Elektronikus kézbesítés III. - Informatikai biztonsági aggályok

2009. június 23-án került kihirdetésre, és a tervek szerint javarészt januárban lép hatályba a sokat vitatott, a hivatalos iratok kézbesítéséről és az elektronikus tértivevényről szóló 2009. évi LII. törvény. A szakmát megosztották a törvény rendelkezései, a cikkek megjelenése után több e-mail, telefonhívás érkezett jogi rovatunkba.

A hazai céginformációs szolgáltatások, az elektronikus aláírás technológián alapuló szolgáltatások piacának legnagyobb szereplője, a Microsec Kft., szakértőjét, dr. Berta István Zsoltot kérdeztük, aki az Európai Távközlési Szabványosítási Intézet (ETSI) elektronikus aláírással és biztonságos elektronikus kézbesítéssel foglalkozó munkacsoportjában is részt vesz.

A szakember szerint nem árt tisztázni, hogy milyen informatikai biztonsági követelmények fogalmazhatóak meg egy biztonságos kézbesítési megoldással szemben. Egy jó, azaz a szakirodalomban szereplő elvárásoknak megfelelő, biztonságos kézbesítési megoldásról elmondható, hogy "letagadhatatlan" bizonyítékokkal (például elektronikus aláírással és időbélyegzővel ellátott okiratokkal) igazolja a kézbesítést.

Elvárható, hogy "fair", azaz a feladó sikeres kézbesítés esetén mindig megkapja a "letagadhatatlan" tértivevényt, sikertelen kézbesítés esetén viszont nem kap tértivevényt (hanem a kézbesítés sikertelenségéről kap igazolást).

És végül elvárható, hogy olcsón működtethető, miközben nem jelent szűkkeresztmetszetet, és kézbesítési szolgáltatók csak a lehető legkevesebb érzékeny információhoz férnek hozzá a feladóval és a címzettel kapcsolatban.

Biztonságos kézbesítés

Előfordulhat, hogy a címzett nem akarja átvenni az üzenetet, vagy később szívesen letagadná, hogy valóban átvette azt. Szintén előfordulhat, hogy a feladó azt állítja, hogy ekkor és ekkor elküldött valamit a címzettnek, de azt nem akkor, vagy esetleg soha nem küldte el.

Óriási jelentősége lehet egy elektronikus üzenet kézbesítésének, gondoljunk csak a 2006. augusztusi, tragikus tűzijáték előtti meteorológiai előrejelzésre, vagy egy több milliárdos közbeszerzési pályázat ajánlattételére.

A "biztonságos kézbesítés" azt jelenti, bizonyítható, hogy a feladó valóban elküldött egy üzenetet, illetve a címzett valóban átvette azt. Lényeges, hogy e bizonyítás a kézbesítés során létrejövő bizonyítékokra épüljön, e bizonyítékokat utólag ne lehessen módosítani, és bíróság előtt is meg kell, hogy állják a helyüket.

Közokirat, amit senki nem ír alá

Súlyos hibája a törvénynek, mondta dr. Berta István Zsolt, hogy nem követeli meg aláírt bizonyíték kiállítását. Az e-tértivevény törvényben szereplő Állami Elektronikus Kézbesítési Szolgáltatónak nem kell "letagadhatatlan", elektronikusan aláírt bizonyítékot szolgáltatnia a kézbesítésről, és ez óriási gond lehet.

Amint a törvényben szereplő elektronikus tértivevény elhagyja az Állami Elektronikus Kézbesítési Szolgáltató rendszerét, az már csak egy egyszerű fájl, amelyet bárki észrevétlenül módosíthat, vagy hamisíthat. A törvény értelmében ezen aláíratlan fájl közokirat, és magából a fájlból sehogy sem lehet megállapítani, hogy nem egy hamisítvánnyal állunk-e szemben.

Minden egyes alkalommal, amikor meg akarunk bizonyosodni egy elektronikus tértivevény hitelességéről, meg kell kérdeznünk az Állami Elektronikus Kézbesítési Szolgáltatót. Ezzel egyrészt feleslegesen terheljük a központi rendszert, másrészt így bármilyen bizonyítás csak úgy lehetséges, ha az Állami Elektronikus Kézbesítési Szolgáltató éppen működik és elérhető.

Orvosolható lenne

E probléma egészen egyszerűen és olcsón orvosolható lenne az elektronikus aláírásról szóló törvényben szereplő technológiákkal (elektronikus aláírás és időbélyegzés együttes alkalmazásával): A címzett elektronikus aláírással ír alá egy tértivevényt, amelyben igazolja, hogy átvette az adott üzenetet.

Ha a címzett nem képes vagy nem hajlandó átvenni az üzenetet, a kézbesítési szolgáltató állít ki erről egy elektronikusan aláírt igazolást. E megoldással nemcsak az igazolható, hogy a címzett átvett egy üzenetet, az is bizonyítható, hogy pontosan milyen tartalmú üzenetet vett át.

Ekkor a kézbesítés az üzenet és a tértivevény "fair" módon történő kicserélését jelentené a feladó és a címzett között. A "fair" módon lebonyolított csere azt jelenti, hogy vagy mindkét fél hozzájut a kívánt információhoz (a címzett az üzenethez, a feladó a tértivevényhez), vagy egyikőjük sem.

Így a címzett nem kaphatja meg az üzenetet, amíg át nem adta az aláírt tértivevényt, de azt csak akkor kell átadnia, amikor már megkapta az üzenetet.

Papír alapú iratok esetén ezt a két irat egyidejű átadásával szokás megoldani. Persze, elektronikus esetben ez nem ennyire egyszerű, de például kriptográfiai módszerekkel megoldható.

Ne legyen "nagy testvér"

Dr. Berta István Zsolt rámutatott: az is fontos szempont, hogy ne kerülhessen a kézbesítési szolgáltató a mindentudó "nagy testvér" szerepébe, ne ismerhesse meg az üzenetek tartalmát, és ne térképezhesse fel, hogy ki, mikor és kinek küld üzenetet. Gondoljunk bele, mi történne, ha valaki egy központi helyen beleolvashatna például bármely közbeszerzési eljáráshoz beérkező bármely ajánlatba.

Még ha nem is történik visszaélés, már az is rontja a bizalmat, ha ennek műszakilag megvan az elvi lehetősége. (Bár a törvény szerint van lehetőség az üzenetek titkosítására, a titkosítást is az Állami Elektronikus Kézbesítési Szolgáltató végzi, így ez nem oldja meg e problémát.)

Ezért egyik megoldási lehetőség, hogy a kézbesítési szolgáltatón titkosított üzenet halad keresztül, olyan módon titkosítva, hogy azt még maga a kézbesítési szolgáltató sem tudja visszafejteni.

Másik lehetőség, hogy olyan kézbesítési megoldást választunk, amely szerint a kézbesítési szolgáltató csak az üzenettel kapcsolatos adatokat kezeli, de maga az üzenet el sem jut a kézbesítési szolgáltatóhoz.

Egy vagy több szolgáltató?

A kézbesítési szolgáltatás ne jelentsen szűkkeresztmetszetet - emelte ki a szakember. Országos szinten óriási mennyiségű üzenetet küldünk egymásnak. Nem szabad, hogy ezek leterheljék a kézbesítési szolgáltatást. Ezen kívül, egy kézbesítési szolgáltató leállása, kiesése miatt nem állhat le minden ügyintézés az országban.

A törvény egyetlen, nagy, központi, állami kézbesítési szolgáltatót hoz létre, amely az ország teljes hivatalos levél forgalmát el kell, hogy bírja. Ehhez óriási központi rendszerre lenne szükség, várhatóan sokkal nagyobbra, mint ami most működik. E rendszer biztonságos működése kulcsfontosságú, mert a rendszer leállása esetén minden ügyintézés megáll az országban.

A nagy és biztonságos központok általában rendkívül drágák, és ha e rendszer állami pénzből működik, akkor mindannyian fizetjük a működését. Még az is fizeti, aki soha egyetlen hivatalos elektronikus levelet sem küldött el, és esetleg nem is akar hivatalos elektronikus levelet küldeni.

Lehet, hogy sokan tényleg nem akarják majd használni, mert bármilyen biztonságosan is működik, nehezen tudja majd lemosni magáról, hogy túl sok információhoz fér hozzá. Ezért - mutatott rá a Microsec szakértője -, sokkal szimpatikusabb lenne, ha több kézbesítési szolgáltató jönne létre.

Lehetne köztük állami is, de - a papír alapú kézbesítéshez hasonlóan - magán szolgáltatók is megjelenhetnének. Ekkor nem egyetlen központ szolgálja ki az ország teljes forgalmát, így az egyes szolgáltatók jelentősen kisebbek, és kevésbé kritikus, hogy egy pillanatra se álljanak le.

Szabad választás

Ha valamelyik leáll, a felhasználók a többi szolgáltatót használják helyette. A központosított megoldásnál feltehetően még összességében is jelentősen olcsóbban működnek a verseny miatt, és csak az fizeti a működésüket, aki valóban használja is őket.

Az adatait féltő felhasználó különböző üzenetekhez különböző kézbesítési szolgáltatót is igénybe vehet, így egyetlen kézbesítés-szolgáltató sem térképezheti fel, hogy kinek, mikor és mit küldött.

Lényeges, hogy a felhasználók szabadon választhassanak kézbesítés-szolgáltatót. Tekintve, hogy egy kézbesítés szolgáltató a megbízható harmadik fél szerepét tölti be egy fair cserében, az a helyes, ha a résztvevők maguk választhatják meg, hogy ki az, akiben valóban megbíznak.