Változások a szolgáltatásokhoz használt kriptográfiai algoritmusokban

2018-11-30 16:13

Tájékoztatjuk Önöket, hogy a társaságunk által nyújtott kormányzati hitelesítés szolgáltatások műszaki rendszerében jelentős technológiai változást fogunk végrehajtani a következő két évben, mely hatással van az ügyfeleinkre és a nyújtott szolgáltatásokra is. Ezekről szeretnénk tájékoztatást adni, az alábbiak szerint.

Az e-aláírással kapcsolatos bizalmi szolgáltatások különféle jogszabályokon és nemzetközi szabványokon alapulnak. Ezek egyike az ETSI TS 119 312 V1.2.2 (2018-09): Electronic Signatures and Infrastructures (ESI); Cryptographic Suites (a továbbiakban: "AlgoPaper") nemzetközi ajánlás, mely a biztonságosan használható kriptográfiai algoritmusokról szól. Az "AlgoPaper" szerint 2020. december 31. után  már nem javasolt a bizalmi szolgáltatók által kiadott, RSA algoritmussal képzett kulcsok és tanúsítványok használata, át kell térni a biztonságosabb – ECC (Elliptic Curve Cryptography) algoritmussal képzett - kulcsokra, tanúsítványokra.

A vonatkozó jogszabályok szerint – az elektronikus ügyintézésről és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. tv. (továbbiakban E-ügyintézési tv.) 92. § (1) bekezdésének b) pontja alapján - a felügyelő hatóság (Nemzeti Média- és Hírközlési Hatóság - NMHH) figyelemmel kíséri a kriptográfiai algoritmusok fejlődését és határozatba foglalja a bizalmi szolgáltatók által szolgáltatásaik nyújtása során használható biztonságos kriptográfiai algoritmusokat. Emellett a bizalmi szolgáltatókra vonatkozó részletes követelményekről szóló 24/2016. (VI.30) BM rendelet 38.§ (1) bekezdése szerint a minősített szolgáltató által kibocsátott minősített tanúsítvány érvényességi ideje nem haladhatja meg azt az időt, amely időpontig a felhasznált kriptográfiai algoritmusok a bizalmi felügyelet határozata értelmében biztonságosan felhasználhatók. Az NMHH tájékoztatása alapján az RSA algoritmussal képzett tanúsítványok és kulcsok 2020. december 31-ig használhatók.

Egyéves lejáratú tanúsítványok kiadása 2019-ben, ECC alapú tanúsítványok kiadása 2020-tól

Szolgáltatásaink nyújtásánál szeretnénk elkerülni, hogy 2020 végén legyenek még érvényes RSA alapú tanúsítványok, hiszen azokat vissza kellene vonnunk. Emiatt 2019.01.01 és 2019.12.31 között társaságunk egyéves érvényességű (de még RSA algoritmussal hitelesített) tanúsítványokat fog kibocsátani az eddig megszokott kétéves lejárat helyett, mind a közületi ügyfelek, mind az eSzemélyi okmánytulajdonosok részére.

Ezzel párhuzamosan 2019-ben társaságunk kiépíti az új, ECC alapú tanúsítványkiadó műszaki rendszerét, majd várhatóan 2020. január 1-től ismét kétéves érvényességi idejű, de már ECC algoritmussal képzett kulcsok és tanúsítványok kerülnek kiadásra ügyfeleink részére.

A 2020-tól kiadásra kerülő tanúsítványok hitelesítéséhez társaságunk az sha2-with-ecdsa algoritmuskészletet fogja használni. A tanúsítványokban foglalt EC-DSA kulcsok mérete 256 bit lesz, a kulcsok képzéséhez pedig az „AlgoPaper” 12. táblázata szerinti P-256 (secp256r1)  görbét fogjuk alkalmazni.

A fenti változások terveink szerint minden - társaságunk által kibocsátott - tanúsítványtípusra vonatkoznak. A változások érintik a minősített időbélyegzés szolgáltatásunkat is, melynek keretében várhatóan 2020-tól már ECC alapú minősített időbélyegzőket is kiadunk, de párhuzamosan még egy ideig (legkésőbb 2020 végéig) elérhető lesz a jelenlegi RSA alapú időbélyegzés szolgáltatásunk is.

A változások hatása az ügyfeleink számára

Az előzőekben leírtak alapján a 2019-ben kiadásra kerülő tanúsítványaink egyéves lejáratúak lesznek, beleértve azon tanúsítványokat is, melyekre az igények még 2018 végén érkeztek be társaságunkhoz.   

A 2020. január 1. utáni időszak tekintetében ügyfeleinknek fel kell készülniük a fentiek szerinti ECC tanúsítványok használatára a saját alkalmazásaikban, rendszereikben. Amennyiben ügyfeleink a NISZ által rendelkezésre bocsátott aláíró alkalmazásokat használják (pl. KEAASZ, eKAT), akkor nincs külön teendőjük, ezek támogatják az ECC alapú tanúsítványokat, kulcsokat is.