Ti hogy írtok alá digitálisan? (e-személyi, windows)

Fórumok

Most lett új, elektronikus személyim. Vettem kártyaolvasót (Kobil ID Token), drivert, eSzemélyi klienst és KEAASZ-t telepítettem. eSzemélyi kliens látszólag tökéletesen működik, ügyfélkapun be is tudok jelentkezni. KEAASZ azonban az MSCAPI tanúsítvány kiválasztásánál hibaüzenetet dob. Parancssorból kiderül, hogy a certek betöltése közben ArrayIndexOutOfBoundsException-el lehal.

Próbáltam másik (szintén win10) gépen, próbáltam hordozható verzióval (java libraries bundled), sehogy nem megy.

A legfrissebb KEAASZ verzió több, mint három éves, gondolom, azóta változott a Win10 API vagy valami hasonló történt.

Ti Win10-en hogy készítetek magyar e-személyivel hiteles digitális aláírásokat?

Hozzászólások

Szerkesztve: 2020. 11. 27., p – 17:52

Induljunk messzebbről, pontosan miért kéne neked elektronikus aláírás?

Azonosításra visszavezetett dokumentumhitelesítés nem lenne elég?

Papír alapon aláírni nem olcsóbb?

Egyébként pedig pontosan ezért nem terjedtek még el az elektronikus aláírások, mert ilyen bonyolult az egész.

Miért nincsen egy platformfüggetlen webes felület, ahová belépsz böngészővel, és ott írsz alá? Ez technikailag megoldható lenne. Telepítendő program, kártyaolvasó, kártya teljesen felesleges. Webes felületen belépni, SMS megerősítő kód vagy egyéb kétfaktoros azonosítás, feltöltöd amit alá kell írni, aláírás, letöltés, kész.

Amíg ez a kártyaolvasós bohóckodás van, addig itt nem lesz e-aláírás nagy számban.

És akkor még nem beszéltünk arról, hogy archiválni is illik az elektronikusan aláírt dokumentumokat, erre pedig nem fogsz olcsó és egyszerű megoldást találni, így viszont borulhat az egész dolog. Ha nem archiválod elektronikusan az aláírt dokumentumot, akkor X év múlva akár teljesen érvénytelen is lehet a dokumentum. Az archiválás pedig nem annyi, hogy kimented külső merevlemezre vagy feltöltöd a felhőbe, ennél sokkal bonyolultabb. Ha pedig utánanézel, hogyan tudod archiválni az elektronikus aláírt fájljaidat, ez mennyibe kerül, vagy pedig mivel jár, ha magad végzed el, akkor ezen a ponton el is fog menni a kedved az egész e-aláírástól és maradsz majd a papírnál.

Egyszerűen még nem jelent meg a piacon egy olcsó, könnyen használható, teljes körű megoldás. Marad a papír egyelőre.

Induljunk messzebbről, pontosan miért kéne neked elektronikus aláírás?

Észtországban éltem pár évig, ahol mindennapos az elektronikus aláírás használat. személyiben a chip, filléres kártyaolvasó, egyszerű, felhasználóbarát szoftvert telepítesz, és megy is. Munkaszerződésem, albérlet szerződésem, nyelvvizsgám stb. mind digitálisan aláírt formában léteztek csak.

Ezt a rendszert vizionáltam, amikor megrendeltem, hogy legyen magyar eID-m is - leginkább a mindennapi ügyéntézések, lightosabb magánokiratok aláírása miatt.

És egyébként ott hogyan oldják meg az elektronikus archiválást? 

Az a legjobb, ha mindkét félnek van elektronikus aláírása. De olvastam olyanról is, hogy elvileg a Ptk. alapján az is érvényes, ha az egyik fél papír alapon , másik fél elektronikusan írja alá ugyanazt a szerződést. Mert arra készülj fel, hogy neked hiába van / lenne elektronikus aláírásod, a másik félnek nagy eséllyel nincsen ilyen. Viszont akkor meg meg kell tudnod győzni a másik felet, hogy bizony ez így érvényes, mármint ha te elektronikusan írod alá, ő meg papíron. Ha nem tudod meggyőzni, akkor nem fog belemenni és marad a papír.

De visszatérve az elektronikus archiválásra: olyan dokumentumokat említesz, amik lehetséges, hogy kelleni fognak neked hosszú távon, akár 10-15 évig is vagy még tovább. Akkor viszont ha nem archiválod őket az aláírás után, akkor egy idő után elveszhet a hitelességük, és ha egyszer megszűnt a hitelessége, onnantól kezdve az egész érvénytelen.

Ha valami aláírsz elektronikusan, akkor illik rá azonnal tenni egy időbélyeget is, ugyanis az aláírásod tanúsítványa nem lesz örökké érvényes, kb. 2-3 évig szokott érvényes lenni, aztán lejár. Az időbélyeg azért kell, hogy bizonyítsa, hogy amikor aláírták a dokumentumot, akkor még érvényes volt az elektronikus aláírásod tanúsítványa. Tehát ha van időbélyeg, akkor nem baj, ha később lejár az aláírásod.

Igen ám, de az időbélyeg sem tart örökké, annak is van tanúsítványa, ami ugyanúgy lejár egyszer. Még mielőtt lejárna, új időbélyeget kell rátenni.

Aztán olyan is lehet, hogy az időbélyegző szolgáltatót feltörik vagy csak elront valamit, és a privát kulcs kompromittálódik. Ez esetben az időbélyeget visszavonják. Ez nagyon kellemetlen, mert ha hirtelen visszavonják az időbélyeget, az aláírásod tanúsítványa pedig már lejárt, akkor máris mehet a kukába az egész elektronikusan aláírt dokumentumod, mert érvénytelen lesz. Megoldás: legalább 2 időbélyeg kéne a dokumentumra, hogyha az egyik időbélyeget visszavonják, ott legyen a másik, ami bizonyítja, hogy amikor aláírtad a dokumentumot, akkor még érvényes volt a tanúsítványod.

Aztán: a tudomány és technika fejlődése következtében a használt algoritmusok elavulnak egy idő után, és a törvény új algoritmusokat jelöl ki. Még mielőtt a régi algoritmusok kivezetésre kerülnek, az új algoritmusokkal újra alá kell írni a régi dokumentumokat.

Ha megbízol egy minősített elektronikus archiválási szolgáltatót, akkor ezeket mind elvégzik neked, sőt törvényileg garantálják, hogy végig, amíg náluk van a dokumentumod, az garantáltan érvényes marad.

Csakhogy ilyen szolgáltatót olcsón nem fogsz találni, ráadásul mindegyik használata túl bonyolult. Azért tudom, mert én is épp most használnék elektronikus aláírást, végignéztem az összes archiválási szolgáltatót, és nincsen egy sem, ami normális, olcsó, könnyen használható, platformfüggetlen.

ha viszont nem veszel igénybe archiválási szolgáltatót, akkor neked kell a fenti műveleteket időben, helyesen elvégezni. De megnéztem egy ilyen archiválási szolgáltató dokumentációját, és valami 62 oldal volt. Szóval egy elég bonyolult rendszert kéne összeraknod. Az fog kijönni a végén, hogy a papír olcsóbb (létrehozni és tárolni is).

 

Egy olyan szolgáltató kéne, ahová belépsz webes felületen bármilyen platformról, aláírod amit kell, aztán ők azonnal archiválják és folyamatosan megőrzik archiválva, mindent olcsón, könnyen használható módon.

Egyelőre nincsen ilyen. Én arra jutottam, hogy a legjobb megoldás még mindig a papír.

Igazából az EU-ban ez eIDAS rendelet csak 4 éve lépett hatályba, amit ez az egészet szabályozza. Szerintem az van, hogy 4 év még nem volt elég idő arra, hogy valaki csináljon egy normális szolgáltatást. Talán majd pár éven belül lesz ilyen.

A papírt, tollat ajánlom neked inkább, hidd el, egyelőre nincs jobb megoldás.

Ne haragudj, de lehetne hogy nem kezded újra hétszázadszor is, hogy hogyan kell ezt az aláírósdit csinálni, és hogy nem jó sehogy sem, amit bárki csinál, aki megpróbálja? Biztosan igazad van, de megint leírtad 2 oldal hosszan, amit már százszor, és megint el fogja vinni a beszélgetést meddő irányba.

Kíváncsian várom a felvetett problémákra a te konkrét megoldásodat.

Sajnos az a helyzet, hogy azt senki sem reklámozza, hogy archiválni is kell az aláírt dokumentumokat, ezen viszont bukik az egész, mert nincsen normális megoldás. Te tudsz jó megoldást archiválásra? Mi az?

Én egyetlen archiválási szolgáltatót találtam (végignéztem külföldi megoldásokat is), a Microsec-nek van archiválási szolgáltatása, ezek az árak:

37000 Ft + áfa / év, ezért 60 Mbyte/év adatot lehet feltölteni. Ha ennél több kell, akkor az viszont már 67600 Ft+áfa / év. Ez ugye minden évben fizetni kell, mert csak úgy van értelme.

Viszont telepíteni kell hozzá a böngészőbe a titkosító és autentikációs tanúsítványokat. Elvileg utána már csak böngésző kell hozzá, azt írják, de nem próbáltam. Csak Windows és Mac alá van dokumentáció. Linuxról nem írnak, de lehet, hogy az alatt is megy.

Ha nyomtatást, postázást is beleszámolunk, akkor számoljunk mondjuk 100 Ft/oldal árral papír esetén. Ekkor 370 oldalnyi iratot lehetne ennyi pénzből kinyomtatni és postázni minden évben. De akkor még nem számoltam bele az elektronikus aláírás éves díját.

Nem mondom, hogy nem lehet megvalósítani, csak előtte alapos kalkulációt kell végezni, hogy nem olcsóbb-e maradni a papírnál.

> Kíváncsian várom a felvetett problémákra a te konkrét megoldásodat.

Én viszont nem, ezt próbáltam mondani. Érdekelne, hogy kinek milyen gyakorlati tapasztalata van pl eszemélyivel, de megint a te rohadt hosszú izédet kell olvasni a lejáró, meg visszavont időbélyegekről, meg archiválásról, meg hogy nincs olyan, ami cégnek is, meg magánnak is jó, meg a spanyol inkvizícióról, és hogy emiatt ezt nem lehet használni. Értem, elhiszem, de örülnék, ha nem menne még egy ilyen topic ebbe az irányba. Jelenleg az eszemélyivel elvben lehet teljes bizonyító magánokiratot csinálni, időbélyegzőstől. Eltenni meg el lehet ugyanoda, ahova az ember általában teszi az ilyen iratait: bele a fiókba. Itt még jobb is, mert feltehetem valami backup izére, és nem fognak miatta morogni, mint ha leégett a szekrény, és csak másolat maradt, ami nem eredeti... És tök jó lesz akkor is, amikor 10 év múlva elő kell venni. Én arról szeretnék hallani, hogy a gyakorlatban aki csinálja, az mennyire tudja használni.

Nekem van gyakorlati tapasztalatom, bár nem konkrétan az e-személyivel, de nekem van minősített elektronikus aláírásom, használom is. Működik.

Viszont archiválásra nem találtam még megoldást. Pont erre a gyakorlati problémára akartam felhívni a figyelmet.

De neked viszont nem jött át, mert azt írod, hogy elteszed a fájlt a "fiókba" és 10 év múlva is ugyanúgy érvényes lesz. NEM. Maga a fájl meglesz ha csinálsz róla biztonsági mentést, de közben lehet, hogy az aláírás érvénytelenné vált. Backup megoldást emlegetsz, de az elektronikus archiválásnak csak az egyik, kisebb része a backup. A másik, nagyobb, nehezebben megvalósítható része a jogszabályi követés, felülhitelesítés, archív időbélyegző.

Pont erre akartam rávilágítani, hogy ne kezdjünk el ész nélkül aláírogatni dolgokat, mielőbb ne oldanánk meg az elektronikus archiválást.

Attól még hogy az ügyintéző nem magyarázza el neked az e-személyi kiadásakor, hogy archiválás nélkül az egész mehet a kukába, attól ez még valódi probléma.

> Attól még hogy az ügyintéző nem magyarázza el neked az e-személyi kiadásakor, hogy archiválás nélkül az egész mehet a kukába, attól ez még valódi probléma.

Hidd el, egészen jól tudom, hogy hogyan működik az X509 alapú hitelesítés. Gyanítom, hogy nálad jobban, mert nem írok le olyan technikailag tőről metszett faszságot, hogy " Az időbélyeg azért kell, hogy bizonyítsa, hogy amikor aláírták a dokumentumot, akkor még érvényes volt az elektronikus aláírásod tanúsítványa." (FYI nem, az időbélyeg rohadtul semmit nem mond a bélyegzett doksi aláírásáról. Nem is dolga, meg nem is tud, hiszen -- badumm, pss -- nem is látja az eredeti doksit), szóval kérlek a leereszekedő hangnemet valaki másnak.

Arról meg, hogy mi lesz, ha egy bírónak kell dönteni 15 év múlva, mikor előveszek egy ma, a most még érvényes e-személyis aláírásommal aláírt, és a nisz által időbélyegzőzött doksit, amin akkor már le lesz járva mind az én signom, mind az időbélyegzőé, arról nem egyezik a véleményünk. Lényegesen nagyobb esélyt látok arra, hogy -- max szakértővel történő értekezés után -- elfogadja, mint hogy ne. Ugyanis a fenét se érdekli, hogy 2035ben azt fogja rá mondani az adobe reader, hogy érvénytelen az aláírás, mert lejárt a tanúsítvány 2022-ben. Amikor készült, még érvényes volt, nem nagyon merül fel kétség, hogy ne lett volna.

Arról nem beszélve, hogy -- és bevallom férfiasan, ennek nem néztem még utána, de a niszben szoktak gondolkodni is néha -- az időbélyegzős szolgáltatás tanúsitványa jó eséllyel elég hosszú érvényességi idővel lesz, értelmesen inkrementálisan rotálva. És a legtöbb olyan dolog, amihez elég egy teljes bizonyító erejű magánokirat egyébként is viszonylag gyorsan kevésbé lesz érdekes, szóval a fenti bíró nem is nagyon fog előkerülni.

Az időbélyegző azért kell mert anélkül a MÁK visszadobja. :P

Komolyra véve én nem találtam olyat az europa.eu-n keresve ami azt ami ezt az archiválósdit alátámasztaná mindenhol az van , hogy "was valid at the time of signing" az időbélyeg ugye azért van rajta hogy a "time of signing" meglegyen. :D

Amúgy a NISZ-re ne vegyél rá mérget, képesek voltak anno a időbélyegző szolgáltatás igénybevételéhez szükséges kliens tanúsítványt egy évre kiadni. Na meg az hiteles.gov.hu-s csodabuta Gemalto kliensen valamiért le van tiltva a tanúsítványcsere (gondolom ,hogy véletlen se törölje a hozzáértő de anélkül ugye nem triviális cserélni ha lejár :)) 

> Komolyra véve én nem találtam olyat az europa.eu-n keresve ami azt ami ezt az archiválósdit alátámasztaná mindenhol az van , hogy "was valid at the time of signing" az időbélyeg ugye azért van rajta hogy a "time of signing" meglegyen. :D

Mivel ez a teljesen logikus elvárás. De ha valakit nagyon zavar ez az egész archiválósdi, akkor évente egyszer az éves termést beteszed egy zipbe az előző éviek mellé, odateszel egy file listát a hashekkel (zip + előző évek ilyen listái), azt aláírod, letimestampeled az aktuálissal, aztán jövőre ugyanitt találkozunk. Ha ügyetlen vagy, rámehet egy fél délután is, hogy lescripteld, a rettenetes nehéz izé meg is van oldva.

* igazából nem kell ilyen sűrűn, elég az időbélyegzős tanúsítvány lejárati periódusában

> Amúgy a NISZ-re ne vegyél rá mérget,

Nem veszek, emlékszem én balfaszkodásra még abból az időből is, amikor kopint voltak, de a közihedelemmel ellentétben tudom, hogy laknak ott jó szakik.

"Érvényes volt a tanúsítvány az aláírás pillanatában" - hát igen, csak mi volt az aláírás pillanata? 

Ha mondjuk van egy PDF dokumentum, akkor a dokumentum létrehozási és utolsó módosítási dátumát gond nélkül át lehet írni bármire, az nem bizonyít semmit.

A PDF-be is bármit bele tudok írni. Tudok neked bármikor olyan PDF-et írni ebben a pillanatban, amiben az van benne, hogy 1992. január 9-én írták alá, vagy akár 2023. április 1-jén írták alá. És akkor mi van? Ez nem bizonyít semmit.

Ezért van az időbélyeg.

> évente egyszer az éves termést beteszed egy zipbe az előző éviek mellé, odateszel egy file listát a hashekkel (zip + előző évek ilyen listái), azt aláírod, letimestampeled az aktuálissal, aztán jövőre ugyanitt találkozunk.

Amit én használok, az csak max. 30 MB méretű fájlt enged aláírni, tehát ennél nagyobb ZIP-et visszadob. Konkrétan hogyan, milyen eszközzel írsz alá és időbélyegzel egy 3 GB méretű ZIP fájlt? És ez mennyibe kerül?

A ZIP-pel meg az a baj, hogy akkor az egész csak együtt érvényes. Ha van benne 3000 db dokumentum, és abból kell 1 db-ot elküldeni valakinek, akkor is az egész ZIP-et kell küldened, de hogyha a többiben bizalmas adatok vannak, akkor megsérted a GDPR-t. Azt nem lehet, hogy kicsomagolod a ZIP-et és bemutatsz belőle 1 db fájlt, mert nem fogja senki elhinni, hogy az az 1 fájl tényleg az aláírt ZIP-ből származik. És itt ezen a ponton a teljes ZIP használhatatlan a gyakorlatban, csak magadnak tudod bizonyítani a hitelességet, másnak nem.

De ez megint nem véd attól , hogyha csak 1 szolgáltatótól származó időbélyeg van a pakkon, és a szolgáltató magánkulcsa kompromittálódik és visszavonják az időbélyegző tanúsítványát, akkor mit csinálsz. Kéne rá archív időbélyegzőt is tenni.

Vannak itt dolgok amiken el tud csúszni a rendszer, rosszabb esetben csak akkor veszed észre, amikor a bírónak be kéne mutatni a hiteles dokumentumot, de nem tudod, mert spórolni akartál pár tízezer forintot évente az archiváláson.

> Ha mondjuk van egy PDF dokumentum, akkor a dokumentum létrehozási és utolsó módosítási dátumát gond nélkül át lehet írni bármire, az nem bizonyít semmit.

> A PDF-be is bármit bele tudok írni. Tudok neked bármikor olyan PDF-et írni ebben a pillanatban, amiben az van benne, hogy 1992. január 9-én írták alá, vagy akár 2023. április 1-jén írták alá. És akkor mi van? Ez nem bizonyít semmit.

> Ezért van az időbélyeg.

No shit sherlock. Komoly érvelés ez valakitől, aki az előbb még azt akarta bizonyítani vele, hogy az aláírás hiteles volt :D

> Amit én használok, az csak max. 30 MB méretű fájlt enged aláírni, tehát ennél nagyobb ZIP-et visszadob. Konkrétan hogyan, milyen eszközzel írsz alá és időbélyegzel egy 3 GB méretű ZIP fájlt? És ez mennyibe kerül?

Ha ennyire okos vagy, megtanulhatnál olvasni. Nem írom alá a zipet. Csinálok egy darab doksit, amiben benne van az össze file hashhe, és ezt a doksit írom alá, és időbélyegeztetem

> A ZIP-pel meg az a baj, hogy akkor az egész csak együtt érvényes. Ha van benne 3000 db dokumentum, és abból kell 1 db-ot elküldeni valakinek, akkor is az egész ZIP-et kell küldened, de hogyha a többiben bizalmas adatok vannak, akkor megsérted a GDPR-t. Azt nem lehet, hogy kicsomagolod a ZIP-et és bemutatsz belőle 1 db fájlt, mert nem fogja senki elhinni, hogy az az 1 fájl tényleg az aláírt ZIP-ből származik. És itt ezen a ponton a teljes ZIP használhatatlan a gyakorlatban, csak magadnak tudod bizonyítani a hitelességet, másnak nem.

A gyakorlatban ilyet az épp érvényes aláírás lejárta után ritkán kell tenni, a bírónak pont jó lesz az egész. De egyébként a zipre sincs szükség, maradhat az összes file kibontva, egyedi hashhel a listában. Ekkor már csak a listát kell elküldeni, meg egy fájlt (Tudom, úristen GDPR, mi van, ha a filenévben személyes adat van: megspórolom neked, a script mindent átnevez uuidre, nekem meg letesz egy megoldókulcsot). Ha véletlen valaki azon rugózna, hogy le van már járva.

> De ez megint nem véd attól , hogyha csak 1 szolgáltatótól származó időbélyeg van a pakkon, és a szolgáltató magánkulcsa kompromittálódik és visszavonják az időbélyegző tanúsítványát, akkor mit csinálsz. Kéne rá archív időbélyegzőt is tenni.

> Vannak itt dolgok amiken el tud csúszni a rendszer, rosszabb esetben csak akkor veszed észre, amikor a bírónak be kéne mutatni a hiteles dokumentumot, de nem tudod, mert spórolni akartál pár tízezer forintot évente az archiváláson.

Ezt az egészet ti totálisan félreértitek. Ez nem egy webszerver, hogy most kell érvényesnek lenni a tanúsítványnak. Akkor kellett érvényesnek lenni, amikor aláírtak vele, meg amikor bélyegeztek vele. Attól, hogy ma már nem érvényes, attól még az a doksi hiteles lesz. Nem romlik meg az aláírás hitelessége a régi dolgoknak attól, hogy a tanúsítvány lejárt. Főleg, hogy ezek teljes bizonyító erejű magánokiratok, amik természetükből adódóan ellenkező bizonyításig igazak a bíróság előtt. Szóval majd a másik fél hozhat rá bizonyítékot, hogy ez már nem jó, ha nem tetszik neki.

És ha kompromittálódik, és visszavonják, akkor én max majd beperelem a picsába a szolgáltatót, hiszen vele ilyennek nem szabad történni, a bíró meg eldönti, hogy attól, hogy az ott kompromittálódott, esélyes-e, hogy én is hozzáfértem, és hamisítottam, ha egy ilyen eset történne. Ha nagyon öntudatos akarok lenni, akkor amikor tudomásomra jut a blama, akkor csinálok valaki mással egy felülbélyegzést a jelenlegi állapotomról, hogy az utólagos szaresőből már kimaradjak. Aztán ahol kritikus, ott elmegyek a partnerhez, és írunk újra alá, vagy felülhitelesítjük. De ez a kibaszott spanyol inkvizícióra való készülés még mindig. 

Ja, és FYI, kapott minden minden évben így új időbélyeget, szóval nem lesz minden érvénytelen. És ha nagyon akarok, akkor majd megcsinálom havonta 1x cronból, nemtudom 37 forinttért.

És csak sikerült már megint elvinned a topikot. Tudom, én vagyok a hülye, hogy nem egy mondattal válaszoltam

 

Ja, és ha a te szolgáltatód nem tud aláírni / bélyegezni 30 mega fölött, akkor inkább hagyd a faszba, mert szar :D

> Komoly érvelés ez valakitől, aki az előbb még azt akarta bizonyítani vele, hogy az aláírás hiteles volt

Nem akartam, szerintem csak félreértetted. Világosan írtam, hogy az időbélyeg miért kell.

> Csinálok egy darab doksit, amiben benne van az össze file hashhe, és ezt a doksit írom alá, és időbélyegeztetem

És ez mire jó? Ugyanott vagy, hogy akkor ezt a fájlt kell archiválnod, folyamatosan fenn kell tartanod az aláírás és időbélyeg hitelességét. Akkor már egyszerűbb lenne az eredeti fájlokra alkalmazni ezt, nem? Ráadásul pontosan milyen hash-t gyártasz? A jog elfogadja biztonságos algoritmusnak? Milyen programot használsz? Honnan tudod, hogy a használt programban nincsen implementációs hiba? Merthogy ezekért mind te felelsz, ha nem bízol meg bizalmi szolgáltatót.

Ráadásul mi van akkor, ha készítesz egy hash-listát egy mai napon érvényes algoritmussal, de 10 év múlva a jog kivezeti ezt a hash algoritmust, többé már nem biztonságos.  Neked továbbra is csak a régi, már nem biztonságos hash algoritmussal készült listád lesz meg. Csinálhatod azt, hogy elkezded használni az új hash algoritmust, ami biztonságos, viszont akkor hogyan bizonyítod, hogy az új hash algoritmust tényleg azokra a fájlokra alkalmaztad, amiket adott időpontban állítottak elő? 

> Akkor kellett érvényesnek lenni, amikor aláírtak vele, meg amikor bélyegeztek vele. Attól, hogy ma már nem érvényes, attól még az a doksi hiteles lesz. Nem romlik meg az aláírás hitelessége a régi dolgoknak attól, hogy a tanúsítvány lejárt.

Én is pont ugyanezt írom már hozzászólások óta. Csakhogy ahhoz meg időbélyeg kell, hogy bizonyítani tudd, hogy mikor írtak alá egy elektronikus aláírással. Maga az elektronikus aláírás nem bizonyítja, hogy mikor írtak vele alá, hanem csak azt, hogy a múltban valamikor aláírtak vele. Ezért kell az időbélyeg.

> Főleg, hogy ezek teljes bizonyító erejű magánokiratok, amik természetükből adódóan ellenkező bizonyításig igazak a bíróság előtt.

2016. évi CXXX. törvény a polgári perrendtartásról

"325. § [A teljes bizonyító erejű magánokirat]

(1) Teljes bizonyító erejű a magánokirat, ha

a) a kiállító az okiratot saját kezűleg írta és aláírta,

[...]

f) az elektronikus okiraton az aláíró a minősített vagy minősített tanúsítványon alapuló fokozott biztonságú elektronikus aláírását vagy bélyegzőjét helyezte el, és - amennyiben jogszabály úgy rendelkezik - azon időbélyegzőt helyez el,

g) az elektronikus okiratot az aláíró a Kormány rendeletében meghatározott azonosításra visszavezetett dokumentumhitelesítés szolgáltatással hitelesíti"

A "kiállító az okiratot saját kezűleg írta és aláírta" rész az a papír alapú aláírás. Ezt tudja kiváltani az f) pont. Viszont lásd 1/2018. (VI. 29.) ITM rendelet a digitális archiválás szabályairól, ebben benne van világosan, hogy gondoskodnod kell a hitelesség fenntartásáról. Önmagában attól nem lesz valami teljes bizonyító erejű magánokirat, mert egyszer aláírtad elektronikusan. Ha közben megszűnik a hitelessége, akkor innentől kezdve nincsen joghatása.

> És ha kompromittálódik, és visszavonják, akkor én max majd beperelem a picsába a szolgáltatót, hiszen vele ilyennek nem szabad történni

Itt meg kevered az időbélyegző szolgáltatót a minősített bizalmi archiválási szolgáltatással. Az időbélyegző szolgáltató nem garantálja neked, hogy az időbélyegzett dokumentum folyamatosan hiteles marad. Azt csak a minősített bizalmi archiválási szolgáltatás garantálja. Ha az időbélyeg tanúsítványát visszavonják, az vis major, valószínűleg az ÁSZF-ükben ez benne is van, nem reklamálhatsz. Akivel ilyen nem történhet, az az archiválási szolgáltató, csak ott tudsz reklamálni, ha megfizeted a díját. Sőt ott nem is kell reklamálni, mert automatikusan elfogadják hitelesnek.

> Ha nagyon öntudatos akarok lenni, akkor amikor tudomásomra jut a blama, akkor csinálok valaki mással egy felülbélyegzést a jelenlegi állapotomról, hogy az utólagos szaresőből már kimaradjak.

Akkor már késő, ha már visszavonták az időbélyeget, utólag nem tudsz semmit sem tenni. Ha már nincsen a dokumentumon egy darab hiteles időbélyeg sem, és már az aláíró tanúsítvány is lejárt, akkor innentől kezdve már nincs mit tenni. Szerintem erre csak az a megoldás, ha min. 2 időbélyeg kerül a dokumentumra már az aláírás pillanatában, 2 külön helyről. 

> Ja, és ha a te szolgáltatód nem tud aláírni / bélyegezni 30 mega fölött, akkor inkább hagyd a faszba, mert szar :D

Melyik tud nagy fájlokat aláírni, mennyi a limit? És ez mennyibe kerül? Az AVDH is csak 20 megát tud.

... blablabla... spanyol inkvizíció ... blablaba .. nem értem, mint mond a másik, nem fogom fel, hogy évente egy plusz 37 forintos aláírással meg lehet úszni ezt az egész lófaszt ... blablabla....

TL;DR egy aláírás (és ebben a lejárt időbélyegző aláírás is benne van) nem lesz érvénytelen akkor, amikor az aláíró tanúsítvány lejár, akkor se, ha még 100x elmondod, hogy dedededede, időbélyegezzük le két trusted third partyval mindent, mert az az egy, akiben az állam bízik nem elég. Hajrá, bélyegezzed.

Maradtam, a szerinted rettenetes bonyolult izéd oldottam meg fejben, egyszeri parasztnak jó lesz így módszerrel. És természetesen a többi nagy izédet is (elavul hash, jajjaj, duplán kéne timestampelni, mert nem bízunk a megbízható third partyban jaj jaj) kb ennyi idő még beletenni. És arra pontosan elég, hogy egy bíróság ebből be tudja látni azt, hogy folytonosan biztosítva volt valid timestamppek a születése óta.

Mondjuk afelett elsiklottál, hogy nem biztos, hogy örökké ellenőrizni lehet egy tanúsítványról, hogy érvényes volt-e, és ha igen, akkor a múltban milyen időszakban. Ezek az információk nem biztos, hogy örökké elérhetők maradnak.

Ezért az archiválási szolgáltató az elektronikus aláírás ellenőrzéséhez szükséges minden információt hozzácsatol az aláíráshoz még amíg ezek beszerezhetők, és ezekre az információkra is tesz archív időbélyeget.

> egyszeri parasztnak jó lesz így módszerrel

Azért százmilliós céges szerződésekhez ennél robosztusabb archiválási rendszert használj szerintem. Vagy ha te nem is írsz alá fontos céges dokumentumokat, akkor meg ne szóld le azt, aki céges iratokat írna alá elektronikusan, és "egyszeri parasztnak jó lesz" módszernél egy picivel biztonságosabb módszert szeretne az archiválásra, ami valóban megőrzi a dokumentumok jogerejét.

> én nem találtam olyat az europa.eu-n keresve ami azt ami ezt az archiválósdit alátámasztaná

Az 1/2018. (VI. 29.) ITM rendelet a digitális archiválás szabályairól:

"3. § (1) A megőrzésre kötelezett a megőrzési kötelezettség lejártáig folyamatosan köteles biztosítani, hogy az elektronikus dokumentum megőrzése olyan módon történjen, amely védi az elektronikus dokumentumot a törlés, a megsemmisítés, a véletlen megsemmisülés, az utólagos módosítás és sérülés, valamint a jogosulatlan hozzáférés ellen."

"5. § (1) Ha a megőrzésre szánt elektronikus dokumentumot legalább fokozott biztonságú elektronikus aláírással látták el, a megőrzésre kötelezett a megőrzéssel bizalmi szolgáltatót is megbízhat.

(2) Ha a legalább fokozott biztonságú elektronikus aláírással ellátott dokumentum megőrzéséről a megőrzésre kötelezett nem bizalmi szolgáltató útján gondoskodik, akkor a 3. § (1) bekezdése szerinti utólagos módosítás és sérülés elleni védelem érdekében köteles az elektronikus aláírás érvényességét ellenőrizni, és a megőrzési kötelezettség időtartama alatt köteles gondoskodni az elektronikus aláírás érvényességének fenntartásáról."

És a 2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szerint:

"100. § Ha az elektronikus aláírással vagy bélyegzővel ellátott elektronikus dokumentum archiválását minősített bizalmi szolgáltató végzi, az ellenkező bizonyításáig vélelmezni kell, hogy az elektronikus dokumentumon elhelyezett elektronikus aláírás, bélyegző vagy időbélyegző és az azokhoz kapcsolódó tanúsítvány az aláírás, bélyegző vagy időbélyegző elhelyezésének időpontjában érvényes volt."

Ezek egyébként az EU-s eIDAS rendelet átültetései a magyar jogba.

> FYI nem, az időbélyeg rohadtul semmit nem mond a bélyegzett doksi aláírásáról. Nem is dolga, meg nem is tud, hiszen -- badumm, pss -- nem is látja az eredeti doksit

Akkor lehet hogy nem írtam elég világosan. Nyilván nem az időbélyegtől lesz érvényes vagy érvénytelen az aláírás.

De időbélyeg hiányában egy dokumentumról csak addig tudjuk eldönteni, hogy tényleg érvényes-e rajta az elektronikus aláírás, ameddig az aláírónak a tanúsítványa érvényes. Ha lejár a tanúsítvány érvényessége és még a lejárat előtt nem tettünk rá időbélyeget, akkor már nagy valószínűséggel nem igazolható a dokumentum hitelessége.

Az időbélyeg azért kell, hogy azt igazolja, hogy minden kétséget kizáróan mikor írták alá a dokumentumot, és ez alapján vissza lehet keresni, hogy abban az időpontban még érvényes volt az aláíró tanúsítványa.

Időbélyeg mindig kell, különben csak 2-3 évig lesz érvényes a dokumentum (vagy ameddig a tanúsítvány érvényes).

 

> Ugyanis a fenét se érdekli, hogy 2035ben azt fogja rá mondani az adobe reader, hogy érvénytelen az aláírás, mert lejárt a tanúsítvány 2022-ben. Amikor készült, még érvényes volt, nem nagyon merül fel kétség, hogy ne lett volna.

Hát hogyha már mind az aláíró tanúsítvány, mind az időbélyeg tanúsítványa le van járva, akkor ez egy teljesen érvénytelen dokumentum, semmilyen jogi ereje nincsen. Nem tudod bizonyítani, hogy tényleg akkor írtad alá a dokumentumot, amíg még érvényes volt a tanúsítványod.

 

> az időbélyegzős szolgáltatás tanúsitványa jó eséllyel elég hosszú érvényességi idővel lesz, értelmesen inkrementálisan rotálva

Azért ebben ne bízz annyira, nézz utána, meddig érvényes egy időbélyeg tanúsítványa. Nem mindenhol ugyanaz. De ha mondjuk akár 10 évig is érvényes, de neked pont 11 év múlva kéne a dokumentum, akkor már addigra érvénytelen. Csak addig nincs baj, amíg nem vitatja az egyik fél a dokumentumot. Hiába kötsz valakivel szerződést, ha az ő saját példányát letagadja, nálad meg csak egy érvénytelen van, akkor nem tudod érvényesíteni a követelésed.

A másik meg, hogy még a lejárat előtt visszavonhatnak egy időbélyeget, ha a magánkulcsot feltörték. Vagy ha közben elavul az algoritmus és a törvény kivezeti. A Google már épített kvantumszámítógépet, azzal lehet, hogy fel tudják majd törni a mostani algoritmusokat. Az meg ugye azért gond, mert ha egy algortimus feltörhető, akkor én is tudnék a te nevedben bármit aláírni. Ezért még mielőtt kivezetnék az algoritmust, felül kell hitelesíteni a dokumentumot.

> Akkor lehet hogy nem írtam elég világosan. Nyilván nem az időbélyegtől lesz érvényes vagy érvénytelen az aláírás.

> De időbélyeg hiányában egy dokumentumról csak addig tudjuk eldönteni, hogy tényleg érvényes-e rajta az elektronikus aláírás, ameddig az aláírónak a tanúsítványa érvényes. Ha lejár a tanúsítvány érvényessége és még a lejárat előtt nem tettünk rá időbélyeget, akkor már nagy valószínűséggel nem igazolható a dokumentum hitelessége.

> Az időbélyeg azért kell, hogy azt igazolja, hogy minden kétséget kizáróan mikor írták alá a dokumentumot, és ez alapján vissza lehet keresni, hogy abban az időpontban még érvényes volt az aláíró tanúsítványa.

> Időbélyeg mindig kell, különben csak 2-3 évig lesz érvényes a dokumentum (vagy ameddig a tanúsítvány érvényes).

Komolyan ennyire hülyének nézel? Én tökéletesen értem, mit csinál egy időbélyeg. "Az időbélyeg azért kell, hogy bizonyítsa, hogy amikor aláírták a dokumentumot, akkor még érvényes volt az elektronikus aláírásod tanúsítványa." ezt sikerült mondanod. Lehet, hogy szarul fogalmaztál, de FYI az időbélyegnek semmi köze nincs ahhoz, hogy érvényes-e az aláíró tanúsítvány, az egyetlen dolgot állít: a timestampelt izé az aláírás pillanatában már létezett. Kapaszkodj meg, az izének nem kell dokumentumnak lennie, sőt aláírva sem kell lennie. A timestampelő meg nem is látja, csak egy hasht belőle.

És tudod, honnan tudjuk, hogy a timestampet kiadó certifacate jó időt adott ki? Sehonnan. Nem lévén technikai eszközünk ennek érdemi belátására, megbízunk a cert mögött álló szervezetben (nyilván, mindenféle egyéb garanciák fejében). És ez bizony azt is jelenti, hogy megbízunk abban, hogy nem kompromittálódott, és abban is, hogy amit ennek érvényességi idején belül letimestampelt, az úgy volt. Szóval de, egy bíró jó eséllyel el fogja fogadni annak hitelességét.

A többire meg, jézusom, most már ott tartunk, hogy úristen mi lesz az istenverte albérleti szerződésemmel (oh wait, értelmesebbje márt azt is közjegyzőnél csinálja), ha a google kvantumszámítógépe feltöri az izét.

Igen, ez jó összefoglaló. A 2. linken, a 29. oldalon írja is:

Az elektronikusan aláírt dokumentumokat speciális körülmények között kell archiválni.
Az archiválás bonyolult feladat, jelentős szaktudás és drága infrastruktúra szükséges hozzá.

> Igazad van, gázos dolog ez. És az is, hogy tíz év alatt alig van előrelépés.

Igen, ezért ajánlottam a témaindítónak, hogy maradjon inkább a papírnál :(

Én is ezt használom, kivétel ha hivatali ügyeket intézek, mert akkor ott van az https://epapir.gov.hu/ ami hitelesíti a doksikat a fent említett módon, nem kell külön scannelgetéssel bajlódni.

https://sign-pdf-file.com

https://play.google.com/store/apps/details?id=com.adobe.fas&hl=en_US&gl…

https://play.google.com/store/apps/details?id=com.adobe.echosign&hl=en_…

De ez nem eIDAS elektronikus aláírás. Ez annyit ér, mintha bepipálnál online egy jelölőnégyzetet, hogy elfogadtad a szerződést.

Ne keverd ide az USA jogot, az más, mint az EU-s jog. Az EU-ban érvényes, papíron tollal kézzel aláírt papír alapú dokumentumot kiváltó elektronikus aláírást azok a szolgáltatók kínálnak, akik benne vannak ebben a listában:

https://webgate.ec.europa.eu/tl-browser/

Magyarországon csak a NISZ, Microsec és Netlock. De leszerződhetsz más EU-s tagállamban lévő szolgáltatóval is.

Az Adobe-nek van eIDAS kompatibilis aláírása is ahogy látom, de az nem ingyenes. Az USA oldalukon ilyet nem találsz, át kell menni az EU-s részlegükre.

eIDAS aláírásból alapvetően kétféle van:

A minősített elektronikus aláírások és bélyegzők használatával teljes bizonyító erejű magánokiratok hozhatók létre, amelyek a Európai Unió teljes területén egységesen elfogadottak.

Fokozott biztonságú elektronikus aláírások és bélyegzők használatával pedig egyszerű magánokiratok hozhatók létre a magyar jogrendben. Ezen aláírások esetében nem garantált, hogy Magyarországon kívül más EU-s tagállamban is elfogadottak.

Hogy mi a különbség a teljes bizonyító erejű magánokirat és az egyszerű magánokirat között, azt a 2016. évi CXXX. törvény a polgári perrendtartásról tartalmazza. Mérlegelni kell, milyen típusú magánokiratot akarunk gyártani, ehhez mérten kell beszerelni vagy fokozott biztonságú elektronikus aláírást, vagy minősített elektronikus aláírást az eIDAS rendelet alapján.

Bár a fokozott biztonságú elektronikus aláírásnak én nem látom semmi értelmét, ugyanis az nem váltja ki a papír alapú aláírást. Ha olyan elektronikus aláírást akarsz, ami ugyanolyan jogerővel bír, mintha papíron, kézzel írtál volna saját kezűleg alá, akkor a minősített elektronikus aláírást kell választani.

Pl. ha használt egy olyan programot, mint a Docusign, az ingyenes is, és egyszerű magánokiratot tudsz vele gyártani.

Ha ki akarod váltani a papír alapú aláírást, akkor viszont fizetni kell a minősített elektronikus aláírásért egy szolgáltatónak.

AVDH platformfüggetlen, de én arra értettem, hogy még nem csinált meg senki egy platformfüggetlen, teljes körű megoldást, amivel magánszemély és cég is tud eIDAS-kompatibilis minősített elektronikus aláírásokat és időbélyegeket létrehozni, ÉS amint alá lett írva a dokumentum elektronikusan, a rendszer azzal a lendülettel archiválja is, és megőrzi addig, amíg nem törlik.

Az AVDH csak magánszemélyeknek való és az államigazgatáshoz. "Az azonosításra visszavezetett dokumentum-hitelesítés szolgáltatás az állampolgárok részére nyújt kényelmes megoldást arra, hogy biztonságosan tudják intézni hivatalos ügyeiket a közigazgatásban."

Az dicséretes ha így van, de céges aláírásra nem használható, bár néhányan esküsznek rá, hogy céges aláírást is kivált, de szerintem nem.

A másik gond, hogy a dokumentum archiválása megint csak nincsen megoldva. Az AVDH aláírja neked a dokumentumot, de nem archiválja. Sőt a szolgáltató NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.-nek nincs is jelenleg minősített archiválási szolgáltatása ( http://webpub-ext.nmhh.hu/esign2016/szolgParams/init.do?tipus=mi ), tehát a létrejött dokumentumot ezután neked kell archiválnod, tehát megint kezdődik a szívás.

Vagy az is lehet, hogy nem archiválod, és ha szerencséd van, akkor így is érvényes marad. Ha nincs szerencséd, akkor egy esetleges bírósági pernél ha a bírónak bemutatod az érvénytelen elektronikus aláírással rendelkező fájlodat, akkor semmire sem fogsz vele menni, nem lesz semmi a kezedben.

Ezért írtam, hogy egy ilyen rendszernek az aláírás után azzal a lendülettel archiválni is kellene a dokumentumot és mindaddig őrizni, szükség esetén felülhitelesíteni, amíg a felhasználó fizet érte. De nem aranyáron, hanem annyiért, hogy olcsóbb legyen, mintha ugyanezt papír alapon csinálnád.

Az dicséretes ha így van, de céges aláírásra nem használható, bár néhányan esküsznek rá, hogy céges aláírást is kivált, de szerintem nem.

Domain-átadásnál elfogadták, mint céges aláírás. 

Pontosítva: Papíron ki volt töltve a dokumentum, cégszerűen lepecsételve, aláírva. Majd az egész scannelve, és a cégvezető AVDH-san aláírta. 
Két lehetőség volt: Vagy az eredeti papírt lehetett bevinni, vagy így. Másolatot vagy sima scannelt dokumentumot nem fogadtak el.

Nagy Péter

Akor már titkosítani is kell a doksit, viszont ehhez kell nekik (mindenkinek külön-külön) egy titkosító kulcspár, aminek a náluk lévő felével lehetne kicsomagolni az aláírt doksit. És az AVDH az pont nem ilyen módon működik (azonosítás van, és az azonosítást végző oldal "üti rá" a kivonatra a stepmplit)

Valószínűleg nem akarják bevállalni, hogy korlátlan tárhelyet biztosítsanak mindenki számára ingyen. Ugyanezért a piaci szereplők elég szép összeget kérnek.

És az AVDH-t nem is erre találták ki, hanem sokkal inkább arra, hogy nyomtatványok beküldésekor igazolja a hitelességét. Egy munkanélküli papír beküldésekor, vagy egy gépjármű adás-vételi papírjának pont elegendő, hogy akkor látják a hitelességét, amikor bejegyzik a nyilvántartásban. Ezeknél nem olyan fontos, hogy 10-20 év múlva a bíróságon be tudd mutatni, sokszor addigra már a papíron, tollal aláírt példány is elveszik.

Nagy Péter

Jahogy ja :) Azaz a kulcspár nem az ügyfélnél van, hanem nálatok hsm-ben - így érthető a dolog. Igaz, az üf. ezzel csak egy helyen, egy felületen (nálatok) tudja használni a kulcspárt (hiszen a privát felét tartalmazó eszközt nem birtokolja), de való igaz, minősített aláíráshoz ennyi elég.

> A Netlocknál dolgozom.

Engem nagyon érdekelne, hogy a Netlocknál miért nincsen már minősített elektronikus archiválás? Nekem azt írták, hogy már megszűnt, csak régi ügyfeleknek van, új ügyfeleknek nem kínálják. Miért?

Akkor mi van azzal a rengeteg elektronikus aláírással, azokat hogyan archiválják az ügyfelek? Sehogy?

De miért nincs olyan opció a Netlock Sign rendszerben, hogy plusz pénzért automatikusan archiválja és megőrzi az aláírt dokumentumokat, ill. fel tudok tölteni már korábban aláírt dokumentumokat az archív tárba?

Szerintem nem elvárható egy átlagos számítástechnikai ismeretekkel rendelkező felhasználótól, hogy saját archiváló rendszert alakítson ki.

Rohadtul nem akartam hozzászólni a témához, de:

- miért bízol meg a Netlockban? Miért feltételezed, hogy nem megy két hét múlva csődbe, nem törik szarrá az infrájukat, lopják el, módosítják és törlik a te archivált vackaidat?

- Saját archiváló rendszer: ami fontos, azt rendesen eltitkosítva elküldöd egy saját outlook-os és egy saját gmail-es címedre. Esetleg még freemail-re is. Ezzel máris többet tettél az archiválás/megőrzés érdekében, mint ha papír alapon tárolnál mindent (elázik, elég, megeszi a krokodil, lekopik a nyomtatás).

Nyilván kell azért saját biztonsági mentés is, az egyértelmű. 

Azt viszont látni kell, hogy ők bizalmi szolgáltató, amit a törvény szabályoz. Az Európai Parlament és a Tanács 910/2014/EU rendelete ( 2014. július 23. ) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről vezeti be a bizalmi szolgáltató fogalmát (eIDAS rendelet).

Többek között kimondja: "a bizalmi szolgáltatók felelősek minden olyan kárért, amelyet szándékosan vagy gondatlanul bármely természetes vagy jogi személynek okoztak e rendelet szerinti kötelezettségeik megszegéséből eredően"

Ennek átültetése a magyar jogba:

2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szerint:

"100. § Ha az elektronikus aláírással vagy bélyegzővel ellátott elektronikus dokumentum archiválását minősített bizalmi szolgáltató végzi, az ellenkező bizonyításáig vélelmezni kell, hogy az elektronikus dokumentumon elhelyezett elektronikus aláírás, bélyegző vagy időbélyegző és az azokhoz kapcsolódó tanúsítvány az aláírás, bélyegző vagy időbélyegző elhelyezésének időpontjában érvényes volt."

Továbbá azt is szabályozza a törvény, hogy nem szűnhet meg jogutód nélkül egy ilyen minősített bizalmi szolgáltatás, hanem biztosítani kell a folyamatosságot.

Magyarországon a minősített bizalmi szolgáltatók listája itt érhető el: http://webpub-ext.nmhh.hu/esign2016/szolgParams/init.do?tipus=mi

A második pontodnál az a baj, hogy az archiválás nem csak ebből áll. Amit írtál, az biztonsági mentés. Az archiválás azt jelenti, hogy emellett még az elektronikus aláírások és időbélyegek folyamatos hitelességét is fenn kell tartani, kb. erről szól ez az egész téma ha visszaolvasol :)

Hiába tudod te bemutatni a dokumentumot, ha közben a rajta lévő elektronikus aláírás hitelessége lejárt, akkor onnantól nincsen jogi ereje (pl. egy elektronikusan aláírt szerződés, hiába van meg neked a fájl, ha közben már nem hiteles rajta az elektronikus aláírás, akkor annak már jogi ereje nincsen).

"Telepítendő program, kártyaolvasó, kártya teljesen felesleges. " - lenne, ha a kártya csak azonosításra szolgálna, azonban az egy "biztonságos aláíróeszköz" is, ami a privát kulcsokat tárolja, és aláírás lényegi része (az aláírandó adathalmazból generáált hash titkosítása a privát kulcs segítségével) ott történik - a privát kulcs nem hagyja el a kártyát, ahhoz harmadik fél nem fér hozzá. Lásd: https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:01999L00… és itt kifejezetten a III. mellékletben szereplő feltételeket.
Amit te vázoltál, az az AVDH, aminél nem te írsz alá, hanem az azonosításod után az avdh-s rendszer írja rá a doksira, hogy legjobb tudomása szerint az adott dokumentumot te készítetted.

De van ilyen rendszer, konkrétan én használom is, Netlock Sign csomag.

Csak egy webböngésző kell hozzá, nem kell semmit sem telepíteni, online működik. Bármilyen platformról (Windows, Mac, Linux, Android stb.).

Felhasználónév, jelszó, SMS kód kell hozzá.

A kiemelkedő biztonság és megbízhatóság érdekében a felhasználói kulcsokat kriptográfiai célhardverben (Hardware Security Modul – HSM) generáljuk és tároljuk, csak az aláíró által aktiválható módon. A megoldás minősített elektronikus aláírások és bélyegzők, fokozott biztonságú elektronikus aláírások és bélyegzők illetve minősített időbélyegek létrehozására képes.

Ezek a te saját privát kulcsaid, ha előfizetsz rá. Csak nem a kártyán vannak, hanem a HSM-ben.

Ilyenre gondolok, ez már egy jó lépés egy normálisan használható elektronikus aláírás felé, de valamilyen érthetetlen okból az archiválást nem támogatja. Ezt kéne kiegészíteni egy olyan funkcióval, hogy azonnal archiválja is az aláírt dokumentumokat, fájlokat. Talán majd egyszer valaki megoldja ezt is.

Továbbra sem értem, hogy ha a HSM nem nálad van, és valaha megadod a kódodat, akkor mi akadályozza meg a rendszert, hogy a te kódod birtokában a HSM-mel bármi mást is a nevedben aláírathassanak.

Ez a módszer, hogy nem nálad van az aláíróeszköz, sehogy sem tud biztonságos lenni.

Ez egy lehetőség, hogy a saját kulcsod egy kártyán van rajta, és azzal írsz alá. Ez működik, viszont eléggé kényelmetlen, mert cipelni kell a kártyaolvasót, stb. A szabvány lehetőséget ad arra, hogy a kulcstárolás megfelelő biztonsági feltételek mellett a bizalmi szolgáltató birtokában lévő HSM-ben tárolódjon, és csak megfelelő (két faktoros) autentikáció után történhessen meg a kulcsaktiválás. Minden folyamat és technikai megoldásnak szabványoknak kell, hogy megfeleljen, a folyamatok és megoldások auditálva vannak, a cégek biztosítással rendelkeznek, és rendszeresen vizsgálják őket.

A bizalmi szolgáltatót nem véletlenül hívják bizalmi szolgáltatónak, ez nem egy "egyszerű" cég, nem véletlen, hogy az EU-s piacon is eléggé limitált a számuk.

A jelszó is a privát kulcs része, a jelszót nem tárolják a HSM-ben. Tehát elvileg ha valaki feltörné a HSM-et, akkor nem tud vele aláírni, mert még a jelszót is kéne mellé tudni, amit viszont sehol nem tárolnak. Emiatt jó erős jelszót érdemes megadni.

Elfelejtett jelszó funkciót nem is látok sehol. Szerintem az van, hogyha elfelejted a jelszavad, akkor bukod a tanúsítványt, és újat kell igényelni, a régit meg visszavonni. De ebben nem vagyok biztos. @sz332 ?

Meg van 5 millió Ft felelősségvállalás is, plusz még az NMHH is szabályozza őket. Szóval annyira nem érné meg visszaélni a kulccsal, mert akkor ki kell fizetni az 5 milliót + az NMHH büntetés.

Ki van ez találva, csak hát kár, hogy archiválást nem nyújtanak, szóval azt magadnak kell megoldani, csak hát mezei felhasználó azt sem tudja, hogy mi az az archiválás.

Szóval annyira nem érné meg visszaélni a kulccsal

Kivéve, ha a nyereségük rajta > 5 millió + NMHH büntetés.

A jelszó is a privát kulcs része, a jelszót nem tárolják a HSM-ben.

Cseszheted, amikor van olyan pont, hogy mind a két információ rendelkezésre áll, márpedig kell, hogy legyen ilyen, különben nem tudnának aláírni. És nem kell a HSM-ben tárolni, elég bárhol máshol.

A bizalmi szolgáltatót nem véletlenül hívják bizalmi szolgáltatónak, ez nem egy "egyszerű" cég, nem véletlen, hogy az EU-s piacon is eléggé limitált a számuk.

(tudom, nem te írtad, de egyben válaszolok) Igen, és nekem azért kell megbíznom a bizalmi szolgáltatóban, mert valaki (auditot végző cég, biztosítást adó cég, felülvizsgálatot cég stb.) azt mondta. Akikben meg azért kell megbíznom, mert?

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Van egy csomó lehetőséged. Ha pl. nem bízol meg egy bizalmi szolgáltatóban, akkor kézzel írsz alá. Ha mégiscsak digitális aláírást szeretnél, akkor használhatsz kártyás megoldást is. Valójában pedig minden megy a SAS/Cloud irányba, és simán 10-100 milliós bankszámlákat kezelnek az emberek 1-1 ujjlenyomattal. Erre van igény, a bizalmi szolgáltatók is ennek próbálnak megfelelni.

Kivéve, ha a nyereségük rajta > 5 millió + NMHH büntetés.

Pontosabbah ha a nyereség > 5 millió + NMHH büntetés + összes jövőbeli bevétel jelenértéke :)

Ha a core biznisz az, hogy te megbízható vagy, aztán kiderül, hogy mégsem, akkor nehéz lesz megtartani az ügyfeleket. 

A privát kulcs egyébként nem tud kikerülni a HSM-ből, tehát azt megszerezni nem lehet. A támadónak pedig mindegyik faktort el kell tudnia kapnia, ráadásul a kódot sem tudja újrafelhasználni. Ha jól emlékszem, a jelszó elfelejtésnek ez a következménye, amit írtál. A bizalmi szolgáltatónak pedig nagyon nem érdeke visszaélni, lévén ennek súlyos büntetőjogi és anyagi következményei vannak. Ez kb. annyira valószínű, mint hogy fogja a bank, és elfut a pénzeddel.

Oké. Ez úgy műxik, hogy a jelszavadat begépeled, és a kulcsodat tartalmazó HSM-ig el kell jutnia. Ott a HSM-en belül a jelszóval dekódolja a privát kulcsot, és ott bent a HSM-ben fel is használja az aláíráshoz (pont mint a kártyás megoldásnál a kártya). Itt kettő gázos rész van:

- hogy jut be a kulcs a HSM-ig, hogy azt senki útközben el ne kaphassa (a HSM nem beszél veled, te egy webszerverrel beszélgetsz direktben, aki kibontja az SSL forgalmat - tehát hozzáfér a jelszavadhoz - és továbbküldi a HSM-be),
- az aláírandó valamit a HSM-ig be kell juttatni (szintén hasonló utat jár be, mint a jelszó), itt megintcsak a webszerver küldi a HSM-be az aláírandó valamit.

Ergó a webszerver meghekkelésével a) hozzá lehet jutni a jelszavadhoz, b) a beküldött valami helyett egy másik valamit alá lehet íratni a HSM-mel. Továbbá ugyanezt a browseredben is meg lehet játszani. Lehet választani, hogy a kettő közül melyik könnyebb támadási felület.

Az 5 milliós felelősségvállalással az a gond, hogy előbb bizonyítani kéne azt, hogy történt valami. És ezt ezekben az esetekben nehéz lesz (plusz ha a browseredben van a gond, azért tuti nem is felelnek). Meg hát egy üzleti felhasználó aláírásának meghamisításával 100 milliós kárt simán lehet okozni...

A kártyaolvasós történet annyiból jobb, hogy sokkal rövidebb és emiatt jobban kézben tartható a jelszó útja a kártyáig (leginkább annak van értelme, hogy ezt valami OS-be telepített cucc csinálja a browser helyett).

Erre az a válasz lesz, hogy "ott a 2fa". Ami akkor jó, ha a 2fa-s eszköz forgalma nem téríthető el (sajnos de - bankszámlát csapoltak meg SIM-cserét igényelve az üf. nevében), és ha a 2fa-s jelszót maga a hsm ellenőrzi (azaz a kulcshoz nem statikus, hanem időfüggő one time password társul), hogy adott kulcshoz adott időablakban hozzá lehet-e férni, vagy sem.

Meg azon se segít, ha a nagyon megbízható aláíró akar visszaélni (az OTP-hez szükséges shared secretet is egyszer valamelyik irányba közölni kell [ÜF -> HSM vagy HSM -> ÜF], legalább azalatt az idő alatt hozzáfér a közvetítő cég [és mindenki, aki a HTTPS forgalmat fel tudja oldani...]).

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Biztos, hogy a jelszónak el kell jutnia a HSM-ig?

Van pl. a Tresorit, ott megoldották, hogy titkosítva tárolják a fájljaidat a felhőben, ők nem tudják a jelszót, nem jut el hozzájuk, de mégis webböngészőből belépve is hozzáférsz a titkosított fájlokhoz.

Itt van leírva az eljárás: https://support.tresorit.com/hc/en-us/articles/216114367-How-is-my-pass…

Hát valahol találkoznia kell a jelszónak a privát kulccsal, tehát az alternatíva az lehetne, hogy a privát kulcsod jön ki a HSM-ből. Akkor viszont ugye minek a HSM...

A Tresorit a kliens oldalon titkosít. Ha ezt webböngészővel csinálod, akkor a webböngésződ biztonsági szintjén van az egész rendszer (ott kóborol a jelszavad meg a kibontott fájl). Na ez nagyon messze van attól a biztonsági szinttől, amit bármilyen minősített rendszertől elvárunk. Mert hát mutass már légy szíves egy auditáltan biztonságos webböngészőt (a Chrome-ból pl. csak november első felében 3 release volt, mindegyikben volt security fix) :D

Szerkesztve: 2020. 11. 27., p – 17:49

Én amíg érvényes volt rajta az aláírás a mobil+KEAASZ kombóval írtam alá. Mivel az egyetlen alkalommal amikor használni szerettem volna visszadobták a pdf-em, hogy "nincs aláírva" hagytam lejárni.

Nyamm, ez jól hangzik! Tehát kell hozzá minden szart venni, van egy csomó 5 betűs rövidítés, csak Win10-en támogatott, de még azon sem megy, mert a szoftvert nem tartják karban vagy a certet is lusták karbantartanai. Egész megkívántam, látszik próbálják vonzóvá tenni.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Azt kihagytad, hogy amikor beviszel egy "papírt" digitálisan aláírva annak a kormánynak a kormányablakába (értsd: ülsz az ügyintézővel szemben, a kezedben a telefon és már küldenéd át e-mailben), amelyik aláírja a tanúsítványokat és törvényileg kötelezővé tette maga számára, hogy el kell fogadniuk, akkor közli, hogy de azt nem tudja kinyomtatni és berakni a mappába.

Hát akkor jó... hagytam lejárni a francba, majd úgy 40 év múlva lehet, hogy használni is lehet valamire...

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Használni most is lehet. A szervek tesztelésére. ;) Amúgy is olyan bonyolult a folyamat, hogy az eKat-hoz (kíváncsi lennék, hogy a hiteles.gov.hu-ról letölthető változattal sikerült-e valaha egyetlen ügyintézőnek aláírni valamit :)) KEAASZ-hoz informatikai segítség kell. :P 

És már a második ReinerSCT Standard olvasó díszeleg a polcomon mert a garanciát éppen túlélte. Olyan mintha "rebootolnának" USB portra rádug ha nincs driver akkor szépen írja a kijelzőn, hogy ő ám HUN akár órákig, driverrel van amikor teljesen frankon elindul kb. 30mp - egy percig be lehet vele lépni aztán egyszer csak nyom egy restartot a HUN után eltűnik a kijelző és "Unknown Device" lesz. Egyet sikerült felfrissíteni 1.8-as firmwarere érdekes abba se fagyott bele, de a szitu ugyanaz. 

*ArrayIndexOutOfBoundsException-nel

bocs. de ez már olyan helyesírási hiba, ami az értelmezést nehezíti

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Hogyan? Netlock kártyával. A megfelelő tanúsítványok a kártyán vannak.
Ja, hogy e-személyi? Magyarországon kevés "elfogadóhely" van.

READY.
󠀠󠀠‎‏‏‎▓

Nekem is Kobil tokenem van, linux alatt simán működik az aláírás a KEAASZ-al.

Szerkesztve: 2020. 12. 01., k – 06:29

Az alábbiak szerint az egyik szolgáltatóm Ügyfélkapus AVDH certet is elfogad:

                 

XYZ az elektronikus ügyintézési rendszerében a következő dokumentumokat minősített elektronikus aláírással ellátva, mint elektronikus dokumentumot küldi meg a pénztártag személyes tárhelyébe:

  • tagsági okirat,
  • igazolás haláleseti kedvezményezett jelöléséről,
  • elektronikus ügyintézésre történt bejelentkezést elfogadó nyilatkozat,
  • éves egyéni számlaértesítő,
  • adóigazolások (adókedvezményre és adókötelezettségre vonatkozó igazolások).

A dokumentumokat a Pénztár iktatószámmal, minősített elektronikus aláírással és időbélyegzővel ellátva bocsátja ki.

A PDF formátumú dokumentumok kinyomtathatóak, lementhetőek. A tárhelyen megőrzésre kerülnek az eredeti dokumentumok, megkereshetők, felhasználhatók.

A minősített e- aláírással ellátott elektronikus dokumentum teljes bizonyító erejű magánokiratnak akkor minősül, amennyiben azt elektronikus adathordozón mutatja be a pénztártag. Ennek lehetőségei:

  • a személyes tárhelyen a minősített e-aláírással ellátott dokumentumot a pénztártag és akinek megmutatja láthatja, valamint ellenőrizheti a minősített elektronikus aláírást (nyilvános kulcs alapján),
  • a dokumentum lementhető számítógépre (pl. laptop), vagy valamilyen adathordozóra (CD, pendrive) és azon keresztül, annak átadásával kerül bemutatásra, valamint a dokumentum ellenőrizhető (nyilvános kulcs alapján),
  • a dokumentum lementhető számítógépre és megadott e-mail címre (pl. NAV) elküldhető, így a címzettnél ellenőrizhető.

Tájékoztatjuk a kapcsolódó jogszabályokról:
Az elektronikus aláírásról szóló 2001. évi XXXV. törvény értelmében:

"3.§ (1) Elektronikus aláírás, illetve dokumentum elfogadását – beleértve a bizonyítási eszközként történő alkalmazást – megtagadni, jognyilatkozat tételére, illetve joghatás kiváltására való alkalmasságát kétségbe vonni – a (2) bekezdés szerinti korlátozással – nem lehet kizárólag amiatt, hogy az aláírás, illetve dokumentum elektronikus formában létezik.
...

(8) Minősített tanúsítványt bármely – a (3)–(4) bekezdés szerinti – bírósági vagy államigazgatási eljárásban el kell fogadni."

Amennyiben a bemutatásnál nem szükséges a teljes bizonyító erejű magánokirat jelleg, úgy a kinyomtatott, papíralapú dokumentum alkalmazható, mely tartalmazza a dokumentum iktatószámát, aláírás dátumát és a pénztár képviseletében aláíró személy megnevezését.

Amennyiben a pénztártag a Pénztártól hiteles másolatot kér a dokumentumról, a Pénztár a tag részére vagy a tag által megadott személynek a tag felhatalmazása alapján (pl. NAV), vagy pedig az arra jogosult szerv (pl. NAV) megkeresése alapján az adott szerv részére papíralapon vagy arra vonatkozó kérés esetén elektronikus dokumentum formájában díjmentesen megküldi a hiteles eredeti, vagy hitelesített dokumentumot.

Jól értem, hogy a https://keaesz.gov.hu/ oldalra sem tudnak olyan cert-et tenni, amit elfogadnának a böngészők? Akkor tovább jegelem a dolgot megint.. :-)

A kormányzati CA certje nincs benne a böngészőkben - ezt lehet pótolni, úgyhogy ne ez fájjon, hanem az, hogy maga a site TLS szempontból khm. szarul van konfigurálva: nincs TLS1.3, ellenben a TLS1.2 mellett van TLS1.0 és egy rakat gyenge algoritmus is engedélyetve van még TLS1.2-n is:

https://www.ssllabs.com/ssltest/analyze.html?d=keaesz.gov.hu

Egy netbank vagy hasonló oldal ilyen beállítással auditon "azonnali" határidővel lenne kötelezve a beállítások javítására. Úgyhogy inkább emiatt ját nekik a rettenetes méretű szégyenmozdony...

Én belépek az ügyfélkapumra és azon keresztül írom alá digitálisan. Érdekesség: Anno én is eszemélyit kértem azt mondták hogy a taj kártyát is kiváltja nagyon örültem neki. Semmilyen kórház vagy háziorvos nem tudja leolvasni az eszemélyimről a taj kártya adatait, mivel ahhoz kéne nekik külön eszköz ami persze nincsen. Kb 4 éves a személyim.

Nem. Illetve részben. A TAJ meg lakcím meg miegyebek kiolvasását nem közvetlenül végzi a végpont, hanem egy központi szerver segítségével, ami ahhoz kell, hogy az adott végpont adott információhoz való jogosultságát ellenőrizze és a jogosultsághoz kötött hozzáférést biztosítsa. (Volt szerencsém az e-szig témaának at "elejéhez", szeritnem elég jól ki van találva a hozzáférésvédelme...)

Mondok jobbat: Nemrég csináltattam új személyit, mondtam kérek bele aláírást. Az ügyintéző nagyon komolyan figyelmeztetett, hogy ezzel vissza is lehet ám élni, ha ellopják a jelszavamat. Komolyan ez most az államigazgatási álláspont, hogy az elektronikus aláírás kevésbé biztonságos mint a hamis aláírás + két hamis tanú, akit sose találnak meg? Vagy személyes meggyőződés az ügyintéző részéről...

De mivel kb. mindenhonnan visszadobják, hogy nincs aláírva így tökmindegy. ;)

Eddig a bestof nekem az volt amikor a GOV.CA-s (nem eszemélyis) aláírást dobták vissza a mert nem ilyen elektronikus aláírással kérik. :P 

Jajj most láttam:

Ezúton tájékoztatjuk ügyfeleinket, hogy 2021. április 26. után az eSzemélyi e-aláírás szolgáltatásához kapcsolódó minősített tanúsítványok a korábbiaktól eltérően nem kétéves érvényességgel, hanem ennél rövidebb, 2023. április 26-i lejárati dátummal kerülnek kiadásra.

Hatalmas siker ez (is).

"De mivel kb. mindenhonnan visszadobják, hogy nincs aláírva így tökmindegy. ;)" - Ilyenkor kell citálni a megfelelő jogszabályt, és ízlés meg vérmérséklet szerinti kívánalmakat megfogalmazni azzal kapcsolatban, hogy mit tegyenek, illetve mit ne.
Nekem egyébként jó tapasztalataim vannak az e-személyivel aláírt doksikkal kapcsolatban - eddig ahol használtam ilyen aláírást, mindenhol elfogadták, pontosabban sehol sem dobták vissza, hogy "papíron, esetleg szkennelve kérjük".

Szerkesztve: 2021. 04. 12., h – 18:35

Ti Win10-en hogy készítetek magyar e-személyivel hiteles digitális aláírásokat?

Sehogy, mert sajnálatos módon az ehhez szükséges háttértámogatás csak papíron létezik. Vagy még ott sem.

 

De szerintem itt többen túlmisztifikálják ezt a dolgot, külső timestamp, meg archiválás...??

Mivan? :D

A kék tollal aláírt sajtfecni esetében ez hogyan is működik?

Sehogy - minden érintettnél van egy példány, azt hello. Ha elveszik, elég, megeszi a komondor, vagy akármi, akkor IJ - a kutyát sem érdekli.

 

Akkor a digitálisnál miért kellene bármi extra? Miért nem elég ha a dokumentum TARTALMÁBAN ott van a "kelt: <dátum>" amit minden érintett fél aláírt, tehát elismerte a valódiságát....

Attól hogy lejár az aláíró tanúsítvány, még az aláírt anyag tartalmában továbbra sem lehet változás, mert akkor a digitális aláírás "eltörik" - ami jól megkülönböztethető a lejárt tanúsítvány "hibától".

A papír alapú szerződésekben is ott van: igazolvány szám, lakcím, név - amelyek MINDEGYIKE megváltozhat az évek során, mégsem kell újra hitelesíteni a 20 évvel ezelőtti  szerződéseket... ugye? ;)

Szia!

Közigazgatásban elvileg kötelező elektronikus aláírásra kötelezett szerveknél 2018. január 1-e óta. Mi az iktatóban -DMSOne szoftveréből- használjuk, a NISZ AVDH-DVH-s aláírásokkal, e-személyivel bejelentkezve, önkormányzati hivatalnál. Elvileg lehetne token-el, Microsec-nél vagy NISZ-nél bejelentkezve, tokent kérve, fizetve érte. Magányszemélyként csak kérelmet küldtem be epapiron. Webhelyen lehet vele aláírni, e-személyivel bejelentkezve vagy ügyfélkapun keresztül, vagy telefonos azonosítóval, vagy már van valami kamerás azonosítás is, a Központi Azonosítási Ügynökön keresztül. Igaz, hiába vagyok benne az RNY-ben (rendelkezési nyilvántartás), hogy nekem mindent elektronikusan küldjenek (elektronikus<>e-mail), továbbra is postán kaptam favágási engedélyt, amit epapiron kértem, határozatot ingtlan nyilvántartásban történt változásról, gépjárműadóról. KEAASZ van linuxra is elvileg. Thunerbird-re volt leírás, hogyan lehet hiteles aláírni, ügyfélvonalon azt mondták, már nem él.

gyrgyvrs