PKI: kullogó közigazgatás

Az utóbbi néhány esztendőben 20-25 százalékkal nőtt évente az informatikai alkalmazások és a tranzakciók biztonságát növelő PKI (nyilvános kulcsú infrastruktúra) rendszert építő vállalkozások száma – számolt be a tapasztalatokról Kőrös Zsolt, a PKI-szolgáltatásokat is kínáló Noreg Kft. ügyvezető igazgatója. A húzóágazat a törvényi szabályozásoknak és előírásoknak való megfelelés követelménye miatt a bank- és a pénzügyi szektor, de egyre nagyobb az igény erre a távközlés területén, illetve a nagyvállalatok körében. A kormányzati szektor egyelőre lemaradásban van, azonban komoly lehetőségeket látnak a Noreg szakemberei ezen a területen. Így például az Ügyfélkapun a jelenleg használt, valódi biztonságot nem jelentő felhasználónévre és jelszóra épülő azonosítás helyett valós megoldás lehetne, és az egyértelmű azonosíthatóság miatt a tényleges ügyintézés is megvalósulhatna. Kezdeményezések már vannak a biztonsági szolgáltatásokat nyújtó PKI infrastruktúra alkalmazására az e-közigazgatásban, az adóbevallás, illetve a cégbírósági adatok beküldése esetében, de széles körű alkalmazásról egyelőre nem lehet beszélni. Több minisztériumnál is felvetődött már, hogy a saját folyamataik titkosítására létre kellene hozni valamilyen megoldást.

A PKI rendszer további terjedésének a kulcsa a szakemberek szerint az egységes szabályozás és formátum, amelyet a Melasz-Ready (a Magyar Elektronikus Aláírás Szövetség által kidolgozott szabvány), a szakma alapvető, elismert igazolása biztosít.

A nyilvános kulcsú infrastruktúra kialakításával és a Smart kártyák használatával az informatikai környezet és az adatátviteli rendszerek (például az internet) úgy tehetők biztonságossá és hitelessé, hogy kezelésük továbbra is egyszerű marad. A PKI rendszer használata a mai biztonságos alkalmazáskezelést egyszerűsítheti, ha több alkalmazás vagy rendszer számos jelszava helyett egyetlen Smart kártyát használunk. Ez nagy költségcsökkenést jelent, ha a párhuzamos biztonsági rendszerek jelszó- vagy kártyaadminisztrációja helyett egy PKI alapú, Smart kártyás adminisztrációt kell csak üzemben tartani.

Mivel a PKI infrastruktúra bevezetése közvetlenül érintheti egy szervezet már meglévő és a jövőben kialakítandó elektronikus alkalmazásait, ezért is kiemelkedően fontos az üzleti igények pontos felmérése a bevezetés első lépéseként. Nemcsak az aktuális üzleti igényeket kell felmérni, hanem az elkövetkező néhány évben várhatókat is, és ennek ismeretében lehet meghatározni a PKI rendszerrel szembeni teljes követelményrendszert. A követelmények pontos meghatározása után lehet az alkalmas technológiát kiválasztani és implementálni. A telepítés során a meglévő és új alkalmazások integrálása, valamint a megfelelő szabályok kidolgozása, bevezetése és betartása elsődleges követelmény.

A PKI-alapú rendszerek funkcionálisan a nyilvános kulcson alapuló titkosítási, azonosítási és/vagy hitelesítési eljárások alkalmazását jelentik a különféle kialakítású adatvédelmi és azonosítási szi-tuációkban, alkalmazásokban. A nyilvános kulcsú eljárások egy meglévő környezetre épülve is használhatók: a továbbiakban egyes kiemelt szintű biztonsági szolgáltatásokhoz a PKI technológia segítségével lehet hozzáférni. A gyakorlatban természetesen ez nem azt jelenti, hogy minden rendszerhez külön-külön tanúsítvány kell. Egy tanúsítvánnyal több rendszerbe (alkalmazásba) is beléphetünk, több alkalmazásban is lehet digitálisan aláírni, illetve adattartalmat titkosítani. Mindemellett egy Smart kártyán vagy USB tokenen egyszerre több kulcsot és hozzá tartozó tanúsítványt is tárolhatunk, ezek akár más-más szolgáltatótól is származhatnak.