Caracalla blogja

Internet, jog, játék

Feed

Feliratkozom

Kontakt és egyéb infók

Pár infó a szerzőről

CC ígéret

Creative Commons Licenc

Címkék

7; (1) acta (1) adatvedelem (9) adobe (1) agile (2) ai (2) ajanlo (4) allami szfera (10) álláskeresés (1) állás keresés (1) amazon (2) amd (1) apollo (1) apple (5) artisjus (4) at&t (1) atom (1) biztonsag (5) blackbox (1) blog (26) blogter (3) bsa (4) budapest (5) bug (2) bullshit (2) buntetojog (7) censorware (7) chrome (1) cikkek (1) cisco (2) cloud computing (1) complex (1) copyright (44) creative commons (1) cyberspace (2) cybersquatting (3) cybook (1) datacenter (1) dea (1) digg (2) digitalis jog (1) digitalis utonallas (27) digitalis vilag (33) dmca (3) drm (21) ebédidő (1) ebook (4) ecj (1) ego (29) elektronikus alairas (1) életem (1) életem nem mindennapjai (1) életképek (1) élmények (1) email (3) empire tw (2) én (1) énblog (2) ensz (3) epub (2) étkezés (1) eu (19) eu self (1) e archiving (1) e kereskedelem (3) facebook (5) fantasy (1) fcc (4) fec (1) feed (14) feedburner (4) felsooktatas (5) filecsere (32) franciaorszag (3) frekvenciagazdalkodas (1) fud (5) gaming (1) gmail (2) goldenblog (3) google (13) google reader (3) gpl (1) grammar nazi (1) gyermekpornografia (1) hackers not dead (1) hadopi (2) hardware (4) harvard (1) hoax (1) hoi3 (1) hr (1) humor (8) hvg (8) hvg.hu (1) i2010 (1) ibm (2) identity (4) identity system (3) index (22) innovacio (18) intel (2) intellectual property (20) internet (107) internethungary (1) iptv (1) iso (1) isp (2) iwiw (4) jatekszoftver (10) java (1) jog (109) jogdij (3) jogelmelet (1) jogiforum (3) jogtar (3) kalozkodas (14) kina (1) kína (3) kinai nepkoztarsasag (1) konferecia (1) konyv (1) kozigazgatas (6) kozjoszag (2) kozos jogkezeles (5) kreativitas (1) kritika (4) kultura (3) lcd (1) leírások; (1) lessig (3) link (1) linux (12) lol (11) magas tudomany (1) marketing (10) media (32) microsoft (23) microsoft; (1) miner (1) mobilvilag (4) mobipocket (2) mp3 (6) mpaa (1) msi wind (1) mszh (2) mti (1) muveszet (1) myspace (2) nagy britannia (1) nemzetkozi jog (1) nepszabadsag (1) netscape (1) netvibes (1) net filtering (3) net neutrality (12) nin (1) nyelvtan (1) odf (1) office software (1) olaszorszag (1) online ujsagiras (2) openness (2) openoffice.org (3) opensocial (2) open access (1) open source (21) origo (8) os (1) osi (1) outsourcing (1) oxml (1) p2p (6) pagerank (1) pc szereles (1) phd (1) piac (8) politika (29) privacy (11) ps4 (1) rant (70) reklam (3) ria (2) riaa (12) rpg (2) rpg.hu (1) rss (5) saas (2) sajto (1) serveros (1) silverlight (1) smo (2) software (1) sony (4) spam (8) spectrum auction (1) steam (3) sun (4) superego (1) szabadalom (4) szabvany (5) szerzoi jog (38) szjt (3) szoftverfejlesztes (3) szoftverszabadalom (6) szoftverteszteles (2) szolasszabadsag (5) techcrunch (1) telekommunikacio (10) terminartors (1) tippek; (1) toshiba (1) total war (1) trükkök; (1) tudaselmelet (3) twitter (4) ubuntu (2) ugyfelkapu (2) uncov (1) upc (1) usa (15) uspto (2) vedjegy (2) verizon (3) verseny (9) virtualis haboru (1) virtualizacio (1) vista (3) vodafone (2) voip (1) wardriving (1) warez (1) web2.0 (27) webos (2) welcome to hungary (30) wifi (6) wiki (1) wikileaks (1) wikipedia (4) wimax (1) windows (9) windows; (1) winer (5) xml (2) xp (3) yahoo (1) youtube (3) zene (5)

Friss topikok

  • Szedlák Ádám: Plusz kérdés: képes lesz-e a Sony a kínált funkciókat az egész világon bemutatni és üzemben tartan... (2013.03.01. 14:25) PS4
  • lipot: Olvasgattam a korábbi posztokat, belinkelt törvényeket és lehet, hogy egyértelmű, azért mégis szer... (2011.01.20. 10:28) Bejelentésköteles a webbolt működtetése, hogy is van ez?
  • Boca: Lehet h így van, de ezek hatása egyelőre nem látszik, mert a user kezében lévő technológiákkal kön... (2010.12.29. 06:09) A WikiLeaks internetszabályozási ötletelést vált ki
  • Caracalla: Konrád, nem vitatva amit írsz, kiadói oldalról az nem mentség, ha azt hozzák fel, hogy nem értenek... (2010.10.09. 19:05) A könnyűlovasság károgása
  • emzperx: Már az iwivvel is ez volt az egyik fő probléma úgyhogy ez spanyolviasz. Megyek is a subbára balfék... (2010.05.17. 01:53) Életek a Facebook

Archívum

2009.04.16. 16:28 Caracalla

Pár gondolat az elektronikus hitelességről

Címkék: allami szfera elektronikus alairas ugyfelkapu

A közvetlen apropója ennek az írásnak a Zugügyvéden megjelent levél és kommentek, na meg Uj Péter és Bódi Antal nyilvános levélváltása.

Így tehát olyan témákról lesz szó, mint a rendkívül izgalmas elektronikus aláírás, ügyfélkapu és hasonlók.

Hitelesség általában

A probléma alapvetően a következő: az elektronikus irományok elég könnyen módosíthatók. Ráadásul valahogy azonosítani kellene az aláírót is, hogy valamilyen szinten viszonylag bizonyosan állítani tudjuk, hogy ő írta. Egy papíralapú iratban ez értelemszerűen az irathoz kapcsolódik, alá van írva. Esetenként mások által is - egy teljes bizonyító erejű magánokirat (a továbbiakban tbm) és egy közokirat rádaásul vagy mások által is alá van írva, vagy az egész kézzel van írva és aláírva (a tbm esetén), vagy egy hivatalos személy látja el hitelesítéssel (közjegyzői közokirat), vagy egy közhatalommal felruházott szerv bocsátja ki feladatkörében eljárva. Vagy a jogszabály teszi azzá. És itt kezdődnek a problémák.

A hitelesség ugyanis jogi fogalom, jogszabály mondja meg, hogy mi minősül tbm-nek vagy közokiratnak. És a jogszabály bármit mondhat.

Ha van esze a jogalkotónak, akkor mari néni emailje nem lesz hiteles dokumentum, mert ez körülbelül a 'teljesen komoly írógéppel írt névtelen feljelentés' szintjét üti meg. Egy email cím megváltoztatása - legalábbis a küldő rovatban megjelenő szövegé - nem nagy trükk, most is tele van a levelezőm spam mappája olyan üzenetekkel, amiket én küldtem magamnak, olcsó rolexeket, pénisznagyobbítást és kedves ukrán lányokat ajánlgatva.

Soha nem érdemes szándékos rosszindulatnak betudni, ami szimpla felelőtlenségből, hozzá nem értésből származhat. Ennek az elvnek a nyomán a sok emailpártit csak az utóbbi három jellemzővel hoznám kapcsolatba, leginkábbis az inkompetenciával. Másképpen nem értenek hozzá. Az már nagyobb baj, hogy a szakmainak tűnő közvélemény jó része sem. Katasztrófa, hogy egy átlagos tekkujságíró se érti a technológiák lényegét.

Hitelesség elektronikus iratok esetén jelenleg

Elektronikus iratok esetén a tbm-hez és a közokirathoz minősített elektronikus aláírás használata van előírva általában. Ez mindenféle tanúsított aláíró eszközt igényelne (only fow windows, sry), továbbá van egy aláírást kibocsátó szerv, aki leellenőrzi a személyt, akinek kiadja. Bódi Antalnak nem adna ki Uj Péter nevére szóló aláírást.

Aláíráskor egy lenyomat (hash) készül a doksiról, ami jól be lesz titkosítva az aláírókulcs által. Azaz technológiailag itt egy asszimetrikus kriptográfiai eljárásról van szó, ráadásul elég erős algoritmusokkal. Az aláírás ellenőrzése viccesebb, mert ott elvileg egy elismert autoritásig kellene visszamenni, ami lehetne a közigazgatási gyökérhitelesítésszolgáltató, ha rendesen működne, de ezt nagyjából a visszaigazolással megoldották, amikor is a szoftver lekérdezi az aláírás kibocsátójától, hogy érvényes-e az aláírás. A használatához kód is kapcsolódik.

Erre azért van szükség, mert az aláírások nem élnek örökké, mint ahogy a technológia is változik. Pár éve a 64bites kulcsok jónak számítottak, ma a 2Mb-nél kezdődik az elfogadhatóság határa. Ne feledjük, itt hosszabb távra is megbízható azonosítás kell, nem csak egy rövid távú lekérdezéshez és titkosításhoz, mint például egy weblap esetén.

Persze az elektronikus aláírásról szóló törvényben sikerült túl kicsire szabni az időszakot, így aztán korlátozottan vonzó ez a technológia. Gyakran kellene cserélni a kulcsot, meg az eszközt is, amibe bele van égetve (minősített aláírás esetén), eljárogatni a kiállításáért, aztán meg a visszaellenőrizhetősége is 10 évig tart, úgyhogy lehetne még archiváltatni is, jó pénzért.

Elefánt a porcelánboltban

Az e-aláírással szemben az ügyfélkapu és a magyarorszag.hu alapelve az egyszerűség. Lehetett. Valamikor. Merthogy a bürokrácia diszkrét hatása elég jól tettenérhető az utóbbi időben.

Válaszottak tehát egy olyan megoldást, ami a doksikat nem hitelesíti hétköznapi ember számára visszaellenőrihetően, legfeljebb a felhasználót próbálja igazolni. Ennek az erőssége is erősen problémás. Kicsit erősebb, mint az iwiw azonosítási megoldása, mert nem lehet online regisztrálni, de sokkal gyengébb, mint például a netbankok által használt tipikus megoldás - amikor sms-ben rövid érvényességű egyedi kódot is küldenek belépéshez.

Biztonsági alapelv, hogy a három tényezőből - something the user is, something the user has, something the user knows - kettőt ildomos használni. A fentiekből látható, hogy a netbankhoz és az e-aláíráshoz képest, amelyek ennek megfelelnek, az ügyfélkapu pusztán egyet használ.

Tovább rontott a helyzeten, hogy az adóeljárás lemodellezésének elmaradása miatt kialakult az a gyakorlat, hogy sokan megadták az azonosító adatokat a könyvelőjüknek. Szimplán nem készültek fel arra az ügyfélkapu üzemeltetői, hogy a gyakorlatban mi történik egy cég vagy bonyolultabban adózó magánszemély adóbevallásakor.

Cserébe legalább bonyolult használni. Az egész ügyfélkapura nem sikerült egy komolyabb menüsort vagy bármi tájékozódási eszközt applikálni. Én is ügyfélkapun keresztül adózom, így én is szembesültem az Uj  Péter által felvetett problémával.

Vele szemben nekem azonban nem jelent újdonságot az e-kádárizmus jelensége. Minden elektronikus eljárásban tettenérhető. Nem szolgáltató, hanem többnyire szopató állam a végeredménye az elavult technológiák használatának és a usability teljes hiányának. Ez sokaknak fel se tűnik, de ha elutazunk nyugatra, és mondjuk összehasonlítjuk a Thomast a magyar országgyűlés honlapjával, akkor látható.

De a legmegdöbbentőbb nem az, hogy ez a helyzet. Hanem hogy az ügyfélkapu gondozói még büszkék is az elért eredményre.

Arra most nem is térnék ki különösebben, hogy az ügyfélkapu, mint személyazonosítási eszköz önmagában egy dokumentum esetében csak a 'teljesen komoly írógéppel írt névtelen feljelentés' szintjét tudja garantálni. Mert nem a dokumentumhoz, filehoz kapcsolódik. A beküldőnek meg végképp nincsen olyan értelmezhető példánya az elküldött doksiból, ami viszonylag fix állapotú, nehezen módosítható lenne.

És azért ebben az országban nem bíznék meg automatikusan abban, hogy az emberek 90%-a jóindulatú és becsületes, és nem trükközik akkor se, ha lehetősége van rá.

Az elektronikus iratok hitelessége, mint dilemma

A megoldandó kérdés, hogy milyen technológia alkalmas egy elfogadható személyazonosítási rezsim működtetésére. Mint minden biztonsági kérdésben itt sincs 100%-os megoldás. Minden feltörhető, legfeljebb a szereplők helyes eljárása esetén ez évtizedekben mérhető erőfeszítést kíván.

A jó megoldás valahol a két módszer - az ügyfélkapu és az e-aláírás - összeházasításának irányában lehetne. Az ügyfélkapunál jó, hogy megvan az infrastruktúra a személyazonosításhoz, az okmányirodák. Az aláírásból pedig a techológiát kellene átvenni.

De elektronikus rendszerváltás nélkül erre semmi esély. Furcsa, pedig a terület az ún. rendszerváltást követően alakult ki.

Facebook Tumblr Tweet Pinterest Tetszik
0

3 komment

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://caracallablog.blog.hu/api/trackback/id/tr381068994

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Tgr 2009.04.16. 19:23:18

Az elektronikus aláírás szvsz magánszemélyeknek túl bonyolult (hogy az áráról ne beszéljünk, bár ez nyilván megint a lehúzás kategória). Abban meg Uj Péternek tökéletesen igaza van, hogy egy "értesítjük az APEH automatikus adóbevallás szolgáltatásáról" levélnél az égvilágon semmi szükség hitelesítésre meg letagadhatatlanságra. (Bódi érve a betelt mailboxról meg külön vicces.) Csak éppen így meg lehet spórolni a leveleknek a szükséges biztonsági szint szerinti kategorizálását.

Egyébként meg erősen kétlem, hogy egy (vagy három) aláírás bármivel nagyobb biztonságot jelent, mint egy email. Minden beadványt leellenőriz egy grafológus, vagy mi?

Mindenesetre az elektronikus rendszerváltásig lehet próbálkozni a klasszikus módszerrel: re.blog.hu/2008/10/09/elektronikus_alairas2_0
Válasz erre 

Caracalla 2009.04.16. 19:57:05

@Tgr: abban kétségtelenül egyetértek, hogy az e-aláírás jelenlegi módszere nem jó. De pont a legdrágább részét lehet kiváltani azzal, hogy a fizikai infrastruktúra már megvan hozzá. A túl bonyolulttal nem értek egyet, a kézzel írást is elég sokáig tanítják, ezzel az érvvel azt is ki lehetne lőni.

Az aláírt papírt ha kell, megnézetik grafológussal is, igen, ha probléma támad vele. De meg lehet nézetni.

Egy email esetében meg sok minden előfordulhat, sokkal könnyebb megtévesztő látszatot kelteni vele.

Válasz erre 

amodent 2009.04.16. 22:42:54

A dokumentum végére írt név (vagy a beillesztett kép az aláírásról) is elektronikus aláírás, csak nem biztonságos. A fokozott biztonságú aláírások használata pedig nem bonyolult, nincs az a levelezőprogram vagy csak kicsit is komolyabb szövegszerkesztő, amely ne tudná kezelni őket, valamint kis utánajárással ingyen is hozzá lehet jutni egyhez (Cacert.org, Thawte WoT, stb.) Elsősorban inkább hozzáállásbeli problémát látok a felhasználók részéről, sem mint technikai vagy szabályozási hibákat.
Válasz erre 
süti beállítások módosítása