SlideShare une entreprise Scribd logo

Elektronikus iratok hitelességi kérdései Nagy Tibor

Télécharger en tant que PPTX, PDF
H
Hp Hisc
1  sur  23
Speaker Name – Title Date Elektronikus iratok hitelességi kérdései HISC reggeli 2011-04-21
Mikor hiteles egy elektronikus dokumentum? EREDET IGAZOLHATÓSÁGA Hitelesség : A dokumentum egyértelműen hozzáköthető egy személyhez vagy szervezethez, amely létrehozta. Letagadhatatlanság : A létrehozó utólag nem tudja letagadni a dokumentum létrehozását. SÉRTETLENSÉG IGAZOLHATÓSÁGA A dokumentumról egyértelműen eldönthető, hogy a létrehozás óta megváltoztatták-e a tartalmát. A megváltoztatás lehet beszúrás, törlés vagy helyettesítés. Mindezt akár több évtized távlatában is meg kell tudni tenni
Az előállítás kérdései…
Előállítás és hitelesség Mi a legfontosabb a hitelesség szempontjából az előállítás során? A kulcshozzáférés biztonság? Az aláíró technológia? A szabályozási környezet? MINDHÁROM EGYFORMÁN FONTOS!
Előállítás és hitelesség A hitelesítő technológia megbízhatósága Ha ez sérül: a sértetlenség és eredet ellenőrizhetősége is sérül Példák: MD5, SHA1 algoritmusok gyengesége (hash ütközések) A kulcsmenedzsment megbízhatósága Az aláíró kulcsok előállításának szigorú szabályozottsága – a hitelesítő hatóság (CA) megbízhatósága Hitelesítés szolgáltatók szigorú minősítése és NHH általi felügyelete Belső PKI rendszer szabályozottsága és szabályozott üzemeltetése Ha ez sérül: az hitelesség ellenőrizhetősége sérül! Példa: Comodo CA incidens, Stuxnet féreg codesiginingkey incidens A kulcs-hozzáférés biztonság Az aláíró kulcsok használatának kontrolláltsága Ha ez sérül: a letagadhatatlanság ellenőrizhetősége sérül Példa: Kulcstárból a magánkulcs exportálható, nem jelszóvédett Kulcstároló eszköz és PIN megosztásra kerül, vagy a PIN „cache” engedélyezése Gépi aláírásnál cleartext jelszó a config file-ban
Elektronikus aláírás – milyen formátum? Melyik a legjobb aláírás formátum? XML alapú elektronikus akta Aláírt PDF dokumentum PDF-be ágyazott dokumentum, a beágyazott dokumentum aláírva Vagy valami egyéb?
E-akta, e-dosszié XML alapú elektronikus akta, gépi feldolgozásra alkalmasabb Tetszőleges típusú és számú dokumentum fogható össze és védhető vele elektronikus aláírással Az e-akta lehetővé teszi a számlakép és egyéb csatolt formátum (pl gépi feldolgozásra szolgáló xml formátum) az aláírástól teljesen független formátumban történő előállítását. Egy e-aktát, vagy annak egy dokumentumát egyszerre több személy is aláírja. Ezzel támogatott egy dokumentum adott verziójának párhuzamos aláírása. XADES specifikáció támogatása (rövid, hosszú távú és archív aláírás) Az e-akta nem támogatja egy dokumentum különböző verzióinak egymást követő aláírását. Dokumentum megnyitáshoz és aláírás ellenőrzéshez két külön programszükséges
PDF dokumentum PDF dokumentum saját struktúrájában hordozza az aláírást és időbélyeget CMS és PADES aláírás specifikáció támogatása, de nem még nem ISO szabvány szinten. Inkompatibilitási problémák. A PDF dokumentum tartalmazhat csatolmányokat. Tekintettel arra, hogy a PDF aláírás a teljes dokumentumra vonatkozik, ezért az aláírás a csatolmányokkal bővített teljes dokumentumra kiterjed. A PDF aláírás támogatja, hogy a dokumentumot egymást követően többen aláírják, és képes megmutatni az egyes aláírt verziók közötti különbségeket. Dokumentum megnyitáshoz és aláírás ellenőrzéshez elég a PDF olvasó program.
Melyik a legjobb formátum? Nincs legjobb formátum Az üzleti igények, a megfelelőségi kötelmek, a technológiai elvárások alapján kell választani E-akta felhasználási példák Elektronikus cégeljárás Bírósági végrehajtók megkeresései pénzintézetek felé Hiteles iktatás, hiteles archiválás PDF felhasználási példák APEH 0-s adóigazolás Elektronikus számla Elektronikus bank számlakivonat
Az ellenőrzés kérdései…
Befogadás és hitelesség Melyik a legbiztosabb mód az ellenőrzésre ? Automatikus feldolgozó rendszerrel Egyenként, emberi erőforrással Emberi erőforrással és automatizmussal is
12 Az emberi tényező – avagy az elektronikus aláírásellenőrző sw kezelése némi szakértelmet igényel… „Sikeres aláírás ellenőrzés után a következő ábra jelenik meg:” „Az aláírással kapcsolatos további információkat, az ábrára kattintvaaz Aláírási tulajdonságok laponkaphatunk.” ?
Kliens oldali megvalósítás nehézségei ,[object Object]
Új verziók telepítése (pl funkcióbővülés, jogszabálymódosulás miatt)
Integrációs problémák a desktop környezetben (pl. windows tanúsítványtár integráció)
Naplózás és forensics?
Előírás szerint beállított konfiguráció kikényszerítése?13
Szerver oldali megvalósítás nehézségei ,[object Object]
Alkalmazásonként kell elkészíteni
Platform inkompatibilitás
Ki ellenőrzi a beállításokat? Hogyan auditálható?
Változáskezelés!
Új verziók telepítése (pl funkcióbővülés, jogszabálymódosulás miatt)

Recommandé

Elektronikus dokumentum menedzsment
Elektronikus dokumentum menedzsmentElektronikus dokumentum menedzsment
Elektronikus dokumentum menedzsmentHungarian Facility Management Society
 
Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
 
Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Csaba Krasznay
 
Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Csaba Krasznay
 
Possibilities and results of the usage of electronic signatures in the busine...
Possibilities and results of the usage of electronic signatures in the busine...Possibilities and results of the usage of electronic signatures in the busine...
Possibilities and results of the usage of electronic signatures in the busine...Csaba Krasznay
 
Security analysis of the Hungarian e-government system (in Hungarian)
Security analysis of the Hungarian e-government system (in Hungarian)Security analysis of the Hungarian e-government system (in Hungarian)
Security analysis of the Hungarian e-government system (in Hungarian)Csaba Krasznay
 
Rules of digital archiving (in Hungarian)
Rules of digital archiving (in Hungarian)Rules of digital archiving (in Hungarian)
Rules of digital archiving (in Hungarian)Csaba Krasznay
 
Dokumentaciokezeles
DokumentaciokezelesDokumentaciokezeles
DokumentaciokezelesHZsolt
 

Recommandé

Elektronikus dokumentum menedzsment
Elektronikus dokumentum menedzsmentElektronikus dokumentum menedzsment
Elektronikus dokumentum menedzsmentHungarian Facility Management Society
 
Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
 
Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Csaba Krasznay
 
Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Csaba Krasznay
 
Possibilities and results of the usage of electronic signatures in the busine...
Possibilities and results of the usage of electronic signatures in the busine...Possibilities and results of the usage of electronic signatures in the busine...
Possibilities and results of the usage of electronic signatures in the busine...Csaba Krasznay
 
Security analysis of the Hungarian e-government system (in Hungarian)
Security analysis of the Hungarian e-government system (in Hungarian)Security analysis of the Hungarian e-government system (in Hungarian)
Security analysis of the Hungarian e-government system (in Hungarian)Csaba Krasznay
 
Rules of digital archiving (in Hungarian)
Rules of digital archiving (in Hungarian)Rules of digital archiving (in Hungarian)
Rules of digital archiving (in Hungarian)Csaba Krasznay
 
Dokumentaciokezeles
DokumentaciokezelesDokumentaciokezeles
DokumentaciokezelesHZsolt
 
II. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxII. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxSzabolcs Gulyás
 
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)György Balássy
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Gloster telekom Kft.
 
Virtuális Platformváltás validált környezetben
Virtuális Platformváltás validált környezetbenVirtuális Platformváltás validált környezetben
Virtuális Platformváltás validált környezetbengazdagf
 
Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Csaba Krasznay
 
Identity Management - Bevezető
Identity Management - BevezetőIdentity Management - Bevezető
Identity Management - BevezetőFerenc Szalai
 
SharePoint alapú üzleti megoldások HyperTeam
SharePoint alapú üzleti megoldások HyperTeamSharePoint alapú üzleti megoldások HyperTeam
SharePoint alapú üzleti megoldások HyperTeamMáté Borkesz
 
Polygon Hírek II. évfolyam 1. szám 2008 Tavasz
Polygon Hírek II. évfolyam 1. szám 2008 TavaszPolygon Hírek II. évfolyam 1. szám 2008 Tavasz
Polygon Hírek II. évfolyam 1. szám 2008 TavaszPOLYGON Informatikai Kft.
 
Polygon Hírek II. évfolyam 2. szám 2008 VMware
Polygon Hírek II. évfolyam 2. szám 2008 VMwarePolygon Hírek II. évfolyam 2. szám 2008 VMware
Polygon Hírek II. évfolyam 2. szám 2008 VMwarePOLYGON Informatikai Kft.
 
Egyedi cégre szabott üzleti szoftver
Egyedi cégre szabott üzleti szoftverEgyedi cégre szabott üzleti szoftver
Egyedi cégre szabott üzleti szoftverStarsoft International Kft
 
Oriana Flyer HUN
Oriana Flyer HUNOriana Flyer HUN
Oriana Flyer HUNOriana
 
Tóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelTóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelInformatikai Intézet
 
NETaudIT
NETaudITNETaudIT
NETaudITAttila Suba
 
Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Csaba Krasznay
 
Microsoft Windows Azure Platform
Microsoft Windows Azure PlatformMicrosoft Windows Azure Platform
Microsoft Windows Azure PlatformPéter Lakos
 
Virtualizáció az EGISben
Virtualizáció az EGISbenVirtualizáció az EGISben
Virtualizáció az EGISbengazdagf
 
Polygon Hirek III. évfolyam 1. szám 2009 Tavasz
Polygon Hirek III. évfolyam 1. szám 2009 TavaszPolygon Hirek III. évfolyam 1. szám 2009 Tavasz
Polygon Hirek III. évfolyam 1. szám 2009 TavaszPOLYGON Informatikai Kft.
 
Union Web2.0 adoption in insurance
Union Web2.0 adoption in insuranceUnion Web2.0 adoption in insurance
Union Web2.0 adoption in insuranceJoseph A. Bayer
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
IV. Elmélet - Az ERP rendszerek implementációja 2..pptx
IV. Elmélet - Az ERP rendszerek implementációja 2..pptxIV. Elmélet - Az ERP rendszerek implementációja 2..pptx
IV. Elmélet - Az ERP rendszerek implementációja 2..pptxSzabolcs Gulyás
 

Contenu connexe

Similaire à Elektronikus iratok hitelességi kérdései Nagy Tibor

II. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxII. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxSzabolcs Gulyás
 
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)György Balássy
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Gloster telekom Kft.
 
Virtuális Platformváltás validált környezetben
Virtuális Platformváltás validált környezetbenVirtuális Platformváltás validált környezetben
Virtuális Platformváltás validált környezetbengazdagf
 
Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Csaba Krasznay
 
Identity Management - Bevezető
Identity Management - BevezetőIdentity Management - Bevezető
Identity Management - BevezetőFerenc Szalai
 
SharePoint alapú üzleti megoldások HyperTeam
SharePoint alapú üzleti megoldások HyperTeamSharePoint alapú üzleti megoldások HyperTeam
SharePoint alapú üzleti megoldások HyperTeamMáté Borkesz
 
Polygon Hírek II. évfolyam 1. szám 2008 Tavasz
Polygon Hírek II. évfolyam 1. szám 2008 TavaszPolygon Hírek II. évfolyam 1. szám 2008 Tavasz
Polygon Hírek II. évfolyam 1. szám 2008 TavaszPOLYGON Informatikai Kft.
 
Polygon Hírek II. évfolyam 2. szám 2008 VMware
Polygon Hírek II. évfolyam 2. szám 2008 VMwarePolygon Hírek II. évfolyam 2. szám 2008 VMware
Polygon Hírek II. évfolyam 2. szám 2008 VMwarePOLYGON Informatikai Kft.
 
Oriana Flyer HUN
Oriana Flyer HUNOriana Flyer HUN
Oriana Flyer HUNOriana
 
Tóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelTóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelInformatikai Intézet
 
Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Csaba Krasznay
 
Microsoft Windows Azure Platform
Microsoft Windows Azure PlatformMicrosoft Windows Azure Platform
Microsoft Windows Azure PlatformPéter Lakos
 
Virtualizáció az EGISben
Virtualizáció az EGISbenVirtualizáció az EGISben
Virtualizáció az EGISbengazdagf
 
Polygon Hirek III. évfolyam 1. szám 2009 Tavasz
Polygon Hirek III. évfolyam 1. szám 2009 TavaszPolygon Hirek III. évfolyam 1. szám 2009 Tavasz
Polygon Hirek III. évfolyam 1. szám 2009 TavaszPOLYGON Informatikai Kft.
 
Union Web2.0 adoption in insurance
Union Web2.0 adoption in insuranceUnion Web2.0 adoption in insurance
Union Web2.0 adoption in insuranceJoseph A. Bayer
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
IV. Elmélet - Az ERP rendszerek implementációja 2..pptx
IV. Elmélet - Az ERP rendszerek implementációja 2..pptxIV. Elmélet - Az ERP rendszerek implementációja 2..pptx
IV. Elmélet - Az ERP rendszerek implementációja 2..pptxSzabolcs Gulyás
 

Similaire à Elektronikus iratok hitelességi kérdései Nagy Tibor (20)

II. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxII. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptx
 
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
 
Virtuális Platformváltás validált környezetben
Virtuális Platformváltás validált környezetbenVirtuális Platformváltás validált környezetben
Virtuális Platformváltás validált környezetben
 
Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)
 
Identity Management - Bevezető
Identity Management - BevezetőIdentity Management - Bevezető
Identity Management - Bevezető
 
SharePoint alapú üzleti megoldások HyperTeam
SharePoint alapú üzleti megoldások HyperTeamSharePoint alapú üzleti megoldások HyperTeam
SharePoint alapú üzleti megoldások HyperTeam
 
Polygon Hírek II. évfolyam 1. szám 2008 Tavasz
Polygon Hírek II. évfolyam 1. szám 2008 TavaszPolygon Hírek II. évfolyam 1. szám 2008 Tavasz
Polygon Hírek II. évfolyam 1. szám 2008 Tavasz
 
Polygon Hírek II. évfolyam 2. szám 2008 VMware
Polygon Hírek II. évfolyam 2. szám 2008 VMwarePolygon Hírek II. évfolyam 2. szám 2008 VMware
Polygon Hírek II. évfolyam 2. szám 2008 VMware
 
Egyedi cégre szabott üzleti szoftver
Egyedi cégre szabott üzleti szoftverEgyedi cégre szabott üzleti szoftver
Egyedi cégre szabott üzleti szoftver
 
Oriana Flyer HUN
Oriana Flyer HUNOriana Flyer HUN
Oriana Flyer HUN
 
Tóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelTóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésével
 
NETaudIT
NETaudITNETaudIT
NETaudIT
 
Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)
 
Microsoft Windows Azure Platform
Microsoft Windows Azure PlatformMicrosoft Windows Azure Platform
Microsoft Windows Azure Platform
 
Virtualizáció az EGISben
Virtualizáció az EGISbenVirtualizáció az EGISben
Virtualizáció az EGISben
 
Polygon Hirek III. évfolyam 1. szám 2009 Tavasz
Polygon Hirek III. évfolyam 1. szám 2009 TavaszPolygon Hirek III. évfolyam 1. szám 2009 Tavasz
Polygon Hirek III. évfolyam 1. szám 2009 Tavasz
 
Union Web2.0 adoption in insurance
Union Web2.0 adoption in insuranceUnion Web2.0 adoption in insurance
Union Web2.0 adoption in insurance
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)
 
IV. Elmélet - Az ERP rendszerek implementációja 2..pptx
IV. Elmélet - Az ERP rendszerek implementációja 2..pptxIV. Elmélet - Az ERP rendszerek implementációja 2..pptx
IV. Elmélet - Az ERP rendszerek implementációja 2..pptx
 

Elektronikus iratok hitelességi kérdései Nagy Tibor

  • 1. Speaker Name – Title Date Elektronikus iratok hitelességi kérdései HISC reggeli 2011-04-21
  • 2. Mikor hiteles egy elektronikus dokumentum? EREDET IGAZOLHATÓSÁGA Hitelesség : A dokumentum egyértelműen hozzáköthető egy személyhez vagy szervezethez, amely létrehozta. Letagadhatatlanság : A létrehozó utólag nem tudja letagadni a dokumentum létrehozását. SÉRTETLENSÉG IGAZOLHATÓSÁGA A dokumentumról egyértelműen eldönthető, hogy a létrehozás óta megváltoztatták-e a tartalmát. A megváltoztatás lehet beszúrás, törlés vagy helyettesítés. Mindezt akár több évtized távlatában is meg kell tudni tenni
  • 4. Előállítás és hitelesség Mi a legfontosabb a hitelesség szempontjából az előállítás során? A kulcshozzáférés biztonság? Az aláíró technológia? A szabályozási környezet? MINDHÁROM EGYFORMÁN FONTOS!
  • 5. Előállítás és hitelesség A hitelesítő technológia megbízhatósága Ha ez sérül: a sértetlenség és eredet ellenőrizhetősége is sérül Példák: MD5, SHA1 algoritmusok gyengesége (hash ütközések) A kulcsmenedzsment megbízhatósága Az aláíró kulcsok előállításának szigorú szabályozottsága – a hitelesítő hatóság (CA) megbízhatósága Hitelesítés szolgáltatók szigorú minősítése és NHH általi felügyelete Belső PKI rendszer szabályozottsága és szabályozott üzemeltetése Ha ez sérül: az hitelesség ellenőrizhetősége sérül! Példa: Comodo CA incidens, Stuxnet féreg codesiginingkey incidens A kulcs-hozzáférés biztonság Az aláíró kulcsok használatának kontrolláltsága Ha ez sérül: a letagadhatatlanság ellenőrizhetősége sérül Példa: Kulcstárból a magánkulcs exportálható, nem jelszóvédett Kulcstároló eszköz és PIN megosztásra kerül, vagy a PIN „cache” engedélyezése Gépi aláírásnál cleartext jelszó a config file-ban
  • 6. Elektronikus aláírás – milyen formátum? Melyik a legjobb aláírás formátum? XML alapú elektronikus akta Aláírt PDF dokumentum PDF-be ágyazott dokumentum, a beágyazott dokumentum aláírva Vagy valami egyéb?
  • 7. E-akta, e-dosszié XML alapú elektronikus akta, gépi feldolgozásra alkalmasabb Tetszőleges típusú és számú dokumentum fogható össze és védhető vele elektronikus aláírással Az e-akta lehetővé teszi a számlakép és egyéb csatolt formátum (pl gépi feldolgozásra szolgáló xml formátum) az aláírástól teljesen független formátumban történő előállítását. Egy e-aktát, vagy annak egy dokumentumát egyszerre több személy is aláírja. Ezzel támogatott egy dokumentum adott verziójának párhuzamos aláírása. XADES specifikáció támogatása (rövid, hosszú távú és archív aláírás) Az e-akta nem támogatja egy dokumentum különböző verzióinak egymást követő aláírását. Dokumentum megnyitáshoz és aláírás ellenőrzéshez két külön programszükséges
  • 8. PDF dokumentum PDF dokumentum saját struktúrájában hordozza az aláírást és időbélyeget CMS és PADES aláírás specifikáció támogatása, de nem még nem ISO szabvány szinten. Inkompatibilitási problémák. A PDF dokumentum tartalmazhat csatolmányokat. Tekintettel arra, hogy a PDF aláírás a teljes dokumentumra vonatkozik, ezért az aláírás a csatolmányokkal bővített teljes dokumentumra kiterjed. A PDF aláírás támogatja, hogy a dokumentumot egymást követően többen aláírják, és képes megmutatni az egyes aláírt verziók közötti különbségeket. Dokumentum megnyitáshoz és aláírás ellenőrzéshez elég a PDF olvasó program.
  • 9. Melyik a legjobb formátum? Nincs legjobb formátum Az üzleti igények, a megfelelőségi kötelmek, a technológiai elvárások alapján kell választani E-akta felhasználási példák Elektronikus cégeljárás Bírósági végrehajtók megkeresései pénzintézetek felé Hiteles iktatás, hiteles archiválás PDF felhasználási példák APEH 0-s adóigazolás Elektronikus számla Elektronikus bank számlakivonat
  • 11. Befogadás és hitelesség Melyik a legbiztosabb mód az ellenőrzésre ? Automatikus feldolgozó rendszerrel Egyenként, emberi erőforrással Emberi erőforrással és automatizmussal is
  • 12. 12 Az emberi tényező – avagy az elektronikus aláírásellenőrző sw kezelése némi szakértelmet igényel… „Sikeres aláírás ellenőrzés után a következő ábra jelenik meg:” „Az aláírással kapcsolatos további információkat, az ábrára kattintvaaz Aláírási tulajdonságok laponkaphatunk.” ?
  • 13.
  • 14. Új verziók telepítése (pl funkcióbővülés, jogszabálymódosulás miatt)
  • 15. Integrációs problémák a desktop környezetben (pl. windows tanúsítványtár integráció)
  • 17. Előírás szerint beállított konfiguráció kikényszerítése?13
  • 18.
  • 21. Ki ellenőrzi a beállításokat? Hogyan auditálható?
  • 23. Új verziók telepítése (pl funkcióbővülés, jogszabálymódosulás miatt)
  • 24. Ha a vállalat lecseréli az üzleti alkalmazást, meg kell ismételni az integrációt?
  • 25. Kripto-protokoldefiníció az alkalmazás kódban – rugalmatlan a változáskezeléssel szemben
  • 26. Jellemzően dokumentumkezelő megoldások már rendelkeznek bizonyos alkalmazás specifikus kripto funkciókkal
  • 27. Ezeket külön-külön kell konfigurálni és üzemeltetni14
  • 28. Kriptográfiai hitelesség NEM egyenlő az ügyviteli befogadhatósággal!! A dokumentum kriptográfiai szempontból hiteles A nagy kérdés: alakilag, formailag, tartalmilag megfelel- e dokumentum az előírásoknak Megfelelő típusú aláírással látták-e el? Kellő számú aláírással látták-e el? Az írta-e alá, akinek felhatalmazása van rá? Honnan derül ez ki? Képes-e egy munkatárs ezeket minden esetben, hibátlanul és helyesen ellenőrizni? 15
  • 30.
  • 31. Tanúsítvány állapot ellenőrzés, hitelességi lánc felépíthetősége
  • 32. Publikálni kell a hiteles dokumentum alaki, tartalmi tulajdonságait17
  • 33. Hitelesség az dokumentum életciklus során Befogadás Befogadás műszaki és szabályozás környezetének megteremtése Lehetőség szerint automatizmusok használata A kibocsátó specifikációja szerinti ügyviteli szabályozás kialakítása Szükség esetén human ellenőrzés – BCP folyamat is egyben! Nem hiteles dokumentum esetén hibakezelési eljárás Lehet vírusos tartalom is! base64 kódolt beágyazott dokumentumok E-akta titkosítható 18
  • 34. Hitelesség az dokumentum életciklus során Feldolgozás A dokumentumot be kell illeszteni az üzleti folyamatba Ennek során ismételten ellenőrizni kell a hitelességet Ezt papír alapú dokumentumnál is mindig megtesszük... Vagy mégsem? Az elektronikus dokumentum „hitelesebb” tud lenni a papír alapú dokumentumnál... 19
  • 35.
  • 36. HP megközelítés: hiteles dokumentum kezelés megvalósítás szempontrendszere Compliant Minden üzleti folyamat egységesen feleljen meg a jogszabályi előírásoknak, szabványoknak. Available Az alkalmazásokat mentesítse az egyedi fejlesztés szükségességétől, szolgáltatásként álljon rendelkezésre, többféle üzleti folyamatban párhuzamosan Adaptive Képes legyen rugalmasan alkalmaszkodni a bővülő üzleti igényekhez, változó intézményi alkalmazás környezethez Garantálja a szabályozási környezet szerinti működéstVédjen meg a véletelen vagy szándéklos emberi hibáktól Secure Értékteremtés A műszaki komplexitást fedje el – az üzlet számára legyen fekete doboz 21

Notes de l'éditeur

  1. MD5http://www.win.tue.nl/hashclash/Nostradamus/http://stackoverflow.com/questions/1147830/understanding-sha-1-collision-weaknessComodo:http://www.h-online.com/open/news/item/SSL-meltdown-forces-browser-developers-to-update-1213358.html