Az elektronikus aláírás a klasszikus technológiától független biztonsági kérdéseket is felvet. Mi történik például, ha a felhasználót kényszerítik digitális aláírókulcsának elárulására, használatára? Hogyan bizonyítható ilyen esetben a kényszer, visszavonható-e az aláírás, érvényteleníthető-e egy szerződés? Hasonló kérdések merülnek fel, ha egy hacker hozzájut valakinek a digitális aláírókulcsához és visszaél vele. Az sem tudható, hogy a bonyolult technológiai kérdéseket felvető ügyekre mennyire felkészültek ma a bíróságok. Matthew Ring, a KPMG információkezelési részlegének vezetője szerint a megoldás a többszintű védelmi rendszer kialakítása. Az egyik legsérülékenyebb pont a jelszóhasználat. Több szolgáltató kínál olyan tokent, amely megnehezíti a jogosulatlan rendszerbelépést, a statikus és könnyen feltörhető jelszó helyett gyorsan változó számsor-azonosítót használ. A számsort a komputer generálja, és ezzel szinkronban a felhasználónál lévő token is előállítja: ha be akarok jelentkezni számítógépembe, akkor először meg kell tudnom az éppen aktuális jelszót (számsort). A gép viszont hamar új jelszót kreál. A betolakodónak tehát a password megfejtése már nem elégséges, legfeljebb a token ellopásával kísérletezhet.
A PKI (Public Key Infrastructure) technológia az adatok védelmének egyik legbiztonságosabb módja: lényege, hogy általa az adatok titkosítva továbbíthatóak, és csak az arra jogosult címzett képes a dekódolásra - hangsúlyozta Raymond Kelly, az RSA Security munkatársa. (Az RSA név a PKI alapjául szolgáló matematikai algoritmust jelöli, és a technológiát kifejlesztő, 1978-ban először publikáló kutatók neveiből - Rivest, Shamir és Adleman - származik.) A rendszer még nem terjedt el általánosan; bár a szakmabeliek jól ismerik az elméletet és a gyakorlatot is, alkalmazása viszonylag szűk körű. A PKI legnagyobb használói a magánszemélyek, akik például e-mailjeiket vagy otthoni online vásárlásaikat teszik így biztonságossá. A PKI rendszer ugyanakkor megteremtheti az e-kereskedelem és az online ügyvitel biztonságát is, és nem csupán nagyvállalatok, kormányzati és állami szervek, hanem kis és közepes vállalkozások és nonprofit szervezetek számára is elérhető megoldás. A PKI technológia Magyarországon még kevéssé elterjedt, de jó példák vannak - állítja Gaidosch.
Mi az a PKI, és mire jó?
Kétkulcsos nyilvános kód véd a lehallgatók ellen
Az interneten kommunikáló felek legnagyobb félelme, hogy „lehallgatják, kilesik” őket, bizalmas mondandójuk, dokumentumaik illetéktelenek kezébe kerülnek. Ezért titkosítják - képletesen: lelakatolják - az üzenetet, a kérdés már csak az, ki és hol kezelje a lakat kulcsát. A Public Key Infrastructure (PKI) technológia erre ad választ: minden felhasználónak két kulcsa van, az egyiket, a titkos vagy privát kulcsot kizárólag ő maga ismeri, a másik, a nyilvános kulcsot viszont egy mindenki által hozzáférhető adatbázisban, amolyan telefonkönyvben tárolják. A két kulcs egyaránt használható titkosításhoz (kódoláshoz) és visszafejtéshez (dekódoláshoz), viszont amit az egyik kulccsal titkosítunk, azt csak a másik kulcs birtokában fejthetjük vissza. A két kulcs matematikai szempontból összetartozó, egyszerre keletkeztek, és úgy hozták létre őket, hogy csak az egyiket ismerve gyakorlatilag lehetetlen meghatározni a másikat.
Ha X titkos üzenetet kíván küldeni Y-nak, akkor meg kell szerezni Y nyilvános kulcsát - vagy magától Y-tól, vagy az adatbázisból. Ennek a kulcsnak segítségével X titkosíthatja az üzenetet, amelyet Y (és senki más) saját privát kulcsával tud később dekódolni. A felek nyilvános kulcsait úgynevezett digitális igazolványokban tárolják. A digitális igazolványra azért van szükség, hogy biztosak lehessünk abban, hogy egy nyilvános kulcs valóban a tulajdonosáé. Hasonlóan például az útlevélhez, amelyben a hatóság igazolja a személyazonosságot, a digitális igazolványt is egy széles körben elismert harmadik fél (tanúsító központ - Certification Authority, CA) hitelesíti.
A titkosításon túl a PKI technológia fontos alkalmazása a digitális, amely lényegében a két kulcs alkalmazásának egy másik kombinációja. Ilyenkor a küldő, tehát X használja saját privát kulcsát a kódoláshoz, majd elküldi a titkosított szöveget Y-nak, aki X nyilvános kulcsával fogja azt dekódolni. Mivel X privát kulcsát csak X maga használhatta - hiszen mindenki más számára ismeretlen -, Y biztos lehet abban, hogy a dekódolt szöveg valóban X-től származik.
Az egész rendszerben rendkívül lényeges, hogy a digitális igazolványokat kezelő harmadik fél, a tanúsító központ (CA) biztonságos legyen. Ellenkező esetben egy betolakodó jogtalanul visszaélhet más nyilvános kulcsokkal. A tanúsító központ (CA) lehet akár kereskedelmi szolgáltató is, üzleti alapon, megfelelő digitális igazolványokat (tanúsítványokat) nyújt a feleknek. Várhatóan hamarosan megjelennek a piacon ezek a szolgáltatók, amelyek regisztrálják és azonosítják a tanúsítványt igénylő személyeket és szervezeteket, illetve kiadják a különböző típusú tanúsítványokat. A tanúsítványokat nyilvántartásba veszik, a lejárt tanúsítványokat érvénytelenítik, visszaélés esetén visszavonják őket, és az érvénytelen tanúsítványokat nyilvánosságra is hozzák. PKI technológiát alkalmazó szoftvert kínál ma már több cég is: ilyen a Keon az RSA Securitytól, az Outlook a Microsofttól, az Entrust az Entrust Technologiestól vagy a PGP a Network Associatestól.
