Magyarországon 2006. augusztus 29. óta bocsátanak ki biometrikus útleveleket, amelyek elektronikusan, e-aláírással ellátva tartalmazzák az útlevélen grafikusan feltüntetett adatokat. Az e-útlevelek 2009. június 28. óta az útlevél birtokosának ujjlenyomatát is tartalmazzák. Az útlevelekben található elektronikus aláírásról Vanczák Gergellyel, a Microsec Kft. szakértőjével, a Microsec e-Szignó Hitelesítés Szolgáltató üzletágvezetőjével beszélgettünk.

2006 szeptembere óta közel 2 millió új útlevél került kibocsátásra. Sokan azonban keveset tudunk arról, hogy azon kívül, hogy úgynevezett "burgundi vörös" lett az útlevél, miben is változott meg okmányunk. Miben különbözik a bordó útlevél korábbi kék társaitól?

A "burgundi vörös" útlevél legfontosabb megkülönböztető jegye, hogy - ellentétben a 2006. augusztus 29-e előtt kibocsátott útlevelekkel - ezek az okmányok már mikrochipet is tartalmaznak, amelyek elektronikusan tárolják az útlevél tulajdonosának egyes adatait. Az útlevélchipen szereplő adatokat az útlevelet kibocsátó hatóság a Microsec által szállított rendszer segítségével elektronikus aláírással látja el, mellyel bizonyítja, hogy az adott útlevél az adott adattartalommal került kibocsátásra Magyarországon.

A Microsec által szállított rendszerrel aláírt útlevelek így megközelítőleg kétmillió állampolgár zsebében megtalálhatók...

Igen, hiszen a Microsec biztosította az útlevelek kibocsátásához használt PKI technológia, vagyis az elektronikus aláírások létrehozását biztosító infrastruktúra jelentős részét, beleértve az útlevelek adattartalmának aláírásához használt hitelesítés szolgáltatói infrastruktúrát és eszközöket, köztük az e-Szignó aláíró programot. A Microsec építette ki az útlevél-ellenőrző eszközök hitelesítéséhez szükséges tanúsítványok kibocsátására használt hitelesítés szolgáltatói infrastruktúrát is. Jelenleg is folyamatosan karbantartjuk és üzemeltetjük a rendszert, amely a Magyarországon megvalósult PKI projektek közül a legtöbb állampolgárt érinti.

Miért volt fontos az elektronikus aláírás technológiájának felhasználása a biometrikus útlevelek esetében?

Mert az útlevél kibocsátó hatóság által létrehozott elektronikus aláírás bizonyítja azt, hogy az útlevél ezzel az adattartalommal létezik. Az útleveleken található aláírás azonban nem a hagyományos értelemben vett elektronikus aláírás, hiszen nem tartozik hozzá semmilyen felelősségvállalás. Ez egy passzív authentikáció, vagyis az elektronikus aláírás csupán azt bizonyítja, hogy ezzel az adattartalommal egy útlevél létezik Magyarországon.

Továbbá az elektronikus aláírás biztonsági szempontból is fontos volt, hiszen a ma ismert technológiával gyakorlatilag lehetetlen hamisítani az elektronikus aláírással ellátott útleveleket.

Hogyan történik az útlevelek aláírása?

Minden esetben automaták állítják elő az elektronikus aláírásokat. Úgynevezett HSM eszközökkel (Hardware Security Module), tehát speciális hardver eszközökkel történik az útlevelek aláírása.

Mennyi időt vett igénybe a rendszer kiépítése?

A PKI funkcionalitás megvalósításakor mindkét ütemben nagyon szűk határidőkkel kellett dolgoznunk, azonban szakember gárdánknak és sokéves szakmai tapasztalatunknak köszönhetően tudtuk tartani a határidőket. A rendszer kiépítése 2006-ban az első generációs útlevelek esetében mindössze néhány hónapot vett igénybe. 2009-ben a megvalósítási idő 2006-hoz képest tovább csökkent, annak ellenére, hogy a második generációs útlevelek egy teljesen más tanúsítvány kibocsátási technológián alapulnak.

Említette, hogy a 2009. augusztus 29. előtt kibocsátott útleveleket első, az azután kibocsátott útleveleket pedig második generációs útleveleknek nevezzük. Mi közöttük a különbség?

Az első generációs útlevelek elektronikusan tartalmazzák az útlevélen grafikusan feltüntetett adatokat, tehát az útlevél birtokosának nevét, állampolgárságát, születési helyét és idejét, nemét illetve az arcképét. Ezeknél az első generációs útleveleknél az arckép jelenti az egyetlen biometrikus azonosítót. Magyarországon 2009. június 28. óta bocsátanak ki második generációs útleveleket, amelyek már az útlevél birtokosának ujjlenyomatát is tartalmazzák. Ma Magyarországon körülbelül 1.300.000 állampolgár rendelkezik első, és 700.000 második generációs útlevéllel. Az elektronikusan tárolt adatok azonban mindkét esetben elektronikus aláírással vannak ellátva.

Hogyan olvashatók ki ezek az e-aláírással ellátott elektronikus adatok az útlevelekből?

Az adatok kiolvasásához elsősorban egy megfelelő olvasókészülékre van szükség. Természetesen a zsebünkben lapuló útlevélen tárolt elektronikus adatokat senki sem olvashatja le a tudtunk nélkül, hiszen annak kinyitása nélkül ez még egy olvasókészülékkel rendelkező fél számára sem lehetséges. Az első és a második generációs útlevelek között alapvető különbség van abban, hogy az elektronikusan tárolt adatokat ki és milyen módon olvashatja ki az útlevélből.

Ki férhet hozzá ezekhez az adatokhoz az első generációs útlevelek esetén?

Az első generációs útlevelek esetében az egyetlen biometrikus azonosító az arckép, amelynek leolvasásához még nincsen szükség semmilyen külön jogosultság kezelésre, tehát bárki, aki hozzáfér a kinyitott útlevélhez és rendelkezik a megfelelő olvasókészülékkel leolvashatja az e-aláírással ellátott elektronikus adatokat. Az első generációs útlevelek esetében az olvasó érzékeli az útlevél adatokat és fényképet tartalmazó oldalán található dombornyomott számkódot, aminek felhasználásával előállítja azt a szimmetrikus kulcsot, mellyel felépíthető a titkosított kapcsolat az útlevél chipjével. A kapcsolat kiépítése után válnak elérhetővé az adatok. Ez az olvasó, tulajdonképpen hasonlít a boltokban az árak megállapításához szükséges olvasókhoz, kinézetre pedig egy szkennerre emlékeztet. Fontos megjegyezni, hogy ezzel az eljárással bármely olvasóval kinyerhetőek az útlevél chipjén tárolt adatok, ha az útlevél rendelkezésre áll, és érzékelhető az említett számkód.

És ha második generációs, tehát ujjlenyomatot tartalmazó okmányunk van?

A második generációs útlevelek már tartalmaznak egy érzékeny biometrikus adatot is, az okmány tulajdánosának ujjlenyomatát. Így a második generációs útleveleknél már fontos, hogy az elektronikusan tárolt ujjlenyomatot csak az arra jogosult (olvasóberendezés) olvashassa ki. (Az útlevél birtokosának egyéb adatai az első generációs útleveleknél leírt módon ebben az esetben is kiolvashatók.) Az ujjlenyomat leolvasásához az olvasóberendezésnek rendelkeznie kell még egy authentikációs tanúsítvánnyal is, amely lehetővé teszi, hogy valamilyen biztonságos módon, - jellemzően kódolási, kriptográfiai módszerek segítségével - megbizonyosodjunk róla, hogy azzal kommunikálunk-e, akivel szeretnénk. Ezt az authentikációs tanúsítványt az útlevelet kibocsátó ország legfelső szintű hitelesítő egységére lehet visszavezetni. Azaz az útlevelet kibocsátó országnak hozzá kell járulnia ahhoz, hogy az útlevelet egy másik országban leolvashassák.

Állampolgárként mit érzékelhetünk abból, hogy biometrikus útlevelünk van?

Semmi, sőt az állampolgár általában azt sem tudja, hogy neki elektronikus útlevele van. Főként az útlevél színének változása, az útlevél első borítóján látható mikrochip logó és az útlevélben található chip kelti fel a biometrikus útlevéllel rendelkezők figyelmét. Érdekesség, hogy a hátlapban található 5*5 mm-es rádiófrekvenciás chip erős lámpával átvilágítva válik láthatóvá. Ezt érdemes kipróbálni, ezzel talán kézzelfoghatóbbá válik a változás.

Miért volt szükség erre a változtatásra?

Az új útlevelek bevezetésére az Európai Unió Tanácsának az EU útleveleinek biztonsági előírásairól szóló 2252/2004/EK rendelete alapján került sor. E rendelet, illetve annak műszaki melléklete a Nemzetközi Polgári Repülési Szervezet (ICAO) 9303-as számú (Machine Readable Travel Documents) dokumentumában szereplő követelményekre épül. E követelményrendszert a külföldre utazásról szóló 1998. évi XII. törvényt módosító 2006. évi XXI. törvény építette be a magyar jogrendszerbe.
Magyarország határidőre, a környező országok közül az elsők között valósította meg és vezette be az új útleveleket, de a teljes Európai Unióban is élenjárók voltunk.

Miért jobbak ezek az útlevelek, mint hagyományos társaik?

A 2006. óta kibocsátott útlevelek több szempontból is előnyösek. Az elektronikus aláírással ellátott útleveleket gyakorlatilag lehetetlen hamisítani. Sokkal könnyebb ellenőrizni az adott útlevél érvényességét is. További fontos szempont, hogy az útlevélből kinyerhető elektronikus adatokat könnyebb feldolgozni, nem kell szkennelni, nem kell begépelni, elég csak leolvasni, ezzel pedig mindenképpen idő és energia szabadulhat fel.

Szakmai szempontból egyedülállónak számít az útlevelek elektronikus aláírását biztosító rendszer Magyarországon?

Az elektronikus aláírás területén mindenképp. A hitelesítés szolgáltatás területén eddig a Microsec és a hazai hitelesítés szolgáltatók kizárólag X509-es tanúsítványokra és RSA algoritmusra épülő technológiával készült tanúsítványokat bocsátottak ki. A második generációs útlevelek esetén azonban másik technológiára, CV tanúsítványra és ECC algoritmusra volt szükség. Ennek a technológiának az az előnye, hogy sokkal kisebb bithosszúsággal el lehet érni ugyanazt a biztonságot, így sokkal helytakarékosabb, ami az útlevelekben lévő chip esetében különösen fontos szempont volt. Ez nekünk is egy új terület megismerését jelentette, melyről a rendszer kiépítése során szereztünk igazán értékes tapasztalatokat.

Elképzelhetőnek tartja, hogy leáll a rendszer és emiatt az útlevél kibocsátás is szünetel?

Nem, hiszen egy redundáns, tehát sokszorosan hibatűrő rendszerről van szó. A rendszer kialakításánál nagy figyelmet fordítottunk arra, hogy ha az egyik okmány aláíró gép meghibásodik, akkor egy másik azonnal, automatikusan átvegye a szerepét. Az útlevél aláíró rendszernek emiatt nagy a rendelkezésre állása, az elmúlt 5 évben nem is történt fennakadás.

Hogyan látja a terület jövőjét? Mi lehet a következő állomás?

A következő állomás tulajdonképpen az elektronikus tartózkodási engedélyek elektronikus aláírással való ellátása volt. Elektronikus tartózkodási engedélyeket 2011. június 6. óta bocsátanak ki Magyarországon, ez újdonságnak számít. Az elektronikus tartózkodási engedélyek PKI rendszerét az elektronikus útlevél mintájára valósítottuk meg. Bár ez csak felvetés, de könnyen el tudnám képzelni ugyanezt a technológiát az e-személyi igazolvány, vagyis e-ID területén is. Ez természetesen abban lehetne több, hogy aktív chipet tartalmazna, tehát az okmány tulajdonosa akár elektronikus aláírás készítésére is használhatná.

Igénylés

Az útlevél igénylésére lakóhelytől, illetve tartózkodási helytől függetlenül az ország bármely okmányirodájában lehetőségünk van. Az útiokmány igényléséhez alapesetben személyazonosság igazolására alkalmas okmányra (például személyi igazolványra) és lakcímkártyára van szükség. Fényképre nem, hiszen azt az okmányirodában készítik el. Az okmányirodában az útlevél igénylőjének egy nyomtatványt kell kitöltenie, majd fényképet készítenek róla és leveszik az ujjlenyomatát.  Az ujjlenyomat nem tintás módszerrel kerül levételre, így nem jelent kellemetlenséget az igénylő számára. Az okmányirodában felvett adatok alapján az útlevél készítését és postázását a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (KEKKH) végzi. Az új okmány maximum 30 napon belül, vagy soron kívüli eljárást kérve 8 napon belül kerül postázásra.