IV. Elmélet - Az ERP rendszerek implementációja 2..pptx
Elektronikus iratok hitelességi kérdései Nagy Tibor
1. Speaker Name – Title Date Elektronikus iratok hitelességi kérdései HISC reggeli 2011-04-21
2. Mikor hiteles egy elektronikus dokumentum? EREDET IGAZOLHATÓSÁGA Hitelesség : A dokumentum egyértelműen hozzáköthető egy személyhez vagy szervezethez, amely létrehozta. Letagadhatatlanság : A létrehozó utólag nem tudja letagadni a dokumentum létrehozását. SÉRTETLENSÉG IGAZOLHATÓSÁGA A dokumentumról egyértelműen eldönthető, hogy a létrehozás óta megváltoztatták-e a tartalmát. A megváltoztatás lehet beszúrás, törlés vagy helyettesítés. Mindezt akár több évtized távlatában is meg kell tudni tenni
4. Előállítás és hitelesség Mi a legfontosabb a hitelesség szempontjából az előállítás során? A kulcshozzáférés biztonság? Az aláíró technológia? A szabályozási környezet? MINDHÁROM EGYFORMÁN FONTOS!
5. Előállítás és hitelesség A hitelesítő technológia megbízhatósága Ha ez sérül: a sértetlenség és eredet ellenőrizhetősége is sérül Példák: MD5, SHA1 algoritmusok gyengesége (hash ütközések) A kulcsmenedzsment megbízhatósága Az aláíró kulcsok előállításának szigorú szabályozottsága – a hitelesítő hatóság (CA) megbízhatósága Hitelesítés szolgáltatók szigorú minősítése és NHH általi felügyelete Belső PKI rendszer szabályozottsága és szabályozott üzemeltetése Ha ez sérül: az hitelesség ellenőrizhetősége sérül! Példa: Comodo CA incidens, Stuxnet féreg codesiginingkey incidens A kulcs-hozzáférés biztonság Az aláíró kulcsok használatának kontrolláltsága Ha ez sérül: a letagadhatatlanság ellenőrizhetősége sérül Példa: Kulcstárból a magánkulcs exportálható, nem jelszóvédett Kulcstároló eszköz és PIN megosztásra kerül, vagy a PIN „cache” engedélyezése Gépi aláírásnál cleartext jelszó a config file-ban
6. Elektronikus aláírás – milyen formátum? Melyik a legjobb aláírás formátum? XML alapú elektronikus akta Aláírt PDF dokumentum PDF-be ágyazott dokumentum, a beágyazott dokumentum aláírva Vagy valami egyéb?
7. E-akta, e-dosszié XML alapú elektronikus akta, gépi feldolgozásra alkalmasabb Tetszőleges típusú és számú dokumentum fogható össze és védhető vele elektronikus aláírással Az e-akta lehetővé teszi a számlakép és egyéb csatolt formátum (pl gépi feldolgozásra szolgáló xml formátum) az aláírástól teljesen független formátumban történő előállítását. Egy e-aktát, vagy annak egy dokumentumát egyszerre több személy is aláírja. Ezzel támogatott egy dokumentum adott verziójának párhuzamos aláírása. XADES specifikáció támogatása (rövid, hosszú távú és archív aláírás) Az e-akta nem támogatja egy dokumentum különböző verzióinak egymást követő aláírását. Dokumentum megnyitáshoz és aláírás ellenőrzéshez két külön programszükséges
8. PDF dokumentum PDF dokumentum saját struktúrájában hordozza az aláírást és időbélyeget CMS és PADES aláírás specifikáció támogatása, de nem még nem ISO szabvány szinten. Inkompatibilitási problémák. A PDF dokumentum tartalmazhat csatolmányokat. Tekintettel arra, hogy a PDF aláírás a teljes dokumentumra vonatkozik, ezért az aláírás a csatolmányokkal bővített teljes dokumentumra kiterjed. A PDF aláírás támogatja, hogy a dokumentumot egymást követően többen aláírják, és képes megmutatni az egyes aláírt verziók közötti különbségeket. Dokumentum megnyitáshoz és aláírás ellenőrzéshez elég a PDF olvasó program.
9. Melyik a legjobb formátum? Nincs legjobb formátum Az üzleti igények, a megfelelőségi kötelmek, a technológiai elvárások alapján kell választani E-akta felhasználási példák Elektronikus cégeljárás Bírósági végrehajtók megkeresései pénzintézetek felé Hiteles iktatás, hiteles archiválás PDF felhasználási példák APEH 0-s adóigazolás Elektronikus számla Elektronikus bank számlakivonat
11. Befogadás és hitelesség Melyik a legbiztosabb mód az ellenőrzésre ? Automatikus feldolgozó rendszerrel Egyenként, emberi erőforrással Emberi erőforrással és automatizmussal is
12. 12 Az emberi tényező – avagy az elektronikus aláírásellenőrző sw kezelése némi szakértelmet igényel… „Sikeres aláírás ellenőrzés után a következő ábra jelenik meg:” „Az aláírással kapcsolatos további információkat, az ábrára kattintvaaz Aláírási tulajdonságok laponkaphatunk.” ?
28. Kriptográfiai hitelesség NEM egyenlő az ügyviteli befogadhatósággal!! A dokumentum kriptográfiai szempontból hiteles A nagy kérdés: alakilag, formailag, tartalmilag megfelel- e dokumentum az előírásoknak Megfelelő típusú aláírással látták-e el? Kellő számú aláírással látták-e el? Az írta-e alá, akinek felhatalmazása van rá? Honnan derül ez ki? Képes-e egy munkatárs ezeket minden esetben, hibátlanul és helyesen ellenőrizni? 15
32. Publikálni kell a hiteles dokumentum alaki, tartalmi tulajdonságait17
33. Hitelesség az dokumentum életciklus során Befogadás Befogadás műszaki és szabályozás környezetének megteremtése Lehetőség szerint automatizmusok használata A kibocsátó specifikációja szerinti ügyviteli szabályozás kialakítása Szükség esetén human ellenőrzés – BCP folyamat is egyben! Nem hiteles dokumentum esetén hibakezelési eljárás Lehet vírusos tartalom is! base64 kódolt beágyazott dokumentumok E-akta titkosítható 18
34. Hitelesség az dokumentum életciklus során Feldolgozás A dokumentumot be kell illeszteni az üzleti folyamatba Ennek során ismételten ellenőrizni kell a hitelességet Ezt papír alapú dokumentumnál is mindig megtesszük... Vagy mégsem? Az elektronikus dokumentum „hitelesebb” tud lenni a papír alapú dokumentumnál... 19
35.
36. HP megközelítés: hiteles dokumentum kezelés megvalósítás szempontrendszere Compliant Minden üzleti folyamat egységesen feleljen meg a jogszabályi előírásoknak, szabványoknak. Available Az alkalmazásokat mentesítse az egyedi fejlesztés szükségességétől, szolgáltatásként álljon rendelkezésre, többféle üzleti folyamatban párhuzamosan Adaptive Képes legyen rugalmasan alkalmaszkodni a bővülő üzleti igényekhez, változó intézményi alkalmazás környezethez Garantálja a szabályozási környezet szerinti működéstVédjen meg a véletelen vagy szándéklos emberi hibáktól Secure Értékteremtés A műszaki komplexitást fedje el – az üzlet számára legyen fekete doboz 21