中国电子认证服务标准规范方面的研讨.docx
《中国电子认证服务标准规范方面的研讨.docx》由会员分享,可在线阅读,更多相关《中国电子认证服务标准规范方面的研讨.docx(14页珍藏版)》请在冰豆网上搜索。
中国电子认证服务标准规范方面的研讨
中国电子认证服务标准规范方面的研讨
主持人:
会议的主题是“中国电子认证服务标准研讨”。
本次会议的目的是希望利用这个机会,广泛听取专家意见,探讨我国电子认证服务标准的现状、需求和发展方向。
中国电子学会电子签名专家委员会每年会出版《中国电子认证服务业发展研究报告》,今年信息产业部把《中国电子认证服务业发展规划》课题交给中国电子学会来做,我们将从以下几个方面来考虑:
第一个是政策环境方面的问题,第二个是法律法规方面的问题,第三个是标准规范方面的问题,还有技术产品和市场应用方面的问题。
今天主要侧重在标准规范方面的研讨。
在这里需要说明一下,今天并非是对具体标准的研究,也并非对某个条款、词句的研究,而是对宏观的、标准体系方面的研讨。
希望通过研讨,对标准体系的现状、需求、发展方向三个问题给出定性和定量的答案。
执行政府职能,把CA服务业引导好、规范好
专家:
从信息产业部来讲,在电子认证的标准规范方面我们自己心里也没有底。
认证服务到底是什么,资质审批后还做什么,认证服务业是什么,认证涉及的标准都有哪些,都没有很清晰的想法。
前一段在《电子签名法》颁布后,有许多CA够条件了,比较集中一段时间在审批CA,批了12家。
下面的工作重点不是审批CA,而是在于如何执行政府职能,把CA服务业引导好、规范好,有很多工作要做。
我们感觉前段的工作有很多缺陷。
今天全国最顶级的专家在座,希望听听专家的意见。
标准、规范和下一步认证服务业到底应该怎么发展、企业应该做什么、政府应该做哪些工作方面,听听专家意见。
徐博士的报告,觉得很好。
我对标准不是很在行,我认为该报告已经把目前电子认证服务业的标准都讲到了,提了很好的建议。
从政府的角度来说,会积极支持行业协会做好这方面的工作,把专家的智慧和企业的建议集中起来,能够为政府下一步的工作提供建议。
电子学会电子签名专家委员会在标准方面做了大量的工作,在国家密码办技术专家的大力支持下,一定会有很好的成果。
在座的许多专家也担任重要的政府职务。
怎么能把成果反映上去,促进标准的制定,满足行业发展的需求,希望得到各位专家和领导的大力支持。
什么是电子认证服务
专家:
《电子认证服务业管理办法》中谈到,电子认证服务是提供电子签名相关的、真实性、可靠性验证的公众服务,落实到当前的技术环境当中,实际上就是基于PKI技术为电子签名相关各方提供真实性、可靠性验证的公众服务。
专家:
联合国在制订《电子签字示范法》的时候,经历了两个完全不同的阶段。
开始的三稿中间,都有电子签名和可靠电子签名的分别,但在最终稿的时候,完全推翻了这种分别,认为电子签名的可靠性和不可靠性是无法区分的。
我国在起草《电子签名法》的时候,最终还是采用了联合国前期的研究成果。
那么,什么是可靠的电子签名,什么是不可靠的电子签名,对可靠的电子签名中间是不是要分级,在我们的技术标准上怎么对可靠的电子签名进行分级
专家:
可靠的电子签名在欧洲有明确的要求。
我国《电子签名法》中提出可靠的电子签名,并赋予法律效力。
但单纯讲技术,比如说PKI提供的电子签名是可靠的电子签名肯定是不妥的。
所以,在技术方面,我们有从平台到环境基本的要求,此外,在管理方面,要有严格的管理控制。
达到了这样技术和管理的要求,再加上国家认可、再加上签名设备和验证过程,这些综合作用可以达到一定程度的认可,我们才称之为可靠的电子签名。
专家:
从应用角度提个问题。
现在从世界各国情况来看,如果仅作为电子商务交易或电子政务签名认证,电子签名的市场会比较小。
国外的电子认证服务有一个大致的趋势,是转向RFID和EBC认证。
如果这两个方面展开了,市场空间会比单纯的电子签名广阔许多,而且预计明后两年可能会有大的发展。
我们的电子认证服务标准是否会包括这两方面的内容
专家:
我们的法律是鼓励新技术的发展。
像谈到的RFID和EBC,在做特定化时,应该也有这方面技术标准的集合。
我们的标准体系是要促进技术的发展,而不是只限定在PKI方面。
专家:
我来说一说我的看法。
整体报告很全面,问题在于我们颁发的是《电子签名法》,其中第三条谈到“电子认证”。
因为技术中立,才叫做电子签名、电子认证。
电子认证目前主要是用PKI,因为比较成熟。
其他的技术还有待于发展,如生物识别认证中的指纹识别,除了在机场的特殊应用,在商用方面,只有中国建设银行浙江省分行在开工时用于身份识别。
但这仅限于认证,做不到对电子报文的签名,不能把认证和签名的报文紧密结合起来。
所以说,从目前来看,真正的电子签名还是用PKI,所以技术特定化也应该着重于PKI的标准来制定。
另外,WG4工作组等也已经制定了一些标准,报告中没有提及。
可靠电子签名的认定
专家:
我提一个建议:
建议从《电子签名法》找依据方面做更多的工作。
目前来看,《电子签名法》对我们相应的行政管理、技术规范的支持力度很弱。
比如,《电子签名法》中没有谈到“经认证的数字签名就是可靠电子签名”,而且,什么是可靠的电子签名,可以由当事人决定,这就把权利交给用户。
可靠的电子签名还需要四个条件来认定;另外也没有强制要求使用第三方认证,只是说需要的时候去找。
这就让我们在具体执行的时候有很多空白点,到底什么是可靠的电子签名,我个人认为只能由法院来判断。
我建议我们日后的工作与相关的司法解释联系在一起,形成一套体系由法院来判断。
法律是有不严密之处。
从字面上理解,应该是除了满足这四个条件以外的,如果约定其他的,也是可以认可的。
在《电子签名法》正式颁布前的国际交流会上,国外专家问的第一个问题就是:
为什么会有这第一条?
另外,根据目前的《电子签名法》,可靠的电子签名和认证的关系不是很密切。
因为《电子签名法》规定,“电子签名需要第三方认证的,由依法设立的电子认证服务者提供认证服务”。
哪些是需要的,哪些是不需要的,很难说清楚。
我跟广东的专家交流时,广东的专家就问:
为什么《电子签名法》中不能明确规定“经过数字认证的电子签名就是可靠的电子签名,与传统的签名具有相同的法律效力”,如果有这一条,我们就好做多了。
我认为正是出于技术中立原则的考虑,但这给具体执行带来很大的困难,最后还是由法院根据法律的四条来判定。
我认为法律中这方面规定的比较弱。
专家:
就这个问题,我也发表一些个人的意见。
《电子签名法》规定,选择电子认证服务是一种可选性的行为,这就好像公证处,合同签署之后,可以去公证处公证,也可以不去。
我们需要做的工作就是设立一个相当于公证处的认证服务机构,提供可靠的签名机制,用户可以选用,也可以不选用。
这就导致制订认证标准很重要。
可靠条件的电子签名实际上是由合同双方来认定的。
如果合同双方认为是可靠的,即使不通过任何认证,合同也可以是有效的,也可以在法庭上出示作为证据。
有了认证机构,相当于是有了公正的第三方来证明合同是有效的。
我们需要做的是制订一套符合法律规定要求的可靠的标准,为签署合同的双方提供有力的证据保障。
至于四个条件,是客观条件,而不是必需的条件,双方不是必选的。
我们要通过技术标准的设立,使认证机构有一套大家公认的、可行的标准,供从事商务活动的各方去选择。
电子认证标准和规范的定义问题
专家:
作为认证机构,我十分关心认证的标准和规范。
刚才专家谈到的问题,什么是电子认证服务,确实是耐人寻问。
我对《电子签名法》有以下的理解。
第一,从应用和服务的角度看,我认为应该有三个层面的认证:
当事人双方签名认证、基于PKI的第三方认证、司法意义上的认证即司法鉴定。
我们讨论的电子认证规范定义在哪个层面是需要考虑的。
第二,关于可靠电子签名的条件。
我认为区分可靠的电子签名与不可靠的电子签名是必要的。
《电子签名法》中的四个条件,是不确定的,最后一句话最灵活。
但我认为,“满足上面四个条件的电子签名可视为可靠的电子签名”,从逻辑上讲应该是充分条件,而非必要条件。
必要条件是最后的那句话。
从技术上来讲,能充分满足四个条件的,只有PKI。
生物识别认证不能完全满足四个条件,因为指纹特征转为电子数据后,是可以重复传递的。
如果只从第一个层面考虑,指纹是可靠的,但不能满足法律的四个条件。
可以满足四个充分条件的,只有基于PKI的数字签名。
在国外,电子签名和数字签名区分开来的。
电子签名包括使用电子签名器生成的签名,但数字签名是基于PKI。
第三,关于技术中立。
《电子签名法》采取了技术中立原则,但事实上《电子签名法》字里行间渗透着只有PKI作为电子签名条件,不需要法律进行补充。
最后的一条“当事人也可以选择使用符合其约定的可靠条件的电子签名”,这就蕴含着,可以有技术上的认证方法,加上合同法作为补充,来确认电子签名的可靠。
但纯粹的,只能是具备四个条件。
第四,关于第三方服务,“如果需要第三方”,并非意愿上的决定,而是说,从技术上讲如果有第三方认证就可以保证满足上述的四个条件。
这里讲的第三方认证意思就是如果是基于PKI的就需要第三认证。
信息产业部的《电子认证服务管理办法》和国密办的《电子认证服务密码管理办法》,应该都是基于PKI特定化的考虑。
因此,我们的标准规范就是定位问题,到底是定位在特定化技术的标准规范、还是定位在泛指的与电子签名相关的所有技术的标准规范,这是值得考虑的。
我们是不是可以先做一个特定化,做现在比较成熟的、也是市场比较急需的基于PKI的特定化。
如果以后有新的技术可以PKI,完全满足四个条件,再去补充。
另外,标准规范是定位在提高服务质量和互操作性,还是为司法服务,这也是需要考虑的方面。
我认为,学会与管理部门从提高服务质量和互操作性方面考虑标准规范可能会更有意义,也很迫切。
所有CA出于长远发展都会考虑CA系统的互操作性或互替代性。
比如现在使用的加密机厂家一旦不存在了,但加密机真是不能由其他的简单替代,这是急需考虑的。
认证服务和服务提供者
专家:
我有两个问题提一下。
这些问题既在解决过程中,也还有一些路要走。
一个是谈服务的时候,离不开在什么场合下用,用到什么程度。
比如刚才讨论的与法院打交道时用是比较高级的层次,也用在玩游戏时使用的比较低的层次。
使用的需要是多层次的,怎么区分层次今天的讨论沿着PKI展开。
标准应该是可以重复使用的,一次性使用没有意义,所有要建立多层次的服务标准。
电子签名和电子认证发展到今天还是新事物,应用比较广泛,有多层次的需要。
电子签名、可靠的电子签名、还有约定的签名,这些法制上都是接受的,在接受的过程中会有些操作上的问题。
另外一个问题,就是服务的提供者、所有者的关系,有的专家简单地概括为几主几仆问题;还有第几方,讨论标准的时候争议比较多,现在也出现了“第五方”、“第六方”。
电子认证服务提供者本身是一个管理者,其他的管理者又包括国家的管理者、技术的管理者,还有服务提供的管理者。
既然要建设信任体系,信任来源于谁由于不同层次的服务需求,仆和主的关系不容易解决,因此标准的研究也有一些难度。
相关技术标准的制订情况
专家:
全国信息安全标准化委员会于2002年7月26日在北京成立了PKIPMI(WG4)工作组,最初的定位是PKI技术的标准化,3年来完成的标准也大多是围绕PKIPMI的标准。
在实体鉴别技术方面,99年国家已经颁布了该标准,我们的工作是完成了最后一个标准。
在数字签名技术方面,我们做了PPT179022005,基于身份的机制和基于证书的机制,以及带附录的数字签名。
徐博士讲的国内正在做的标准与我们有沟通,有些专家也参与了我们的工作。
但有一些需要更正。
在PKIPMI方面,数字证书格式和时间戳标准已经颁布
另外,有两个标准原来是我们承担的,现在转到WG3组,这涉及到专家谈到的证书载体与验证过程的问题。
一个是证书载体应用接口转到密码组,即将报批。
另一个是CA设备的应用程序接口,就是刚才专家谈到的密码设备过几年换设备怎么办,密码办的密码工作组在制定标准,即将报批。
还有些标准在制定或报批过程中,包括CA认证机构建设运营管理规范、安全平台、新证书、证书策略与安全声明框架等。
今年的重点主要是集中在PKI基于x509的细化和应用上的拓展,已经完成了标准文档编制,即将报批。
另外,针对电子签名卡的应用接口规范,包括509证书应用规范,在线证书的状态协议,也是今年的工作重点。
特别是,简明在线证书状态协议是我国第一个拥有自主产权的独创的标准,也会在海关中已经实际应用,是今年的一个亮点。
此外,在XML规范方面,徐博士的建议很好,不仅做信息交换、而且做存贮。
如果电子签名需要补充协议或规范,我们可以进一步丰富和完善。
总的来说,我们的标准有16个已经报批,8个正在制定过程中。
专家:
《电子签名法》实施最重要意义的是确立了电子签名的法律地位。
传统的方式是手写签名和盖章。
现在解决了电子数据交换的签名的问题,这是最重要的内容。
从目前来讲,比较成熟的、可以应用的、可以实施电子签名的技术,就像专家谈到的,是基于密码技术的PKI方式。
其他的还在研究,有的可以认证,但不能做签名,不能与数据紧密地结合起来,可能会是未来的技术。
目前讨论技术标准,我认为也应该尊重实际情况。
《电子签名法》今年实施,信息产业部出台了管理办法,密码局强制性地要求使用密码,很明显就是把这两件事情结合起来。
也就是,现在的PKI还是要与国家的密码管理政策结合。
我们也出台了管理办法,同时还有一个技术的办法,这也属于依法行政的强制性的审批。
现在讨论技术标准怎么做,确实还要从PKI角度去考虑。
其他的电子签名与认证技术可以做研究探讨。
为了配合《电子签名法》4月1号实施,密码局也出台了《电子认证服务密码使用管理办法》和《证书认证系统密码及其相关安全技术规范》。
目前认证的领域比较宽,想从事电子认证服务的单位比较多。
我们从98年开始跟踪研究这个行业,请了国内的很多专家和企业,共同研究,规范是这么多年积累下来的研究成果,在标准出台前,规范只能是操作的依据。
《电子认证服务密码使用管理办法》出台后,我们还在做很多工作,包括涉及到的密码技术规范和产品、设备的规范,这些都将与密码的管理结合起来。
我们还在做一些工作,比如,数字证书认证系统的测试规范,现在颁发的规范里面没有包括这方面的内容。
另外还有一些协议要做规范。
我们用的概念是规范而不是标准,因为标准是标准部门颁发的,我们的规范没有上升到标准的高度。
具有中国特色的是,凡是密码的管理当中有证书认证系统,基本上是双证书、双中心的机制。
现在都是规范成这种机制,密钥部分的管理独立于认证系统。
《电子签名法》没有限定或规划,到底有多少个CA,哪里可以有,哪里可以没有。
去年我们也在这里开过一个会,介绍了一些学会做的调研工作,谈到全国有100多个CA。
这个局面到现在没有解决,还在扩展。
我们到底需要多少个认证机构这个问题并没有解决。
现在有一个地区出现了几个认证服务机构的问题,比如广东已经有两个,还会有一个地方多个认证中心的现象。
另外,许多地方还在建CA,区域与行业的矛盾仍然没有解决。
行业CA想买把自己搞成独立的,垄断本行业。
到底要设多少个CA,整个行业的整体规划是个值得研究的问题。
关于密钥管理,现在的问题是:
有多个CA,是不是需要有多个密钥管理中心?
我们认为不需要多个,同一区域内的都用一个统一的密钥管理中心,这也需要技术规范。
关于交叉认证。
因为数字证书不是一个行业面向社会服务的,许多行业都在做。
另外一个普遍问题是,有些机构号称第三方认证,也不去找国家审批,自行设立认证机构并使用,也向社会提供服务。
这些机构是否合法?
如果都自己去建,那第三方的谁用但受行业的特权所限制,百姓无法选择。
比如去银行,就得用银行的证书;去交税,就得用税务系统的证书;将来第三方认证机构到底起什么作用
实际上,数字证书是表明自己身份的,是网上身份证。
网上身份证应该具有权威性。
就像我们现在用的身份证是公安部发的,但不是公安部亲自发的,是由其所属地的派出所发的,在全国各地所通用并认可。
数字证书应该是符合《电子签名法》的个人或企业的身份。
围绕贯彻《电子签名法》制订标准
专家:
《电子签名法》坚持了技术中立的原则,但从实际应用来看,电子认证的实质是PKI。
在电子商务、电子政务中用的电子签名都是采用了PKI技术。
我们在制订标准的时候要着眼于实用,紧密结合实际,有可操作性。
所以我主张,电子认证服务标准的制订主要是制订PKI的标准。
我在刘主任的基础上再补充一些。
电子认证首先是一种产品,PKI的核心执行机构是CA。
CA本身不标准就无法向社会提供标准的认证服务,CA本身需要标准。
《电子签名法》及相关法规出台后,应该限制新的CA的设立;但要鼓励多建RA。
RA的标准也应该制订。
相应地,证书发放标准、服务器标准也需要制订。
WG4工作组在这方面已经做了大量的工作。
除了技术标准外,我们还应该围绕电子签名法及其相应的法规制定一些标准,比如,市场准入标准,人员标准、资金标准等。
这方面还有需要完善的地方。
不规范标准,对《电子签名法》及其法规的理解就会有所偏差,市场也会比较混乱。
比如:
当前发放的证书是否都符合法律个人有个人的解释。
再比如“电子签名需要第三方认证的”,什么是第三方,可以理解为电子认证中的第三方,也可以理解为PKI需要第三方认证,也有些人理解为证书主体和依赖方之外的第三方。
众说纷纭。
为了规范电子认证服务市场,需要标准和规范。
我们去台湾考察时发现,银行公会在行业内很有影响力,要求证券、股票网上买卖、网上交易,必需使用数字证书,各金融机构便遵守其规定。
而在大陆没有类似的机构。
即使是最近颁步的《电子支付导引》中也没有直接要求使用证书。
即使没有标准,也应该制订些规范。
希望学术机构呼吁,想办法来引导电子认证行业良性发展。
原来由于各个银行网络没有互联,我们在商场看到多个POS终端刷卡机,不同的银行卡需要不同的刷卡机,现在只需要一个就可以。
从这里,我们可以看到规范行业的力量。
专家:
从要不要制订标准、制订哪些订标准、如何制订标准三个方面出发。
标准的制订是必要的。
至于制订哪些标准,我建议规范、限定范围和目标,以《电子签名法》为依据,以促进《电子签名法》的贯彻执行为目标,从这个出发点考虑涉及哪些标准;而且标准应该分层次,有各级的标准。
这样我们就有了限定和范围,一旦延伸到PKI,再从PKI延伸出去,那就把我们的任务扩大化了。
国家信息安全标准委员会经过了多年的努力才取得了一定的成果,如果学会去做这项工作,不太现实。
我们制订标准是为了实际的应用,文字要严谨,标点符号也不能有差错。
制订标准要为《电子签名法》的顺利实施服务,时间不要拖得太长。
在制订标准的时候,要考虑到已经有国家安全标准委员会,要做好定位,学会在哪个层次上发挥作用,以便调动全国的智慧和力量来制订标准体系。
制订电子认证标准体系是很急迫的工作
专家:
制订电子认证标准体系是一项很急迫的工作,但短时间内不能彻底解决,而且整个行业处在不断变化当中。
我刚从杭州回来,杭州的做法是政府建CA,由企业来推广,企业的推广带有商业性。
这样,推广的效率比较高,在推广过程中也发现原来的问题。
当前的条件远没有成熟,搞完备的标准体系不现实。
我建议先做三件事。
(1)做电子认证标准体系及其架构。
刘主任的报告有很好的基础,要在这个基础上处理好方方面面的关系。
目前来看,整理出总的框架还是有条件的,不能做单独的标准,单独制订一个标准要出问题。
我们要把一些关系理清楚,比如可靠的电子签名与不可靠的电子签名、电子认证与电子签名、电子认证与电子认证服务、电子认证与第三方认证等。
(2)要把直接面向服务的标准规范先出台,这很急迫。
先制订针对提供第三方认证机构的服务、质量、流程、评价的标准。
认证机构做了几年的工作,有一定的基础;制订标准规范也有利于规范CA机构、保证服务质量。
(3)电子认证的核心是电子签名,比较成熟电子签名技术的是基于PKI。
建议制订基于PKI的电子签名的标准,先做电子认证内核相关的技术标准,其他的等条件成熟后再做。
专家:
我也跟一些同志谈到的一样,以为今天的会议主题是研讨认证服务的标准,但今天研讨的内容基本上是PKI的技术标准,没有看到电子认证服务、特别是服务的标准。
关于建立标准体系提了六个方面,要加大公众的认可、促进产业的发展,但没有谈怎么建立服务体系。
我建议标准体系分成两类:
技术类和服务类。
服务类标准应涉及:
好CA的标准、CA对外提供哪些服务、评价服务质量、怎么发证。
WG4组已经做了很多技术方面的标准,学会从头开始做意义不大,可以借鉴WG4组的工作成果;学会要着重做服务标准,从服务水平来考虑,这也是商家、用户真正关心的。
随着电子认证服务市场的发展,行业主管部门、商家和用户都会提出这个问题。
实际上,WG4也做CA管理规范,也是隐含着这个意思,要达到规范要求,提供的服务才会达到一定水平。
具体的考核指标以后也要再考虑。
电子商务和电子政务的认证
专家:
宁家俊教授介绍了亚洲PKI的情况,亚洲PKI的发展情况也是我们应当关注的问题。
《电子签名法》中专门有一条谈到境外签发的电子签名问题,世界范围的电子商务会遇到这个问题。
我们不仅关注亚洲PKI的进展,也要关心全球的进展。
我们讨论这个问题也就说明了各国不能互通的现实。
各国情况不尽相同,这个问题值得研究,应该提上日程。
电子认证的应用很广,大体分为电子政务和电子商务两部分。
电子政务又分为内部办公和对社会公众提供服务两部分。
实际上,现在的CA提供的服务大多是属于政府办公行为,电子商务在中国还没有真正发展起来。
从国际交往来看,主要是电子商务的需求。
我们内部的事情还没有解决好,要把精力放在内部;对于国际上的事务要积极交流和研讨,并制定我国的策略和方案。
目前电子认证证书的发放和认可还存在封闭性,没有达到在全国通用,还仅仅是“地方粮票”。
“电子证书”的理想状态是成为网上身份证,就像公安部颁发的身份证。
身份证只局限于国内使用,出国要有护照,电子认证也一样,在从事国际交往时应该有电子商务的国际交往认证。
专家:
提两个建议。
电子认证服务标准范围很广。
电子商务与电子政务是两个问题,都会用到电子认证。
建议进行定位,到底界定到哪个环节。
中国有具体的国情,中国的法制正在健全,但行政管理有效,同世界上不完全一样,要定位好,否则分歧会很大。
我个人认为电子商务需要可信的第三方;电子政务上不需要。
标准制订时应该增加可操作性。
数字证书的标准体系
专家:
讲三点体会:
(1)标准体系的研究很有必要,但题目比较大,要立足于做一些实实在在的事情。
目前条件比较成熟、基础比较好的是数字证书,也是形势所需要的。
WG4工作组和WG3工作组都在做这方面做了些工作。
但数字证书体系方面,我没有看到完整的、具有可操作性、与当前应用紧密结合的版本。
(2)数字证书标准体系应该主要有两部分:
技术层面和管理层面。
刘主任提供了一种划分方法,我也提一下我的看法。
我认为技术层面应分为两部分:
认证机构内部技术体系(包括CA、RA和密钥管理)和对外服务和应用体系。
管理也是两部分:
认证机构的内部管理(包括如何为可信的第三方、如何管理可信第三方,目前的规范是初步的,各个机构的规范也不同,希望有规范来约束运作和管理)和认证机构对外提供服务的管理标准。
(3)关于互操作问题。
我们应该从两个角度积极跟踪、了解、掌握、参与国际上的工作。
一是了解国际
升级会员 