A tanúsítványkiadók dokumentumai,
irányelvek, szabályzatok, megállapodások a publikus kulcsú infrastruktúrában

Gerencsér András <h6389ger@helka.iif.hu>

BKÁE Információrendszerek Tanszék

A publikus kulcsú infrastruktúrák (PKI) működésének biztonsági feltételeit és a résztvevő felek bizalmának zálogát alapvetően a hitelesítési irányelvek és szolgáltatási szabályzatok határozzák meg. A technikai eszközök másodlagos jelentőséggel bírnak. A szervezeti és jogi környezet teljességét további dokumentumok biztosítják a jól működő hitelesítés-szolgáltatóknál.

Az RFC 2527-ben, illetve megújított tervezetében meghatározott dokumentálási keretrendszer kellő alapossággal veszi figyelembe a PKI-k jellemzőit, melyek ismerete mind a szolgáltatók, mind ügyfeleik számára alapvető fontosságú. Több országban készítettek mintaszabályzatokat, melyek az előfizetők és érintett felek védelmén túl a digitális tanúsítás egységes kultúrájának elterjedését is segítik. Az előadás a különböző országok közigazgatásainál és privát szolgáltatóinál használt dokumentumokat elemzi. Lényeges szempont az új technológiák honosításakor a legjobb magyar kifejezések mielőbbi megtalálása.

Bevezetés

Az információs társadalom szolgáltatásai, az elektronikus kereskedelem, és ezen belül az állami feladatok ellátását szolgáló, a nyílt kormányzást is biztosító elektronikus demokrácia és elektronikus kormányzat elemei működésképtelenek az informatikai hálózatok - magyarán az Internet - biztonságának, a kockázatokkal arányos színvonalú garantálása nélkül. Kockázatelemzésen alapuló költség-haszonelemzéssel kell meghatározni, hol elegendőek az un. megosztott titkon alapuló, jelszavas védelmek, illetve mely területeken szükségesek a kétkulcsos kriptográfia lehetőségeit is meghaladó eljárások. A hálózati biztonság területén mind az állami szektornak, mind a magánszférának megvannak a saját rendszereik védelmének biztosítására vonatkozó kötelezettségei. Össztársadalmi kérdés azonban a fenntartható fejlődést biztosító elektronikus kommunikáció széleskörű elterjesztése és a használatához szükséges bizalom megteremtése, fenntartása. A biztonságos elektronikus kommunikáció napjainkban ismert legjobb rendszere, a publikus kulcsú infrastruktúra (PKI) működésének az alapja is a bizalom. A PKI támogatja az autentikációt, megoldást nyújt a bizalmasság, a letagadhatatlanság és a teljesség (integritás) garantálásához. A továbbiakban a publikus kulcsú infrastruktúrákban a dokumentációkkal biztosítható bizalom kérdéseivel foglalkozunk.

A hazai helyzet

A minősített elektronikus aláírás témakörében az elektronikus aláírásról szóló 2001. évi XXXV. törvény és miniszteri rendeletek szabályozzák, illetve egy irányelv támogatja a publikus kulcsú infrastruktúrák szereplői számára a jogi, szervezeti és informatikai biztonsági kérdések azon részét, amelyet az EU irányelvek alapján a jogalkotó fontos, államilag ellenőrizendő feladatnak ítélt. A törvényben biztosított felhatalmazás alapján az állami ellenőrzést a Hírközlési Felügyelet (HIF) gyakorolja, mintegy tekintélyt kölcsönözve a szolgáltatónak és egyben garanciát adva a felhasználóknak. A HIF engedélyezi és nyilvántartja a szakértőket, akkreditáló szervezeteket, a minősített elektronikus aláírás termékeket, illetve a fokozott biztonságú és minősített hitelesítés-szolgáltatókat. A szolgáltató nyilvántartásba vételéhez a HIF megköveteli a következő nyilvánosan hozzáférhető dokumentumokat[1]:

-        Certificate Policy (CP), ahogy nevezik tanúsítványtípus, de helyesebben szolgáltatási irányelvek,

-        Certificate Policy Statement (CPS), azaz szolgáltatási szabályzat,

-        általános szerződési feltételek (ÁSzF).

Az elektronikus aláírás törvényből következően tehát a fokozott biztonságú és a minősített elektronikus aláírással kapcsolatban a bizalmat a magyar állam saját jogi eszközeivel erősíti. Sok országban, de az EU adminisztrációban is, az állami bizalomerősítés nemcsak jogi, szabályozási feladat, hanem konkrét hozzájárulás az infrastruktúra kiépítésével, fejlesztésével. Az elektronikus közigazgatás és a közigazgatás-állampolgár elektronikus kapcsolatának fejlesztéséhez, az un. elektronikus kormányzat megvalósításához hasonló tervek hazánkban is ismertek.

Tennivalók

Ahhoz, hogy az elektronikus aláíráson túl a digitális aláírás és a kétkulcsos kriptográfia más előnyeit, azaz a publikus kulcsú infrastruktúra használatát fontolgató bármely szervezet, cég, vagy egyéni "előfizető" bizalmát elnyerjük, illetve hosszú távon biztosítsuk, minél részletesebben dokumentálni kell a követett eljárásokat és a szolgáltatásokat, a résztvevő felek kötelezettségeit és jogait. A fentebb idézett, HIF által megkövetelt dokumentumoknak összevethetőeknek kell lenni. Ez nemcsak a "fogyasztó" megfelelő tájékoztatása miatt fontos, de az adott szolgáltatás értékét is növeli, amennyiben már eleve bizonyítható együttműködő képessége, illetve éppenséggel kizárható ez.  Létezik egy szakmai körökben közismert keretrendszer ajánlás - az RFC 2527[2] - amelynek elfogadása, használata biztosítja a közös platformot. Az összevethetőség elősegítésére a HIF 2002. februárjában széles körben hozzáférhetővé tette - az RFC 2527-et követő - minősített elektronikus aláírás szolgáltatásokra vonatkozó mintaszabályzat tervezeteit.

A PKI kiépítését, fejlesztését nem célszerű a csúcsán kezdeni. A hazánknál fejlettebb informatikai infrastruktúrával rendelkező országokhoz hasonlóan nálunk is szükség van az alacsony biztonsági szintű PKI-tól, akár a későbbiekben a minősített PKI-t is meghaladó követelmények (lásd az ausztrál kormányzati és USA DoD PKI-kat) szerinti biztonsági tartományokra jellemző irányelvek és eljárások szabályozására. A dokumentumokban nemcsak az RFC 2527 szerinti sorszámokat kell követni, hanem az angol megnevezések helyett, megfelelő magyar kifejezéseket kell találni és elterjeszteni. A szakkifejezések magyarítása a 2002. februárjában nyilvántartott öt, fokozott biztonságú, hazai hitelesítés-szolgáltatónál és a hivatkozott HIF mintaszabályzataiban igen sokféle és gyakorta kifogásolható. A mintaszabályzatok kialakítása és naprakészen tartása a hazai információs társadalom fejlesztését szívügyének tekintő szakmai közösség igen fontos feladata. A koordinációt valamely civil szervezetnek, (például a magyar ISACA Magyar Tagozat[3], Neumann Társaság, stb.) célszerű lenne felvállalni. Tudni kell, hogy már nemcsak beszélnek az RFC 2527 korszerűsítésének szükségességéről, de 2002. január 3-ai megjelentetési dátummal, azaz több mint egy éve hozzá is férhető az új tervezet az IETF honlapján[4].

A megoldás

A PKI fejlesztésében az RSA algoritmuson, a cég szabványain[5] és az alapokat jelentő X.509 v3-on[6] túl jelentős szerepe van az 1995. óta működő IETF-PKIX[7] munkacsoportnak, de megbecsült az ETSI-EESSI[8] (1999) tevékenysége is. A terminológiák vonatkozásában célszerű figyelembe venni a rendszeresen frissített, karbantartott "pkix-roadmap" dokumentumot[9], illetve a PKIX RFC-éi által is hivatkozott ITU-T, ISO/IEC, ABA-DSG[10] és PAG[11] anyagokat (Ezeken túl sok más is akad, például CARAT Guidelines[12], WebTrust Program[13]). Bármelyiküket is vizsgáljuk, el kell ismernünk, hogy igen sokan jelentős munkát végeztek, mielőtt hazánkban bárki belefogott volna komolyabban akár PKI megvalósításba, akár az elektronikus aláírás regulációjába. Azokban az országokban már megvolt a "kritikus tömeg" a kilencvenes évek közepén. Nekünk viszont nem kell feltétlen újat kitalálnunk, sőt tanulhatunk a hibákból és a legjobb gyakorlatból, megismerhetjük az újabb kihívásokat is. (pl. az attribútum tanúsítványok és a kiváltság menedzselési infrastruktúra (PMI), stb.). A világos, logikus terminológiák igen lényegesek a PKI kérdések helyes és közérthető kommunikálása szempontjából mind a döntéshozók, mind a széles tömegek felé.

A HIF által megkövetelt három dokumentumon felül a hazai hitelesítés-szolgáltatóknál is találkozhatunk még "ügyfélszerződéssel", néhol az érintett felek kötelezettségei, felelőssége is rögzítésre kerül, illetve figyelembe veszik bizonyos együttműködési megállapodás lehetőségét is a PKI szolgáltatások szereplői között. A bizalom elmélyítése érdekében az új keretrendszer tervezet ez utóbbiaknál többet javasol. A fő kérdés, ismételten hangsúlyozni kell, a bizalom, amelyet a felhasználók, a piac és az esetleges kereszttanúsításra vállalkozó más szolgáltatók viselkedése tükröz. Természetesen felmerülhet a kérdés, hogy a zárt PKI-k esetében, ahol nem a bizalom és a piaci viszonyok a meghatározók, mennyiben indokolt eltérni a követelményektől. Felvállalhat-e a biztonságért felelős személy (azaz végső soron az első számú vezető) bárminemű dokumentálási hiányosságot akár a nyílt, akár a minősített információk vonatkozásában. A PKI-k kiépítésének hazánkra jellemző kezdeti szakaszában a döntéshozó nem felétlen van tisztában a PKI részletekbe menő tulajdonságaival, és nem jellemző a döntések költség-haszonelemzésekkel történő megalapozása sem. Ilyen körülmények között minden intézménynek, cégnek célszerű követni az informatikai biztonsággal foglalkozó, nemzetközileg elismert szabványokon[14] alapuló útmutatásokat és az auditori szervezetek (pl. ISACA, AICPA, CICA) ajánlásait[15] a kezdetektől, és nem utólag konstatálni az ismeretek hiányából, illetve az értelmetlen takarékosságból (forráshiányból) eredő hibákat.

A bizalmat erősítő új dokumentálási keretrendszerről

Az új RFC 2527 tervezetben új elem a fogalom meghatározások között az autentikáció, az azonosítás, az érvényesség ellenőrzés, a PKI jellemzőit összefoglaló nyilatkozat (PKI Disclosure Statement, PDS), a résztvevő, az előfizető és az érintett fél. A magyar szókincset tekintve különösen fontos az "autentikálás[16] -identifikálás[17]" megfelelő használata.

A 2002. januári tervezet szerint megváltozik az ajánlott keretrendszer egyes fejezeteinek száma, tartalma és sorrendje, amely egyértelműen az 1999. óta bekövetkezett változásokat és az új tapasztalatokat tükrözi. Nagyobb hangsúlyt kap a tanúsítványok életciklus menedzsmentje és a megfelelőség ellenőrzése, mintegy bizonyságául a bizalom megerősítésének szükségességével kapcsolatos korábbi állításunknak.

A hitelesítési irányelvek és a szolgáltatási szabályzat általában nem kötik a feleket a szerződés erejével, ezek általában az előfizetői és érintett fél szerződés (megállapodás, Relying Party Agreement) részei lehetnek. Az ilyen megoldás gyakorlatilag áttekinthetetlen az avatatlan felhasználó számára. Célszerű figyelembe venni továbbá, hogy a szolgáltató egyetlen szolgáltatási szabályzattal, többféle tanúsítványtípus külön-külön hitelesítési irányelveiben előírt követelmények teljesítésének módját adhatja meg, illetve megfordítva, különböző, azonos hitelesítési irányelveket elfogadó hitelesítés-szolgáltatók különböző szolgáltatási szabályzatok szerint dolgozhatnak. Ez utóbbi esetben lényeges szerepe van az esetleges kereszthitelesítésről döntő bizottságnak, illetve lehetne egy országos, akár európai "bridge" szolgáltatónak. Az egységes irányelvek és a szolgáltatók együttműködése leginkább az egységes szabályozással (pl. a személyes adatok védelmére, vagy az adózási szabályok elektronikus alkalmazására vonatkozó rendeletek), illetve közös, felső szintű (vagy más néven gyökér) tanúsítvány-szolgáltatóval (országos, felső szintű/gyökér CA) biztosítható.

A hitelesítési irányelvek alapja az X.509, míg a szolgáltatási szabályzaté a DSG és a PAG, de meglévőnek tekintik

-       a szervezet biztonsági koncepcióját;

-       a biztonsági szintek meghatározására és a környezet kialakítására vonatkozó szabványokat;

-       a kulcsok menedzselésre vonatkozó terveket;

-       az oktatást, képzést, amely kiterjed a telepítési, üzemeltetői és felhasználói kézikönyvekre;

-       az üzemeltető személyzetre vonatkozó ellenőrzési, biztonsági előírásokat, eljárásokat,

-       az elektronikus levelezés használati és biztonsági irányelveit, amelyek ilyen formában tartalmazzák az előfizetők és az érintett felek kötelezettségeit, egészen a jelszavak, illetve a PKI esetében a kulcs párok és tanúsítványok kezeléséig.

Az IETF RFC Editor várhatóan minél hamarabb lecseréli az RFC 2527-et, amikor is minden érintett szembesül az új keretajánlással. A tervezet egyik új fejezetére indokolt felhívni a figyelmet, amely az irányelveken és szabályzatokon túli - a PKI szempontjából ugyancsak lényeges - dokumentumokkal foglalkozik.

Az egyéni előfizetői szerződések határozzák meg a felek kötelezettségeit és jogait, a kulcsok és tanúsítványok kibocsátásának és használatának szabályait, illetve feltételeit. Az érintett felek szerződései kevésbé elterjedtek, azonban a magasabb biztonsági szintek (pl. minősített) esetén lényeges meghatározni a digitális aláírások ellenőrzésével, illetve a tanúsítványok használat előtti ellenőrzésével a felekre vonatkozó jogokat és kötelezettségeket. A kétféle szerződésben meghatározott jogok és kötelezettségek akár együtt is szerepelhetnek a szolgáltatási szabályzat részeként, amikor is a szerződés csak hivatkozik a szabályzat megfelelő pontjaira. A külön, szerződésben/egyezményben meghatározott szabályozás könnyebben áttekinthető, elérhető a felhasználók számára, így bizalomerősítő jellege is van, másrészt, amennyiben, mint fogyasztókat tekintjük a résztvevőket, érdekeik is csak az ilyen szerződés alapján védhetőek egyértelműen sok ország joggyakorlata szerint.

A szolgáltatási irányelvek és szabályzat lényeges hivatkozási alap, illetve része lehet a PKI résztvevői közötti megállapodásoknak (kereszttanúsítás, egy oldalú tanúsítás, szerződéses helyi regisztrációs szervezet, tanúsítvány és visszavonási lista terjesztése, stb.). A dokumentumok hasonlóan lényeges részei lehetnek a tenderkiírásoknak, illetve a szállítói szerződéseknek, tehát nem szerencsés utólag gondolkodni elkészítésükről.

A hitelesítés-szolgáltató vagy a PKI jellemzőit összefoglaló nyilatkozat (PDS) hasonló szerepet tölt be, mint a szolgáltatási szabályzat, azonban csupán a PKI vagy a tanúsítvány kiadó (CA) lényegi jellemzőit foglalja össze, a szabályzatnál sokkal rövidebben. A nyilatkozat valójában eltérhet a szolgáltatási szabályzat összefoglalójától is, tekintve, hogy célja a PKI általános jellemzőinek ismertetése, eltérően a szabályzat rövidített változatáétól. A részletes szolgáltatási szabályzatot, amely a működtetésre vonatkozó védendő, nem nyilvános információkat is tartalmaz, biztonsági okokból nem tehetik hozzáférhetővé a felhasználók és a külső érdeklődők számára, ellentétben a hasonló funkciójú összefoglaló nyilatkozattól.

Amennyiben valamilyen szerződés, egyezmény, összefoglaló nyilatkozat készítői hivatkozni akarnak a hitelesítési irányelvekre, a szolgáltatási szabályzatra, illetve be akarják ezeket építeni az adott okiratba, vagy nyilatkozatba, célszerű, ha a hitelesítési irányelvek és a szolgáltatási szabályzat is más dokumentumokra hivatkozik. Ilyenek lehetnek a különböző szabványok, amelyek feleslegessé teszik részletes bemásolásukat, másrészt a nyilvános és a bizalmas, minősített információk szétválaszthatóak, így a jellemzők nyilvánosságra hozatalakor elegendő egy külső dokumentumra hivatkozni.

Összefoglalás

A fentiek rövid tájékoztatást adnak a PKI működéséhez elengedhetetlen bizalom megteremtéséhez és fenntartásához szükséges dokumentumok fajtáiról és tartalmáról a PKIX munkacsoport várható, új ajánlása alapján. A dokumentumok készítéséért és elrendeléséért felelős vezetőség/bizottság azonban PKI szolgáltatásait megvalósító hardver, szoftver és a termékek kiválasztása, beszerzése során is hasonló gondossággal kell eljárjon. Nem szabad megfeledkezni ugyanakkor arról, hogy a PKI, de az elektronikus aláírás sem önmagáért való. Jó és széles körben használt alkalmazások nélkül nem fenntartható egyetlen hitelesítés-szolgáltatás sem.

A magyar pénzügyi, nagyvállalati szektorok és a közszféra informatizáltsága jelentős fejlettséget ért el, az informatika sok funkcionális folyamat szerves része. Az informatikusoknak felhasználóbarát, megbízható és biztonságos alkalmazásokat kell ajánlani azok számára akik, már felismerték az információs szupersztráda, az információs társadalom építésének meghirdetését követő tíz év során az elektronikus kereskedelem, az elektronikus kormányzat hasznosságát a társadalmi és gazdasági fejlődés szempontjából. Az e-biztonság - hálózati biztonság - azaz a PKI fejlesztése azonban ráfordítások nélkül nem teremthető meg. Mind a beruházások ösztönzése, mind a bizalom megalapozása érdekében magyar nyelvű útmutatók szükségesek. Más országok példája alapján a feladatot a civil szakmai szervezeteknek kell felvállalniuk.

Hivatkozások

1 Hírközlési Felügyelet - Elektronikus aláírás; http://www.hif.hu/index1.html

2 Santosh Chokhani, Warwick Ford: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, RFC 2527 http://www.ietf.org/rfc/rfc.2527.txt, March 1999.

3 http://www.isaca.hu/ (2003. 02. 23.)

4 Santosh Chokhani, Warwick Ford, Randy V. Sabett, Charle R. Merrill, & Stephen S. Wu: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, draft-ietf-pkix-ipki-new-rfc2527-01.txt , http://www.ietf.org/internet-drafts/draft-ietf-pkix-ipki-new-rfc2527-01.txt,       más PKIX tervezetek:
 http://www.ietf.org/ids.by.wg/pkix.html

5 RSA Laboratories, http://www.rsa.com

6 ISO/IEC 95948-8 /ITU-T Recommendation X.509 v.3: "Inforamation Technology - Open System Interconnetion:  The Directory: Authetication Framework" 1997.

7 IETF PKIX http://www.ietf.org/html.charters/pkix-charter.html, mailing list http://www.imc.org/ietf-pkix/

8 European Telecommunications Standards Institute (ETSI), "Policy Requirements for Certification Authorities Issuing Qualified Certificates," ETSI TS 101 456, Version 1.2.1, April 2002; http://www.etsi.org/sec/el-sign.htm  European Electronic Standardization Initiative (EESSI) Final Report to the European Comission 20 July 1999. http://www.ict.etsi.fr/eessi/Final-Report.doc

9 Alfred W. Aresenault, Sean. Turner: Internet X.509 Public Key Infrastructure: Roadmap July 2002 http://www.ietf.org/internet-drafts/ draft-ietf-pkix-roadmap-09.txt

10 American Bar Association (ABA): Digital Signature Guidelines: Legal Structure for Certification Authorities and electronic Commerce,(DSG)1995, 1996.         
http://www.abanet.org/scitech/ec/isc/digital_signature.html

11 American Bar Association: (ABA): PKI Assessment Guidelines (PAG) v-0.30 June 18, 2001.     
http://www.abanet.org/scitech/ec/isc/pag/pag.html

12 Certificate Authority Rating and Trust (CARAT), NACHA Internet Council (27. Oct. 1998), http://internetcouncil.nacha.org/carat/

13 American Institute of Certified Public Accountants (http://www.aicpa.or), Inc., and the Canadian Institute of Chartered Accountants (http://www.cica.ca): WebTrust Program for Certification Authorities v.1 25. Aug. 2000. , (http://ftp.webtrust.org/webtrust_public/certauth_fin.doc (első változatának célja a felhasználók felvilágosítása volt); A bizalmi szolgáltatások elvei:Trust Services Principles and Criteria          
  http://www.cica.ca/multimedia/Download_Library/Standards/WebTrust/English/e_TSPCriteria.pdf )

14 Például: ANSI X9.79 PKI Practices and Policy Framework

15 Deloitte & Touche and ISACF: E-Commerce Security--Public Key Infrastructure: Good Practices For Secure Communications http://www.isaca.org/bk_ints.htm#isds

16 authentication: hitelesítés, igazolás

17 identification: azonosítás, személyazonosság megállapítása