eIDAS

Регламент ЕС об электронной идентификации

Знак доверия ЕС для квалифицированных трастовых услуг

Единый цифровой рынок ЕС и упрощение предоставления государственных услуг через границы

eIDAS (от «электронная идентификация, аутентификация и услуги доверия») — это регламент ЕС , заявленной целью которого является регулирование « электронной идентификации и услуг доверия для электронных транзакций ». Он был принят в 2014 году, а его положения вступили в силу в период с 2016 по 2018 год. ^{[1] [2]}

Описание

eIDAS контролирует электронную идентификацию и услуги доверия для электронных транзакций на внутреннем рынке Европейского Союза . Он регулирует электронные подписи , электронные транзакции, вовлеченные органы и их процессы внедрения, чтобы предоставить пользователям безопасный способ ведения бизнеса в Интернете, например, электронный перевод средств или транзакции с государственными службами . И подписавший , и получатель могут иметь больше удобства и безопасности . Вместо того чтобы полагаться на традиционные методы, такие как почта или факс , или лично представлять бумажные документы, они теперь могут совершать транзакции через границы, например, технологию « 1-Click ». ^{[2] [3]}

eIDAS разработала стандарты, согласно которым электронные подписи, квалифицированные цифровые сертификаты , электронные печати , временные метки и другие механизмы подтверждения подлинности позволяют проводить электронные транзакции с тем же юридическим статусом, что и транзакции, выполняемые на бумаге. ^[4]

Регламент вступил в силу в июле 2015 года как средство для обеспечения безопасных и бесперебойных электронных транзакций в Европейском Союзе. Государства-члены обязаны признавать электронные подписи, соответствующие стандартам eIDAS. ^{[2] [5]}

Хронология

Закон был установлен в Регламенте ЕС 910/2014 от 23 июля 2014 года об электронной идентификации и отменен 1999/93/EC от 13 декабря 1999 года. ^{[1] [2]}

Он вступил в силу 17 сентября 2014 года и применяется с 1 июля 2016 года, за исключением некоторых статей, которые перечислены в статье 52. ^[6] Все организации, предоставляющие публичные цифровые услуги в государстве-члене ЕС, должны признавать электронную идентификацию из всех государств-членов ЕС с 29 сентября 2018 года. Он применяется ко всем странам Европейского единого рынка . ^{[7] [8]}

В июле 2024 года ассоциация go.eIDAS совместно с рядом немецких технологических компаний и фондов запустила первый испытательный стенд eIDAS для выдачи PID-учетных данных для кошельков, соответствующих архитектуре и референтной структуре (ARF). ^[9]

eIDAS является результатом внимания Европейской комиссии к цифровой повестке дня Европы. Под надзором комиссии eIDAS был внедрен для стимулирования цифрового роста в ЕС. ^[10]

Цель eIDAS — стимулировать инновации. Придерживаясь руководящих принципов, установленных для технологий в рамках eIDAS, организации подталкиваются к использованию более высоких уровней информационной безопасности и инноваций . Кроме того, eIDAS фокусируется на следующем: ^{[5] [11]}

• Взаимодействие : государства-члены должны создать общую структуру, которая будет распознавать eID других государств-членов и обеспечивать их подлинность и безопасность. Это упрощает пользователям ведение бизнеса через границы.
• Прозрачность : eIDAS предоставляет четкий и доступный список доверенных сервисов, которые могут использоваться в рамках централизованной структуры подписи. Это позволяет заинтересованным сторонам в сфере безопасности вести диалог о лучших технологиях и инструментах для защиты цифровых подписей.

Регулируемые аспекты электронных транзакций

Регламент обеспечивает нормативную среду для следующих важных аспектов, связанных с электронными транзакциями: ^[2]

• Цифровая идентификация : общеевропейская структура (European Digital Identity Wallet, EDIW) ^[12] для цифровой аутентификации граждан с юридической силой. Определены девять принципов европейской цифровой идентификации : ^[13] выбор пользователя, конфиденциальность, совместимость и безопасность, доверие, удобство, согласие пользователя и пропорциональность контроля, знание контрагента и глобальная масштабируемость.
• Расширенная электронная подпись (AdES): Электронная подпись считается расширенной, если она соответствует определенным требованиям:
  • Он предоставляет уникальную идентификационную информацию, которая связывает его с подписавшим.
  • Подписавший имеет исключительный контроль над данными, используемыми для создания электронной подписи.
  • Он должен быть способен определить, были ли данные, сопровождающие сообщение, подделаны после подписания. Если подписанные данные изменились, подпись помечается как недействительная.
  • Существует сертификат электронной подписи — электронное доказательство, которое подтверждает личность подписавшего и связывает данные проверки электронной подписи с этим лицом.
  • Расширенные электронные подписи могут быть технически реализованы в соответствии со стандартом XAdES , PAdES , CAdES или ASiC Baseline Profile ( Associated Signature Containers ) для цифровых подписей, указанным ETSI . ^[14]
• Квалифицированная электронная подпись — усовершенствованная электронная подпись, создаваемая квалифицированным устройством создания электронной подписи на основе квалифицированного сертификата для электронных подписей.
• Квалифицированный цифровой сертификат для электронной подписи — сертификат, подтверждающий подлинность квалифицированной электронной подписи, выданный квалифицированным поставщиком услуг доверия.
• Квалифицированный сертификат аутентификации веб-сайта — квалифицированный цифровой сертификат в соответствии с трастовыми службами, определенными в Регламенте eIDAS.
• Доверительный сервис — это электронный сервис, который создает, проверяет и верифицирует электронные подписи , временные метки , печати и сертификаты . Кроме того, доверительный сервис может обеспечивать аутентификацию веб-сайта и сохранение созданных электронных подписей, сертификатов и печатей. Он обрабатывается поставщиком доверительного сервиса .
• Списки доверенных лиц Европейского Союза ( EUTL )

Эволюция и правовые последствия

Регламент eIDAS развился из Директивы 1999/93/EC, которая установила цель, которую государства-члены ЕС должны были достичь в отношении электронной подписи. Небольшие европейские страны были среди первых, кто начал принимать цифровые подписи и идентификацию, например, первая эстонская цифровая подпись была выдана в 2002 году, а первая латвийская цифровая подпись была выдана в 2006 году. Их опыт был использован для разработки теперь общеевропейского регламента , который стал обязательным в качестве закона на всей территории ЕС с первого июля 2016 года. ^[15] Директива 1999/93/EC возложила на государства-члены ЕС ответственность за создание законов, которые позволили бы им достичь цели создания системы электронной подписи в ЕС. Директива также позволяла каждому государству-члену толковать закон и налагать ограничения, тем самым препятствуя реальной совместимости и приводя к фрагментированному сценарию. ^[16] В отличие от директивы 1999 года, eIDAS обеспечивает взаимное признание eID для аутентификации среди государств-членов, ^[17] тем самым достигая цели Единого цифрового рынка .

eIDAS обеспечивает многоуровневый подход к юридической ценности. Он требует, чтобы ни одна электронная подпись не могла быть лишена юридической силы или допустимости в суде только потому, что она не является продвинутой или квалифицированной электронной подписью. ^[18] Квалифицированные электронные подписи должны иметь ту же юридическую силу, что и собственноручные подписи. ^[19]

Для электронных печатей (версия подписей юридических лиц) доказательная ценность рассматривается явно, поскольку печати должны обладать презумпцией целостности и правильности происхождения прикрепленных данных. ^[20]

В июне 2021 года Комиссия предложила поправку и опубликовала рекомендацию. ^{[21] [22] [23]}

Противоречие

В 2023 году было проведено тщательное изучение предлагаемого изменения в законе, поскольку оно потенциально позволило бы правительствам ЕС осуществлять атаки типа «человек посередине» , включая зашифрованные сообщения. ^[24] Это предложение было осуждено группами исследователей кибербезопасности, НПО и гражданским обществом как угрозу правам человека, конфиденциальности и достоинству. ^{[25] [26] [27] [28]} Это предложение работало по тому же механизму, что и попытка массового наблюдения в Казахстане в 2019 году .

В основе этого противоречия лежит второй абзац поправки к статье 45, который гласит: ^[29]

«Квалифицированные сертификаты для аутентификации веб-сайтов, указанные в пункте 1, должны распознаваться веб-браузерами. [...] Веб-браузеры должны обеспечивать поддержку и совместимость с квалифицированными сертификатами для аутентификации веб-сайтов, указанными в пункте 1, за исключением предприятий, считающихся микропредприятиями и малыми предприятиями в соответствии с Рекомендацией Комиссии 2003/361/EC в течение первых 5 лет работы в качестве поставщиков услуг веб-браузинга».

Критики утверждали, что разрешение центрам сертификации (CA) выдавать сертификаты без прохождения процедур аудита и проверки, установленных поставщиками браузеров, может поставить под угрозу безопасность Интернета в целом и открыть дверь для атак типа «человек посередине» . ^{[30] [31]} Это, возможно, позволит уполномоченным правительством CA выдавать сертификаты для любого доменного имени и использовать его для выдачи себя за другое лицо, и, что наиболее важно, без возможности браузеров удалить их как заслуживающие доверия. ^[30] Это считается особенно тревожным в странах со слабым верховенством закона, где государственные и связанные с государством субъекты смогут использовать закон, чтобы шпионить за своими собственными гражданами для политических репрессий и личной выгоды. Было также беспокойство, что это позволит частным лицам, связанным с государством, получить доступ к власти и злоупотреблять ею в своих собственных целях. ^{[25] [27]}

Однако в окончательном проекте были предусмотрены положения, позволяющие поставщикам браузеров продолжать внедрять меры безопасности, которые на практике затруднят осуществление такого типа перехвата без раскрытия. ^[32] В частности, в окончательном тексте проекта говорится следующее:

В отступление от пункта 1 и только в случае обоснованных опасений, связанных с нарушением безопасности или потерей целостности идентифицированного сертификата или набора сертификатов, веб-браузеры могут принимать меры предосторожности в отношении этого сертификата или набора сертификатов.

что было истолковано как разрешение поставщикам браузеров продолжать использовать такие механизмы, как прозрачность сертификатов, для поддержания безопасности браузеров. ^[32] Заявление Европейской комиссии о внесении поправок в статью 45 разъясняет это заявление и указывает, что посредством соглашения с поставщиками браузеров не налагаются никакие ограничения на «собственные политики безопасности» браузеров. ^[33]

Требования к проектированию

Информация в базе данных должна быть связана с каким-либо идентификационным номером . Чтобы подтвердить, что человек имеет право на доступ к некоторой личной информации, необходимо выполнить несколько шагов.

• Привязка человека к номеру может осуществляться с помощью методов, разработанных в одной стране, например, с помощью цифровых сертификатов .
• Связывание числа с определенной информацией, выполняемое в базах данных.
• Для eIDAS необходимо связать номер, используемый страной, располагающей информацией, с номером, используемым страной, выдавшей цифровые сертификаты.

eIDAS имеет как минимум концепцию идентификации, имя и дату рождения . Но для того, чтобы получить доступ к более конфиденциальной информации, необходима некоторая сертификация того, что идентификационные номера, выданные двумя странами, относятся к одному и тому же человеку. ^[34]

Уязвимости

В октябре 2019 года исследователи безопасности обнаружили две уязвимости в eIDAS-Node (пример реализации профиля eID eIDAS, предоставленный Европейской комиссией ^{[35] ); обе уязвимости были исправлены для версии 2.3.1 eIDAS-Node. [36]}

Европейская структура суверенной идентичности

Европейский союз начал ^{[ когда? ]} создание совместимой с eIDAS Европейской структуры самостоятельных идентификационных данных (ESSIF), ^{[ нужна ссылка ],} но во многих странах пользователям необходимо быть клиентами Google или Apple, чтобы использовать сервисы eIDAS.

ЕУТЛ

Списки доверенных лиц Европейского союза (EUTL) — это публичный список из более чем 200 действующих и существующих поставщиков доверенных услуг (TSP), которые специально аккредитованы для обеспечения наивысшего уровня соответствия регламенту ЕС об электронной подписи eIDAS. ^[37]

Смотрите также

• Китай: Китай RealDID
• AdES и долгосрочная проверка (LTV)
• ПАдеС
• Многофакторная аутентификация
• Единый цифровой шлюз
• США: Закон об электронных подписях в глобальной и национальной торговле и Единый закон об электронных транзакциях ( UETA )

Ссылки

1. Тернер, Дон. «Понимание eIDAS». Cryptomathic . Получено 12 апреля 2016 г.
2. "Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 года об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC". EUR-Lex . Европейский парламент и Совет Европейского Союза . Получено 18 марта 2016 г.
3. ван Зейп, Жак. «Готов ли ЕС к eIDAS?». Secure Identity Alliance. Архивировано из оригинала 22 ноября 2016 года . Получено 18 марта 2016 года .
4. Тернер, Дон М. «eIDAS от директивы к регулированию — правовые аспекты». Cryptomathic . Получено 18 марта 2016 г.
5. Бендер, Йенс. "Регулирование eIDAS: EID - Возможности и риски" (PDF) . Bunde.de . Fraunhofer-Gesellschaft . Получено 18 марта 2016 г. .
6. eIDAS в силе, применяется и исключения на Europa.eu
7. Информация о eIDAS, Коннектикут.
8. Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г.
9. "eIDAS-Testbed успешно запущен". www.eid.as . Получено 2024-06-19 .
10. "Цифровая повестка дня для Европы". EUR-Lex . Европейская комиссия . Получено 18 марта 2016 г.
11. JA, Ashiq. «Повестка дня eIDAS: инновации, совместимость и прозрачность». Cryptomathic . Получено 18 марта 2016 г.
12. «Европейский цифровой идентификационный кошелек | Формирование цифрового будущего Европы». digital-strategy.ec.europa.eu . 2022-06-13 . Получено 2024-01-27 .
13. "Towards principles and guide for eID interoperability on online platforms" (PDF) . Europa.eu . Европейская комиссия. Архивировано (PDF) из оригинала 24 июня 2019 г. . Получено 29 августа 2021 г. .
14. Тернер, Дон М. «Разница между электронной и цифровой подписью». Cryptomathic . Получено 21 апреля 2016 г.
15. "Регламенты, директивы и другие акты". Europa.eu . Европейский Союз. Архивировано из оригинала 12 декабря 2013 года . Получено 18 марта 2016 года .
16. "Понимание eIDAS – все, что вы когда-либо хотели знать о новом Регламенте ЕС об электронной подписи". Legal Technology . Архивировано из оригинала 17 января 2018 года . Получено 1 марта 2016 года .
17. "Большой шаг к единому европейскому цифровому рынку" (PDF) . Inside Magazine. Архивировано из оригинала (PDF) 27 марта 2019 г. . Получено 27 марта 2019 г. .
18. Статьи 25 (1) и определения в статьях 3 (10) - 3 (12)
19. Статья 25 (2)
20. Статья 35 (2)
21. «Комиссия предлагает надежную и безопасную цифровую идентификацию для всех европейцев» (пресс-релиз). Европейская комиссия. 3 июня 2021 г.
22. Процедура 2021/0136/COD по EUR-Lex , Процедура 2021/0136(COD) по ŒIL
23. Рекомендация Комиссии (ЕС) 2021/946 от 3 июня 2021 г. об общем наборе инструментов Союза для скоординированного подхода к Европейской структуре цифровой идентичности на EUR-Lex
24. https://blog.mozilla.org/netpolicy/files/2023/11/eIDAS-Industry-Letter.pdf ^{[ пустой URL-адрес PDF ]}
25. https://last-chance-for-eidas.org/ ^{[ пустой URL ]}
26. "Письмо EIDAS.PDF".
27. «Эксперты гражданского общества выражают обеспокоенность в связи с завершением разработки нового регламента ЕС по цифровой идентификации».
28. «Система цифровой идентификации ЕС ставит под угрозу безопасность браузера». 15 декабря 2021 г.
29. Предложение о РЕГЛАМЕНТЕ ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА, вносящем поправки в Регламент (ЕС) № 910/2014 в отношении создания рамок для европейской цифровой идентичности, 2021 г. , получено 20 октября 2024 г.
30. Claburn, Thomas (2023-11-08). "Плохой eIDAS: Европа готова перехватывать, шпионить за вашими зашифрованными HTTPS-соединениями". The Register . Получено 20-10-2024 .{{cite web}}: CS1 maint: url-status ( ссылка )
31. "Письмо EIDAS 2022". 2 марта 2022 г.
32. Hoepman, Jaap-Henk (2023-11-20). "Некоторые замечания по окончательному тексту Европейской структуры цифровой идентификации (eIDAS)". blog.xot.nl . Получено 2023-11-25 .
33. "Тексты приняты - Европейская структура цифровой идентичности - четверг, 29 февраля 2024 г.". www.europarl.europa.eu . Получено 2024-10-20 .
34. Hur skapar du en koppling mellan svenska och utländska eID:n? (на шведском языке. Перевод названия: Как соединить шведский и зарубежный eID?)
35. "Пакет интеграции eIDAS-Node". Европейская комиссия . Архивировано из оригинала 10 июня 2019 г. Получено 29 октября 2019 г. Программное обеспечение eIDAS-Node содержит необходимые модули, помогающие государствам-членам взаимодействовать с другими партнерами, соответствующими требованиям eIDAS, централизованным или распределенным образом.
36. Cimpanu, Catalin (29 октября 2019 г.). «Устранена серьезная уязвимость в системе аутентификации eIDAS ЕС». ZDNet . Архивировано из оригинала 29 октября 2019 г. Получено 29 октября 2019 г. Уязвимость позволяла злоумышленникам выдавать себя за любого гражданина или компанию ЕС.
37. https://helpx.adobe.com/document-cloud/kb/european-union-trust-lists.html ^{[ пустой URL-адрес ]}

Внешние ссылки

• Регламент (ЕС) № 910/2014 от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке EUR-Lex
• Регламент (ЕС) 2024/1183 от 11 апреля 2024 г. о внесении изменений в Регламент (ЕС) № 910/2014 в отношении создания Европейской структуры цифровой идентификации на EUR-Lex