Hitelesség és hitelesítés

Üzenetek, levelek, osztott dokumentumok és adatbázisok használata esetén fontos, hogy valóban a vélt személy küldte-e az üzenetet, végezte-e a módosítást, valamint illetéktelenek nem 'piszkáltak-e' bele az adatokba. Emellett fontos, hogy az adatok hitelességét ellenőrizni tudjuk, vagy kellő alapunk legyen abban megbízni.

A hitelességet legtöbbször az biztosítja, hogy csak az illetékes személy jogosult az adott művelet végrehajtására, pl. csak neki van hozzá elérési joga. Mindazonáltal a hitelesség nehezen igazolható csak ilyen módon, különösen ha többen is (esetleg illetéktelenül is) rendelkeznek az adott hozzáférési joggal.

Az operációs rendszerek, adatbázis-kezelők, levelező rendszerek jegyezhetik, hogy ki, mit, mikor csinált, de egyrészt ezeket sokszor be lehet csapni, másrészt nem mindig könnyű a visszaellenőrzés.

Ha elektronikus üzenetek hitelessége esetében gyanúnk merül fel, akkor telefonon vagy más módon rákérdezhetünk az üzenet szerzőjére, ellenőrizhetjük, hogy létező accountról érkezett-e az üzenet. A dokumentumok, üzenetek formája is árulkodhat.

A hitelesítésnek más, biztosabb - szinte tökéletes - módjai vannak. A megoldás kriptográfiai módszerek alkalmazása. A titkosított üzenetet megfelelő kódolás esetén csak a kulcs ismerője készíthette, a dokumentumról készült ellenőrző összeget kódolva a visszafejtés (kellő) nagy valószínűséggel csak a kódolt üzenet változatlansága esetén tehető meg. Sőt, elég csak az ellenőrző összeget kódolnunk, ezzel a hitelesítés (mind az aláírás, mind a belepiszkálás elleni védelem) megoldott. A keltezést az ellenőrző összegbe foglalva annak hitelességét is igazolhatjuk.

Az utóbbi időben a World-Wide Web terjedésével előtérbe került az ún. Internet cache-ek alkalmazása, azaz a már egyszer lehívott információk ideiglenes tárolóba történő helyezése, a rákövetkező esetleges lekérések gyorsabb megválaszolása céljából. Ilyen esetekben a dokumentum hitelességégének és aktualitásának kérdése élesen jelentkezik. E kérdéskörre a megoldások még nem teljesek. Tudnunk kell, mikor kell kikerülnünk a cache-eket.

A hitelességnek egy másik értelme is van: az Interneten elérhető dokumentumokat, programokat mikor fogadhatjuk el hitelesnek? valódi és helyes információkat tartalmaznak-e? a programok elvárásaink szerint viselkednek-e? Ez azonban már nemcsak számítógép-biztonsági kérdés.

A számítógépes versus hagyományos aláírás és dokumentum hitelesítés

Megdöbbentő, hogy milyen kétkedéssel fogadják az elektronikus levelek hitelességét, míg pl. fénymásolt (faxolt) aláírásokat azonnal hitelesnek fogadnak el. Emellett számítógépes és/vagy pénzügyi szakemberek azt hiszik, hogy az elektronikus aláírás Magyarországon nem fogadható el jogi korlátozások miatt, de a faxolt aláírást el lehet fogadni. Valóban van számos ésszerűtlen jogi megkötés, de a pénzügyi világban általában nálunk is alkalmazható a digitális aláírás (az más kérdés, hogy partnereink azt sem tudják, hogy eszik ezt vagy isszák). (Lásd alábbi kis írásunkat: "Mi az a digitális aláírás".)

A digitális aláírás gyakorlatilag az egyetlen jól bevált mód, mellyel egy teljes dokumentumról igazolni lehet nem csak annak hiteles aláírását, de a teljes dokumentum változatlanságát, azaz, hogy azt nem módosították az aláírása óta, valóban a keltezés idejében állították ki, stb. (s mellékesen a titkosságot is biztosítottuk).

Kódok, jelszavak, hitelkártya számok átküldésére a megfelelően titkosított, digitális aláírással ellátott üzenetek nyilván alkalmasabbak, mint a telefon, a fax vagy a csigaposta. Sőt, ez utóbbiak titkosítás nélkül nem is tekinthetők alkalmasnak.

Bár üzleti, vállalati rendszerek biztonságával nem kívánunk itt foglalkozni, fontos megjegyeznünk, hogy az - üzleti és hivatalos - elektronikus adatcserére (Electronic Data Interchange - EDI) nemzetközi (ENSZ) és US szabványok széles körben elfogadottak.

Mi az a digitális aláírás?

Rögtön előrebocsátjuk, hogy nem a közönséges aláírásunk digitalizált változata. A digitális aláírás egy olyan titkosított karaktersorozat (vagy más információ), melyet igen nagy valószínűséggel csak a küldő ('aláíró') kódolhatott, s ez magából a kódolásból következik. Keltezést (dátumot, pontos időpontot), sorszámot (a visszajátszás megakadályozására), a küldött üzenetből készült ellenőrző összeget stb. tartalmazhat. A részletek iránt érdeklődőknek A. S. Tannenbaum: Számítógép-hálózatok (605-610. old.) című könyvét ajánljuk (lásd a füzet végi irodalomjegyzéket).

Pretty Good Privacy (PGP) és Privacy-Enchanced Mail (PEM)

A PGP és PEM programok a titkos és hiteles hálózati kommunikációt szolgálják, nyilvános kulcsú kriptográfiára támaszkodva.

A számítógépes üzenetek titkosításának de facto szabványa ma a PGP. Bővebb információt az alábbi URL alatt kaphatunk róla:

http://draco.centerline.com:8080/~fran1/pgp/

Lásd még:

http://www.cs.indiana.edu/ripem/dir.html

http://www.rsa.com

http://www.ifi.uio.no/~staalesc/PGP/home.html

http://www.cisc.ohio-state.edu/txt/faq/usener/pgp-faq.html

gopher://gopher.mek.iif.hu:7070/00/porta/szint/muszaki/szamtech/wan/pgp.hun

Mindenekelőtt az NIIF füzetsorozat I/7. "Kapcsolattartás e-mail útján az Interneten" című füzetét ajánljuk az ide és a következő fejezetre vonatkozó további tanulmányként.