今年4月1日,《电子签名法》正式实施,从此,可靠的电子签名将和传统的手写签名、盖章具有同样的法律效力。与此同时,第三方认证机构(CA:Certificate Authority)作为获得可靠电子签名的执行机构和安全保障机构也被推到前台,成为大众瞩目的焦点。在实际应用中,第三方认证机构签发的数字证书是怎么回事?第三方
开立数字证书实现网上交易
记者赶到中国金融认证中心(CFCA)参与该中心发起的“电子签名”体验。记者进入演示会场时,深圳发展银行的两位技术人员正在以该行的网上支付业务为例,来说明如何使用网上银行和电子签名:
B-C(企业对消费者)网上支付的,客户首先通过网上或银行柜台注册成为银行网站个人用户,再到银行柜台开立数字证书,即中国金融认证中心的数字证书,然后便可实现网上购物实时支付结算;B-B(企业对企业)网上支付的,企业须注册成为银行网站企业用户,并开立中国金融认证中心的数字证书,然后由企业网银管理员将结算账户的使用权分配给相应的操作员,该操作员便可使用分配的企业结算账户,实现网上购物实时支付结算。
技术人员告诉记者,《电子签名法》中提到的签名,一般指的就是“数字签名”,就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章。对于这种电子式的签名可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。目前,在我国普遍使用的电子签名技术还是基于PKI(Public Key Infrastruction)的数字签名技术。PKI的核心执行机构是电子认证服务提供者,即通称为认证机构CA(Certificate Authority),PKI签名的核心元素就是由CA签发的数字证书。数字证书就是网上交易双方的电子身份证,经过数字签名的交易具有不可篡改和不可否认性。
CA中心:这个“第三方”很重要
国家信息产业部信息化推进司信息化基础处处长洪京一向记者介绍,信息产业部发布的《电子认证服务管理办法》是《电子签名法》重要的配套规章之一,它规定电子签名应由第三方认证机构对签名人的身份进行确认,并为其签发数字证书,提供交易双方的信誉保证。由于种种原因,目前国内一些银行没有使用第三方CA,这意味着银行既当裁判员又当运动员,因此在纠纷发生时,银行很难回避用户对提供的证明资料公正性的质疑。
第三方认证机构在电子签名中的重要作用到底体现在哪里呢 中国金融认证中心负责人李晓峰向记者介绍,目前国内电子签名主要运用的PKI构架中,认证(CA)中心是处于核心位置的。CA中心通常是一个权威可信的中间人,其职责是在下发数字证书之前查实其使用者的身份。此外,发证机构还要及时公布已经无效的证书,并且负责对发放的证书进行管理。CA中心也是整个PKI体系信任链扩展的基础,信息传输的双方就是因为信任一个权威的CA中心,从而相信持有CA中心签发证书的人的身份,即实现了信任域的扩展。
CA机构需要规范管理
采访中众多业内人士表示,CA作为电子签名的认证机构和安全保障机构,将成为电子签名法实施的关键。所以,认证机构本身的可靠性与否,对保证电子签名真实性和电子交易安全性起着至关重要的作用。但记者了解到,尽管《电子签名法》和《电子认证服务管理办法》对认证机构的准入条件作了相应规定,但一直以来,由于国内认证机构建设处于无序状态,现有行业CA、地方CA和商业CA多达上百个,规模不一,良莠不齐。洪京一处长表示,目前国家有关部门对这一状况正在着手规范整顿,用户在选择认证机构时,要考虑其权威性、可信赖性及公正性,尽量选择第三方认证机构的数字证书服务。
中国金融认证中心的专业技术人员也就加强对CA机构的管理提出了建议:《电子签名法》中虽然对第三方认证机构所具备的条件提出了要求,但实践中还需要相关的法规和具体的实施细则相配套,包括对CA机构准入的具体办法,对CA的管理和评级,对CA运行的审计等。