Digitális Aláírás
— 2018.07.23.
Tanúsítvány-lánc, hitelesítés:
A Digitális Aláírás hitelességének ellenőrzése megegyezik a böngészők által használt – így valószínűleg közismertebb – HTTPS protkoll hitelesítési mechanizmusának működésével.
Az aláírás elkészítéséhez is ún. tanúsítványokat használnak, amelyekből lánc épül. A láncok vége a legfőbb kibocsátó gyökér tanúsítványa (“root certificate”).
Minden szervezet, aki tanúsítványok kibocsátásával foglalkozik, rendelkezik legalább egy darab ilyen tanúsítvánnyal, melyet saját maga állít ki önmaga részére, majd ennek segítségével hitelesíti az összes, általa (az ügyfelei részére) kiállított tanúsítványt. Mivel ügyfelei lehetnek viszonteladó, szintén tanúsítványok kiállításával foglalkozó szervezetek is, a lánc folytatódhat – a felettes kibocsátó a viszonteladó részére kiállított tanúsítványt aláírja a saját gyökér tanúsítványát (“root certificate”) használva, aki pedig ezt a köztes tanúsítványt (“intermediate certificate”) használja az általa(, az ő ügyfelei részére) generált tanúsítványok hitelesítéséhez.
Hogy a kliens oldali alkalmazások el tudják dönteni, valóban megbízható szolgáltatáshoz csatlakoznak, a fenti módon kiépülő láncot ellenőrzik végig. Mivel elszigetelten, önmagukban, a lánc integritásán kívül nem tudnak és nem is tudnának vizsgálni, a gyökér tanúsítványokból (“root certificate”) különböző, nemzetközi szervezetek által karbantartott és publikált, ún. megbízhatósági listákat (“trusted lists”) használnak. Miután több ilyen lista is létezik egymás mellett párhuzamosan, és arra nézve, hogy ezek közül melyik használandó, kötelező megkötés nincsen, csak javaslat, így, hogy mennyi és melyik listát tölti be az adott alkalmazás, főként csak a szoftver fejlesztőjétől függ.
Ezek mellett a megbízható kibocsátók köre, vagy azok gyökér tanúsítványa (“root certificate”) időben is változik, ezért a program az általa használt lista, vagy lista/listák éppen elérhető aktuális verziója alapján fogja eldönteni, hogy hitelesnek tekinti-e a tanúsítvánnyal/aláírással ellátott dokumentumot. A fentiekből látszik, hogy könnyedén előfordulhat, hogy ugyanazon a kliens számítógépen két eltérő alkalmazás közül is az egyik hitelesnek fogadja el a forrást, a másik pedig nem.
Ennek több oka is lehet:
* eltérő listát, listákat használnak
* az egyik alkalmazás frissítve volt, a másik nem (akár a fejlesztő, akár a használó által)
* a felhasználó hozzáadott-e olyan beállítást, amely kibővíti, vagy megváltoztatja az alapértelmezett működést
Elektronikus számla
Az általunk kibocsátott Elektronikus számlákat Digitális Aláírással látjuk el a hitelesítéshez – jelenleg a DigiCert (és GeoTrust) kibocsátó által kiállított tanúsítványokat használva.
Adobe Acrobat Reader
Az Adobe Acrobat Reader PDF olvaló program verziójától és a kliens operációs rendszerétől függően több megbízhatósági listát (is) használ:
* AATL (Adobe Acrobat Trust List)
* EUTL (European Union Trust List)
(* Windows Certificate Store)
Az egyes források használata az alkalmazáson belül állítható checkbox bepipálásával.
Sajnos a DigiCert szervezethez tartozó 6db gyökér tanúsítvány (“root certificate”) közül az AATL listán csak 1db szerepel, amely nem egyezik meg az általunk az elektronikus számlák aláírásához használt lánc gyökerét képező gyökér tanúsítvánnyal (“root certificate”).
Emiatt az alapértelmezett beállításként a csak az AATL listát használó Adobe Acrobat Reader kliens programok hibásnak, nem megbízhatónak fogják jelezni a dokumentumot.
A Windows (7,8,10) operációs rendszerek esetén elegendő bekapcsolni a Windows Integrációt; ekkor az operációs rendszerbe épített (“Windows Certificate Store”) listát – amely tartalmazza a tanúsítvány láncunkban szereplő DigiCert “root” tanúsítványt is – is használni fogja az olvasó program, így a végigellenőrzött láncot már megbízhatónak jelöli a továbbiakban.
Másik megoldás, amelyet Windows Store-al nem rendelkező operációs rendszerek esetén lehet alkalmazni, hogy külön felhasználói beállítást eszközölnek – jelen esetben az érintett gyökér tanúsítvány (“root certificate”) importálásával. Ez letölthető a kiállító weboldaláról is: https://dl.cacerts.digicert.com/DigiCertGlobalRootCA.crt
Beállítási segédlet:
Windows kliens – Windows Integrációval
Az Adobe Acrobat Reader klienst elindítva az “Edit” > “Preferences” > “Signatures” > “Verification” és az “Edit” > “Preferences” > “Trust Manager” menüpontok alatt eszközölhető a módosítás.
Az “Edit” > “Preferences” > “Signatures” > “Verification” alatt kapcsolható be a Windows Integráció:
Az “Edit” > “Preferences” > “Trust Manager” alatt pedig az AATL és EUTL listák használata engedélyezhető:
A fenti két módosítás elvégzése után már “zöld utat” kap a lánc:
Windows kliens – Importálással
Az “Edit” > “Preferences” > “Signatures” > “Identities & Trusted Certificates” menüpont alatt lesz lehetőség külső forrásból származó tanúsítványok betöltésére…
…a “Digital IDs” lenyíló menü “Trusted Certificates” eleméhez navigálva az “Import” gomb megnyomásával.
Itt kitallózandó a fenti linkről letöltött DigiCert gyökér tanúsítványt (“DigiCert Global Root CA”):
A program kilistázza a kiválasztott tanúsítvány file-ból kiolvasható információkat, ezeket ellenőrizve jóváhagyható a betöltés az “Import” gomb megnyomásával.
A gomb megnyomása után a szoftver tájékoztat a sikeres hozzáadásról.
Amely ellenőrizhető a listában is.
Ezután az olvasó program hiteles(ített)nek jelzi már ki a dokumentumot.