A közvetlen apropója ennek az írásnak a Zugügyvéden megjelent levél és kommentek, na meg Uj Péter és Bódi Antal nyilvános levélváltása.
Így tehát olyan témákról lesz szó, mint a rendkívül izgalmas elektronikus aláírás, ügyfélkapu és hasonlók.
Hitelesség általában
A probléma alapvetően a következő: az elektronikus irományok elég könnyen módosíthatók. Ráadásul valahogy azonosítani kellene az aláírót is, hogy valamilyen szinten viszonylag bizonyosan állítani tudjuk, hogy ő írta. Egy papíralapú iratban ez értelemszerűen az irathoz kapcsolódik, alá van írva. Esetenként mások által is - egy teljes bizonyító erejű magánokirat (a továbbiakban tbm) és egy közokirat rádaásul vagy mások által is alá van írva, vagy az egész kézzel van írva és aláírva (a tbm esetén), vagy egy hivatalos személy látja el hitelesítéssel (közjegyzői közokirat), vagy egy közhatalommal felruházott szerv bocsátja ki feladatkörében eljárva. Vagy a jogszabály teszi azzá. És itt kezdődnek a problémák.
A hitelesség ugyanis jogi fogalom, jogszabály mondja meg, hogy mi minősül tbm-nek vagy közokiratnak. És a jogszabály bármit mondhat.
Ha van esze a jogalkotónak, akkor mari néni emailje nem lesz hiteles dokumentum, mert ez körülbelül a 'teljesen komoly írógéppel írt névtelen feljelentés' szintjét üti meg. Egy email cím megváltoztatása - legalábbis a küldő rovatban megjelenő szövegé - nem nagy trükk, most is tele van a levelezőm spam mappája olyan üzenetekkel, amiket én küldtem magamnak, olcsó rolexeket, pénisznagyobbítást és kedves ukrán lányokat ajánlgatva.
Soha nem érdemes szándékos rosszindulatnak betudni, ami szimpla felelőtlenségből, hozzá nem értésből származhat. Ennek az elvnek a nyomán a sok emailpártit csak az utóbbi három jellemzővel hoznám kapcsolatba, leginkábbis az inkompetenciával. Másképpen nem értenek hozzá. Az már nagyobb baj, hogy a szakmainak tűnő közvélemény jó része sem. Katasztrófa, hogy egy átlagos tekkujságíró se érti a technológiák lényegét.
Hitelesség elektronikus iratok esetén jelenleg
Elektronikus iratok esetén a tbm-hez és a közokirathoz minősített elektronikus aláírás használata van előírva általában. Ez mindenféle tanúsított aláíró eszközt igényelne (only fow windows, sry), továbbá van egy aláírást kibocsátó szerv, aki leellenőrzi a személyt, akinek kiadja. Bódi Antalnak nem adna ki Uj Péter nevére szóló aláírást.
Aláíráskor egy lenyomat (hash) készül a doksiról, ami jól be lesz titkosítva az aláírókulcs által. Azaz technológiailag itt egy asszimetrikus kriptográfiai eljárásról van szó, ráadásul elég erős algoritmusokkal. Az aláírás ellenőrzése viccesebb, mert ott elvileg egy elismert autoritásig kellene visszamenni, ami lehetne a közigazgatási gyökérhitelesítésszolgáltató, ha rendesen működne, de ezt nagyjából a visszaigazolással megoldották, amikor is a szoftver lekérdezi az aláírás kibocsátójától, hogy érvényes-e az aláírás. A használatához kód is kapcsolódik.
Erre azért van szükség, mert az aláírások nem élnek örökké, mint ahogy a technológia is változik. Pár éve a 64bites kulcsok jónak számítottak, ma a 2Mb-nél kezdődik az elfogadhatóság határa. Ne feledjük, itt hosszabb távra is megbízható azonosítás kell, nem csak egy rövid távú lekérdezéshez és titkosításhoz, mint például egy weblap esetén.
Persze az elektronikus aláírásról szóló törvényben sikerült túl kicsire szabni az időszakot, így aztán korlátozottan vonzó ez a technológia. Gyakran kellene cserélni a kulcsot, meg az eszközt is, amibe bele van égetve (minősített aláírás esetén), eljárogatni a kiállításáért, aztán meg a visszaellenőrizhetősége is 10 évig tart, úgyhogy lehetne még archiváltatni is, jó pénzért.
Elefánt a porcelánboltban
Az e-aláírással szemben az ügyfélkapu és a magyarorszag.hu alapelve az egyszerűség. Lehetett. Valamikor. Merthogy a bürokrácia diszkrét hatása elég jól tettenérhető az utóbbi időben.
Válaszottak tehát egy olyan megoldást, ami a doksikat nem hitelesíti hétköznapi ember számára visszaellenőrihetően, legfeljebb a felhasználót próbálja igazolni. Ennek az erőssége is erősen problémás. Kicsit erősebb, mint az iwiw azonosítási megoldása, mert nem lehet online regisztrálni, de sokkal gyengébb, mint például a netbankok által használt tipikus megoldás - amikor sms-ben rövid érvényességű egyedi kódot is küldenek belépéshez.
Biztonsági alapelv, hogy a három tényezőből - something the user is, something the user has, something the user knows - kettőt ildomos használni. A fentiekből látható, hogy a netbankhoz és az e-aláíráshoz képest, amelyek ennek megfelelnek, az ügyfélkapu pusztán egyet használ.
Tovább rontott a helyzeten, hogy az adóeljárás lemodellezésének elmaradása miatt kialakult az a gyakorlat, hogy sokan megadták az azonosító adatokat a könyvelőjüknek. Szimplán nem készültek fel arra az ügyfélkapu üzemeltetői, hogy a gyakorlatban mi történik egy cég vagy bonyolultabban adózó magánszemély adóbevallásakor.
Cserébe legalább bonyolult használni. Az egész ügyfélkapura nem sikerült egy komolyabb menüsort vagy bármi tájékozódási eszközt applikálni. Én is ügyfélkapun keresztül adózom, így én is szembesültem az Uj Péter által felvetett problémával.
Vele szemben nekem azonban nem jelent újdonságot az e-kádárizmus jelensége. Minden elektronikus eljárásban tettenérhető. Nem szolgáltató, hanem többnyire szopató állam a végeredménye az elavult technológiák használatának és a usability teljes hiányának. Ez sokaknak fel se tűnik, de ha elutazunk nyugatra, és mondjuk összehasonlítjuk a Thomast a magyar országgyűlés honlapjával, akkor látható.
De a legmegdöbbentőbb nem az, hogy ez a helyzet. Hanem hogy az ügyfélkapu gondozói még büszkék is az elért eredményre.
Arra most nem is térnék ki különösebben, hogy az ügyfélkapu, mint személyazonosítási eszköz önmagában egy dokumentum esetében csak a 'teljesen komoly írógéppel írt névtelen feljelentés' szintjét tudja garantálni. Mert nem a dokumentumhoz, filehoz kapcsolódik. A beküldőnek meg végképp nincsen olyan értelmezhető példánya az elküldött doksiból, ami viszonylag fix állapotú, nehezen módosítható lenne.
És azért ebben az országban nem bíznék meg automatikusan abban, hogy az emberek 90%-a jóindulatú és becsületes, és nem trükközik akkor se, ha lehetősége van rá.
Az elektronikus iratok hitelessége, mint dilemma
A megoldandó kérdés, hogy milyen technológia alkalmas egy elfogadható személyazonosítási rezsim működtetésére. Mint minden biztonsági kérdésben itt sincs 100%-os megoldás. Minden feltörhető, legfeljebb a szereplők helyes eljárása esetén ez évtizedekben mérhető erőfeszítést kíván.
A jó megoldás valahol a két módszer - az ügyfélkapu és az e-aláírás - összeházasításának irányában lehetne. Az ügyfélkapunál jó, hogy megvan az infrastruktúra a személyazonosításhoz, az okmányirodák. Az aláírásból pedig a techológiát kellene átvenni.
De elektronikus rendszerváltás nélkül erre semmi esély. Furcsa, pedig a terület az ún. rendszerváltást követően alakult ki.