Bejelentkezés

Aktuális híreink:
  • Pause
  • Previous
  • Next
1/9
 

MELASZ - Magyar Elektronikus Aláírás Szövetség

Karinthy és Sony

E-mail Print PDF

A Sony-ra rájár a rúd... Pár évvel ezelőtt a pingvines felhasználók nyertek csatát és ezáltal lehetőséget arra, hogy bármit tudjanak futtatni a Sony PlayStation 3 konzolokon. A 27. Chaos Communication Conference (27C3) rendezvényen (2010. december 29-én) a fail0verflow tagjai által tartott előadás megmutatta, hogy nemcsak jó kriptográfiai algoritmusok kellenek, hanem jól is kell tudni őket alkalmazni (és pl. nem illik a random értéket beégetni az ECDSA aláírások titkos paramétereinél, ahogy azt a Sony fejlesztői tették).

Azóta eltelt négy év és ismét céltáblává vált a vállalat, igaz, ezúttal a filmekért felelős Sony Pictures Entertainment részleg (amely többek közt a Columbia Pictures, TriStar Pictures és a Metro-Goldwyn-Mayer cégeket is magába olvasztotta korábban). Az észak-koreai diktátorról szóló film - The Interview - bemutatása (tervezett dátum: 2014. december 11.) elleni tiltakozásul 2014. november 24-e előtt valamikor, valakik betörtek a rendszerbe, és - mint utólag láttuk - gyakorlatilag minden mozdítható adatot letöltöttek. Ezekről sokfelé sokfélét lehetett már olvasni, a jelen cikk a Kaspersky Lab blogján megjelent érdekességet járja röviden körül.

A Kaspersky Lab egy olyan malware mintát kapott 2014. december 4-én, amely a Sony nevére kiállított, DigiCert CA (pl. a Windows operációs rendszerek által megbízható CA) alá tartozó code signer tanúsítvánnyal került aláírásra. Bár, állítólag a konkrét, elfogott minta csak egy kísérletező mérnök proof-of-concept terméke, a tény attól még tény: legalább egy code signer titkos kulcs kiszivárgott a támadás során, amelyet egészen a 2014. december 7-i visszavonásig mindenféle futtatható állomány, library aláírására akár illetéktelenek is tudtak használni. (Megjegyzés: Bár, a CSOnline cikke 2014. december 7-i dátumot tartalmazó CRL-ről rakott fel egy képet, a mai napon – 2014. december 21. – azt lehet látni, hogy mind a CRL-ben, mind az OCSP válaszban 2014. november 1-jét jelölik meg a visszavonás dátumaként. Mintha utólag bütyköltek volna a CA rendszeróráján...)

A kérdés az, hogy vajon tényleg felhasználták-e ezt a kulcsot a támadók? A Flame kapcsán 2012. június 4-én már láthattuk, hogy mire képes egy megbízható root CA alá tartozó code signer tanúsítvány: a célzott támadás során malware-ek kerültek fel Windows update formájában különböző gépekre, amelyek a kritikus infrastruktúra részét képezték. A Sony esetében nem annyira a Windows lehet érdekes, hanem a hatalmas mennyiségű erőforrással rendelkező konzolgépek: a Sony PlayStation 4. A sok GPU mag csábító lehet, amikor lenyomatok alapján jelszavakat kell törni, de ugyanígy hasznos lehet néhány Bitcoin legyártásánál is. A konzolokról még nem érkezett hír, de a PlayStation Network környékén már jelentkeztek problémák a CNET szerint...

Hogy mire derül még fény a kiszivárgott adatok révén a Sony vagy más magánéletéből, azt nem tudom, de az okot adó film a (kiber)terrorizmus elleni küzdelem és a véleménynyilvánítási szabadság jelképévé válhat. A Sony bástyája megrogyott ugyan, de helyét rengeteg újabb bástya veheti át ebben a küzdelemben, ha a BitTorrent hálózatra felkerül minden. Ezzel adva példát a gondolatnak: „Nem mondhatom el senkinek, Elmondom hát mindenkinek” /Karinthy Frigyes/

A teljes cikk letölthető innenhttp://melasz.hu/lang-hu/remository?func=startdown&id=179

Last Updated ( Tuesday, 23 December 2014 12:22 )
 

Trusted List

E-mail Print PDF
Bizalmi lista - Európában és Magyarországon is

A határon átnyúló elektronikus aláírások elfogadásánál alapvető kérdés, hogy a tanúsítvány kibocsátója valóban jogosult-e a feltüntetett tulajdonságok jelzésére, vagy átverés áldozataivá akarnak éppen tenni benünket. Az utóbbi időben - ahogy az elektronikus tranzakciók értékei emelkedtek - megnövekedtek az elektronikus csalások is, ahogyan például többszázmillió dollárról szól ez a hír is a BitCoin Bank esetében.
A támadók előszerettel alkalmazzák a közbeékelődéses és az eltérítéses támadást is, aminek kockázata a biztonságos weboldalak tulajdonságainak alapos ellenőrzésével jelentősen csökkenthető. De honnan lehet tudni egy tanúsítvány kibocsátójáról - főleg ha nem is hazai kibocsátó - azt, hogy megbízhatunk-e benne?
Erre a problémára jött létre Európában a Bizalmi Lista. Ide csak olyan szolgáltatók kerülhetnek be, akik felügyelet alatt állnak, rendszeresen ellenőrzik a működésük megbízhatóságát és paramétereit. Ha ebben a listában szerepel egy szolgáltató, akkor benne az egész Európai Unió megbízik - mindaddig, amíg teljesíti a vele szemben támasztott szigorú követelményeket.
A bizalmi listáról és tulajdonságairól megjelent egy összefoglaló tanulmány a KGYHSZ honlapján a Polysys Kft. közreműködésével, akik maguk is szívügyüknek tekintik ezt a listát, nemcsak magyar hanem minden európai tagország vonatkozásában. 
A listában szereplő szolgáltatókat itt lehet megtekinteni, míg a tanulmány innen tölthető le.
Last Updated ( Sunday, 23 March 2014 20:33 )
 

Elindult a MELASZ USER Ready (MUR) 1.0 program

E-mail Print PDF

Elindult a MELASZ USER Ready (MUR) 1.0 program

Bevezetés

A Magyar Elektronikus Aláírás Szövetség (MELASZ) alapszabályában foglaltak szerint támogatja az elektronikus aláírás és kapcsolódó technológiák elterjedését és számos lépést tett a múltban is ezért. Ilyenek voltak például a MELASZ Ready programok (MR1.0 és MR2.0), az ECDL modul szakmai támogatása, az elektronikus aláírás iskolai oktatásának anyagi és szakmai támogatása.

2013-ban számos határon átnyúló kezdeményezés és e-számla kibocsátás indokolja, hogy az elektronikus aláírás ismeretét az innovátorok az új technológiákat alkalmazók kinyilvánítsák, ezzel is megkönnyítve partnereik, ügyfeleik és a hatóságok kommunikációját feléjük és tőlük. Ma a szervezeteknek ajánlott egyszerű és látható módon tudatni partnereikkel, ügyfeleikkel, hogy az elektronikus aláírás felhasználásában milyen szinten állnak, hogy az e-dokumentumok fogadása és az e-számlák kezelése automatizmussá válhasson, elsősorban az MR2.0 termékeket használók között, de tágabb értelemben minden elektronikus aláírási termék-felhasználó között is működőképes a modell. Ennek érdekében a MELASZ útjára indítja a MELASZ USER Ready programot (MUR1.0). A program független az MR2.0 programtól.

A MUR-logó az, amit egy honlapon, e-számlán vagy e-levélpapíron látva biztosak lehetünk abban, hogy az ezt használó üzleti partner, hatóság vagy szervezet igazoltan képes elektronikusan aláírt dokumentumok befogadására és kibocsátására a Tanúsítványban rögzített módon.

A MELASZ User Ready Tanúsítvány non-profit szakmai szervezettől, mint független harmadik féltől származó igazolás arra nézve, hogy az igazolás birtokosa rendelkezik az elektronikus aláírási technológiák értő ismeretével és azokat a mindennapokban is használja, megkönnyítve ezzel a saját, a partnerei és az ügyfelei elektronikus kommunikációját.

A program működése

A program működése nagyon egyszerű. A Kérelmező beadja annak hitelesen és korszerűen rögzített evidenciáit, hogy képes az elektronikus aláírási technológiák értő használatára, és megjelöli azokat a helyeket (alkalmazható kategóriák: URL, [e-]levélpapír, [e-]számla, [e-]kiadvány, egyéb), amelyeken használni kívánja a logót. A MELASZ előírja a kérelem formai követelményeként azt, hogy a Kérelmező az állításait független harmadik féltől származó evidenciákkal alátámasztottan adja be.

Az Elnökség által elfogadott evidenciák az alábbiak:

1. ECDL Vizsgabizonyítvány: ECDL Elektronikus Hitelesség, Elektronikus Aláírás modulvizsgával rendelkező magánszemély vizsgabizonyítványa. Azok a magánszemélyek vagy egyéni vállalkozók automatikusan (auditori jelentés nélkül) igényelhetik és megkaphatják a MELASZ User Ready tanúsítványt, akik rendelkeznek ECDL elektronikus aláírás modulvizsgával.

Szervezetek abban az esetben is megkaphatják a MUR-tanúsítványt, ha van ECDL vizsgával rendelkező munkatársuk, aki igazoltan aláírási jogosultsággal vagy ügyfélkapcsolati felhatalmazással is rendelkezik a szervezetben (alkalmazza a tudását a szervezet javára). Az igazolást - a Mellékletben rögzített tartalomjegyzékkel rendelkező - nemzetközileg akkreditált IT auditor által záradékolt audit-jelentésnek kell rögzítenie.

2. Egyszerűsített IT Audit Jelentés: Nemzetközileg akkreditált, professzionális etikai kódexszel rendelkező IT auditor és elektronikus aláírással kapcsolatos szolgáltatási szakértő által készített, megfelelőségi audit-jelentés arról, hogy a kérelmező bizonyíthatóan képes e-aláírásokat fogadni és készíteni.

A MELASZ Elnöksége a beérkezett kérelmeket automatikusan elfogadja, ha a kérelmező csatolja az ECDL vizsgabizonyítványát az elektronikus aláírás modulvizsgáról vagy a „MEGFELELŐ” záradékkal ellátott auditori jelentést. Az Elnökség hiánypótlásra nem szólít fel, a hiányos kérelmeket automatikusan elutasítja.

A kérelem elfogadása esetén a MELASZ Elnöksége digitálisan aláírt és időbélyegzett Tanúsítványt bocsát ki a Kérelmező részére, melyben feljogosítja Kérelmezőt a MELASZ User Ready (MUR) tanúsítás és a MUR-logó használatára a kiállítástól számított 5 (öt) évig.

Felhasználási lehetőségek

Ma már számos helyen lehetséges elektronikusan aláírt dokumentumokkal találkozni, a NAV-kommunikációtól a cégeljáráson keresztül a közüzemi számlákig egyaránt. Ebből adódóan az elektronikus számlázás egy gyorsan fejlődő terület, ahol a MUR-logó használata erőteljesen lehetséges manapság. A jogszabály erre lehetőséget ad, de egy egyszerű előzetes tevékenységet kell hozzá megtenni. A Magyar Elektronikus Aláírás Szövetség Egyesület javasolja az e-számlát befogadni vagy kiállítani szándékozók számára a jogviszonyok létesítésére vonatkozó okirataikban az alábbi szöveg használatát:

'Felek a MELASZ USER READY 1.0 (MUR) Célkitűzések dokumentumban megfogalmazottakkal össszhangban az ÁFA tv. 175.§(3) b) pontjában foglalt beleegyezésnek tekintik a MUR logó elfogadó általi használatát az egymás közötti kommunikációban.'

Emlékeztetőül, az ÁFA törvény Elektronikus számlára vonatkozó szabályai 2013.03.31. hatállyal bezárólag:

„175. § (1)

(2) Az elektronikus számla 168/A. § (1) bekezdésében említett eredetének hitelességére és adattartalmának sértetlenségére vonatkozó követelményeknek történő megfelelése úgy is biztosítható, ha az elektronikus számlát

a) az elektronikus aláírásról szóló törvény rendelkezései szerinti minősített elektronikus aláírással látják el; vagy

b) az elektronikus adatcsererendszerben (a továbbiakban: EDI) elektronikus adatként hozzák létre és továbbítják.

(3) Az elektronikus számla alkalmazásának feltétele

a) a (2) bekezdés b) pontjában említett esetben, hogy a számlakibocsátásra kötelezett és a termék beszerzője, szolgáltatás igénybevevője előzetesen és írásban megállapodjon az EDI alkalmazásáról és használatáról;

b) egyéb esetben a számlabefogadó beleegyezése, kivéve, ha jogszabály ettől eltérően rendelkezik.

(4)

(5) Külön jogszabály a 168/A. § (1) bekezdésében említett követelménynek való megfelelés érdekében az elektronikus számlára egyéb rendelkezéseket is megállapíthat.

(6) Ha ugyanannak a számlabefogadónak több elektronikus számlát tartalmazó számlaköteget küldenek vagy ilyet bocsátanak a rendelkezésére, akkor a különböző számlák azonos adatait elegendő csak egyszer feltüntetni, feltéve, hogy minden számla esetében a teljes információ hozzáférhető.”

Last Updated ( Monday, 25 February 2013 17:00 )
 

Már 8 MELASZ Ready termék a referencia halmazban

E-mail Print PDF
Márciusban lezárult a MELASZ Ready újabb tesztelése 3 módosított, illetve 1 új termékre. A Hunguard Kft által végzett értékelés, valamint az ellenőrző vizsgálatokat végző BME Informatikai Központ vizsgálati eredmények alapján a Magyar Elektronikus Aláírás Szövetség (tanúsító szervezet) a MELASZ formátum 2.0 verziójának való megfelelésről tanúsítványt állított ki tanúsítványt az alábbi termékek számára:
 * Nlcapi3 v3.3.3 (build 2), benne: az nlsxades modul v2.6.9 (build 2), fejlesztő: Netlock Kft.
 * eSign Toolkit v2.2.2 (build 0), fejlesztő: Noreg Kft.
 * XadesMagic v2.0.0 (build 24), fejlesztő: SDA Stúdió Kft.
 * InfoSigno PKI SDK v3.0.1 (build 9), fejlesztő: Argeon Kft.

A jövőbeli vizsgálatok referencia halmaza ezek után az alábbi termékekből áll:
 * InfoSigno PKI SDK v3.0.1 (build 9)
 * DSS.SDS.dll v2.0.0.0
 * SDX (Signed Document eXpert) 2.2.1
 * e-Szignó 3.1
 * Nlcapi3 v3.3.3 (build 2) /benne az NLxades modul (v2.1.0)/
 * eSign Toolkit v2.2.2 (build 0)
 * A2-Polysys CryptoSigno Interop JAVA API minősített elektronikus aláíráshoz v2.2.1 (build 140)
 * XadesMagic v2.0.0 (build 24)
    
 
Page 2 of 2
English (United Kingdom)