Mi az a digitális aláírás, és hogyan működik?
A digitális aláírás egy kódolt üzenet formájában biztonságosan összekapcsolja az aláírót egy dokumentummal egy rögzített tranzakció során. A digitális aláírások a Public Key Infrastructure (PKI) néven ismert, szabványosított és széles körben elfogadott formátumot alkalmaznak a legmagasabb szintű biztonság és az általános elfogadottság biztosítása érdekében. A PKI az identitás-ellenőrzéshez digitális tanúsítvány használatát teszi szükségessé.
Hogyan működik a digitális aláírás?
A digitális aláírások – hasonlóan a kézzel írt aláírásokhoz – minden aláíró esetében egyediek. A digitális aláírási megoldásokat nyújtó szolgáltatók, például az InfoCert, egy „nyilvános kulcsú infrastruktúra” (Public Key Infrastructure, PKI) néven ismert protokollt követnek. A PKI előírja, hogy a szolgáltató matematikai algoritmus segítségével két hosszú számot – az úgynevezett kulcsokat – generáljon. Az egyik kulcs nyilvános, a másik pedig titkos.
Amikor az aláíró elektronikus úton aláír egy dokumentumot, az aláírás az aláíró saját titkos kulcsával jön létre, amelyet az aláíró biztonságosan őriz. A matematikai algoritmus titkosítóként működik: létrehoz egy, az aláírt dokumentumhoz tartozó adatot – az úgynevezett hash-értéket –, majd ezt az adatot titkosítja. Az így kapott titkosított adat képezi a digitális aláírást. Ezen felül az aláírás időbélyeggel ellátott, amely a dokumentum aláírásának időpontját jelzi. Ha a dokumentum az aláírás után módosul, a digitális aláírás érvényét veszti.
Például John a magánkulcsával aláír egy megállapodást egy időmegosztásos ingatlan eladásáról. A vevő megkapja a dokumentumot, valamint John nyilvános kulcsának másolatát. Ha a nyilvános kulcs nem tudja visszafejteni az aláírást (a kulcsok generálásához használt titkosítás segítségével), az azt jelzi, hogy az aláírás vagy nem John-tól származik, vagy az aláírás óta módosították. Ilyen esetekben az aláírás érvénytelennek minősül.
Az aláírás integritásának biztosítása érdekében a PKI előírja, hogy a kulcsokat biztonságosan kell létrehozni, kezelni és tárolni. Ehhez gyakran egy megbízható tanúsító hatóság (CA) szolgáltatásaira van szükség. A digitális aláírás-szolgáltatók, mint például az InfoCert, betartják a PKI követelményeit a biztonságos digitális aláírás biztosítása érdekében.
Mi a különbség az elektronikus aláírás és a digitális aláírás között?
A digitális aláírás az elektronikus aláírás egyik formája, amely digitális tanúsítványok segítségével magasabb szintű személyazonosság-ellenőrzést igényel.
Az elektronikus aláírások (e-aláírások) tágabb kategóriája különböző típusú elektronikus aláírásokat foglal magában. Ebbe a kategóriába tartoznak a digitális aláírások is, amelyek az elektronikus aláírások egy konkrét technológiai megvalósítását jelentik. Mind a digitális aláírások, mind az egyéb e-aláírási megoldások lehetővé teszik a dokumentumok aláírását és az aláíró személyazonosságának igazolását. A digitális aláírások és az egyéb e-aláírás-típusok között azonban különbségek vannak a cél, a technikai megvalósítás, a földrajzi elterjedés, valamint a jogi és kulturális elfogadottság tekintetében.
Érdemes megjegyezni, hogy az elektronikus aláírásokhoz használt digitális aláírási technológia alkalmazása jelentősen eltér az olyan országok között, amelyek nyitott, technológiasemleges elektronikus aláírási jogszabályokat alkalmaznak – mint például az Egyesült Államok, az Egyesült Királyság, Kanada és Ausztrália –, és azok között, amelyek többszintű elektronikus aláírási modelleket alkalmaznak, előnyben részesítve a digitális aláírási technológián alapuló, helyi szinten meghatározott szabványokat. Ide tartoznak az Európai Unió, Dél-Amerika és Ázsia számos országa. Az eIDAS-rendelet hatálya alá tartozó Európai Unióban két szintű digitális aláírás létezik: a fejlett elektronikus aláírás (AES) és a minősített elektronikus aláírás (QES).
Ezenkívül egyes iparágak is támogatnak olyan konkrét szabványokat, amelyek a digitális aláírási technológián alapulnak