Ha az ITU-T X.509 ajánlásról beszélünk, az első aspektus, amelyre asszociálhatunk, a nyilvános kulcsok és az alanyok megbízható összerendelése, legyen szó akár aláíró, bélyegző vagy SSL tanúsítványokról. Lényegesen kevesebb szó esik viszont az ajánlásban meghatározott tanúsítványok egy másik csoportjáról, névleg az attribútum tanúsítványokról, amelyek igen ritkán kerülnek alkalmazásra, ám rengeteg potenciális felhasználási lehetőséggel bírnak.
Ha elektronikusan szeretnénk igazolni egy szerepkörünket (pl. cégjegyzésre való jogosultságunkat, munkahelyi pozíciónkat stb.), erre több lehetőségünk is van. Ezek közül talán a legtriviálisabb, ha belefoglaljuk azt pl. aláíró tanúsítványunkba; ám ez nem feltétlenül a legjobb megoldás; egyrészt, ha ezen szerepkör megváltozik, abban az esetben a teljes tanúsítvány visszavonása szükséges, továbbá előfordulhat az is, hogy nem szeretnénk, hogy minden adatunk egyszerre egy helyen legyen annál, aki tanúsítványunkat kezeli. Ezen megoldással szemben olyan lehetőségünk is van, hogy a szerepkörre vonatkozó adataink kezelését nem a hitelesítés-szolgáltatóra bízzuk, hanem arra a félre, aki ezen adatokkal alapvetően is rendelkezik - egy egyszerű példa erre mondjuk egy munkáltatói igazolás kiállítása. Ehhez nyújt segítséget az ún. attribútum tanúsítvány.
Definíció szerint az attribútum tanúsítvány olyan igazolás, amely egy nyilvános kulcsú tanúsítványhoz, vagy a nyilvános kulcsú tanúsítvány alanyához kapcsolódik, és alkalmas a nyilvános kulcsú tanúsítvány alanyához tartozó egy vagy több szerepkör, jogosultság, tulajdonság (azaz, attribútum) igazolására. Mivel az attribútum tanúsítványok nem tartalmaznak kulcsot, így aláíró kártya sem szükséges használatukhoz. Fontos, hogy az attribútum tanúsítvány mindig hivatkozik valamilyen módon a nyilvános kulcsú tanúsítványra, így megállapítható, hogy a kettő összetartozik-e; ez a hivatkozás többféle módon tehető meg; az attribútum tanúsítvány tartalmazhatja az aláíró tanúsítvány kibocsátójának DN-jét vagy sorozatszámát (baseCertificateID), az aláíró tanúsítvány alanyának megnevezését (entityName) vagy az aláíró tanúsítvány kriptográfiai lenyomatát (objectDigestInfo).
Annak ellenére, hogy az attribútum tanúsítványokról viszonylag sok és részletes műszaki szabvány és specifikáció létezik (ezek közül pl. a legnaprakészebb az RFC 5755), konkrét európai, eIDAS szintű joghatás egyelőre nincsen hozzájuk rendelve; habár az eIDAS revíziója során a rendelet szövegébe került az „electronic attestation of attributes”, mint új bizalmi szolgáltatás, ez sajnos nem tanúsítványokról szól, hanem a blokkláncokhoz kötődik. Az attribútum tanúsítványokhoz rendelt joghatás mindenesetre mindenképpen hatalmas lehetőséget jelentene Európa-szerte, hazánkban legalábbis biztosan, így mindenképp reménykedünk benne, hogy egyszer bevezetésre kerül.
© 2024 Microsec zrt. | Cégjegyzékszám: 01-10-047218 | Adószám: 23584497-2-41