Többrészes figyelemfelhívó, leleplező blogbejegyzésem első részeként fogadjátok szeretettel! A második rész számtalan érdekes, izgalmas információt tartogat majd, érdemes követni. 
A digitalizáció terjedésével megnőtt az igény arra, hogy olyan esetekben is lehessen szerződéseket kötni, amikor a szerződő felek előzetesen nem találkoztak fizikailag. Például egy bank tudjon hitelszerződést kötni egy magánszeméllyel akkor is, ha az illető korábban nem volt a bank ügyfele, így a bank nem rendelkezik a személy azonosításához szükséges adatokkal. A koronavírus járvány miatt ez a megoldás még jobban felértékelődött és egyre több cég kínál erre megoldásokat.
Ahhoz, hogy egy cég vagy magánszemély elektronikus aláírást használhasson előzetesen egy azonosítási folyamatot kell lefolytasson, amely során igazolja a személyazonosságát. Ezt egy un. hitelesítés szolgáltatónál tudja megtenni a regisztrációs folyamat alkalmával.
Az 541/2020. (XII. 2.) Korm. rendelet a bizalmi szolgáltatások esetében a személyes jelenléttel egyenértékű biztosítékot nyújtó, nemzeti szinten elismert egyéb azonosítási módszerekről 3. § (1) bekezdése alapján videotechnológiás azonosítás esetén a bizalmi szolgáltató élő telekommunikációs kapcsolat során videófelvétel útján képmást készít az ügyfélről, majd összeveti az ügyfélről készített fényképet és az azonosításhoz felhasznált okmányban szereplő képmást. Az azonosítás akkor megfelelő, ha a bizalmi szolgáltató által egyértelműen megállapítható, hogy az okmányban szereplő személy azonos a videófelvételen szereplő ügyféllel.
A videotechnológiás azonosítást végző bizalmi szolgáltató köteles megbizonyosodni arról, hogy az okmány alkalmas és megfelel videotechnológiás azonosítás elvégzésére, így:
a) az okmány megfelel az okmányt kiállító hatóság előírásainak,
b) az egyes biztonsági elemek - különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek – felismerhetőek és sérülésmentesek, és
c) az okmány azonosítója megegyezik az ügyfél által közölt okmányazonosítóval, felismerhető és sérülésmentes.
Az elektronikus aláírást – amely valójában egy kriptográfiai módszerekkel védett azonosító – a hitelesítés szolgáltató állítja ki az azonosítást követően. Az ügyfél az aláíráshoz ezt az azonosítót használja, oly módon, hogy azt a szolgáltató teszi rá arra a dokumentumra, amelyet alá szeretne írni, így lesz az hiteles. Két aláírás típust különböztetünk meg a fokozott biztonságú aláírást, melynek használatával magánokiratok készíthetők és a minősített aláírást, amely alkalmazásával a kézzel írott aláírással egyenértékű, teljes bizonyító erejű okiratot lehet létrehozni.
Fontos kiemelni, hogy az ilyen módon aláírt dokumentum, szerződés esetében nincs állandó ellenőrzés az aláíró felek személyazonosságát illetően. A folyamat során egyetlen alkalommal, a hitelesítési szolgáltatónál történt sikeres azonosítás alapján a szolgáltató kiad egy igazolást arról, hogy a digitális térben alkalmazott elektronikus aláírás mögött valóban az a személy áll, akinek az ügyfél mondja magát. Az elektronikus aláírás önmagában azonosítja a személyt, úgy tekinthető, mint egy hivatalos okmány, amely a személyazonosságot igazolja.
Figyelemmel arra, hogy az EU tagállamokban kötelezően alkalmazandó eIDAS Rendelet alapján nem lehet megtagadni egy dokumentum elfogadását arra tekintettel, hogy az nem papíralapon, hanem elektronikusan lett aláírva, azokon a területeken, ahol nem kötelező a papíralapú ügyintézés, az elektronikus aláírást el kell fogadni.
A fentieket figyelembe véve jól látható, hogy az elektronikus aláírás előtt, a hitelesítési szolgáltatónál végzett azonosítási folyamat kiemelten kritikus a visszaélések, csalások szempontjából, hiszen az az a folyamat, amely során a megadott adattartalommal kiadott igazolás készül.
Az elektronikus aláírás kibocsájtásának és szerepének megértéséhez a legjobb analógiaként a személyi igazolvány szolgálhat: a kiállított okmány tulajdonosa, saját (közokiratba foglalt) tényei és adatai alapján illetve azok felhasználásával jogosult szerződések és egyéb jogügyletek megkötésére. Amennyiben a feltüntetett adatok hibásak vagy valótlanok, úgy a megkötött jogügyletek vagy érvénytelenné válhatnak vagy nem a jogosult nevében köttettek, így megkárosítva egyik, vagy mindkét felet.
Kiemelten fontos állami feladat tehát, hogy az elektronikus aláírások kapcsán is megteremtődjön az a magas fokú biztonság és bizalom, ami az állami igazolások, dokumentumok kapcsán már régóta fennáll.
A következő részben egy magyar online szerződéskötésre szakosodott vállalkozás (hitelesítés szolgáltató) azonosítási folyamatát fogom tesztelni és megosztani a vele kapcsolatos megállapításaimat. Ennek során leleplezem a céghez kapcsolódó azonosítási eljárás során észlelt visszaélési lehetőségeket, továbbá a cég hátterét vizsgálva más külföldi országok lehetséges titkosszolgálati törekvéseit, személyi összefonódásokat és a Magyar Állam által adott százmilliós befektetés elherdálását. 
Hubert Csaba
kibernyomozó, etikus hacker
