Tematikus összeállításunkban a számítógépes hálózaton keresztüli nyilatkozattétel és szerződéskötésre vonatkozó szabályok mellett foglalkozunk azzal is, milyen szinten áll jelenleg ezen a téren a magyar közigazgatás.
Elektronikus aláírás
Az elektronikus aláírás fogalma
Hagyományos, papíralapú dokumentumok esetén az okiratok hitelesítésére elsősorban a nyilatkozattevők aláírása, szignója szolgál. Hitelt érdemlően igazolja, hogy az okiratba foglalt nyilatkozat magától az aláírótól származik. Az emberi kézírás kétséget kizáró módon képes az aláíró személyének az azonosítására. Hogyan érhető el mindez a digitalizált világban? Elektronikus adathordozóknál is használatos, hogy a dokumentum végére kiírják a nyilatkozattevő nevét, ez a megoldás azonban természetesen nem pótolhatja a kézíráshoz fűződő hitelesítő funkciót. A digitalizált okiratok hitelességét az úgynevezett elektronikus aláírás garantálja, amely speciális műszaki megoldásokat, technológiát és jogi szabályozás meglétét feltételezi. A hagyományos, kézírásos névaláíráshoz képest az elektronikus aláírás az adott iratból fix hosszúságú digitális, és az aláíró által kódolt lenyomatként értelmezhető.
A 2001. szeptember 1-jétől hatályos, az elektronikus aláírásról szóló 2001. évi XXXV. törvény fogalommeghatározása szerint az elektronikus aláírásnak tekintendő az elektronikus dokumentumhoz azonosítás céljából logikailag és azzal elválaszthatatlanul összekapcsolt elektronikus adat, illetőleg dokumentum. Az okirat elektronikus aláírását nem a szó szoros értelemben vett aláírásnak kell tekinteni, hanem egy olyan műszaki, technikai megoldásnak, amely az egyik, már meglévő elektronikus adathoz egy másik elektronikus adatot kapcsol. Más megfogalmazás szerint az elektronikus aláírás "a digitális dokumentum tartalmából, megadott algoritmus szerint képzett összegző számsorozat". (Kondricz Péter, Tímár András: Az elektronikus kereskedelem jogi kérdései, KJK-Kerszöv.) Külön fel kell hívni a figyelmet arra, hogy az elektronikus aláírás nem a kézírással történt névaláírás digitalizált (szkennelt) formája, hanem az adott dokumentum digitálisan kódolt változata.
Az elektronikus aláírás alapvető feladata, hogy kétséget kizáróan bizonyítsa a dokumentum sértetlenségét (integritását) és az aláíró, küldő személyének azonosítását (hitelesség), valamint az aláírás letagadhatatlanságát. Ezáltal garantálja, hogy:
– az aláírt dokumentum szövege a feladást követően már nem változtatható,
– az aláíró és az aláírás egymásnak kétséget kizáróan megfeleltethető,
– az aláírás ténye utólag nem vitatható.
(Az elektronikus aláírással kapcsolatos jogszabályok a Hírközlési Főfelügyelet honlapján – www.hif.hu – Tájékoztatás/Elektronikus aláírás – elolvashatók.)
Aláírást létrehozó technológiák
Az elektronikus aláírás létrehozásához olyan technológiára, műszaki megoldásokra, illetve szoftverekre van szükség, amelyek képesek a fent megfogalmazott, az elektronikus aláírás hitelességét garantáló követelményeket megvalósítani. A hitelesítési funkció a dokumentum küldője általi titkosításával, a titkosított dokumentum továbbításával, majd a címzett általi dekódolásával teljesíthető. A titkosításhoz, illetve annak feloldásához úgynevezett kulcsokra – kódokra és szoftverekre – van szükség.
Szimmetrikus, avagy egyedi kulcs
A kulcsok tekintetében világviszonylatban kétféle módszer alakult ki. A szimmetrikus vagy egyedi kulcs alkalmazása esetén a dokumentum küldője, azaz titkosítója és a címzettje, azaz a titkosítás feloldója ugyanazt a kulcsot használja. Ehhez azonban szükség van arra, hogy a dokumentum elküldése előtt mindkét fél birtokában legyen a később használandó kulcs. Ez jelenti tulajdonképpen a szimmetrikus rendszer legnagyobb hátrányát, hiszen a feleknek előzetesen el kell juttatniuk egymásnak a titkosítás során használatos kulcsot. Mindenkivel, akivel a küldő érintkezésbe kíván lépni, meg kell ismertetnie a titkosítás általa használt eszközét. Ráadásul "a szimmetrikus kulcs alkalmazása a nagy létszámú közösségekben bonyolult és követhetetlen, minél többen ismerik egymás (voltaképpen közös) titkos kulcsait, annál alacsonyabb a módszer biztonsága". (Kondricz Péter, Tímár András: Az elektronikus kereskedelem jogi kérdései, KJK-Kerszöv.)
Aszimmetrikus kulcs
A másik megoldás, az aszimmetrikus kulcspár, a nemzetközileg is elterjedt nyilvános kulcsú infrastruktúra (Public Key Infrastructure – PKI), más néven az úgynevezett kulcspáron alapuló aláírási technika alkalmazása. Ennek lényege abban rejlik, hogy az üzenet küldője a kódoláshoz a saját, egyedi, úgynevezett titkos kulcsát használja, a dekódolás pedig nyilvános, bárki számára hozzáférhető kulccsal történik. Az egymással kapcsolatba lépő feleknek nem kell a rendszer használatához szükséges eszközöket előzetesen egyeztetniük, nincs szükség a küldő és címzett személyes találkozására. A nyilvános kulcsot a feladó a dokumentummal együtt küldi el a címzettnek. A titkos és a hozzájuk tartozó nyilvános kulcsok kezelését erre a feladatra specializálódott szervezetek végzik. Az aláíró személyét, az általa használt kulcsok összetartozását, valódiságát külső, harmadik személy – hitelesítő szervezet – azonosítja, hitelesíti.
Az elektronikus aláírásról szóló törvény indokolása külön kiemeli, hogy azon technológia biztonságosságának, amellyel az elektronikus aláírást előállítják, és hozzáfűzik az irathoz, jogi relevanciája is van. Ennek ellenére, vagy inkább éppen ezért, a jogi szabályozásnak az alkalmazott technológiától bizonyos fokig függetlennek kell lennie, mivel azok igen gyorsan változnak, változhatnak. A fenti követelményeket is szem előtt tartva, a jelenleg létező technikai megoldások közül a nyilvános kulcsú eljárásokkal létrehozott elektronikus aláírás tekinthető világszerte elfogadottnak. Olyan megbízható technológiát nyújt az elektronikus iratok számára, amely az aláírást hitelesítő funkcióként valósítja meg.
Nyilvános kulcsú eljárás
A nyilvános kulcsú eljárás (PKI) alkalmazása során két kulcsot, egy nyilvános kulcsot, úgynevezett kriptográfiai nyilvános kulcsot – törvényi szóhasználattal aláírás-létrehozó adatot – és egy titkos kulcsot, kriptográfiai magánkulcsot, vagy egyedi kulcsot – törvényi szóhasználattal élve aláírás-ellenőrző adatot – kell használni. A kulcsok digitális jelsorozatok, amelyek megfelelő programokkal (matematikai algoritmusokkal) kezelhetők, és amelyek lehetővé teszik a dokumentum titkosítását, hitelesítését. A titkos kulcs használatával az aláíró (küldő) az elektronikus iraton egy kizárólag rá jellemző "aláírást" hoz létre matematikai eljárások segítségével. A címzett a titkos kulcshoz tartozó nyilvános, bárki számára hozzáférhető kulcs segítségével ellenőrzi az elhelyezett elektronikus aláírást. A titkosításhoz és annak feloldásához aszimmetrikus algoritmusokra van szükség, így lehetetlenné válik, hogy a titkosított üzenetet ugyanazzal a kulccsal megfejtsék. A titkos vagy magánkulcsot a tulajdonosnak titokban kell tartania, megfelelő intézkedésekkel védenie kell az illetéktelen felhasználás, eltulajdonítás ellen. Ha a magánkulcs titkossága megszűnik, nyilvánosságra kerül, akkor az eljárás garanciái (hitelesség, azonosítás, sérthetetlenség) is megszűnnek.
A titkos kulcs kezelése
Az elektronikus aláírás létrehozásához használatos titkos kulcs kezelése, őrzése a tulajdonos felelőssége. A titkos kulcs a tulajdonos személyétől fizikailag elkülönülten, a számítógépén található (titkosított) fájl, flopilemez, csipkártya stb. formájában létezik, amelyet a bankkártyák, mobiltelefonok stb. különféle, úgynevezett PIN-kódjaihoz hasonlóan szigorúan titkosan kell kezelni. Amennyiben a titkos kulcs nyilvánosságra kerül, vagy az azt tartalmazó adathordozót a tulajdonosa elveszíti, esetleg ellopják tőle, haladéktalanul intézkednie kell egy új titkos kulcs és a hozzá tartozó nyilvános kulcs beszerzéséről. A nyilvános kulcs bárki által hozzáférhető, sőt kívánatos, hogy minél szélesebb körben megismerhető legyen (pl. a hitelesítésszolgáltatónál vagy címtárszolgáltatónál). A nyilvános kulcshoz kapcsolt adatok alapján azonosítható a kulcs tulajdonosa.
A vonatkozó törvény indokolása rögzíti azt is, hogy a titkos és nyilvános kulcsból álló kulcspár létrehozásakor megbízható matematikai algoritmusok biztosítják azt, hogy a nyilvános kulcs ismeretében gyakorlatilag nem lehet visszafejteni a hozzá tartozó magánkulcsot, illetve az aláírást nem lehet a nyilvános kulcs segítségével hamisítani. A nyilvános kulcs ismeretében egy aláírásról gyakorlatilag egyértelműen megállapítható, hogy a hozzá tartozó magánkulcs, titkos kulcs felhasználásával készült-e vagy sem.
Az aláírás jellemzői
A nyilvános kulcsú eljárásokkal létrehozott elektronikus aláírás alapvető tulajdonsága, hogy
– egy adott elektronikus aláírásnak kizárólag egyetlen tulajdonosa lehet,
– lehetővé teszi az aláíró személyének egyértelmű meghatározását, azaz a küldő azonosítását,
– az aláírónak kizárólagos lehetősége van aláírásának elkészítésére, csak ő képes a nyilvános kulccsal dekódolható aláírás létrehozására,
– egyértelműen megállapítható az elektronikus úton aláírt elektronikus irat bármely, az aláírást követő véletlen vagy szándékos módosulása,
– további technológiai elemek, illetve szolgáltatások alkalmazásával az aláírás hiteles időpontja is csatolható az elektronikus úton aláírt irathoz.
Kormányzati elektronikus aláírási rendszer (KEAR)Az 1026/2002. (III. 26.) Korm. határozat elfogadásával még az előző kabinet döntött a kormányzati elektronikus aláírási rendszer kiépítéséről, illetve kormányzati hitelesítésszolgáltató felállításáról. A közigazgatás központi elektronikus aláírási infrastruktúrájának, az úgynevezett kormányzati elektronikus aláírási rendszernek (KEAR) a részét képező felhasználói rendszerek, az általuk használt elektronikus aláírási termékek biztonsági, funkcionális és technológiai követelményei (kormányzati címtár, azonosítás), valamint a felhasználói kör (humán infrastruktúra) fejlesztését szolgáló jogszabálytervezetek kidolgozását az informatikai kormánybiztos feladatává tették, aki a tennivalók elvégzésére ez év első félévének végéig kapott határidőt. * A kormányhatározat célul tűzte ki, hogy a KEAR rendszerén belül 2003. március 31-éig létre kell hozni a felhasználói rendszereket kiszolgáló minősített kormányzati szolgáltatót, a fokozott biztonságú hitelesítésszolgáltatás elindításának határidejét azonban 2002. október 1-jében jelöli meg. Mindkét feladat megvalósítását a Belügyminisztérium hatáskörébe utalják. A belügyi tárca köteles gondoskodni a minősített szolgáltatás előfeltételeiről és a minősítési eljárás kezdeményezéséről is. Haladéktalanul meg kell kezdenie az elektronikus dokumentumok közigazgatáson belüli, egyes hatósági eljárásokban való használatára, valamint az elektronikus ügyintézésre vonatkozó jogszabályok előkészítését. Ennek során biztosítani kell a minősített elektronikus aláírással és minősített időbélyegzővel ellátott elektronikus dokumentumok teljes körű elfogadását. * A fenti feladatok megvalósítása érdekében a kormány módosította az informatikai kormánybiztos hatásköréről szóló rendelet szabályait is. A módosítás következtében a kormányzati elektronikus aláírási rendszerének a kialakítása, az infrastruktúra felépítése mellett a rendszer működtetése és főfelügyelete is az informatikai kormánybiztos hatáskörébe került. * A kormányzati portálon nemrégiben megjelent híradás szerint a Belügyminisztérium lesz a kormányzat digitálisaláírás-hitelesítő szerve. Az általa hitelesített, úgynevezett minősített elektronikus aláírással ellátott elektronikus okiratok 2002. október elsejétől közokiratnak tekintendők. A kormányszóvivő rámutatott arra is, hogy hiteles elektronikus kommunikáció nélkül nem kerülhet sor az elektronikus ügyintézés megvalósítására. Az informatikai kormánybiztosság tájékoztatója szerint a Belügyminisztérium közeli tervei között szerepel, hogy a hitelesítési szolgáltatás nemcsak a központi szervek, hanem a közigazgatás szélesebb köre számára elérhető legyen. |
Az aláírási folyamat, az aláírás ellenőrzése
A nyilvános kulcsú eljárás során használt privát és nyilvános kulcs digitális jelek összességének, sorozatának fogható fel. Az elektronikus úton történő aláírási folyamat az alábbi lépésekből áll:
1. Az elektronikus formában létező dokumentum küldője, feladója (aláíró) a dokumentumból, annak szövegéből egy speciális program, eljárás segítségével egy digitális lenyomatot, ujjlenyomatot vagy sűrítményt, azaz egy meghatározott terjedelmű bitsorozatot hoz létre, amit a saját titkos kulcsával (magánkulcsával) kódol. A digitális lenyomat készítésének lényege az elektronikus aláírásról szóló törvényhez fűzött indokolás szerint abban rejlik, hogy ez "egy olyan transzformáció, amely egy tetszőleges hosszúságú szövegből olyan fix hosszúságú bitsorozatot (digitális lenyomatot) állít elő, amely egyértelműen jellemző az adott szövegre. Gyakorlatilag lehetetlen egy adott digitális lenyomathoz az eredeti dokumentumtól különböző másik olyan dokumentumot konstruálni, amelyikhez a transzformáció ugyanazt a lenyomatot rendeli (egyirányúság). Gyakorlatilag lehetetlen két különböző olyan dokumentumot konstruálni, amelyek azonos digitális lenyomatokat eredményeznek (egyértelműség)."
2. A digitálás úton küldött üzeneteknél az utólagos változtatás főszabályként nem hagy maga után nyomot. Ezért a változtatás lehetőségének a kizárására a digitális lenyomat készítése és az eredeti dokumentumhoz való hozzárendelése jelent megoldást. A digitális dokumentumhoz csatolják a fentiek szerint létrehozott és kódolt lenyomatot (sűrítményt) mint elektronikus aláírást, és a nyilvános kulccsal együtt elküldik a címzettnek.
3. A címzett a részére eljuttatott dokumentum alapján egy szoftver segítségével maga is elkészíti annak digitális lenyomatát. Ezt követően a dokumentumhoz csatolt, a küldő, aláíró által készített digitális aláírást a nyilvános kulcs segítségével dekódolja, amelyből ugyancsak egy digitális lenyomat képződik. Az így kapott lenyomatot összehasonlítja a maga által készített digitális lenyomattal. Ha a két digitális lenyomat – adatsor – egymással teljesen megegyezik, akkor igen nagy valószínűséggel megállapítható, hogy a dokumentumot a feladó hozta létre, küldte el, annak tartalma az aláírása és elküldése óta nem változott, és az aláírás a nyilvános kulcshoz tartozó magánkulccsal készült.
4. Az aláíró, küldő személyét a nyilvános kulcs alapján a hitelesítésszolgáltató azonosítja, egyben tanúsítja azt is, hogy a használt kulcs érvényes-e vagy sem (lejárt, ellopták stb.).
5. A hitelesség tanúsítása esetén (a tanúsításról bővebben lásd később) a tanúsítvány hitelességét a tanúsítványt aláíró hitelesítésszolgáltató aláírásának a közismert nyilvános kulcsával történő ellenőrzése igazolja. A hitelesítésszolgáltató feladata abban rejlik, hogy tanúsítja az aláírás tulajdonosának azonosító adatait, a nyilvános és titkos kulcs összetartozását, valamint a kulcsok érvényességét.
Az elektronikusan továbbított dokumentum aláírása és az aláírás ellenőrzése a törvényalkotók szerint egy összetett matematikai folyamat, amely azonban a felhasználó számára rejtve marad, a használata azonban a fentiekkel ellentétben igen egyszerű, a felhasználói szoftverek az aláírást és az ellenőrzést ugyanis automatikusan végzik.
Az elektronikus aláírások fajtái
Egyszerű elektronikus aláírás
Az elektronikus aláírásról szóló törvény elektronikus aláírásnak minősít minden, az elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt és azzal elválaszthatatlanul összekapcsolt elektronikus adatot, illetőleg dokumentumot. A fenti definíció magában foglalja az elektronikus aláírás valamennyi fajtáját, így a technológiai biztonságot teljesen nélkülöző megoldásokat is (pl. a dokumentum végére gépelt névaláírás, egyéb azonosító adat). Ugyancsak idetartoznak azok az egyszerű technológiák, amelyek nem alkalmasak az aláíró azonosítására, az aláírt dokumentum változatlanságának a garantálására. Az elektronikus aláírásoknak ezt a körét a törvény indokolása egyszerű elektronikus aláírásoknak tekinti (a jogszabály ezt a fogalmat nem használja, csak a gyakorlat!). Ez a kategória azonban olyan gyűjtőkategóriának vagy a digitális aláírások alapszintjének tekinthető, amelybe valamennyi digitális aláírás, így a fokozott biztonságú és a minősített elektronikus aláírás is beletartozik.
Fokozott biztonságú elektronikus aláírás
A fokozott biztonságú elektronikus aláírások az egyszerű elektronikus aláírásokhoz képest szűkülő kategóriát jelentenek, amelyekkel szemben a törvény többletkövetelményeket támaszt:
– alkalmas az aláíró azonosítására,
– egyedülállóan az aláíróhoz köthető,
– olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll,
– az aláírás a dokumentum tartalmához oly módon kapcsolódik, hogy minden az aláírás elhelyezését követően tett, utólagos módosítás érzékelhetővé válik.
A nyilvános kulcsú eljárással létrehozott aláírás a technika jelenlegi állása, fejlettsége alapján a fenti követelményeknek mindenben megfelel, az alkalmazott technológiáktól független megfogalmazás miatt a törvény a definíció megalkotása során azonban a funkcióra összpontosít.
Az elektronikus formák egyenjogúsága következtében bizonyítási eszközként az elektronikus aláírás valamennyi fajtája, akár az egyszerű elektronikus aláírás is elfogadható, a fokozott biztonságú elektronikus aláírással ellátott elektronikus irat ezenfelül az írásba foglalás jogszabályi követelményének is megfelel.
A Polgári Törvénykönyv módosított rendelkezése alapján, ha jogszabály a szerződés érvényességéhez írásbeli alakot rendel, jogszabály eltérő rendelkezése hiányában írásbeli alakban létrejött szerződésnek kell tekinteni a külön törvényben meghatározott maradandó eszközzel tett nyilatkozatváltás – így különösen fokozott biztonságú elektronikus aláírással aláírt okirat – útján létrejött megegyezést is.
Minősített elektronikus aláírás
A minősített elektronikus aláírás a nyilvános kulcsú eljárással készült, fokozott biztonságú elektronikus aláírás olyan speciális fajtájának tekinthető, amely biztonságos aláírás-létrehozó eszközzel készült, és amelynek a hitelesítése céljából minősített tanúsítványt bocsátottak ki. Minősített tanúsítvány kibocsátására kizárólag az a minősített hitelesítésszolgáltató jogosult, akit a Hírközlési Főfelügyelet a tevékenysége megkezdése előtt nyilvántartásba vett.
Az elektronikus aláírásról szóló törvény egyebek mellett módosította a Polgári Perrendtartásnak a teljes bizonyító magánokiratra vonatkozó rendelkezéseit is. A módosítás következtében teljes bizonyító erejű magánokiratnak kell tekinteni az elektronikus okiratot, ha azon a kiállítója minősített elektronikus aláírást helyezett el. Bizonyító ereje következtében az okirat az ellenkező bebizonyításáig teljes bizonyítékul szolgál arra, hogy kiállítója az abban foglalt nyilatkozatot megtette, illetőleg elfogadta, vagy magára kötelezőnek ismerte el, ezekben az esetekben a bíróságoknak az okirat bizonyító erejét külön mérlegelnie nem kell.
Ha a fokozott biztonságú elektronikus aláírás ellenőrzésének eredményéből más nem következik, az aláírást megelőző szöveget, illetve az aláírt adatokat az ellenkező bizonyításáig meg nem hamisítottnak kell tekinteni, kivéve ha az okirat rendellenességei vagy hiányai ezt a vélelmet megdöntik. Amennyiben a fokozott biztonságú elektronikus aláírással ellátott elektronikus dokumentum aláírójának azonossága, illetve a dokumentum hamisítatlansága tekintetében kétség merül fel, ezek megállapítása érdekében a bíróság elsősorban a fokozott biztonságú elektronikus aláíráshoz tartozó tanúsítványt kibocsátó hitelesítésszolgáltatót keresi meg. Az elektronikus dokumentumhoz kapcsolt időbélyegző által igazolt adatokkal kapcsolatos kétség esetén a bíróság elsősorban az időbélyegzést végző szolgáltatót keresi meg.
Elektronikus dokumentum, irat, okiratAz elektronikus aláírás bármilyen típusú adat, dokumentum azonosítására alkalmas. Az elektronikus dokumentum elektronikus eszköz útján értelmezhető adatként fogható fel, amely elektronikus aláírással van ellátva. Az elektronikus dokumentumban szereplő adat sokféle lehet, így szöveg, kép, hangfelvétel, szoftver, tervrajz, digitális fénykép, film stb., az egyetlen vele szemben támasztott követelmény az, hogy a dokumentumon elektronikus aláírás szerepeljen. * Az elektronikus iratok a dokumentumok olyan szűkebb csoportját képezik, amelyek funkciója szöveg betűkkel való közlése, és a szövegen kívül az olvasó számára érzékelhetően kizárólag olyan egyéb adatokat foglalnak magukban, amelyek a szöveggel szorosan összefüggenek, annak azonosítását (pl. fejléc), illetve könnyebb megértését (pl. ábra) szolgálják. * Az elektronikus okirat olyan elektronikus irat, amely nyilatkozattételt, illetőleg nyilatkozat elfogadását vagy nyilatkozat kötelezőnek elismerését foglalja magában. Az elektronikus okirat fogalmát az elektronikus aláírásról szóló törvény indokolása a hagyományos formájú okirati bizonyítási eszközök virtuális megfelelőjeként hozták létre. Elektronikus okiratok használatára elsősorban szerződéskötések, szerződések teljesítése, elektronikus ügyintézés kapcsán kerülhet sor. |