Ügyfélkapu+ és a digitális állampolgárság

Az állampolgárok hivatalos ügyeik intézéséhez igénybe vehetnek az állam által biztosított internetes szolgáltatásokat. Ez egyszerűbbé teszi az életüket, hiszen nem kell a Kormányablakhoz odautazni, kivárni a sort, és elmagyarázni, hogy milyen ügyet szeretnének elintézni. Mintegy hatmillió polgárnak van már elektronikus Ügyfélkapuja, amelynek a működése meg fog változni (2024. november 29.).

Az elektronikus Ügyfélkapu 2005-ben indult. Az elsők között voltam, akik kértek hozzáférést a szolgáltatáshoz. Elsőként használtam a NEAK (akkor még OEP volt a neve) adataimhoz történő hozzáférésre, majd időpont foglalásra, legutóbb pedig jogosítványt igényeltem az Ügyfélkapun keresztül. Használatakor a polgárok, de az állam számára is fontos megbizonyosodni, hogy ki az, aki bejelentkezik. Valójában az elektronikus szolgáltatások (a https://mo.hu oldalról elindulva) sok különböző számítógépen találhatók, amelyeket különböző állami szervek, hatóságok működtetnek. Gondoljuk a NAV-ra, Oktatási Hivatalra, NEAK, OKFŐ, Belügyminisztérium, Államkincstár stb. oldalakra. Az állam megvalósította azt, hogy ezeket az adatállományokat mind azonos módon, egy sikeres bejelentkezés után érjük el. Ehhez egy központi azonosító szolgáltatást készítettek, amelynek a neve Központi Azonosítási Ügynök (KAÜ).

Minden állami szerv az elektronikus belépéshez a KAÜ szolgáltatásait veszi igénybe. Ha az azonosítási szolgáltatás sikeresen végrehajtotta az azonosítást a polgár hozzájuthat a saját adataihoz (meghatalmazással más személy adataihoz is). A bejelentkezés kritikus pont, mert attól kezdve tengernyi személyes adathoz juthatunk hozzá, közöttük szenzitív, különleges adatokhoz is pl. banki, bűnügyi, illetve egészségügyi adatokhoz is. Ezért rendkívül fontos kérdés a biztonság és a pontos személyazonosítás. Jelenleg az Ügyfélkapu egy felhasználói azonosítót és egy jelszót igényel. Ez a technikai védelmi megoldás már nem elégíti ki a modern kor követelményeit. Kockázatot jelent, ha a polgárok egyszerűen kitalálható jelszót használnak, feljegyzik, elmondják valakinek vagy esetleg kicsalják tőlük. A polgárok személyes beazonosítása az Ügyfélkapu hozzáférés igénylésekor egyszer történik meg, utána már nincs újabb ellenőrzés, azonosítás (már majdnem húsz éve).

A kockázatokat felismerte a magyar állam, és be fogja vezetni az ún. kéttényezős (kétfaktoros) azonosítást az elektronikus Ügyfélkapunál 2025. január 16-tól. Ez semmilyen nagyobb változást nem jelent a szolgáltatásokban. Ami változik az az, hogy a belépési azonosítón, a korábbi jelszón kívül még egy hatjegyű számkód is kell majd a belépéshez. Hasonló váltás az elektronikus bankolásnál is történt néhány évvel ezelőtt. A jelenlegi állapot szerint olyan sürgős az áttérés, hogy a belépési azonosító / jelszó — egyszerű bejelentkezési lehetőség 2025. január 16-án megszűnik és már csak két faktorral (értsd jelszóval és a hatjegyű számmal) lesz lehetséges a belépés. Más egyéb nem változik. Mindenhez ugyanúgy férhetünk hozzá, mint eddig. Nem világos, hogy mi lesz azokkal, akik elmulasztják a határidőt. Az állam részéről a szokásos lekezelő fenyegetőzés hallatszik, például, hogy ki fogják zárni őket a szolgáltatásokból stb. A legfrissebb hírek szerint nem fog lejárni a határidő, továbbra is lehet majd regisztrálni az Ügyfélkapu+-ra.

Az áttérést a polgároknak maguknak kell kezdeményezniük, igényelniük kell egy Ügyfélkapu+ hozzáférést, amelyhez szükségük van egy sima Ügyfélkapu hozzáférésre. A sima Ügyfélkapu ügyében a hatályos jogszabályok alapján a polgároknak el kell menniük a Kormányablakba, vagy ha van eSzemélyi igazolványuk, akkor otthonról is regisztrálhatnak. Ezt követően térhetnek át az Ügyfélkapu+ rendszerre. Ezt már otthonról megtehetik. Az elektronikus kormányzás (erről van szó) EU-s jogszabályokkal jól szabályozott. Az uniós jogszabályokban található egy olyan feltétel, hogy az állami elektronikus szolgáltatásokat mindenki önként veheti igénybe. Feltételezem, hogy emiatt van az, hogy az áttérés nem automatikusan történt. Nem akartak még további jogállamisági eljárást maguk ellen, a meglévő folyamatban lévők is éppen elegek.

A folyamat nem annyira bonyolult, de az informatikában kevéssé jártas polgároknak nehézséget okozhat. Az alábbiakban ezt megpróbálom elmagyarázni, bár van több kormányzati tájékoztató, egy másik és videó anyag, meg egy másik.

Mielőtt azonban az Ügyfélkapu+ igénylést elmagyaráznám, essen pár szó a digitális állampolgárságról is. A DÁP egy még bonyolultabb azonosítási mód, itt nincs sem jelszó, sem hatjegyű számkód. Működése az úgynevezett magán- és publikus kulcsokon alapszik. A publikus kulcs az államnál van, a privát kulcs nálam. A két kulcs teljesen egyenrangú, és nem lehet egyik kulcs ismeretében kiszámítani a másikat (esetleg sok-sok millió év alatt). A két kulcs össze is illik, azaz ha egy matematikai titkosítási algoritmusban alkalmazom az egyik kulcsot, akkor a másik kulcs vissza tudja állítani az eredeti tartalmat. A privát kulcsommal titkosítok egy egyszerű szöveget, pl. „Magyarország”, és megmondom, hogy szerintem én ki vagyok. Ha a másik oldalon a publikus kulcsomat előkeresik, alkalmazzák, és ha visszakapják az eredeti szöveget (tartalmat), akkor abból lehet tudni, hogy akinél van a privát kulcs (nálam) az én vagyok, senki más nem lehet. Mivel ezek hosszú számok, mondjuk 256-bitesek (80-90 tízes számrendszerbeli számjegy), ezért megsejteni nem lehet őket, esetleg ellopni. Ha a privát kulcsot biztonságosan őrzik, akkor ez egy igen  biztonságos eljárás.

A DÁP (tehát a privát- és publikus kulcson alapuló) azonosítási eljárás is elérhető már 2024. szeptember 1-től. Az Ügyfélkapu esetében volt egy félelem a kormányban, hogy esetleg visszaélhetnek az alacsony biztonságú bejelentkezéssel. Az Ügyfélkapu+ egy előrelépés, viszont a DÁP egy még további előrelépést jelent. A jövőben dől el, hogy a nagyobb biztonság létrejöttével az állam egyre inkább megbízik a módszerben, elhiszi, hogy megbízhatóan tudja azonosítani a polgárokat. (Csak megjegyzem, hogy a vonatkozó EU-s jogszabály az ún. eIDAS rendelet már 2014-ben hatályba lépett, és kötelező lett volna a betartása Magyarország számára is.) Az ígéretek szerint a DÁP módszerrel azonosított polgárok köthetnek például a közüzemi szolgáltatókkal is szerződést, teljesen elektronikus úton, a privát kulcsukkal digitálisan aláírhatják a szerződést, vehetnek fel hitelt, gépjármű adás-vételi, átíratási eljárást indíthatnak majd teljesen elektronikusan otthonról. Meglátjuk.

Mindkét módszer célja a számítógépes hálózatban jelen lévő fél (személy, robot) hiteles azonosítása. Ez olyan módon történik, hogy nem látjuk, nem halljuk a másik felet, nem érzékeljük a hangulatát, nem látjuk az arckifejezését, nem beszél hozzánk. Teljesen érthető, hogy az állam az azonosítási folyamatot minél biztonságosabb módon szeretné kialakítani. Bármelyik módszert választjuk, az állam tudni fogja, hogy ki jelentkezett be, és a nála lévő személyes adatainkat ehhez a bejelentkezéshez fogja társítani.

Bármelyik módszert is választjuk, az állam a tranzakcióinkat megjegyzi, tudni fog arról, hogy milyen szolgáltatást vettünk igénybe, milyen mellékleteket csatoltunk; ha ügyet indítottunk, akkor milyen adatokat adtunk meg az űrlapokon. Az Ügyfélkapu+ és a DÁP között csak az a különbség, hogy a biztonságosabb azonosítási mód miatt a DÁP alatt később majd több szolgáltatást vehetek igénybe. Ezzel nő az állam által potenciálisan megismerhető adatok mennyisége. A mostani állás szerint a polgárok tranzakcióit az állam 50 évig megőrzi. Ez lehet egy személyes kockázat, de elhanyagolható ahhoz képest, amit az jelent, hogy az államnak a nagy nyilvántartó rendszerekbe ma is szabad bejárása van, és teljesen lerabolhatja például az EESZT tartalmát. Szerintem ez az igazi probléma.

A második jelszót (egy hatjegyű számot) egy programmodul állítja elő. Az ötlet egyszerű, az éppen aktuális rendszeridőt (huszadmásodpercben mérődik 1970. január 1-től kezdődően) veszi alapul, valamint ezt kombinálja még egy 128-bites sóval. A 128 bites sót az Ügyfélkapu+ regisztráció során egy 16 karakter hosszúságú (betű/szám) sorozat formájában kapjuk meg, pl. A456BcZuT6Cb8IUP, ezt az authentikátor (hatjegyű szám generátor programnak) meg kell adni, amely lekérdezi hozzá az éppen aktuális rendszeridőt és megmondja a kódot, pl. 102532. Ezt kell beírni bejelentkezéskor második jelszóként. Az algoritmusról többet is megtudhat itt.

Elsőként le kell töltenünk a böngésző programba a TOTP.APP bővítményt. A menüből a kiegészítők és témák sort kell választanunk. Alább látható, hogy hogyan:


A bal oldalon kattintsunk a Kiegészítők sorra, a keresőablakba pedig írjuk be a TOTP.APP nevet. A TOTP – Time-based One-Time Password-öt jelenti, azaz rendszeridő alapú egyszeri jelszó előállítást. Mivel a rendszeridő folyamatosan változik, ezért a hatjegyű szám is mindig más lesz. A kiszámításához pedig kulcsfontosságú a só, 16-karakteres kódunk. Ezt lehetőleg senkinek se adjuk oda, tartsuk biztonságos helyen. A mobiltelefonra települő Google authentikátor program például az USA-ban egy felhőben tárolja. Ezt nem nevezném jó ötletnek. A TOTP.APP – a helyi számítógépen az adott felhasználó fiókjában tárolja, ezt én biztonságosabbnak tartom.

A keresés után megjelennek a találatok, amelyből a fekete Totp feliratú ikonnal jelöltet kell választani.

A kiválasztott alkalmazásra kattintva megjelenik az program adatlapja. Ezt követően lehet a Hozzáadás a Firefoxhoz (Google Chrome-hoz, …) gombra kattintani. A kattintásra települ a bővítmény a böngészőnkbe.

Rövid idő elteltével az ablak eltűnik, és a Kiegészítőket tartalmazó listában már feltűnik az újonnan telepített TOTP program. A böngészőprogram jobb felső sarkához közel, a menüt jelző három vízszintes vonal előtt meg kell jelenjen a bővítmény ikonja, amelyen a Totp olvasható (bár nagyon apró betűkkel).

Ha rákattintunk a kis ikonra, akkor egy kis ablak jelenik meg, amelynek a segítségével fel tudjuk tölteni a 16-karaktres kódunkat (add key).

Az alábbi weblap jelenik meg, amelyen két szövegablak található. A felsőbe, amely felett a User felirat látható az Ügyfélkapu (Ügyfélkapu+) azonosítónkat írjuk be, a másodikba, amely felett a Shared Key felirat látható pedig a 16-karakteres sót (kék nyíl). A Generate TOTP feliratú gombra (narancsszínű nyíl) kattintva a program generál egy hatjegyű számot az XXXXXX helyére. Mivel még nem regisztráltunk, ezért írjunk be bármit pl. aaaaAAAAbbbbBBBB.

Ezt most még nem kell elmentenünk, egyelőre elég, hogy láttuk, hogy működik.

A Shared Key mellett látható show checkboxra kattintva meg tudjuk jeleníteni a sót, hogy lássuk a helyes érték szerepel-e ott. Amikor a hatjegyű szám megjelenik, akkor a vágólapra feltehetjük a click to copy feliratra kattintva. Ez a CTRL-C (másolás) gomb lenyomásának felel meg.

Ha a fenti előkészületek megtörténtek, akkor nekiláthatunk a regisztrációnak. Mivel még nincs Ügyfélkapu+-unk, ezért a rendes Ügyfélkapu-val jelentkezzünk be az Ügyfélkapu honlapján a https://ugyfelkapu.gov.hu weboldalon. Kattintsunk a Bejelentkezés gombra.

Mivel még nem regisztráltunk az Ügyfélkapu+-ra ezért az alsó gombot (a sima) Ügyfélkapu-t válasszuk ki.

Írjuk be a felhasználó nevünket és a szokásos jelszót, kattintsunk a kék színű Bejelentkezés gombra.

Sikeres bejelentkezés után kezdődhet az Ügyfélkapu+ hozzáférés igénylése. A legfelső kék gombra kell kattintani.

A következő képernyő felhívja a figyelmünket, hogy egy authentikátor programot előbb telepítenünk kell. Vessünk egy pillantást a jobb sarokra és ha ott látjuk a fekete Totp ikont, akkor mehetünk tovább, mert rendelkezünk már a szükséges programmal. Kattintsunk a TOVÁBB AZ ÜGYFÉLKAPU+ IGÉNYLÉSÉHEZ feliratú gombra.

A következő képernyőn egy QR-kód jelenik meg, amely a 16-karakteres sót tartalmazza, azonban ezt nem tudjuk a szemünkkel leolvasni, így alatta található, nem tudom elolvasni a QR kódot feliratra kattintsunk. Erre megjelenik a képernyőn a só betűvel/számmal. Ez onnan le lehet másolni egérrel kijelölöm majd (CTRL-C és CTRL-V).

Kattintsunk a Totp ikonra, aztán az add key feliratra (linkre) és most már másoljuk át az éles 16-karakteres sót a Shared Key szövegdobozba. Próbáljuk ki a Generate TOTP gombbal, majd mentsük el a sót az előzőekben fekete nyíllal jelölt Save the key (with the browser password manager) feliratú gombbal. Ennek van jelentősége, ugyanis ha ismét elindítjuk a böngésző programot, és nincs elmentve a só, akkor ismét be kell írjuk. Végül is feljegyezhetjük valamilyen biztonságos helyen magunknak, de jobb, ha eleve a böngésző program elmenti nekünk. Utóbbi esetben nincs teendőnk, a böngésző program indulásakor a TOTP beolvassa az éles sót.

Mentés után a Totp ikon működése is megváltozik, mert nem fog már megjelenni az add key felirat, hanem egyből megjelenik a beprogramozott sóval generált hatjegyű szám, mellette pedig a copy to clipbard (másolás a vágólapra) felirat, amelyre kattintva a vágólapra másolhatjuk át a hatjegyű számot.

A 16-karakteres sót lemásolása után kapunk egy nyolc számjegyű törlőkódot. A törlőkód megadásával tudjuk az Ügyfélkapu+ regisztrációnkat megszüntetni és visszatérni a rendes Ügyfélkapu-hoz. Ezen módon megismételhetjük a regisztrációnak, ha valami nem sikerült volna.

A nyolc számjegyű törlőkódot egy kis méretű szövegfájlba menti el a program, ha kattintunk a Törlőkód mentése gombra. Ha ez megvolt, akkor pipáljuk be A FENTI TÖRLŐKÓD MENTÉSÉRŐL GONDOSKODTAM checkbox-ot. Majd kattintsunk a Regisztráció befejezése gombra. Ez fontos, mert enélkül a sót nem fogja hozzánk párosítani a KAÜ (Központi Azonosítás Ügynök).

Ezt követően jelentkezzünk ki. Aztán próbáljuk is mindjárt ki, hogy működik-e a rendszer. Lépjünk be pl. az EESZT lakossági portálra. Jelentkezzünk be, most már az Ügyfélkapu+-szal. Először a korábbi azonosítót és jelszót kell beírnunk, majd egy második kódot kér a program. Ide kell a TOTP-vel generált hatjegyű számot beírnunk. Ha a Totp ikonra kattintunk, és megjelenik a hatjegyű szám, kattintsunk a copy to clipboard feliratra. Aztán a második jelszót tartalmazó szövegdobozra, nyomjuk meg a CTRL-V (beillesztés) billentyűkombinációt, ezzel átmásoltuk a hatjegyű számot, majd kattintsunk a Bejelentkezés gombra.

Mivel a TOTP program a rendszeridőt használja, ezért előfordulhat, hogy a számítógépünk órája nem teljesen pontos, és ezért nem sikerül a bejelentkezés (30 másodperces eltérés megengedett, de több nem). Ha ilyet tapasztalunk, akkor kérhetünk egy dátum-idő szinkronizálást a Vezérlőpultban, vagy a képernyő jobb alsó sarkában található dátum-idő gombra jobb egérgombbal kattintva, majd a dátum és idő beállítása menüvel.

Lapzárta utáni hír, hogy tesztelés alatt van egy olyan megoldás, amely emailben küldi el a hatjegyű második jelszót a számunkra. A bevezetés időpontja még nem ismert, ha lesz ilyen, akkor eleve nincs szükség a sóra, a TOTP.APP-ra. Ez jóval egyszerűbb lesz az állampolgárok számára, ezért valószínűleg a többség majd ezt fogja választani.

Dr. Alexin Zoltán

Szeretnék hozzászólni

Vélemény, hozzászólás?