Digitális aláírás

Offtopic

Sziasztok!

Kérdeztek tőlem a fenti témában, viszont én nem igazán vagyok járatos a digitális aláírások világában. Legalábbis úgy általános ismereteim vannak, de azért ez kevés, hogy konkrét kérdésekre is érdemi választ adjak.

Azt szeretném tudni, hogy van-e a neten (jó vicc, tuti, hogy van) olyan leírás, amiben kellően közérthetően leírják ezeknek a mikéntjét összefoglalva. Előnyökkel, hátrányokkal, szükséges feltételekkel, efféle. Kerestem már, de van túl szakmainak találta az illető, vagy annyira általánosságban írkáltak róla, hogy tulajdonképpen akárha semmit se mondtak volna.

Nem tök antitalentum az illető, akinek szánom, de jól magyarázott, esetleg tapasztalatokkal megtűzdelt iromány jól jönne. A tapasztalatok hasznosak, mert az még nekem sincs.

A nyelv az angol és magyar lehetne jó, mert más nyelven nem beszél. Esetleges helyi eltérések is érdekesek lehetnek (nem tudom, hogy ami idővel magyarországon elfogadott lesz, az vajon eléggé szabványos lesz-e, mert az illető üzleti dolgai miatt sokat jár thaiföldre is; ott is elfogadható ismeretekkel kell felvérteznie magát.

Szívesen vennék mindenféle tapasztalatot, infót a témában! Köszönöm!

  • 3403 megtekintés

ezeket már elküldtem :) a témanyitással legalább annyira az lett volna a szándékom, hogy tapasztalatokkal is meg legyen tűzdelve az információ. kiegészítem akkor a kérdést: kinek milyen tapasztalata van a digitális aláírásokkal. mi a bevett gyakorlat, ilyesmi. esetleges fujjolás, istenítés a kérdéssel kapcsolatban.

--
xterm

( Nyosigomboc v | 2008. 02. 28., cs – 12:36 )

Magyarorszagon hivatali ugyintezesre is hasznalhato. Regebben utananeztem (neten van ilyen leiras, konkretan foldhivatalhoz kellett anno), adnak valami USB-s kutyut, meg win32 software-t hozza. Van valami eves dija az alairasnak (20-30k HUF nagysagrendu), plusz idobelyegenkent (alairt doksinkent) kell fizetni valami jelkepes osszeget. Azt nem tudom, hogy milyen alairast+titkositast hasznal, erre nem tert ki a doksi, de lenyeg, hogy (win-en, gondolom az ismerosodnek ugyis az kell) mukodik. Van valami letoltheto demo is.

DK-Azsiaban sok helyen nem szeretik a titkositast, gondolom a digit. alairas is hasonlo kategoriaba tartozik. Ennek utana kellene nezni, nem jo a torveny nem ismerete, es nemszandekos megsertese miatt bortonbe kerulni.

Ha nem hivatali ugyintezeshez kell, akkor a PGP/GPG szerintem tokeletes. Uzletfelekkel torteno levelezesre viszonylag konnyen beallithato.

----
400 MHz CPU, 64MiB RAM, 2GiB Flash, 480x640
honlap készítés

ez igaz, nem is a tartalmat minősítettem. (bár hozzá teszem a gugli adta ki rajta, amit kerestem ;) ). nekem zavaró volt a túl apró és fura betű, nekem "túl fehér". tartalmát tekintve egy egy olyan oldal, amit nyilván hosszasan nézeget az ember. nekem a szemem kifolyt bizonyos helyeken (nem a budapesti, a magyar~ oldalra gondoltam különben)

--
xterm

( sany | 2008. 02. 28., cs – 12:51 )

Lehet cacert.org lesz amit keresel. Ingyenes és hivatalos, amennyire egy tanúsitvány tud lenni.

Régóta tanulmányozom a magyar nyelvu leirasokat, forumokat a pgp/gpg és s/mime-vel kapcsolatban, de nem teljesen értem még a dolgokat. Mi a kettő közötti lényeges különbség? (biztonsági szint?) Az S/mime az csak ms cuccon megy? mac-en linuxon felejtős?
pgp/gpg-t azt tudok simán generálni magamnak, az s/mime-t hogyan tudok?
És akkor a hitelesités: Jól gondolom, h a hitelesítők a kulcspár publikus részét hitelesitik? (tehát nem ők generálják és nem juthatnak hozzá a privát kulcsomhoz?)
Milyen hitelesítések léteznek (ha lehet külön pgp/gpg és s/mime-re)?
Ha jól értem akkor van olyan tanusitvány, amit alapbol ismernek a böngészők és levelező programok (netlock - itt pgp és s/mime-t is tudok hitelesittetni?), és van olyan amit nem, tehát kézzel kell hozzáadni a szoftverekhez(cacert - itt pgp és s/mime-t is tudok hitelesittetni?)!?
És akkor az előző jellemzőktől függetlenül van olyan tanusitvány ami csak hitelesiti, hogy a publikus kulcs x által megadott adatokhoz (általa megadott név, emilcim stb) tartozik és van olyan, ami azt is garantálja h a publikus kulcs mely állampolgárhoz tartozik? (ilyen tanusitvány van pgp hez és miméhez is?)
Ezekről mi a véleményetek:
http://www.positivessl.com/ssl-certificate-products/free-email-certific…
http://www.thawte.com/secure-email/web-of-trust-wot/wot_does.html

remélem segitetek kigobozni a szálakat és talán másoknak is segitünk ezzel.

A pgp/gpg bizalmi hálóra épül, az X.509 tanusítványalapú móka meg megbízható harmadik félre.

A hazai tanusítványkibocsátók környékén kell érdeklődni, elég jól el tudják mondani Átlag "user" Béla felhasználónak is, hogy mit, mire, hogyan.

Ezek a kibocsátók X.509 tanusítványokat adnak ki, mint megbízható harmadik fél, a pgp/gpg kulcsokat nem tudod berakni ilyen tanusítványba, fordítva viszont megy (pgp-kulcshoz csatolt X.509 tanusítvány).

"Ezek a kibocsátók X.509 tanusítványokat adnak ki, mint megbízható harmadik fél, a pgp/gpg kulcsokat nem tudod berakni ilyen tanusítványba..." a cacert nem valami ilyet csinál?

és a s/mime-vel mi a helyzet?

a netlock-on kivul tudtok még ilyen magyar szolgáltatot? vagy magyarországon csak az övék lehet hiteles?

az előző postomban ha valaki tud kérem válaszoljon a többi felvetésre is. köszönöm.

Kevered a dolgokat: az s/mime az egy módszer arra, hogyan titkosítsunk/írjunk alá levelet. A pgp/gpg ill. X.509 tanusítvány meg az eszköz.

http://www.nhh.hu/ -> Elektronikus aláírás, elektronikus hirdetés -> Elektronikus aláírás - nyilvántartások, itt keresgélj.

Hogy kié hiteles, azt a vonatkozó jogszabály alapján a jogász ismerősöd is ki tudja deríteni :)

Az egyiket golyóstollal írtad alá, a másikat meg töltőtollal. Alá van írva. A tinta viszont nem speciális tinta, egyik esetben sem.

A gpg/pgp esetén az ismerőseid bólogatnak, hogy azt a tintát te használod, az X.509 tanusítvány esetén meg a bolt (amiben mindenki megbízik) csak neked adott abból a tintából.

a golyóstollhoz(pgp) vagy a töltőtollhoz(s/mime) lehet x.509-es tanusitványt szerezni (venni) ? vagy az x.509-es egy 3. fizetős cucc? (filctoll:)
ha jol értem akkor a mime-hez lehet. s/mime-t hogy lehet generálni? a linkelt cuccok pedig hitelesitik, vagy akkor lesz hiteles ha ők generálják?

No akkor... A tanusítvány-készítés abszolut dió (mogyoró, de inkább annál is kisebb) héjban: Induláshoz generálsz egy kulcspárt (pub/priv), a publikushoz hozzácsapod az azonosító adatokat (év, e-mail, etc.), ebből lesz a tanusítvány-kérelem. Ezt a személyazonosság megfelelő szintű ellenőrzését követően a tanusítvány-kibocsátó a saját kulcsával aláírja, ekkor lesz belőle tanusítvány.

A cacert-es tanusítványt, a pgp-s aláírt levelet jogi eljárásban egy bizonyítékként fogja kezelni a bíróság (mérlegel), egy megfelelő erősségű (erősség: a tanusítvány-kérelmet benyújtó azonosításának a szigorúsága, illetve a tanusítványtároló eszköz minősége) tanusítvánnyal aláírt dokumentum lehet akár tbmo (teljes bizonyító erejű magánokirat) is.

A kulcspárt, és abből a tanusítvány-kérelmet openssl-le, vagy akár böngészővel megcsinálhatod (ez tbmo készítésére alkalmas tanusítványhoz nem jó), vagy használhatsz hozzá usb-s tokent, illetve csipkártyát, amikről a privát kulcs nem nyerhető ki, ergo az eszköz generálja a kulcspárt/tanusítványkérelmet.

Azért jó lenne, ha a kibocsátók fakujait, meg az nhh-nál található doksikat átnéznéd...

( sany | 2008. 02. 28., cs – 18:14 )

Valami keveredés van!?

Nem hitelesebb egyik sem a másiknál csupán annyiban, hogy a fizetős
cuccot a személyi okmányaid alapján kapod.

Na már most, ha van ismerősöd(esetleg több is), aki személyesen ismrer és aláírja nyilvános kulcsod(ezáltal hitelesíti azt) attól a pillanattól kezdve semmive sem hiteltelenebb a gnupg mint az openssl-lel generált fizetős digsino.

A cacert.org is erre a bizalmi alapra épül.

Semmivel sem kevesebb, mint a netlock tanusítványa!

Olyan ember pubkulcsát nem szabad aláírni, akit személyesen nem ismersz! Ez a lényege.

Akárcsak a fizetős hitelesítés esetén, itt is okiratokkal kell igazolnid hogy Te Te vagy! :)

Csak az egyik ingyenes, a másik kemyényen fejős!

Pl: O/a sem ismeri a Netlock fizetős hitelsítőt mint megbízható cert szolgáltatót.
Nyílván spórolnak.
Gondolom kemyény pénzbe kerülne nekik, hogy
mindenhol megbízható hitelesítő cégként ismerjék őket!

Szóval nem érdemes pénztet pazarolni rá, mert egyik 19 a másik 20-1.

Jogilag azért nagyon nem így van... A pgp/gpg bizalmi hálója elvileg így működik, az X.509 tanusítványok meg nem... Ha látok egy pgp/gpg kulcsot, amit néhány ismerős kulcsával aláírtak, akkor elfogadom, hogy az a kulcs az adott e-mail cím valódi tulajdonosához tartozik. Ha nincs meg ez a minimum, akkor azt a kulcsot nem fogom megbízhatónak tartani. Ha egy X.509 tanusítványt egy megbízható CA bocsát ki, (vagy egy CA, vagy egy láncolt CA, ergo a tanusítványlánc rendben van), akkor azt hitelesnek fogadható el: a CA, mint elektronikus közjegyző működik (közjegyzői hitelesítésnél elég a kj. aláírása, mig egyéb esetben két tanura van szükség).

Ok.

A pubkey aláírás(hitelesítés)gnupg, cacert.org, netlock, stb esetben, személyazonosítással történik.
Vagyis a szeméy hitelesítése megtörténik minden esetben.
Ebből szerintem az következik hogy a bizalmi alapon műxő
hitelesítés is megfelelő biztonságot ad.

szerk. ha az ismerőseidben nem bízol miért bíznál egy vadidegen lóvé éhes cégben!? :)

köszi az infokat, nézegetem amiket adtál. az h ki miben bizik az más kérdés, de melyik hiteles a törvény előtt, pl elektronikus ügyintézés, szerződés aláirás?

tehát jogilag a cacert és a fizetős netlock is teljesen megegyezik, viszont egyiket sem ismerik a hitelesként a szoftverek?
tudtok olyat, akár fizetős akár ingyenest, akit ismer a böngésző? (pl a comodo ad 3 havi ingyen ssl-t, tudom az más, de aláirásnál pont jo lenne ha 3 havonta ujat csinálnék)

ha megegyezik a jogi státusza a cacert-nek és a netlocknak, akkor a netlockoshoz létezik időbélyegző, a cacerthez is lehet ilyet szerezni?
és akkor az s/mime-vel mi is a helyzet? olyat hogyan/hol tudok generálni? és akár bizalmi akár fizetősen aláirtani? (esetleg olyannal amit a szoftverek is ismernek?)
köszi

A Cacert jogilag nagyjából annyi, mint a Netlock teszt tanusítványa, vagy egy pgp/gpg-s aláírás: a bíróság elektronikus dokumentumként egy bizonyítékként elfogadja, de teljes bizonyító erővel nem bír. Egyébként csak kérdezem: A Netlock-nál és az NHH-nál található faq-kat ugye még nem olvastad el? Tedd meg lécci, mert elég buta dolgokat kérdezel...

( Xterm v | 2008. 02. 29., p – 09:35 )

örülök a sok sok információnak, köszönöm az eddigi és a reménybeli további hozzászólásokat a felvetésemhez. ezért már megérte újra felhozni! az ember sosem lehet eléggé naprakész ;)

--
xterm

( sany | 2008. 02. 29., p – 18:22 )

"Az elektronikus cégeljárásban az érvényben lévő szabályzat szerint kizárólag a Magyar Ügyvédi Kamara által kiválasztott szolgáltató minősített hitelesítés-szolgáltatásával lehet részt venni "

Nem találjátok ezt monopol helyzetet teremtő szabályzatnak?
Amerikában ezt büntetik.
A Magyar Banánköztársaságban mindent lehet, amit amerikában
büntetnek?
Sőt ha gonosz lennék, korrupciót is feltételeznék.
De nem vagyok gonosz! :)

Más.
Nem lehetne egy HUP kulcsaláíró bulit szervezni, és
az esemény végét sörözéssel zárni?!
Hasznos lehetne.

Valószínűl félreérted. A honlapjukon vannak azok a cégek, akik megfelelnek a jogszabályi követelmények. Nagyon nem is ismerek más cégeket aki teljesítenék azokat a technikai és anyagi feltételeket amik ehez kellenek. Itt a hitelesítésen kívűl szükséges lehet elektronikus archiválás és időbélyegzés is.
Ezen kívűl a hitelesítő szervezet anyagi felelősséget kell vállajon, aminek a mértékét pontosan nem tudom, de valószínűleg sokszáz milló Ft effektíve.

bocs, elég sok dolgot elolvastam már, de nem nagyon tudom összerakni az engem érdeklő részt, bár tény, h pl a cacert oldalt több mint fél éve néztem...
és ha csak az ügyvédi kamara által ajánlott az elfogadott, akkor mi van a külföldi tanusitokkal és a külföldi állampolgárokkal? esetleg a közös ügyletekkel?

"ha csak az ügyvédi kamara által ajánlott az elfogadott, akkor mi van a külföldi tanusitokkal és a külföldi állampolgárokkal"

Én azt gondolom, hogy van a éremnek két oldala: Törvényi és technikai követelmény, ami lehetővé teszi hogy a hivatalos helyekre bekerülhessenek elektronikus formában azok a bizonyos dokumentumok.
Amennyiben a nagy hitelesítő pl. egy amerikai, aki nem rendelkezik hazai vagy minimálisan EU-s érdekeltséggel, arra nyilván más törvények vonatkoznak mint az itteniekre; és nyilván az anyagi felelősség is nehezen vagy egyáltalán nem érvényesíthető vele szemben. A hitelesítő végül is egy államigazgatási feladatkört lát, majdnem úgy működik mint egy elektronikus közjegyző. Nyilván az amerikai közjegyző, orvos, rendőr, vagy akár csak épitészmérnök csak abban az esetben lesz jogosult magyarországon tevékenységet végezni ha rendelkezik a területileg hatályos engedélyekkel. De ez általában minden szekmában így van, és egy amerikai diplomával rendelkező jogász idehaza nem jogász. A magyar orvos is csak az amerikai szakvizsgával, és kamarai tagsággal dolgozhat az USA-ban.

A technikai oldala is sokrétű lehet, gondolva itt arra hogy a dokumentumokat automatikusan fogadják a hivatalok, ezért a befogadó rendszernek meghatározott formátumú és olyan aláírással kell rendelkeznie amit a hivatal szerverei is ismernek. Például ha a társasági szerződés szövege és formátuma eltér a szerződés mintától, akkor már az elektronikus cégeljárás nem működik, és hagyományos úton kell a hivatalhoz beadni a papírokat is és a bíró is hagyományosan olvassa át és folytatja le az eljárást.

Amennyiben archivális történik a hitelesítőnél, akkor a hivatalok és a hitelesítők rendszereinek együtt kell működniük. Gondolom a hivatal és a hitelesítő hálózata nem publikus hálózat, hanem PN vagy VPN, amit a hitelesítőnek ki kell építeni és üzemeltetni a hivatal irányába.

Összegezve, ha külföldi hitelesítő szolgáltatni akar magyar ügyvédeknek elektronikus aláírást, akkor elvégzi a szükséges technikai fejlesztéseket, egyben megfelel a magyar törvényeknek, és gondolom fel fog kerülni egyből a kamara listájára is.
A külföldi állampolgár, nem úszhatja meg a magyar jogi képviselő megbízását szintén, úgymint a magyar állampolgár sem ha elektronikusan akar cégbejegyzést intézni. Külföldi ügyvéd nem gyakorolhatja hivatását Magyarországon, neki is keresni kell egy hazai kollégát.

A hitelesítő szervezet tanusítást végez (tanusítja a kulcs - e-mail cím - személy összetartozását), és ezt úgy oldja meg, hogy a fenti bithalmazt aláírja, hitelesíti. Ezt követően nem ír alá, azt a kulcspár tulajdonosa birtokosa teszi meg. Külföldi hitelesítésszolgáltató által kibocsátott tanusítványra vonatkozólag a törvény szövege ad útmutatást, érdemes elolvasni... (Gyakorlatilag EU-s, vagy EU-s szolgáltató által felülhitelesített CA az, ami a hazaival egyenértékű lehet, ha...)

Majd tanult kollégám kijavít, ha nagy marhaságot írtam :-))

Tisztázzuk a fogalmakat, mert elég nagy a zavar!

A magyar törvény három szintet különböztet meg. Az első az elektronikus aláírás, ami bármi lehet, akár CACert-es, akár PGP-s, bármi. Ennek NINCSEN semmilyen jogi hatása se Magyarországon, se az EU-ban. Ezek olyan játékszerek, amik könnyen használhatók, ezért a felhasználók használják.:)

Létezik a fokozott biztonságú elektronikus aláírás, ami olyan X.509-es szabványnak megfelelő tanúsítványok segítségével készül, amit a Magyarországon, vagy az EU-ban nyilvántartásba vett hitelesítés-szolgáltatók bocsátanak ki. Az EU-n kívüli szolgáltatóktól akkor fogadható el tanúsítvány, ha bármyel, az EU-ban bejegyzett szolgáltató azt viszonthitelesíti. A fokozott biztonságú elektronikus aláírás eleget tesz az írásbeliségnek, azaz az így aláírt elektronikus dokumentumokat a bíróság elfogadhatja hitelesnek. Elsősorban magánokiratokban indokolt a használata.

A legmagasabb szint a minősített elektronikus aláírás, ami műszakilag ugyanaz, mint az előző, csak a hitelesítés-szolgáltató magasabb garanciát vállal rá, így drágább, valamint nem szokás szoftveresen kiadni, csak chipkártyán. Ez teljesen eleget tesz az írásbeliségnek, azaz a bíróság mérlegelés nélkül el kell, hogy fogadja az így aláírt dokumentumot. Ezért a közigazgatás ezt szereti használni.

Jelenleg Magyarországon négy hitelesítés-szolgáltató működik: a Netlock, a Microsec, a MÁV Informatika és a Magyar Telekom. Tőlük lehet fokozott és minősített tanúsítványt is szerezni, ami gyakorlatilag egy RSA kulcspárra épül. Tőlük lehet időbélyegzőt is venni.

Szóba került az S/MIME. Jelenleg a közigazgatás felé az S/MIME nem a jó formátum. Létezik egy egységes közigazgatási formátumnak becézett, XML formátumú struktúra, amit az összes magyar e-aláíró alkalmazás ismer, ezt fogadják be a közigazgatásban. Ez egyébként nemzetközi szabványon (XAdES) alapul.

Remélem, hogy így világosabb a dolog!

"Jelenleg Magyarországon négy hitelesítés-szolgáltató működik: a Netlock, a Microsec, a MÁV Informatika és a Magyar Telekom."
Ez igaz, viszont a Magyar Telekom a Deutsche Telekom leányvállalatán keresztül a Telekom Trust Center-en keresztül ad tanúsítványt. Ők szerepelnek a CA-ban is nem a Telecom.

"A hitelesítő szervezet tanusítást végez (tanusítja a kulcs - e-mail cím - személy összetartozását), és ezt úgy oldja meg, hogy a fenti bithalmazt aláírja,"

+ tanusító cég is azonosítja magát.

Mert előferdülhet amit már írtam hogy egy mezei ssl tanusítvány kiállító céget ismeretlen(nem megbíztható)-ként jelőli meg pl: egy böngésző. :)

a technikai részletek passz. :)