4.2. Az elektronikus aláírásról szóló törvény

Dokumentumok hitelesítése nagyon fontos aktus a polgári társadalmakban. A társadalom szereplőinek egymáshoz és a közigazgatáshoz való konkrét viszonyát ugyanis nyilatkozatokban és szerződésekben fogalmazzák meg. Amennyiben vita támad a felek között a vállalt kötelezettségek teljesítése miatt, akkor független bírósághoz fordulhatnak. A bíróságok azonban csak olyan dokumentumokat használhatnak fel döntéseikben, amelyek hitelesek. A papír alakú dokumentumokat pecséttel és/vagy aláírással hitelesítették. Leckekönyvükben az vizsgajegy csak akkor érvényes, ha az oktató aláírta. Az orvos aláírása és személyes pecsétje nélkül a recept érvénytelen. Példáink sorát folytathatnánk, de már ennyi is eléggé illusztrálja az aláírás fontosságát és azt, hogy a társadalmi érintkezés sok területén szükséges az alkalmazása.

A múlt század 80-as éveinek végétől kezdődően a dokumentumok egyre nagyobb hányadát elektronikus úton állították elő. Hitelesítéskor azonban ki kellett nyomtatni azokat és úgy bánni velük, mintha a korábbi technológiával készültek volna. Természetesen vetődött fel az igény digitális dokumentumok digitális hitelesítésére. A technológiai feltétel 1976 óta rendelkezésre állt és egyre jobban finomult. Ezek részletezésére később térünk vissza. A jogi szabályozás kidolgozása azonban hosszabb időt vett igénybe.

Közel egy évtizedes előkészítő munka után 2001. május 29-én fogadta el az Országgyűlés az elektronikus aláírást szabályozó törvényt. Ezzel hazánk elsők között lépett be azon országok sorába, ahol a törvény erejénél fogva is lehet elektronikus dokumentumokat hitelesíteni. Napjainkban lényegében a világ minden országban van hasonló jogszabály.

Teljes nevén 2001. évi XXXV. törvény az elektronikus aláírásról preambuluma világosan megfogalmazza témájának fontosságát, ezért szó szerint idézzük:„ Az Országgyűlés – felismerve és követve az egyetemes fejlődésnek az információs társadalom felé mutató irányát, az új évezred egyik legfontosabb kihívásának eleget téve – törvényt alkot az elektronikus aláírásról annak érdekében, hogy megteremtse a hiteles elektronikus nyilatkozattétel, illetőleg adattovábbítás jogszabályi feltételeit az üzleti életben, a közigazgatásban és az információs társadalom által érintett más életviszonyokban.”

Ebben a fejezetben a törvény jogi tartalmára koncentrálunk, a technikai részleteket az xx fejezetben fejtjük ki. A törvény szerint „az elektronikus aláírás: elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat.” A fokozott biztonságú elektronikus aláírás ezen kívül

  1. a) „alkalmas az aláíró azonosítására,

  2. b) egyedülállóan az aláíróhoz köthető,

  3. c) olyan eszközökkel hozták létre, amelyek kizárólag az aláíró befolyása alatt állnak

  4. d) és a dokumentum tartalmához olyan módon kapcsolódik, hogy minden – az aláírás elhelyezését követően a dokumentumban tett – módosítás érzékelhető.”

Végezetül a minősített elektronikus aláírás: „olyan - fokozott biztonságú - elektronikus aláírás, amelyet az aláíró biztonságos aláírás-létrehozó eszközzel hozott létre, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki.”

A három elektronikus aláírás csak a bizonyító erejükben és az abból következő alkalmazási körükben különbözik. Bírósági és közigazgatási hatósági eljárásokban az elektronikusan aláírt dokumentumok ugyanúgy használhatóak és ugyanolyan bizonyító erejűek, mint a hagyományosak. Kivételt képeznek az alapdokumentumnak számító anyakönyvi kivonatok. Ugyanakkor az új típusú aláírás nem tehető kötelezővé. Itt is van egy kivétel, mégpedig az adóbevallások, amelyeket jogi személyeknek elektronikusan kell benyújtani. A hagyományos aláírásnak is vannak fokozatai; „fokozott biztonságú”, ha tanúk előtt készül és „minősített”, ha közjegyző hitelesíti.

Jelenlegi tudásunk szerint biztonságos elektronikus aláírás csak aszimmetrikus titkosító algoritmusokkal készíthető, de a törvény nyitva hagyja annak a lehetőségét, hogy más típusú elektronikus aláírást is felfedezhetnek. Ez kiderül abból, hogy a törvény aláírás-ellenőrző adatról és aláírás-létrehozó adatról szól nem pedig a kriptográfiai szakirodalomban szokásos nyilvános-titkos kulcspárról. A szükséges kulcspár nyilvános felét a hitelesítés szolgáltatónál kell elhelyezni, a másik felét pedig az aláírónál. A hitelesítés szolgáltató lényegében azt igazolja, hogy az aláírás ellenőrző kulcs egy bizonyos jogi vagy természetes személy tulajdona. Az aláírás minősítése a hitelesítés szolgáltató minősítésétől jelentősen függ. A törvény lehetőséget ad arra a gyakorlatban szokásos megoldásra, hogy a kulcsokat magunk vagy a munkáltatónk hitelesítse. Így azonban nem kaphatunk fokozott biztonságú vagy minősített elektronikus aláírást. A hitelesítés szolgáltató jogot szerezhet további szolgáltatásokra is, úgymint időbélyegzés, elektronikus archiválás valamint aláíró kulcspár generálása és a privát kulcs elhelyezése az aláírást létrehozó eszközön.

Az EGT valamely tagországában bejegyzett székhelyű hitelesítés szolgáltató által kibocsájtott tanúsítvány egyenértékű a hazai kibocsájtású tanúsítvánnyal.

A törvény részletesen szabályozza a hitelesítés szolgáltatási tevékenység indításának és működésének feltételeit. A szolgáltatás megkezdését be kell jelenteni a felügyelő hatóságnak. A bejelentéshez csatolni kell a szolgáltatási szabályzatot valamint az általános szerződési feltételeket. Hiteles okirat másolatával kell bizonyítani a kérelmező és alkalmazottai büntetlen előéletét és szakképzettségét. Felelősségbiztosítással és megfelelő pénzügyi háttérrel kell rendelkeznie. A hitelesítés szolgáltatás tehát szakképesítéshez kötött, bizalmi tevékenység, amelyet csak megfelelő financiális erőforrással rendelkező szervezet folytathat. Ezt az állapotot működése során mindvégig fenn kell tartania. Érthető a szigorú szabályozás! Az elektronikus aláírás ugyanis – mint arra korábban rámutattunk – ugyanolyan bizonyító erejű, mint a hagyományos. Komoly értékekről folyó vitában lehet döntő jelentősége és a vitában esetleg kiderülhet, hogy az aláírás nem eléggé biztonságos. Ilyenkor a hitelesítés szolgáltatónak kell fizetnie.

Lássunk néhány példát! A digitális aláírás alkalmazható nagy értékű szerződések aláírására. Természetes személyek benyújthatják az adóbevallásaikat elektronikus úton, digitálisan aláírva, jogi személyeknek ez kötelező. A példákat még hosszan sorolhatnánk. Ha a szerződő felek vagy az APEH és az adóalany között vita támad a kötelezettségek teljesítéséről, akkor a vita eldöntésében a digitálisan aláírt dokumentumnak alapvető szerepe van. Ilyenkor persze alaposan megvizsgálják azt is, hogy a digitális aláírás az előírásoknak megfelelően biztonságos-e. Belép tehát az eljárásba harmadik félként a hitelesítés szolgáltató és annak a terméke is. Ha bebizonyítható, hogy az alkalmazott aláírás nem elég biztonságos és a hibát a szolgáltató követte el, akkor neki kell viselni az anyagi felelősség megfelelő részét. Ilyenkor fontos a szolgáltató megfelelő anyagi háttere és felelősségbiztosítása.

A szolgáltató a szerződést megelőzően köteles tájékoztatni az igénybe vevőt a szolgáltatás felhasználási módjáról, biztonsági fokáról és a szerződés feltételeiről. Minősített tanúsítvány szolgáltatása esetén meghatározhatja a felhasználás földrajzi korlátait és az egy aláírással vállalható kötelezettség felső határát. Utóbbi korlátozás a szolgáltatót védi attól a kockázattól, amelyről az előző bekezdésben írtunk.

A hitelesítés szolgáltatás hosszú távú tevékenység. Az aláírt dokumentumok egy részére ugyanis jóval az aláírás után is szükség lehet. Gondoljanak például érettségi bizonyítványukra vagy jövendő diplomájukra, amelyekre életük során bármikor szükség lehet. A digitális aláírás ugyanakkor csak a tanúsítvánnyal együtt érvényes. A szolgáltatónak tehát biztosítani kell a tanúsítvány archiválását. A törvény úgy rendelkezik, hogy a szolgáltató „a tanúsítványokkal kapcsolatos elektronikus információkat – beleértve az azok előállításával összefüggőeket is – és az ahhoz kapcsolódó személyes adatokat legalább a tanúsítvány érvényességének lejártától számított tíz évig, illetőleg az elektronikus aláírással, illetve az azzal aláírt elektronikus dokumentummal kapcsolatban felmerült jogvita jogerős lezárásáig megőrzi.” A tárolás történhet hitelesített archiválási szolgáltató igénybevételével is. A kötelezettség akkor is fennáll, ha a kapcsolat az ügyfél és a szolgáltató között megszűnik, például az ügyfél más szolgáltatót vesz igénybe vagy a szolgáltató befejezi tevékenységét. Utóbbira még visszatérünk.

A hitelesítés szolgáltató a törvény erejénél fogva jogosult a szolgáltatást igénybe vevő releváns adatait kezelni. Ellenőriznie kell az ügyfél személyazonosságát és az azonosítókat nyilván kell tartania. A személyes adatokat más célra természetesen nem használhatja fel és harmadik félnek az ügyfél beleegyezése nélkül nem adhatja tovább. Kivételt képez az az eset, amikor az elektronikus aláírással kapcsolatos bűncselekmény felderítése vagy megelőzése céljából az arra jogosított szervezetek kérik az adatokat.

Minden szervezetnek - így a hitelesítés szolgáltatóknak is - van életciklusa, mely az alapítással kezdődik, és a megszűnéssel fejeződik be. Korábban rámutattunk, hogy az általa kiadott tanúsítványoknak tovább kell élni. A tevékenység befejezésének szándékáról legalább hatvan nappal a megszűnés előtt értesítést kell küldeni a vele szerződésben álló ügyfeleknek valamint a felügyelő hatóságnak is. A bejelentés után új tanúsítványt már nem bocsájthat ki. A tervezett megszűnés előtt húsz nappal vissza kell vonnia az összes még érvényes tanúsítványt. A szolgáltatónak gondoskodnia kell arról, hogy a nyilvántartásait valamint az archivált tanúsítványokat más, vele azonos besorolású hitelesítés szolgáltató átvegye. Az új szolgáltatóról a felügyelő hatóságot értesíteni kell. A törvény rendelkezik arról is, hogy mi a teendő, ha a megszűnéssel kapcsolatos kötelezettségeinek a szolgáltató nem vagy csak részben tesz eleget. A szabályozás arra törekszik, hogy a megszűnés következtében az ügyfeleknek a lehető legkevesebb kára keletkezzen.

Biztonságos aszimmetrikus kulcspár létrehozása számelméleti algoritmusokkal történik. Ezeket részletesen tárgyaljuk a xx. fejezetben. Csak akkor lehetünk biztosak abban, hogy a kulcspárt más nem ismeri, ha azt magunk hoztuk létre. A szerző véleménye az volt, hogy a kulcspár a tulajdonosnak kell létrehoznia. Be kellett látnia azonban, hogy a felhasználók nagy többsége csak könnyen kezelhető szoftverrel képes ilyen kulcspár létrehozására. Egy ilyen szoftver használata semmivel sem eredményezne biztonságosabb aláíró kulcspárt, mintha azt egy korrekt hitelesítés szolgáltató generálja. Másrészt az alkalmazások döntő többségénél az utóbbi megoldás megfelelő biztonságot nyújt a felhasználónak. A hitelesítés szolgáltatás gyakorlatában az terjedt el, hogy a kulcspárt a szolgáltató generálja nem pedig az ügyfél, sőt nem is nagyon fogadják el az ügyfél által generált kulcsokat.

A törvény a kialakult gyakorlatot a szabályozással is alátámasztja. Hitelesítés szolgáltató elhelyezheti az aláírás létrehozó eszközön az aláírást létrehozó adatot. Ekkor gondoskodnia kell az aláírást létrehozó kulcs titkosságáról és az aláírást ellenőrző adat sértetlenségéről. A titkos kulcsot a szolgáltatás során olyan módon kell kezelnie, hogy ne legyen visszafejthető, utána pedig meg kell semmisítenie. Tehát a szolgáltatónál sem maradhat meg az aláíró kulcs. Ha az ügyfél aláíró kulcsa elvész vagy megsemmisül, akkor új kulcspárt kell kérnie.

A törvény szabályozza az időbélyegzés és az archiválás szolgáltatást is valamint a felügyelő hatóság feladatait és jogosítványait. Ezekre a jegyzetben nem térünk ki. A közigazgatásban nem elég az elektronikus aláírás általános jogi szabályozása, a technikai részleteket is specifikálni kell. Ez „A közigazgatási hatósági eljárásokban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítés szolgáltatókra vonatkozó követelményekről szóló 194/2005.(IX.22) Korm.rend.”-ben található. Tekintettel arra, hogy a közigazgatás a digitális aláírás egyik legnagyobb felhasználója, a szabályozás az élet egyéb területein is iránymutató.