Bejelentkezés

Aktuális híreink:
  • Pause
  • Previous
  • Next
1/10
 

MELASZ - Magyar Elektronikus Aláírás Szövetség

MELASZ Állásfoglalás Az elektronikus aláírások és bélyegzők tanúsítványaival kapcsolatos teendőkről az EIDAS transzformáció kapcsán

E-mail Nyomtatás PDF

2016. július 1-jétől kell alkalmazni az elektronikus hitelesítésre vonatkozó új Európai Uniós jogszabályt, az eIDAS-t, ami egységes keretet határoz meg az elektronikus hitelesítésre és ügyintézésre az EU területén. Ezzel egy időben lép hatályba az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (Eüt.), valamint a hozzá kapcsolódó BM rendeletek.

Ezen jogszabályi előírásokat értelmezve adja ki a Magyar Elektronikus Aláírás Szövetség állásfoglalását az elektronikus aláírások ellenőrzésére szolgáló, eat. szerint kibocsátott tanúsítványokkal kapcsolatos teendőkről, azzal a céllal, hogy a bizalmi szolgáltatók számára egységes jogszabályi és szabvány értelmezést, s ezek alapján legjobb gyakorlatot javasoljon, és az Ügyfelek tájékozódását segítse.


 

Melasz Ready ajánlás eIDAS kompatibilis tanúsítvány profilokra

E-mail Nyomtatás PDF

Az eIDAS EU rendelet és a kapcsolódó szabványok megjelenése számos ponton átalakítja a bizalmi szolgáltatók tevékenységét, illetve az általuk kiadott tanúsítványokat. Annak érdekében, hogy az előírások értelmezése egységes legyen, s a rengeteg információ közül egy helyen elérhető legyen minden fontos előírás, ami az új eIDAS tanúsítványok tartalmára és annak értelmezésére vonatkozik, a MELASZ eIDAS munkacsoportja közös munkával egy ajánlást hozott létre az eIDAS kompatibilis tanúsítványok profiljára vonatkozóan.

Az ETSI EN 319 411 és ETSI EN 319 412 szabványcsaládok, valamint a CAB Forum vonatkozó dokumentumainak1 előírásait és ajánlásait figyelembe véve a jelen ajánlásba foglalt profilokat javasoljuk az üzleti, a személyes, a szervezeti, valamint a weboldal-hitelesítő tanúsítványok minősített illetve nem minősített szolgáltatások keretében történő előállítására.

Az egységes profilok célja továbbá, hogy az ezek alapján előállított tanúsítványok egységesen alkalmazhatók legyenek minden rendszerben, ami a feldolgozásukat, értelmezésüket végzi. Az ajánlás követése ezért javasolt minden bizalmi szolgáltató és alkalmazásfejlesztő számára.

Módosítás: ( 2016. július 01. péntek, 14:51 )
 

MELASZ Állásfoglalás a biometrikus aláírások alkalmazása tekintetében

E-mail Nyomtatás PDF
MELASZ Állásfoglalás a biometrikus aláírások alkalmazása tekintetében 
A biometrikus aláírás, azon belül az elektronikus kézi aláírás jogszabályi értelemben is elektronikus aláírásnak tekinthető. Nem teljesíti azonban sem a minősített elektronikus aláírásra, sem a fokozott biztonságú elektronikus aláírásra vonatkozó követelményeket. Kiegészítő megoldásokkal fokozható az elektronikus kézi aláírás által nyújtott biztonsági szint, így jelenleg is léteznek olyan megoldások, amik a biometrikus aláírást PKI megoldásokkal ötvözik. 
Egy biometrikus aláíráson alapuló, egyéb módszerekkel megerősített megoldással akkor hozható létre az Állásfoglalásnak megfelelően fokozott biztonságú aláírás, ha az erre vonatkozó követelményeknek való megfelelés bizonyításra kerül. A MELASZ Állásfoglalásnak való megfelelés akkor állapítható meg az elvárt bizonyossággal, ha azt egy akkreditált megfelelőségértékelő szervezet ellenőrizte és tanúsította. Az ilyen megoldások kialakítása és értékelése során különös alapossággal kell eljárni, tekintettel arra, hogy az ilyen jellegű megoldások fokozott biztonságú aláírásként való elfogadottságának nincs nemzetközi szabványkörnyezete, feltételrendszere és gyakorlata. 
A Magyar Elektronikus Aláírás Szövetség ezen nem szabályozott terület tisztázása érdekében adta ki jelen állásfoglalását és annak indoklását. Az indoklásban részletesen elemezzük a biometrikus aláírások bizalmi szintjét, és a lehetőségeket ennek erősítésére, s azt az ebből származó követelményrendszert, ami alapján az ilyen megoldások fokozott biztonságú aláírás létrehozására alkalmasnak tekinthetők. 
Megjegyezzük, hogy jelenleg a PKI az egyetlen olyan, széles körben vizsgált, nemzetközi műszaki standardokkal és megfelelőségértékelési rendszerrel rendelkező technológia, amely a fokozott biztonságú illetve minősített aláírás követelményeit önmagában is kielégíti. Ez alapján, amennyiben fokozott biztonságú elektronikus aláírás készítésére van szükség, feltétlenül ajánlott a PKI alapú megoldások alkalmazása. 

Letöltés és további információ: 
Az állásfoglalás és indoklásának értelmezésével kapcsolatosan, valamint amennyiben a megfelelőségértékelésre vonatkozóan vagy egyéb tekintetben további információkra van szüksége forduljon a MELASZ-hoz, az Ezt a címet a spamrobotok ellen védjük. Engedélyezze a Javascript használatát, hogy megtekinthesse. címen. 
Módosítás: ( 2016. április 09. szombat, 06:07 )
 

SHA-1: ütközőzóna

E-mail Nyomtatás PDF

Bruce Schneier blogjára 2015. október 8-án került fel a Marc Stevens vezette csapat tanulmánya az első teljes (80 körös) SHA-1 ütközésről. Az "első teljes" jelző csak annyiból igaz, hogy korábban a "Malicious SHA-1" csapat tagjai már tudtak módosított konstans értékekkel 80 körös ciklus végére ütközést produkálni, a mostani esetnél a konstansok ugyan már szabványosak, de az IV értékét még módosítani kellett (a szabványos Initialization Vector: H0..H4 az IETF RFC 3174 dokumentumban található). Ettől függetlenül ez nagy eredmény és bár Bruce bácsi azt mondja, hogy "don't panic", emlékszünk rá, hogy az MD5-nél is ugyanígy kezdődött a haláltusa, ezért ő is hozzáteszi, hogy "but prepare for a future panic".

Mennyire volt nehéz ilyen ütközést létrehozni? A kutatók azt állítják, hogy "only 10 days of computation on a 64 GPU cluster were necessary to perform the attack". Ha HW-közelibb eszközöket (FPGA vagy ASIC) használtak volna, akkor lehet, hogy még ennél is hamarabb sikerül nekik... A megadott test vector adatai mindenesetre jók: a két különböző üzenet esetén valóban létrehozható ugyanaz az SHA-1 lenyomat érték (80. kör végén, de módosított IV-vel).

Vajon mennyire fogja ez az eredmény befolyásolni az SHA-1 algoritmuson alapuló kulcsok elfogadását? Bár, a Microsoft is közzétett korábban figyelmeztetést, hogy a hitelesítés-szolgáltatók ne használják már az újonnan kiadott végfelhasználói tanúsítványoknál (code signing és SSL/TLS web server eseteket említ csak) az SHA-1 algoritmust, mert ezeket nem fogja tudni érvényesnek találni 2016. január 1. után, azonban a CA tanúsítványok esetleges visszavonására még nem utal a bejegyzés. Pedig annak idején, amikor a Flame megmutatta, hogy mekkora problémát lehet okozni azzal, hogy MD5 ütközés révén, egy MD5-RSA aláírással ellátott code signing tanúsítványt létrehozva és a "Microsoft Root Authority" (CA) alá betagozódva módosított Microsoft update állományokat írnak alá, akkor a Microsoft azonnali hatállyal kitörölte az összes MD5-alapú CA tanúsítványt az operációs rendszereinek kulcstáraiból. Vajon lesz-e most ilyen akció, látva, hogy inkább pont ennek az ellenkezőjéért (a határidő 2016. december 31-re való kiterjesztéséért) megy a lobby ("The purpose of the ballot is to allow the issuance of SHA-1 certificates through 2016, with maximum Expiry Date of 31 December 2016.")?

Módosítás: ( 2015. október 16. péntek, 07:55 )
 
Oldal 1 / 3
Hungarian (formal)