Kormányablak, Ügyfélkapu, magyarorszag.hu, kormany.hu
KORMÁNYABLAK, ÜGYFÉLKAPU - A ZÁRT AJTÓK MÖGÖTT...
(nem hivatalos e-kormányzati témájú oldal)
  
BEMUTATKOZÁS 
E-KÖZIGAZGATÁS 
IT BIZTONSÁG 
  
































  Mottó:
Ha a szavazástól bármi
megváltozna, betiltanák.
/Donal Scannell/
2012. március 15.  
 Vót má' 
   
A márcziusi ifjak még követelték az "Évenkinti országgyűlést Pesten", ma már azonban, a technológiai akadályok elhárulása révén - az állampolgár és az állam közötti kapcsolat szorosabbá válása miatt - jogos lehet az igény arra, hogy akár naponta is bele lehessen szólni a nemzet egészét érintő döntések meghozatalába. Az e-Vote, mint témakör több országban is aktuális téma, de szorosan összefügg az eID kártyákkal is, hiszen valamilyen módon meg kell oldani, hogy ugyan anonim módon, de akkor is ellenőrizhetően csak egyszer (vagy legalábbis engedélyezett mennyiségben) szavazzanak az állampolgárok. A PKI világában a hasonló problémákat az ú.n. "vak aláírással" szokták megoldani. Ennek során az adatokat (pl. szavazás) először rejtjelezik, majd ezt a rejtjelezett adathalmazt írja alá a felhasználó (pl. szavazó állampolgár az eID chipkártyájával). A szerver oldalon először ellenőrzésre kerül minden digitális aláírás, megvizsgálja a rendszer, hogy nincs-e visszaélés, többszörözés, visszajátszás. A leszűrt adatokról ezután lefejtésre kerülnek a digitális aláírások (anonimmá válnak), majd a rejtjelezett adatok visszafejtése után már lehet is összesíteni az eredményeket. Természetesen a folyamatot zárt rendszerben kell végrehajtani, a feldolgozás során is, illetve később az archiválásnál is gondoskodni kell a megfelelő hozzáférés-védelemről.

Az állampolgárok azonosíthatósága kapcsán már bemutatásra került az észtek megoldása az 1984 című bejegyzésemben, most ehhez kapcsolódóan az alkalmazás biztonságának - azon belül is a bemeneti adatok szűrésének - fontosságát emelném ki néhány képes illusztráción keresztül.

A funkciók ellátásához hozzátartozik az is, hogy hamis adatok ne kerüljenek a rendszerbe, különben megtévesztő végeredményre, következtetésekre lehet jutni. Hiába számol jól egy "happy day scenario"-ban egy pl. könyvelő program, ha egy butaságnak tűnő bemeneti adat alapján is végigvisz egy folyamatot és annak eredményét értékelhető adatként tárja elénk. Az ok a nem megfelelő input-validálásban, a bemeneti adatok szűrésében, a hibák lekezelésének hiányában keresendő.

Nem véletlen, hogy az e-közigazgatási rendszereket általában bevizsgálják, és legalább egy "fekete dobozos" tesztelést hajtanak végre rajtuk, amely során a bemeneti adatok megfelelő szűrését is ellenőrzik. Ennek elmulasztása esetén akár komoly károkat is tudnak okozni a támadók. A "támadók" alatt azonban nem feltétlenül a hálózaton keresztül próbálkozókat kell érteni, hiszen más csatornákat is igénybe lehet venni.

Elegendő lehet egy jó rendszám ahhoz, hogy a háttérben az OCR-ezés után a rendőrségi adatbázist eldobja a rendszer, ha van rá jogosultsága...



Elegendő lehet egy megjegyzés mező is egy e-szavazáson, ahol az adatok feldolgozásánál lehet probléma, ha nincs megfelelő adatszűrés...



Elegendő lehet akár egy rosszul választott név is az iskolai nyilvántartásban... ;-)



Elegendő lehet az is, ha nincsen felkészülve a szerver oldal arra, hogy nem a legördülő menüből választanak értéket...





 vissza 
   
  info@kormanyablak.org
info@ugyfelkapu.info