A DÁP applikációban elérhető eAláírás kapcsán idén év elején már érintettük az elektronikus aláírások ellenőrzésének, validálásának szükségességét és módjait. (Emlékeztetőül itt olvashatjuk el újra.) Mára széles körben ismert, hogy az Adobe Reader számos információt megjelenít a *.pdf dokumentumba ágyazott elektronikus aláírásról, a tanúsítvány részleteiről és – ha van – az időbélyegzésről, azonban az „Aláírva, minden aláírás érvényes” jelzéssel nem elégedhetünk meg.
Ellenőrizhetjük az elektronikus aláírást a (KEAESZ) Kormányzati Elektronikus Aláírás-Ellenőrzés Szolgáltatás webes felületén, vagy a megújult-, kibővült szolgáltatáskészlettel rendelkező (KEAASZ) Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver használatával is. Mindkét szolgáltatás biztosít számunkra rövid áttekintőt, és részletes riportot is.
Amit a KEAASZ szoftverről tudni érdemes
A megújult KEAASZ szoftver használatára, a *.pdf dokumentum és ASIC konténerizált aláírás létrehozására, az eSzemélyi okmány és a tanúsítványok használatára, valamint az aláírás-ellenőrzésre a későbbiekben visszatérek. Addig a szoftver funkcióiról a Felhasználói leírásában olvashatunk részletesen.
Természetesen számos más aláírás-ellenőrző szolgáltatás is elérhető a hazai és nemzetközi piacon, így különösen a bizalmi szolgáltatók által biztosított szolgáltatásoktól az ügyviteli rendszerekbe integrált validátorokig. Érdemes nyitottnak, azonban körültekintőnek lennünk amikor bizalmat szavazunk egy-egy szolgáltatásnak. Választásunk alapuljon a hitelesség, az eIDAS kompatibilitás, valamint a szükséges és elégséges adattartalom kritériumain.
Időnként elégséges egy rövid riport a megfelelésről, néha azonban részletekbe menő vizsgálat szükséges az elektronikus aláírás jellemzőinek és érvényességének vizsgálatához. Részletesség tekintetében messze túlmutat az Európai Unió webes validátora a közismert aláírás-ellenőrző szolgáltatások riportjainak adattartalmán, így érdemes ezt a szolgáltatást is elhelyeznünk eszköztárunkban.
Az Európai Bizottság által biztosított DSS Demonstration WebApp egy olyan aláírás-ellenőrző szolgáltatás, amely az Európai Bizottság infrastruktúrájában végzi el a feltöltött fájlba ágyazott elektronikus aláírások és időbélyegek validálását – akár az eredeti fájlokkal történő összehasonlítással is. A validálás folyamata testreszabható, számos beállítási lehetőség közül választhatunk.
A webalkalmazás a https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation oldalon érhető el – más további szolgáltatások mellett:
A szemléltetés érdekében egy nem minősített elektronikus aláírással rendelkező *.pdf dokumentumot töltöttem fel ellenőrzésre. A validálás eredményeképpen az alábbi rövid riportot kaptam:
Ugyanezen dokumentumról részletes riport is készült, amely pdf-be exportálva 7 oldalnyi információt közöl az aláírás és az időbélyeg jellemzőiről. Webes környezetben a szövegezés egyszerűen lefordítható magyar nyelvre, az adatsor végén lévő flag-re (sárga felkiáltójel, piros x, kék +) rámutatva részleteket is megtudhatunk az adott jellemzőről. Ebből néhány adatsor szemléltetésül:
A fentiekből jól látható, hogy egy elektronikus aláírással, időbélyeggel ellátott dokumentumnak számos kritériumnak kell megfelelnie. Gyakran előfordul, hogy nem elegendő a dokumentum sértetlenségének vizsgálata, hiszen az adott joghatás kiváltásához minősített elektronikus aláírás és időbélyegzés lehet szükséges. Noha a dokumentumba ágyazott tanúsítvány részletei, a rögzített Irányelv OID adatok árulkodóak lehetnek (így pl: „Megjegyzés: Ez egy e-aláírás célú, minősített, szoftveres, kiadmányozói tanúsítvány, mely a NISZ Zrt. szabályzatai (BSZ-MTT, BR-MTT, ÁSZF-GOVCA) szerint értelmezendő.” vagy „Megjegyzés: Nem minősített aláíró tanúsítvány. Az Igénylő (alany) azonosítása személyes megjelenés nélkül történt.”), a teljes bizonyossághoz jól jöhet a megerősítés, a többlet információ.
Mindezek együtt erősítik azt a szemléletet, hogy nem szabad egy aláírás elfogadását sem elhamarkodnunk. Csupán azért, mert látható egy dokumentum képi megjelenésén egy elektronikus aláíráslenyomat, vagy éppen csak azért mert nem látható – hiszen ez nem szükséges feltétel -, még a mögöttes tartalom értelmében lehet érvényes vagy érvénytelen az aláírás, ráadásul nem minden jognyilatkozat esetében elfogadott minden tanúsítványtípus.
Gondoljunk csak bele: egy általunk generált, szabadon meghatározott adattartalommal ellátott önaláírt tanúsítvány is lehet ránézésre megfelelő egy dokumentum lenyomatán még akkor is, ha az nem bizalmi szolgáltatótól származik – egészen addig amíg a mögöttes tanúsítvány-láncolatot, az érvényességet meg nem vizsgáljuk. Már csak ezért sem értelmezhető az elektronikusan hiteles dokumentum nyomtatásának gyakorlata csakúgy, mint a mobilkörnyezetben továbbított dokumentumok elfogadása – kellő körültekintés nélkül.
Mint az informatika területén és a digitális térben általában, az elektronikus aláírások kapcsán is fokozott figyelmet érdemel a gondos, körültekintő ellenőrzés, az elővigyázatosság. A hibás okiratok érvénytelensége jelenthet némi kellemetlenséget, de amíg mások megtévesztése virágzó üzletág az online világban (is), addig a körültekintő gondosság nemigen mellőzhető.