Elektronikus számla: TCP/IP és az EDI

Írta: BME IK ITSec
Forrás: BME IK ITSec
2004-05-29 20:00

Nemrég jelent meg a Pénzügyminisztérium „20/2004. (IV. 21.) PM rendelet az elektronikus számláról” című rendelete, amelyben meghatározzák az áfa-törvényben (1992. évi LXXIV. törvény) leírtaknak is megfelelő elektronikus számlával szemben támasztott követelményeket.

„2. § (1) Elektronikus számla

a) legalább fokozott biztonságú elektronikus aláírással és időbélyegzővel ellátott elektronikus adat formájában, vagy

b) elektronikus adatcsere rendszer alkalmazásával létrehozott elektronikus adat formájában bocsátható ki.”

Az elektronikus aláírás már feltehetően mindenkinek a könyökén jön ki, ettől hangos a világ, azonban szakmai berkeken belül a régi motorosok felkapták a fejüket, amikor az elektronikus adatcsere (EDI) kifejezést meglátták a rendeletben. A régi-új megoldásról a bennfentesek többek között az Informatikai Tárcaközi Bizottság (ITB) 17-es számú ajánlásában olvashattak már bővebben (ez már elég régen megjelent, és jelenleg is érvényben van), egyébként az ott leírtak az Európai Közösségek Bizottsága 1994. október 19-i 94/820/EK direktívájában foglaltakra épül. Tudnunk kell azt is, hogy az EDI rendszerben történő számlázásokról az adóalanyoknak havonta papíralapú kiegészítő összesítő dokumentummal kell rendelkezniük. A kiegészítő összesítő dokumentumra a számviteli törvénynek a számviteli bizonylatra vonatkozó rendelkezéseit kell alkalmazni. Az IHM egy közleményben már közre is adta az elektronikus aláírással ellátott számlák kiállításához és azokra vonatkozó megőrzési kötelezettség teljesítéséhez alkalmazott elektronikus aláírás és időbélyegző biztonságos kriptográfiai algoritmusairól szóló szabályozását.

Elméleti szinten tehát minden a helyén van, törvényi háttér is rendeződni látszik, csak egyes vélemények szerint a technológiai fejlődés alaposan elhúzott már az EDI-vel kapcsolatos ajánlások mellett… Friss felmérések szerint hazánkban 2003-ban a számítógépet használó cégek 2 százaléka használt a beszerzés, és 1 százaléka az értékesítés területén EDI-alkalmazást vagy egyéb, nem internet-alapú elektronikus hálózatot, persze az ilyen technológiát használók gazdasági szerepe ennél azért jóval jelentősebb.

Nézzük azonban a következő – az OSI hétrétegű modelljét idéző – ábrákat:

Forrás: MATÁV - PKI Tudományos napok

MS: Message Store (TCP/IP világában mail-server)
MTA: Message Transfer Agent (TCP/IP világában a router)
EDIUA: EDI User Agent (TCP/IP világában pl. levelezőprogram)

Bizony-bizony, sehol egy IP... helyette az X.25 mágikus szócska bukkan fel a hálózati rétegben (az adatkapcsolati és fizikai réteg nem szerepel külön az ábrákon, mert ezek a rétegek is az X.25 ajánlás részei). A kritikusok persze azonnal mondhatnák, hogy a BME IK ITSec csoport miért hálózati protokollokkal foglalkozik a biztonsági szempontok helyett, de meg kell jegyezni rögtön, hogy a biztonsághoz a rendelkezésre állás is alapvetően hozzátartozik - amit részben a QoS (Quality of Service) meghatározása révén próbálnak mérni és megkövetelni -, már pedig ezt már a hálózati szinten is vizsgálni kell. A számításba ott csúszik hiba, hogy míg egy IP hálózat esetében - az alapvetően más ideológia miatt (gondoljunk arra, hogy a DoD, a Department of Defense miért is akarta annyira ezt a hálózatot!) - nem lehet igazából ilyen QoS jellemzőket meghatározni (bár próbálkoznak vele), addig az ITU ajánlásai közt szereplő X.25 hálózati protokollnál alapvetően a megbízható és elvárt biztonságú adatátvitel áll a középpontban, amit jól mutat az is, hogy az egész hálózat állapotáról kap információkat a felügyelet.

Mielőtt elvesznénk itt a részletekben, inkább lépjünk tovább!

Maga az elektronikus adatcsere (EDI) tehát megfelelő, szabványos formátumú üzenetek biztonságos továbbítására képes rendszer, mely modell alsóbb rétegeiben is e céllal összhangban álló protokollok állnak. Egy egyszerű EDI üzenet felépítése látható a következő ábrán is. Aki már nézegetett HTML nyelven megírt űrlap-forráskódokat, annak érthető lehet az alábbi forráskód is:

Forrás: www.itb.hu

Amikor azt állítottuk elsőre, hogy elavultnak tűnhetnek ezek a dolgok a TCP/IP elterjedtségének idején, most azt is mondjuk, hogy az informatikai biztonság területén használt megoldások közül igen sok származik a távközlési világból, tehát ne lepődjünk meg akkor, ha az EDI rendszereknél is találkozunk az informatikai biztonság területével kapcsolatos ITU ajánlásokkal! A távközlő hálózatokon zajló biztonságos üzenettovábbításnál az X.400-as ajánlás-sorozatnak megfelelő üzenetkezelő rendszerekkel (MHS, Message Handling System), a Névtárakkal, nevek, tanúsítványok (az X.509-es ajánlás), Tanúsítvány Visszavonási Listák (CRL) tárolóival, az egyedi, megkülönböztető nevek adásával (az X.500-as ajánlássorozatban), a hitelességet megteremtő bejegyzési eljárásokkal (az X.650 és X.660-as ajánlássorozatban), az üzenetek tartalmi szabályozásával (EDIFACT, X.12 szabványokban), az elektronikus adatcserével (EDI – Electronic Data Interchange) kapcsolatban mindegyikre megvannak az előírások.

Az ITB 17 ajánlás a következőket írja a kormányzati szférára vonatkozóan:

„A magyar kormányzat az EU és az UN szabványosítási törekvéseivel összhangban az EDIFACT-ot választotta kizárólagos szabványnak, a kormányzati rendszerek tekintetében. [...] A kormányzati EDI projektek során az EDIFACT szabványrendszer követése kötelező jelleggel elvárt. [...] A kormányzati EDI üzenettovábbításban ezért az X.400 szabvány a központilag elvárt üzenettovábbítási szabvány. [...] A kormányzati EDI projektekben, ilyenkor az X.500 alkalmazása az elvárt szabvány.”

Az X.400-as ajánlássorozatnak megfelelő üzenetkezelésen alapuló EDI rendszerek önmagukban (kiegészítés nélkül) is megfelelnek az elvárásoknak, de különleges igények kiszolgálásához képesek nyilvános kulcsú kriptográfiát is használni, digitális aláírással tudják ellátni az üzeneteket, illetve tudják azt borítékolni, rejtjelezni.

A kriptográfia nélkül is megfelelő biztonságot nyújtó EDI rendszer titka a használt protokollok jellegében van. Említésre került már, hogy a hálózati rétegben is alapvető különbségek vannak, de érdemes tudni, hogy EDI rendszereknél a kommunikáció során utazó üzenetek címeit (feladó, címzett, egyéb adatok) nem lehet megváltoztatni, azaz a TCP/IP világában ismert spoofing jelenség itt nem fordulhat elő. Ebből aztán sokminden más is következik: többek között maguk az üzenettovábbítók (MTA – Message Transfer Agent) – amiket a TCP/IP esetében talán a router elemekkel lehet azonosítani – tudják magukat egymás felé hitelesíteni címeik (X.121 ajánlásnak megfelelő), neveik és jelszavaik alapján (különböző rétegekben, többszörös védelmet megvalósítva). Azt is hozzá kell tenni, hogy míg TCP/IP esetén egy router-elemet bárki telepíthet a hálózatba, addig az MTA elemek a – hírközlési törvényben leírt szigorú feltételeknek megfelelően – távközlési szolgáltatók tulajdonában állnak, őket pedig kemény felelősségvállalási, szerződési korlátok közé szorítják, ráadásul nekik így a hálózat egészére is rálátásuk van.

Az X.400-as üzenetkezelő rendszer felépítése látható a következő ábrán:

Forrás: www.itb.hu

Erre a környezetre az EDI úgy épülhet rá legegyszerűbben, hogy az EDI alkalmazások X.435 ügyfélprogramok révén társalognak egymással.

Az EDI támogatásáról – az Európai Unióban született megállapodásokról – az ITB 17 ajánlásban a következők olvashatók:

„A Maastrichti Szerződés XII. fejezete rendelkezik a távközlési szektoron belül a transz-európai telekommunikációs hálózatok létrehozatalához és bővítéséhez szükséges keretekről. Ez az irányzat került megerősítésre az 1993. évi Koppenhágai csúcstalálkozót követően, amikor nyilatkozat született arról, hogy a Bizottság 30 milliárd ECU összeget szán a következő tíz év során a hálózati struktúra fejlesztésére, 0.5 milliárdot az informatikai infrastruktúrára és 5-8 milliárdot a megfelelő programokra.”

Azt nem tudni pontosan, hogy ebből a pénzből vagy más forrásból épült-e ki, de az EDI illetve az EDIFACT ma is jelen van a TCP/IP világban. A webes technológiáknál terjed az XML nyelv, az XML üzenetek, elérési protokollok használata. Napjaink kihívásánál, a biztonságos elektronikus kereskedelemhez és kormányzathoz kapcsolódó termékeknél az üzenetek tartalmával kapcsolatban is megjelenik az XML, ahol az üzenetek tartalmát, felépítését meghatározó EDIFACT szabványt is meg lehet valósítani ennek segítségével, az ISO TS 20625 (Electronic data interchange for administration, commerce and transport (EDIFACT) – Rules for generation of XML scheme files (XSD) on the basis of EDI(FACT) implementation guidelines) szabványban leírtaknak megfelelően.

Az EDI (EDIFACT) üzenetek a mögöttes – alsóbb szinteken levő – technológiáktól függetlenül tehát jelen vannak napjaink biztonságos kommunikációjában. Megtalálhatók a távközlési hálózatokon, az X.400-as üzenetkezelő rendszereknél, no meg beépültek a TCP/IP világába is, bár ez utóbbi esetben mindenképpen kriptográfiai védelemmel kiegészítve. Létezését nem figyelembe venni, netán kirekeszteni az elektronikus számlázások területéről valószínűleg hibás döntés lett volna, a megjelent jogi szabályozás azonban "fájdalommentesen" és megnyugtatóan rendezte ezt a nyitott kérdést.

Szabó Áron (BME IK ITSec Csoport – IHM-együttműködés)

Hozzászólások (20)

Azóta történt

E-számlák: jogszabályra vár az archiválás

Az e-számlák archiválhatók, de a jogi feltételek még tisztázatlanok.

Biztonság 2004-06-22 0
Megalakult a Magyar Elektronikus Aláírás Szövetség

A MELASZ szakmai műhelyként kíván közreműködni az elektronikus aláírás elterjedésében.

Mérleg 2004-06-25 0
Alakul az EU-ajánlás az elektronikus számlázáshoz

Az elektronikus számlák formátumának egységesítése a közeli jövőben várható.

Biztonság 2004-07-06 0
Elektronikus számlaarchiválás adóellenőrzéshez

Az elektronikus aláírási törvény módosításítása után az APEH következik.

Biztonság 2004-08-16 1

Előzmények

Nyolc kérdés a kormányzati informatikáról

Nemzetközi körkép a Financial Times-tól.

Társadalom 2004-05-01 0
Chipkártya az Állami Nyomdától

A StarCert a legmagasabb biztonsági követelményeknek is megfelel.

Biztonság 2004-04-29 0
A spam ellen új technológiákkal

Új módszerek a kéretlen emailek elleni küzdelemben.

Biztonság 2004-04-27 8
Törvényesített e-ügyintézés 2005-től

Heteken belül a kormány elé kerül a közigazgatási eljárásról szóló törvény tervezete.

Társadalom 2004-04-19 0

Percről percre

Fekete misztikum: DeepCool Mystique 360 vízhűtés

ph Fekete ventilátorokkal, visszafogott világítással, de LCD kijelzővel érkezik a gyártó új topmodellje.

Mullet MadJack teszt

gp A Hammer95 első játékában a mesterséges intelligencia találkozik a szintipoppal, a 80-as évek hajviseletével, és rengeteg vérontással.

Nubia Neo 5G - olcsó játék

ma Van-e esélye a legolcsóbb gaming telefonnak a piacon közel egy év késéssel?

SaGa: Emerald Beyond teszt

gp A Square Enix üzleti modellt vált: ezentúl csak a hatalmas költségvetésű megajátékokkal foglalkoznak. Talán az utolsó kivételt az Emerald Beyond jelenti, ez a kiismerhetetlenségétől nagyszerű RPG.

Oukitel WP35 - az 5G-s faék

ma Kedvező árú, 5G strapamobil bukkant fel szerkesztőségünkben.

Állásajánlatok

Full stack Laravel fejlesztő

Cég: Promenade Publishing House Kft.

Város: Budapest

Részletek

Eladó - Szerviztechnikus

Cég: Alpha Laptopszerviz Kft.

Város: Pécs

Részletek

Aktív témák