HomeA MELASZ hírei

Biztonságos lehet-e a net elektronikus aláírás nélkül?

Bevallom, csőlátásban szenvedek, minden elektronikus folyamatba bele akarom képzelni az elektronikus aláírás

Bevallom, csőlátásban szenvedek, minden elektronikus folyamatba bele akarom képzelni az elektronikus aláírás megvalósítását. Így voltam akkor is, amikor egy többmilliós felhasználói táborral rendelkező e-pénzt utaló oldalra bejelentkeztem és csináltam egy számlát. A regisztráció biztonsága rendben is volt, de a használattal akadtak problémáim. Főleg most, hogy attól hangos minden biztonsági portál, hogy on-line játékprogram-jelszó lopó kártevők terjednek. Rögtön feltettem a kérdést, hogy van-e hasonlóság a játékprogramba, és az e-bankba (vagy más, jelszóval) való bejelentkezés között? Annyit találtam, hogy (ID-vel rendelkező) ablak jön fel mindkét esetben és jelszót gépelünk be – alapesetben. Fantáziám meglódult, és elképzeltem, hogy a játékprogramra specializálódott jelszó-lopó elcsodálkozik és megáll, amikor e-banki jelszót talál meg véletlenül, a program "#Attention! Illegality error" ágra fut és eliszkol onnan, sürgősen, nyomában a bűnüldöző szervek bilincset lobogtató bitjeivel.

Jó, jó, mondják erre, de megkérdezhetik a születési dátumomat, vagy a lakhelyem irányítószámát is! Kedves Olvasó! Ha két percen belül nem szerzed meg rólam ezt a két adatot, tiéd a számláimon lévő összes pénz :-). Na de másról biztosan nehezebb, mint rólam, eléggé nyílt életet élek az utóbbi időszakban. Persze, hiszen ezek az adatok nem szerepelnek egyetlen hivatalos iraton, meghatalmazáson vagy netán közösségi portálon sem, ugye. És nem is lehet hozzájuk férni jogosulatlanul, természetesen, mert ezt leírták az általános szerződési feltételekben, és ennek lehetetlenségéről szól a Kevin Mitnick könyve is, vagy mégse?

Akkor hát mit ér ennek a biztonsága így? Annyit, amennyit a bűnöző gondol róla. Ezek szerint világunkat a bűnözők kénye-kedve irányítja? A jelenlegi válasz, úgy tűnik, igen. IGEN? NEM! Dehát napról-napra derülnek ki milliárdos céges csalások, felelős, letagadhatatlanság nincs – Magyarországon se lesz, úgy döntött a parlamentünk a könyvvizsgálói jelentések beadásának elektronikus aláírása leszavazásával. Emiatt lehet, hogy a fájdalomcsillapító gyógyszer felírását a páciensnek alá kell majd írnia. Jó lesz, nem? Legalább nem fáj – annyira az a pár miliárd, amit ezért ki kell adni. Nem lehetne a kettőt összekapcsolni? Valahogy! Bízunk benne…

Mi van tehát akkor ma? Jönnek az on-line kártevők a jelszavainkért, és az összegyűjtött, elektronikusan hozzáférhető javainkért. Tartsuk a pénzünket aranyban az e-számla helyett? De hát az aranystandardot feladták már régen, azaz sokkal több számlapénz van forgalomban, mint amennyi arany létezik a világon, tehát ez lehetetlen. Virtualizáció? Hát ha ez nem az, akkor semmi.

Akkor elérkeztünk a legfontosabb kérdéshez. Mitől lesz biztonságosabb az e-világ? Lehet az elektronikus aláírástól? Nem, az csak egy eszköz a kötelezettség-vállalások elektronikus igazolhatóságára, a letagadhatatlanság bizonyíthatóságára, az elektronikus írásbeliség és az elektronikus kézírás megvalósítására. Lehet enélkül biztonságos e-világ? Ha arra törekedne mindenki. hogy a másikat gyarapítsa – elvétel nélkül – akkor talán igen, de ezt párezer éve nem sikerült megvalósítani, így hát jogos a szkepticizmus. Másik módszer, hogy mindenkit meg kell figyelni a nap 24 órájában, és rögzíteni kell mindent amit csak csinál – magával vagy másokkal egyaránt… Hűű, hát ez nagyon perverz.

De a mai trendi nem ez. Vannak sokan, akik sokakat becsapnak, megtévesztenek. Hogyan győződjünk meg a hitelességről tehát? "Mit tudsz" alapon (jelszó) nem, azt simán ellophatják – ismert ugye, hogy az otthoni wireless eszközök védelme nem kielégítő és naplózási funkciói is korlátozottak, tehát nem az SSL kapcsolat során fogják megszerezni a jelszavakat – és így hiába naplózza a (külső) IP-címet az e-bank. És így az önbetörés ellen se tudok egyszerű bizonyítékot adni, ha netán ez az ötlet felmerülne kedves bankunkban.

"Mi van a birtokodban" alapon (token, kártya, mobiltelefon) kielégítő lehet a biztonság, mind a bejelentkezés, mind a tranzakció engedélyezés területén, mert az eszközt is el kell lopni vagy hamisítani ahhoz, hogy tranzakciót lehessen generálni a nevünkben – de ez a szint már megegyezik a bankkártya biztonságával. (Közismert, hogy az évi 5 milliárd dollár értékű csalás világméretekben már tolerálható szinten van. Magyarországon az 50-100 millió Ft közötti csalás van tolerálható szinten,és ezt nagyon csökkenteni eddig nem akarták. Ismert gondolom, hogy a csipkártyás tranzakcióknál a csalás összege ‘NULLA’ Ft…)

"Ki vagy" vagyis biometrikus alapokon megnövekszik minden bizonnyal a zsarolás, erőszakkal kényszerítés kockázata, és ugye ezt a kockázatot a biometria alkalmazásával nem biztos, hogy az alkalmazóra kellene terhelni. Ha már el akarják lopni a vagyonomat, akkor lopják el tőlem a hardveremet – lehetőleg baseball-ütő nélkül, és nyúlják le logikailag a jelszavamat jelszó-lopóval, de engem, mint embert, fizikailag hagyjanak békén az erőszakkal.

A címben szereplő kérdésre a válasz már ma is adott – NEM biztonságos az internet elektronikus aláírás, helyesebben elektronikus hitelesség nélkül. Az elektronikus aláírás újabb alkalmazásai fogják esetleg növelni a hitelességet – hiszen ha valamit nem lopnak el, az az év végén nyereségként jelentkezik, nem?

És arra a kérdésre, hogy "Meg lehet-e ezt tanulni egyáltalán, nem túl bonyolult?" az a válaszom, hogy körülbelül annyi a különbség a bankkártya és az aláírás-létrehozó adatot tartalmazó eszköz (csipkártya) használata között, mint a hatökrös szekér vezetése és a személyautó vezetése között – az utóbbira is létrejöttek az iskolák, és sokan meg is tanulták – ha nem is mindenkinek kötelezően, anélkül, hogy az autó belső működését tökéletesen ismerni kellene hozzá – a szervizen kívül.