Biztonságos a digitális aláírás? - Mennyi idő múlva tudják majd hamisítani?

Fóruminformatika
régebbi elöl     új hozzászólás

Rajah # 2008.04.17. 09:20

Köszönöm a válaszokat!

Az ügyfélkör nem állandó és elég nagy létszámú, tehát az ő ellátásuk bármilyen eszközzel nem megoldható.

Ha jól tudom, csak akkor számít egy okirat teljes értékűen bizonyíthatónak, ha az ügyfél maga írta és aláírta, vagy nem ő írta, de két tanú jelenlétében aláírta (most nem térnék ki a közjegyző által hitelesített okiratokra). Minden ilyen perben a döntő általában egy írásszakértő szokott lenni, aki vélelmezi az aláírás eredetiségét. Eddig is ilyen teljesítésigazolásokat irattunk alá és per esetén ez döntött. Most csak annyit szeretnénk, hogy mindezt elektronikusan oldjuk meg.

Már csak annyi lenne a kérdésem, hogy akkor elektronikus rendszer esetén (igazoltan zárt rendszer!), ugyanazok a bizonyítási feltételek, mint a papíralapúnál, ugye?

Köszönettel!

_Wasp_ # 2008.04.16. 14:19

Ha állandó az ügyfélkör, akkor vásároljatok az ügyfélnek BALE eszközt, aláíró tanúsítványt (párezer forint), és az tényleg jó bizonyíték lehet. Akár írásbeli formához kötött szerződésekhez is.

_Wasp_

póker és jogi problémák ingyenes
és felesleges megoldása

Kovács_Béla_Sándor # 2008.04.16. 13:49

Minden lehet bizonyítási eszköz egy perben. De ez nem lesz teljes bizonyító erejű magánokirat.

Rajah # 2008.04.16. 13:32

Szolgáltatás elvégzésének igazolására kellene. Kimegy a kolléga, elkészíti a munkát, dokumentálja az eszközön, aláiratja au ügyféllel, majd ez alapján számlázunk.

Én úgy okoskodtam, hogy ha validáltan zárt a rendszer (azaz az aláírás után az ügyfél megnyom egy gombot, innentől a dokumentum nem módosítható), akkor ez használható.

Kovács_Béla_Sándor # 2008.04.16. 13:14

Attól függ, mi a célotok vele. Olyan szerződések megkötésére, amelyeknek nem feltétele az írásos forma, alkalmas lehet.

De ha teljes bizonyító erejű magánokiratot szeretnétek, arra nem jó. Csak az az elektronikus okirat számít írásbelinek - és egyúttal teljes bizonyító erejűnek, amelyet legalább minősített biztonságú elektronikus aláírással láttak el.

Rajah # 2008.04.16. 13:09

Érdeklődni szeretnék, hogy létezik-e magyarországi szabályozás az érintőképernyőn történő ügyfél általi aláírásra?
Cégünk a papíralapú nyomtatványai szeretné digitális eszközzel kiváltani, de egyelőre nem találtunk szabályozást arra vonatkozóan, hogy milyen megkötései vannak az eszközön történő aláírásnak, illetve az ezzel kapcsolatos egyéb teendőknek.
Ammenyiben kaphatnék egy linket indulásnka, már hálás lennék.
Köszönettel!

csabika25 # 2004.08.06. 09:42

Kedves Csaba!

Ha a dokumentum például egy külső weblinkre hivatkozva tartalmaz lényeges elemeket, például árlistát, garanciális feltételeket stb. , akkor a dokumentum készitője a webtartalom megváltoztatásával megváltoztathatja a dokumentum értelmét, pedig az XML file nem változik és az aláirás érvényesnek mutatja.

Ezzel az állítással megmondom őszintén nem tudok mit kezdeni. Ha én aláírok egy dokumentomot, akkor keletkezik róla egy hash, amit titkosítok, azaz létrejön a digitális aláírás. Mint az köztudott, a hash (lenyomat) egyirányúan és (gyakorlatilag) kizárólagosan azonosítja a dokumentumot. Igaz, hogy a szabvány szerint az XML fájl aláírt és szintén digitális aláírással védett részébe csak egy hivatkozást teszek a dokumentumra, de az ellenőrzés során a hivatkozott dokumentumból is létrehozom a lenyomatot, és a védett lenyomattal összehasonlítva tudom megmondani, hogy az eredetileg aláírt dokumentummal van-e dolgom. Hogyan tudná a másik oldal ilyen feltételek mellett kicserélni a hivatkozott dokumentumot?

Ami a DRM-ra való megjegyzésedet illeti, hogy őszinte legyek, erre nem is gondoltam. Ami a PDF mellett szól, az az, hogy gyakorlatilag úgy néz ki, mint egy hagyományos számla, ami a fogadónak megkönnyíhteti az átállást az új technológiára. Érdemes tehát ezt használni. Az egy másik kérdés, hogy a PDF egy szabvány, amit az Adobe csinál DRM címen, az pedig valószínűleg nem része a szabványnak, hanem extra kiegészítésnek tekinthető. Az elektronikus számla APEH által elfogadott formátumát hamarosan publikálják, ebben véleményem szerint kitűzhető lenne, hogy PDF-ként CSAK a szabványban leírt adatformátumot lehessen használni.

Végül úgy gondolom, hogy inkább vitatkozzunk, mint másokat (ráadásul távollevőket) "fikázzunk". Ha értelmes vita alakul ki, akkor az az egész szakmának csak a javára válik.

Üdv:
Krasznay Csaba

[b:f93acdd6aa]Krasznay Csaba[/b:f93acdd6aa]
[b:f93acdd6aa]BME E-Biz Lab[/b:f93acdd6aa]

Szalai Csaba # 2004.08.05. 19:33

Alapvető elvi tévedés hogy bármilyen adatformátum megfelel.
Amikor a kétkulcsú kriptográfiát kidolgozták, az akkor szokásos dokumentumok egyszerübb szerkezetüekés önmagukban zártak voltak. Akkor még nem gondoltak az aláirandó problémára.

Pedig ma a digitális aláirás technológia gyenge pontja az aláirandó objektumokban rejlik. És igen sajnálatos hogy még az ezzel foglalkozó szakcégek és szak cikkek szerzői is ezerrel nyomják a digitális aláirás marketingjét, és elhalgatják azokat a biztonsági problémákat amelyek a aláirandó objektumok biztonsági gyengeségeiből fakadnak.
Adjuk el, fizessen a vevő , a biztonság meg nem is érdekes.

A PDF-el alapvető elvi problémák vannak

Az Adobe Policy Server segítségével a dokumentumszerzők és a rendszergazdák dinamikusan szabályozhatják, hogy egy PDF dokumentumot kik tekinthetnek meg, illetve meghatározhatják, hogy a címzett a dokumentumot módosíthatja, lemásolhatja, kinyomtathatja és továbbküldheti, vagy pedig nem. Ráadásul az engedélyeken a dokumentum szétküldése után még változtatni is lehet. Az Adobe Policy Server biztosítja, hogy a levédett dokumentumokat a tűzfal mindkét oldalán csak azok a címzettek nyithatják meg, akiknek azokat szánták. A dokumentumokra beállítható, hogy egy adott napon lejárjanak vagy szükség esetén azonnal visszavonhatók függetlenül attól, hogy hány példányban lettek szétküldve. Mivel az Adobe Policy Server használati házirendeket érvényesít, a dokumentumokat nem kell újból szétküldeni, ha valamelyik házirend megváltozik.

Amikor valaki valamit aláir, akár digitálisan akár kézzel azzal legtöbbször valami kötelezettséget vállal, a digitális aláirásnak elsősorban a cimzett részére kell biztonságot nyujtani.

Ha a digitális aláirást olyan technológiákkal keverik, amelyek lehetővé teszik hogy a feladó a dokumentum megnyithatóságát utólag korlátozza akkor az egész aláirás értelmét veszti.

Olyan mintha valaki egy szerződést valaki utólag visszalopna.

A PDF azért nem biztonságos forma mert a küldő időben korlátozhatja a dokumentum megnyithatóságát és igy letagadhatja a dokumentumban vállalt jogi kötelezettségeit.

Az aláirt XML dokumentum szintén biztonsági kockázatot rejt magában. Mégpedig azért mert az XML szabvány megengedi a linkekkel történő hivatkozást és az XML dokumentum önmagában nem mindig szükségszerüen teljeskörü.
Ha a dokumentum például egy külső weblinkre hivatkozva tartalmaz lényeges elemeket, például árlistát, garanciális feltételeket stb. , akkor a dokumentum készitője a webtartalom megváltoztatásával megváltoztathatja a dokumentum értelmét, pedig az XML file nem változik és az aláirás érvényesnek mutatja.

Ha jog nem szabályozza kellő körültekintéssel az aláirható dokumentumok tipusait, akkor a digitális aláirás technológia komoly csalásokra ad lehetőséget, amelyek kellő körültekintéssel megelőzhetőek lennének.

Még sajnálatosabb ha szakmabeliek is csak ködösitenek és marketingelnek, a problémákat pedig elhalgatják.

Összefoglalva a digitális aláirás technológiája jól van kitalálva, matematikailag biztonságos de minden dokumentumtipus esetében.
Nagyon is figyelni kell arra hogy milyen objektumon fogadunk el, digitális aláirást. Sajnos épp a legújabb, legdivatosabb dokumentum tipusok a legkockázatosabbak PDF 6 és afölötti, Office XP, XML.

Mert bár igaz hogy minden bitsorozat aláirható digitálisan, és utólag ellenőrizhető hogy a bitsorozatot manipulálták-e, illetve az aláiró azonositható, de ez nem elég a biztonsághoz.
Ugyanis nem bitsorozatokat kell aláirni, hanem jogi hatállyal biró dokumentumokat ( szerződéseket, számlákat, ajánlatokat stb. ), hiába vannak ezek bitsorozatént aláirva, ha más szoftvereszközökkel (DRM) a dokumentumok hozzáférhetősége korlátozott, vagy a jogilag lényeges információk az adott bitsorozaton kivüli hivatkozásokban van (XML ), akkor a digitális aláirás biztonsága egy kalap szamócát sem ér.

Sajnálatos, hogy az információbiztonsággal foglalkozó cégek többsége is elhallgatja a problémát, ahelyett hogy a megoldást specifikálná.

üdvözlettel Szalai Csaba

csabika25 # 2004.07.26. 09:05

Nincs semmi gond a PDF-fel. Gyakorlatilag bármilyen adatformátum megfelel, ha megfelelően írják alá. Emlékezzünk meg ezen a helyen a XaDES formátumról, azaz az XML aláírásról. Ez ugye úgy néz ki, hogy egy bunáris fájlt (PDF fájl) egy megfelelő XML sémába foglaljuk, majd megfelelően aláírjuk. Akit mélyebben érdekel a dolog, ajánlom Szabó Áron kollégám elektronikus számláról szóló írásait a prohardver.hu oldalon.

[b:f93acdd6aa]Krasznay Csaba[/b:f93acdd6aa]
[b:f93acdd6aa]BME E-Biz Lab[/b:f93acdd6aa]

Leiterjakab # 2004.05.13. 07:14

Kedves Szalai Csaba!

Érdekes amit ír. Hol lehet ennek a kérdésnek részletesen utána nézni (interneten vagy szakkönyvekben)?

A PDF tényleg több szempontból nem egy túl jó dokumentum forma, pláne ha valaki egy több százoldalas dokumentumot akar letölteni akárcsak egy középkategóriás gépen is. A fő előnye viszont, hogy azonnal nyomtathatóak az ilyen formában elhelyzett dokumetumok, mindenféle szerkesztés vagy másolás nélkül - szemben a html-lel.

Üdvözlettel,

Leiterjakab

Leiterjakab

Szalai Csaba # 2004.05.13. 06:49

Eléggé megdöbbenve olvastam hogy az első digitális számla PDF formátumban készült.

A PDF hasonlóan a Microsoft uj formátumaihoz DRM ( Digital Right Management ) lehetőségeket tartalmaz, amely

alapvető biztonsági kockázatot jelent a számla fogadója számára.

A DRM megoldások logikája szöges ellentétben áll a digitális aláirás logikájával, mert kizárja a "letagadhatatlanság " megvalósitását, azzal hogy a dokumentum életciklusát a küldő kezében hagyja.

Az üzleti dokumentumok esetében a feladó , a küldő ad aláirásával biztositékot garanciát a fogadónak, ha a Dokumentum DRM felügyelet áll , ( visszavonható, érvénytelenithető ) akkor
hiába van rajta hitelesitett digitális aláirás egy kalap szamócát nem ér.

Véleményem szerint a digitális aláirás , különösen üzleti dokumentumok esetén csak akkor biztonságos ha az aláirt objektum esetében biztositható a letagadhatatlanság.

A PDF 6.x, az MS Office XP és 2003 dokumentumok digitálisan aláirva sem megbizhatóak a DRM miatt, az XML dokumentumok biztonságos aláirását pedig a beépitett HREF link lehetőségek kérdőjelezik meg.

üdvözlettel Szalai Csaba

Szilágyi Károly # 2001.11.12. 03:49

Az e-aláírással kapcsolatos oldal elindult: http://www.jogiforum.hu/tanacsadas/

Várjuk kérdéseiket!

Szilágyi Károly
szilagyi.karoly@jogiforum.hu

Szilágyi Károly # 2001.11.09. 17:17

Kedves plebejus,

az utolsó részleteken dolgozunk, 'hamarosan' indul az oldal :)

Szilágyi Károly
szilagyi.karoly@jogiforum.hu

plebejus # 2001.11.09. 07:16

MIKOR?

üdvözlettel: plebejus

Szilágyi Károly # 2001.11.01. 01:50

Bartucz Attila Dr. írta - 2001.10.29 10:20
Tiszteletem!

Az e-aláírással kapcsolatban megszaporodó feladatok, kérdések és problémák leküzdésére merre, hol lelek tanácsot, ki szervez szakmai fórumot?

Köszönet:

bartucz.a@oep.hu

Tisztelt Uram!

A Jogi Fórumon az ünnepeket követő néhány napon belül elérhető lesz az elektronikus aláírással foglalkozó ingyenes tanácsadás, melynek keretében kérdéseikre a NetLock Kft. munkatársai fognak válaszolni.

A pontos webcímet hamarosan megtalálja weboldalunkon.

Tisztelettel:

Szilágyi Károly Bálint
főszerkesztő

Jogi Fórum - www.jogiforum.hu
szilagyi.karoly@jogiforum.hu

Bartucz Attila Dr. # 2001.10.29. 09:20

Tiszteletem!

Az e-aláírással kapcsolatban megszaporodó feladatok, kérdések és problémák leküzdésére merre, hol lelek tanácsot, ki szervez szakmai fórumot?

Köszönet:

bartucz.a@oep.hu

Bartucz Attila Dr.

Jovial (törölt felhasználó) # 2001.05.30. 20:08

Hinta-Law:
Az időpont is csak akkor lesz 'hitelesen' tanúsítva, ha azt egy olyan szolgáltató tanúsítja (persze elektronikus, aláírt formában), akiben az ellenőrző személyek megbíznak.

Azaz a magyar szabályozásban:
ha egy minősített időpecsét szolgáltatást végző tanúsítja az időt (aki személy szerint lehet a hitelesítési szolgáltatást végző - azaz az aláíró nyilvános kulcsát tanúsító - személy is), akkor a törvény megadja a vélelmet, és így a pontatlanságot ellenbizonyítani kell, nem a pontosságot esetenként bizonyítani.

A minősített szolgáltatókat a HÍF minősíti, majd ellenőrzi. A minősített időbélyegzési szolgáltatást végzőknek a szolgáltatási szabályzatukban meg kell jelölniük, hogy az időforrásuk mitől pontos (lesznek referenciaidők meghatározva, pl. több atomórára vagy GPS-órákra), amit a HÍF ellenőriz.

Nem minősített időpecsét szolgáltatóknál mindenkinek a maga tapasztalata alapján kell meggyőződnie a megbízhatóságról.
Ez egyébként a várható magas aláírási piacra lépési költségek miatt sem fog igazi problémát okozni (a belépés min. 500 milla a hitelesítési szolg.-knál, és 500 milla indulás esetén azért a svihákok nagy részét már kiszűrték - nem fog valaki egy-két időpont miatt az egész befektetéssel játszani).

Hinta-Law (törölt felhasználó) # 2001.05.28. 00:38

Kedves Cornelius,

Engem a 6-os pont érdekelne egy kicsit jobban, a hiteles pontos idő. Ez hogy működik a gyakorlatban?
Kinek a számítógépe 'teszi oda' az 'idő pecsétet'?
A useré? Mert hát azt elég könnyű állítgatni.
Szóval, hogy is van ez pontosan?

Cornelius # 2001.05.25. 11:38

A kérdés feltevése kicsit pongyola. Kb. olyan, mintha azt kérdezné, hogy biztonságos-e az autózás. A sommás válasz: megfelelő körülmények között biztonságos. Komolyra fordítva: a digitális aláírás csak információbiztosági szempontból egyenszilárdságú rendszerben lehet biztonságos. A fontosabb rendszer elemek és támadási lehetőségeik:

1. Algoritmus
A digitális aláíráshoz aszimmetrikus rejtjelző eljárást használnak, leginkább az RSA algoritmust. Ez kb. 30 éve ellenáll az algoritmikus törési kísérleteknek.
2. Kulcshossz
Az RSA algoritmus kb 800 bit feletti kulcshosszal már reális időn belül nem törhető, 1024 bittel már szuperszámítógép rendszerekkel sem.
3. Nyilvános kulcs és a személyi adatok hitelessége
A CA-k erre a feladatra alapíttatnak. Komoly biztonsági előírások szerint ellenőrzik őket, alapításkor és működéskor is.
4. Személyes (titkos) kulcsfél biztonsága
Itt a legnagyobb a felhasználó veszélyeztetettsége. A kulcsot először le kell generálni, eljuttatni a felhasználóhoz, az aláírások közötti időben tárolni kell valahol, és persze aláíráshoz fel kell használni. Ezen közben számos lehetősége van a kulcs kompromittálódásának. Ha ugyanis az említett feladatokból néhányat a felhasználó PC-je végez, óhatatlanul előfordul a kulcs a PC memóriájában. Onnan pedig a felkészült rosszindulat ellophatja akár úgy is, hogy ennek semmillyen nyoma sem marad.
A következők támadása kevésbé valószínű, de a teljesség kedvéért:
5. Kivonatképzés
Az aláírás az aláírt dokumentumból képzett digitális kivonatot tartalmazza, amelynek segítségével ellenőrizni lehet a dokumentum sértetlenségét. Támadási lehetőség: Más dokumentum, más eljárás, más kontrolösszeg 'becsempészése' a felhasználó gépébe.
6. Pontos idő
Az aláíráshoz hozzá tartozik a hiteles pontos idő. Ennek forrása és megbízhatósága szintén lényeges.

Összefoglalva: A digitális aláírás biztonságát a titkos kulcsfél (előállítás, tárolás, felhasználás) biztonsága alapvetően megszabja. Ebből következően a legnagyobb védelmet extra hardver felhasználásával lehet elérni. Ilyen, hazai termék létezik. Ha érdekli, keressen meg!

Rejtjelezz jól, vagy sehogy (Givierge)

ozy # 2001.05.18. 17:55

No azert nem ugy van az, hogy csak ugy hipp-hopp feltorok egy 128 bites teszem azt RSA kodot... szep is lenne. Minden a megvalositason  mulik. Termeszeteseb feltorhetetlen kod nincs, csak olyan amit nem eri meg feltorni.

Dr@ # 2001.04.04. 09:12

Vannak azok a c;gek, amelyek az internetezo szemelyi szamitogepek szabad kapacitasat hasznaljak (pl> SETI@HOME-ez nonprofit). Lehet berelni tobb oranyi kapacitast profit orientalt cegektol sok ezer gepre... kod legyen a talpan ami birja...

Visitor # 2001.03.29. 00:17

'Csehország - már hamisítják az elektronikus aláírást
(2001. március 21. szerda)

Két cseh számítógépes szakértő rájött arra, hogyan lehet meghamisítani az elektronikus aláírást - jelentette be Prágában az Icz számítógépes szoftvercég, Csehország egyik vezető szoftvercége...'
[url=http://www.jogiforum.hu/hir//9852151369399.php]...tovább...[/url]

Ezt a témát azért hoztam létre, hogy megvitassuk, milyen lehetőségek és módszerek vannak az elektronikus aláírással való visszaélésnek. Lehet-e másolni, hamisítani? Valóban biztonságos, hiteles-e? Várom a rekciókat.