A digitális aláírás a kézzel írott aláírás hamisíthatatlan megfelelője. Feltéve, hogy a digitálisan előállított aláírások is megfelelnek az eIDAS-rendeletben előírt szabályoknak. Ekkor a digitális aláírás nemcsak hamisíthatatlan, hanem 100%-ban jogilag is érvényes.

A téma azonban sokakban még mindig kérdéseket és bizonytalanságot kelt. Biztonságos az aláírásom? Meghamisítható-e az aláírásom? Hogyan győződhetek meg arról, hogy a megfelelő személy írta alá?

Annak érdekében, hogy választ tudjunk adni ezekre és más kérdésekre, ebben a cikkben azzal foglalkozunk, hogyan lehet egy dokumentumot érvényesen digitálisan aláírni, és mi szükséges ehhez.

Ez lehetővé teszi az elektronikus dokumentum biztonságos digitális aláírását.

Disambiguation:

A digitális aláírásokat elektronikus formában lévő dokumentumok jóváhagyására és érvényesítésére használják. Összetett kriptográfiai mechanizmusokat használnak a digitális dokumentumok és üzenetek hitelesítésére, az aláírók személyazonosságának megerősítésére, valamint az adatok védelmére a hamisítás és a továbbítás során történő manipuláció ellen.

A digitális aláírások háttéreszközökkel vannak felszerelve, amelyek biztosítják, hogy csak egy felhatalmazott személy írhatja alá a dokumentumot, és megakadályozzák az aláírást követő módosításokat.

A digitális aláírást egy egyedi digitális azonosító, az úgynevezett “digitális tanúsítvány” vagy “nyilvános kulcsú tanúsítvány” segítségével hozzák létre. A digitális tanúsítványokat a kérelmező személyazonosságának ellenőrzése után akkreditált hitelesítésszolgáltatók állítják ki.

• A hitelesítésszolgáltató (CA) olyan szervezet, amely jogosult digitális tanúsítványok kibocsátására. Megbízható harmadik félként (TTP) működik, amely ellenőrzi a tanúsítvány birtokosának személyazonosságát. A tanúsító hatóság igazolja a nyilvános kulcs birtoklását is.
  
• A digitális tanúsítvány egy elektronikus útlevél , amely azonosítja a PKI által védett beszélgetés résztvevőjét, és lehetővé teszi az egyének és intézmények számára az adatok biztonságos online megosztását. Az adatok titkosítása és visszafejtése egy nyilvános és egy magánkulcs-pár segítségével történik.
  
• A nyilvános kulcs egy egyedi numerikus azonosító , amelyet adatok titkosítására vagy digitális aláírások ellenőrzésére használnak. A kulcsot egy tanúsító szervezet bocsátja ki egy személy vagy szervezet számára, és nyilvánosan hozzáférhető bárki számára, akinek szüksége van rá.
  
• A titkos kulcsot csak a tulajdonosa ismeri. A megfelelő nyilvános kulccsal létrehozott adatok visszafejtésére vagy digitális aláírások létrehozására használják.

A digitális aláírások és a digitális tanúsítványok szorosan kapcsolódnak egymáshoz. Az Ön alkalmazásai és felhasználásai attól függnek, hogy ezeket a rendszereket hogyan valósítják meg, és hogyan működik a PKI-infrastruktúra. A digitális tanúsítványt néha digitális aláírási tanúsítványnak is nevezik, mivel az aláíró hatóság nyilvános kulcsát (hitelességét) igazolja.

Miért van szükségem digitális aláírásra és tanúsítványra?

Kezdjük egy egyszerű példával. Alice és Bob kommunikálni akarnak egymással, vagy alá akarnak írni egy dokumentumot.

1. forgatókönyv: Bevezető példa

Alice két digitális kriptográfiai kulccsal rendelkezik – egy nyilvános (PA) és egy titkos/magán (SA) kulccsal. A nyilvános kulcs továbbadható. A privát kulcsot azonban titokban kell tartani, és Alice-nek kell biztonságban tartania.

Alice létrehoz egy digitális tanúsítványt, amely tartalmazza a nyilvános kulcsát és az e-mail címét. Ezt a tanúsítványt elküldi Bobnak, hogy megossza nyilvános kulcsát Bobbal.

Alice most már aláírhat egy dokumentumot a titkos kulcsával, és elküldheti Bobnak. Bob ezután ellenőrizheti, hogy Alice nyilvános kulcsa megegyezik-e az Alice magánkulcsával készült aláírással.

A privát és a nyilvános kulcs tehát ugyanannak az éremnek a két oldala. Bármi, amit egy magánkulccsal aláírtak, a megfelelő nyilvános kulccsal ellenőrizhető.

Ez biztosítja, hogy csak Alice tud aláírást készíteni a titkos kulcsával.

Azonban egy másik biztonsági intézkedést is be kell vezetni.
Biztosítani kell, hogy Alice nyilvános kulcsának és felhasználói azonosítójának (pl. e-mail címének) összekapcsolása valóban ellenőrizve legyen.

2. forgatókönyv: Mi történhet, ha a tanúsítványt nem ellenőrzik?

Ezúttal Mallory Alice-nek akarja kiadni magát, és kommunikálni akar Bobbal. Mallory nem rendelkezik sem Alice, sem Bob titkos kulcsával. Viszont van saját privát-nyilvános kulcspárja.

Mallory megpróbálja meggyőzni Bobot, hogy a titkos kulcsa Alice-é. Ehhez a saját nyilvános kulcsából és Alice e-mailjéből maga állít össze egy tanúsítványt, és elküldi Bobnak. Azt hiszi, hogy a nyilvános kulcsot Alice-től kapta.

Most már Mallory a magánkulcsával aláírhatja a dokumentumokat, és akadálytalanul elküldheti azokat Bobnak. A felhasználó a nyilvános kulccsal újra ellenőrizheti az aláírást, és újra összevetheti, hogy melyiket. Bob most már meg van győződve arról, hogy Alice aláírta az üzenetet. A valóságban azonban Mallory volt az.

A probléma itt az, hogy Mallory-nak lehetősége van arra, hogy kapcsolatot hozzon létre a nyilvános kulcsa és Alice felhasználói azonosítója között.

Ezt azonban meg akarjuk akadályozni, és ehhez szükségünk van egy harmadik félre.

3. forgatókönyv: Hogyan kell helyesen csinálni?

Trent egy megbízható harmadik fél, amely biztosítja, hogy Alice nyilvános kulcsának és felhasználói azonosítójának összekapcsolása ellenőrizve legyen. A Trent ellenőrzi Alice személyazonosságát, például a Video Ident segítségével történő azonosítóellenőrzéssel, és hitelesíti a digitális tanúsítványt.

Alice most már aláírhatja az üzeneteket, és Bob biztos lehet benne, hogy az üzenet valóban Alice-től származik. Ez lehetővé teszi, hogy hamisításbiztos digitális aláírásokat állítsunk elő!

Ezért két dolog fontos:

1. Egyrészt meg kell állapítani Alice személyazonosságát, és a felhasználói azonosítóját egy nyilvános kulcshoz kell kapcsolni. A titkos kulcsot Alice mindig biztonságban tartja. Vagy saját maga, vagy egy biztonságos külső szolgáltató, például a sproof segítségével.
   
2. Másodszor, az aláíráskor az aláíró személyazonosságát ellenőrizni kell, például a mobiltelefonján megjelenő push-üzenet segítségével.

Ez lehetővé teszi számunkra, hogy olyan digitális, minősített aláírásokat állítsunk elő, amelyek legalább olyan biztonságosak, mint az analóg aláírások.

Technikailag minden egyes, egy adott dokumentumhoz létrehozott digitális aláírás egyedi, ezért rendkívül nehéz meghamisítani. A digitális aláírás képes biztosítani az elektronikus dokumentumok integritását és hitelességét, miközben jelzi az aláíró beleegyezését, ami lehetővé teszi a vállalkozások, vállalkozók és ügyfelek számára az online interakciót és az információk biztonságos megosztását.

Technikailag minden egyes, egy adott dokumentumhoz létrehozott digitális aláírás egyedi, ezért rendkívül nehéz meghamisítani. A digitális aláírás képes biztosítani az elektronikus dokumentumok integritását és hitelességét, miközben jelzi az aláíró beleegyezését, ami lehetővé teszi a vállalkozások, vállalkozók és ügyfelek számára az online interakciót és az információk biztonságos megosztását.

Kitérő: Ki az az Alice, Bob és Mallory?

Alice, Bob és Mallory fiktív karakterek, amelyek a kommunikáció és az adatmegosztás főszereplőinek szinonimái. Ahelyett, hogy névtelen személyekről beszélnénk, ezeket a személyeket Alice, Bob és Mallory segítségével megszemélyesítjük. Ez a módszer megkönnyíti az összetett kapcsolatok és folyamatok bemutatását, és érthetőbbé teszi azokat az olvasó számára.

Ki az az Alice és Bob?
Alice és Bob a két fél közötti kommunikáció résztvevőinek reprezentatív alakjai. Alice a kommunikáció kezdeményezőjeként lép fel, aki létrehozza a kommunikációt. Bob az üzenetet átvevő személy szerepét tölti be. Alice legtöbbször arra törekszik, hogy átadja az üzenetet Bobnak, míg Bob várja az üzenetet Alice-tól.

Ki az a Mallory?
Mallory a kommunikáció aktív támadója, aki nem fél beavatkozni a kommunikációba, hogy manipulálja az üzeneteket vagy megváltoztassa az adatokat. Mint ember a középen (MITM), Mallory különösen veszélyes Alice és Bob számára, akik a kriptográfia segítségével képesek megvédeni magukat tőle.
A kriptográfia alkalmazása nélkül …

• … az adattovábbítás harmadik felek által manipulálható. Mallory például a lehallgatott adatokat saját céljaira használhatná fel, vagy észrevétlenül megváltoztathatná azokat.
• … Mallory egy másik személynek adhatta ki magát, és hozzáférhetett bizalmas információkhoz.
• … Alice észrevétlenül állíthatta, hogy bizonyos adatokat Mallory meghamisított.

Fontos azonban hangsúlyozni, hogy

• … a kriptográfia NEM képes megakadályozni, hogy Mallory észrevétlenül megváltoztassa vagy elfogja az adatokat.
• … hogy a kapcsolatok megszakítása vagy megakadályozása nem kizárt.
• … A kriptográfia alkalmazása mindazonáltal fontos védelmi mechanizmus az adatmanipuláció kockázatának minimalizálása érdekében.

Ki az a Trent?
A trent, az angol “trusted entity” (megbízható szervezet) szóból ered, egy megbízható harmadik fél. Például tanúsítványkiadó hatóságként, röviden CA-ként.