében nincs állandó ellenőrzés az aláíró felek személyazonosságát illetően. A folyamat során egyetlen alkalommal, a hitelesítési szolgáltatónál történt sikeres azonosítás alapján a szolgáltató kiad egy igazolást arról, hogy a digitális térben alkalmazott elektronikus aláírás mögött valóban az a személy áll, akinek az ügyfél mondja magát. Az elektronikus aláírás önmagában azonosítja a személyt, úgy tekinthető, mint egy hivatalos okmány, amely a személyazonosságot igazolja.

Figyelemmel arra, hogy az EU tagállamokban kötelezően alkalmazandó eIDAS Rendelet alapján nem lehet megtagadni egy dokumentum elfogadását arra tekintettel, hogy az nem papíralapon, hanem elektronikusan lett aláírva, azokon a területeken, ahol nem kötelező a papíralapú ügyintézés, az elektronikus aláírást el kell fogadni.

A fentieket figyelembe véve jól látható, hogy az elektronikus aláírás előtt, a hitelesítési szolgáltatónál végzett azonosítási folyamat kiemelten kritikus a visszaélések, csalások szempontjából, hiszen az az a folyamat, amely során a megadott adattartalommal kiadott igazolás készül.

Az elektronikus aláírás kibocsájtásának és szerepének megértéséhez a legjobb analógiaként a személyi igazolvány szolgálhat: a kiállított okmány tulajdonosa, saját (közokiratba foglalt) tényei és adatai alapján illetve azok felhasználásával jogosult szerződések és egyéb jogügyletek megkötésére. Amennyiben a feltüntetett adatok hibásak vagy valótlanok, úgy a megkötött jogügyletek vagy érvénytelenné válhatnak vagy nem a jogosult nevében köttettek, így megkárosítva egyik, vagy mindkét felet.

Kiemelten fontos állami feladat tehát, hogy az elektronikus aláírások kapcsán is megteremtődjön az a magas fokú biztonság és bizalom, ami az állami igazolások, dokumentumok kapcsán már régóta fennáll.

A következő részben egy magyar online szerződéskötésre szakosodott vállalkozás (hitelesítés szolgáltató) azonosítási folyamatát fogom tesztelni és megosztani a vele kapcsolatos megállapításaimat. Ennek során leleplezem a céghez kapcsolódó azonosítási eljárás során észlelt visszaélési lehetőségeket, továbbá a cég hátterét vizsgálva más külföldi országok lehetséges titkosszolgálati törekvéseit, személyi összefonódásokat és a Magyar Állam által adott százmilliós befektetés elherdálását.

Hubert Csaba
kibernyomozó, etikus hacker