Поставщик услуг доверия

Объект для создания, проверки и аутентификации цифровых сертификатов для электронной подписи

Поставщик услуг доверия ( TSP ) — это физическое или юридическое лицо, предоставляющее и сохраняющее цифровые сертификаты для создания и проверки электронных подписей и аутентификации их подписавших, а также веб-сайтов в целом. ^{[1] [2]} Поставщики услуг доверия — это квалифицированные центры сертификации, требуемые в Европейском Союзе и Швейцарии в контексте регулируемых процедур электронной подписи . ^[3]

История

Термин «поставщик услуг доверия» был введен Европейским парламентом и Европейским советом как важный и релевантный орган, обеспечивающий неотказуемость регулируемой процедуры электронной подписи . Впервые он был упомянут в Директиве об электронных подписях 1999/93/EC и изначально назывался «поставщик услуг сертификации». Директива была отменена Регламентом eIDAS , который вступил в силу 1 июля 2016 года. ^{[2] [4]} Регламент — это обязательный законодательный акт, который требуют соблюдать все государства-члены ЕС . ^[5]

Описание

Поставщик услуг доверия несет ответственность за обеспечение целостности электронной идентификации для подписчиков и услуг посредством надежных механизмов аутентификации , электронных подписей и цифровых сертификатов . eIDAS определяет стандарты того, как поставщики услуг доверия должны предоставлять свои услуги аутентификации и неотказуемости . Регламент предоставляет государствам-членам ЕС руководство по тому, как поставщики услуг доверия должны регулироваться и признаваться.

Услуга доверия определяется как электронная услуга, которая влечет за собой одно из трех возможных действий. Во-первых, это может касаться создания, проверки или подтверждения электронных подписей, а также временных штампов или печатей , электронно зарегистрированных служб доставки и сертификаций , которые требуются для этих услуг. Второе действие влечет за собой создание, проверку, а также подтверждение сертификатов, которые используются для аутентификации веб-сайтов. Третье действие — сохранение этих электронных подписей, печатей или связанных с ними сертификатов.

Чтобы быть повышенным до уровня квалифицированного трастового сервиса, сервис должен соответствовать требованиям, установленным в Регламенте eIDAS. Трастовые сервисы обеспечивают структуру доверия, которая облегчает непрерывные отношения для электронных транзакций, проводимых между участвующими государствами-членами ЕС и организациями. ^{[1] [6]}

Роль квалифицированного поставщика трастовых услуг

Квалифицированный поставщик услуг доверия играет важную роль в процессе квалифицированной электронной подписи. Поставщикам услуг доверия должен быть предоставлен квалифицированный статус и разрешение надзорного государственного органа на предоставление квалифицированных цифровых сертификатов , которые могут использоваться для создания квалифицированных электронных подписей. eIDAS требует, чтобы ЕС вел список доверия ЕС, в котором перечислены поставщики и услуги, получившие квалифицированный статус. Поставщик услуг доверия не имеет права предоставлять квалифицированные услуги доверия, если он не включен в список доверия ЕС. ^{[1] [7]}

Поставщики услуг доверия, включенные в список доверия ЕС, обязаны следовать строгим правилам, установленным в соответствии с eIDAS. При создании сертификатов им необходимо предоставлять штампы, действительные по времени и дате. Подписи, сертификаты которых истекли, должны быть немедленно отозваны. ЕС обязывает поставщиков услуг доверия проводить соответствующее обучение для всего персонала, нанятого поставщиком услуг доверия. Они также должны предоставлять инструменты, такие как программное обеспечение и оборудование, которые заслуживают доверия и способны предотвратить подделку выпускаемых сертификатов. ^{[1] [2]}

Зрение

Одной из основных целей eIDAS было содействие как государственным, так и деловым услугам, особенно тем, которые проводятся между сторонами через границы государств-членов ЕС. Теперь эти транзакции можно безопасно ускорить с помощью средств электронной подписи и услуг, предоставляемых поставщиками услуг доверия в отношении обеспечения целостности этих подписей.

Государства-члены ЕС обязаны посредством eIDAS создать «точки единого контакта» (PSC) для трастовых услуг, которые гарантируют, что электронные схемы идентификации могут использоваться для трансграничных транзакций в государственном секторе, включая обмен и доступ к медицинской информации через границы. ^{[2] [8] [9]}

Правовая перспектива электронных подписей, создаваемых поставщиками трастовых услуг

В то время как расширенная электронная подпись имеет юридическую силу в соответствии с eIDAS, квалифицированная электронная подпись , созданная квалифицированным поставщиком услуг доверия, имеет более высокую доказательную силу при использовании в качестве доказательства в суде. Поскольку авторство подписи считается неотрицаемым , подлинность подписи не может быть легко оспорена. Государства-члены ЕС обязаны признавать квалифицированные электронные подписи, созданные с использованием квалифицированного сертификата из других государств-членов, как действительные. Согласно Регламенту eIDAS, т. е. статье 24 (2), подпись, созданная с использованием квалифицированного сертификата, имеет такую ​​же юридическую силу, как и собственноручная подпись в суде. ^{[2] [3] [10]}

Стандарты развиваются. Дополнительные стандарты, включая определения политик для поставщиков услуг доверия, разрабатываются Европейским институтом телекоммуникационных стандартов ( ETSI) . ^[11]

Глобальная перспектива

Швейцарский стандарт цифровой подписи ZertES определил сопоставимую концепцию поставщиков услуг сертификации. Поставщики услуг сертификации должны проходить аудит со стороны органов оценки соответствия, назначенных Schweizerische Akkreditierungsstelle  [de] . ^[12] В Соединенных Штатах стандарт цифровой подписи NIST (DSS) в его текущей версии не знает ничего сопоставимого с квалифицированным поставщиком услуг доверия, который позволил бы улучшить неотказуемость с помощью квалифицированного сертификата подписавшего. Однако авторы предстоящего обзора и комментаторы публично обсуждают поправку, похожую на подход eIDAS и ZertES к предоставлению доверенных услуг. ^{[13] [14]} Чтобы обеспечить строгие и неотказуемые глобальные транзакции и юридическую значимость , потребуется международная гармонизация.

Противоречие

Несколько исследовательских институтов и ассоциаций выразили обеспокоенность в отношении создания небольшой группы централизованных поставщиков услуг доверия в каждой стране, которые аутентифицируют цифровые транзакции. Они заявляют, что эта конструкция может оказать негативное влияние на конфиденциальность. Учитывая центральную роль поставщиков услуг доверия во многих транзакциях, Совет европейских профессиональных обществ информатики (CEPIS) опасается, что поставщики услуг доверия будут получать и собирать информацию об отличительных признаках граждан, которые подлежат аутентификации. Что касается их требования сохранять данные и вытекающих из этого ожидаемых усилий по сохранению доказательств для потенциальных запросов на ответственность за неточные идентификаторы, CEPIS видит риск того, что поставщики услуг доверия могут создавать и хранить записи журнала всех процессов аутентификации. Полученная информация позволяет осуществлять мониторинг и профилирование вовлеченных граждан. Если контрагент транзакции также идентифицирует себя, интересы пользователей и их коммуникационное поведение дополнительно заострят полученные профили. Анализ больших данных позволит получить далеко идущие сведения о конфиденциальности и отношениях граждан. Прямая связь с соответствующими государственными органами может позволить им получить доступ к полученным данным и профилям. ^[15]

В другой публикации утверждается, что для того, чтобы по-настоящему воспользоваться преимуществами безопасных и бесперебойных трансграничных электронных транзакций, необходимо более точно определить уровни гарантий, определения и техническое развертывание. ^[16]

В 2021 году относительно неопределенные предлагаемые обновления eIDAS потребуют от браузеров передавать гарантии от TSP своим пользователям. Это, по-видимому, будет включать включение указанных правительством TSP параллельно с существующими многосторонними процессами, используемыми браузерами для установления доверия к центрам сертификации . Internet Society и Mozilla заявили о ряде проблем с предложениями. ^{[17] [18]}

Смотрите также

• eIDAS
• Поставщик услуг сертификации (CSP)

Ссылки

1. Тернер, Дон М. «Поставщики услуг доверия согласно eIDAS». Cryptomathic . Получено 22 июня 2016 г.
2. "РЕГЛАМЕНТ (ЕС) № 910/2014 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC". EUR-Lex . ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА . Получено 18 марта 2016 г.
3. Тернер, Дон. «Понимание eIDAS». Cryptomathic . Получено 12 апреля 2016 г.
4. "Директива 1999/93/EC Европейского парламента и Совета от 13 декабря 1999 года о структуре Сообщества для электронных подписей". Официальный журнал Европейского парламента . Получено 22 июня 2016 года .
5. Тернер, Дон М. «eIDAS от директивы к регулированию». Cryptomathic . Получено 29 июня 2016 г.
6. Бендер, Йенс. "Регулирование eIDAS: EID - Возможности и риски" (PDF) . Bunde.de . Fraunhofer-Gesellschaft . Получено 18 марта 2016 г. .
7. "Электронные подписи и инфраструктуры (ESI); Оценка соответствия поставщиков трастовых услуг - Требования к органам оценки соответствия, оценивающим поставщиков трастовых услуг" (PDF) . Европейский институт стандартов в области телекоммуникаций . Получено 22 июня 2016 г. .
8. Тернер, Дон М. «Расширенные электронные подписи для eIDAS». Cryptomathic . Получено 22 июня 2016 г.
9. Керикмяэ, Танель; Рулл, Адди (2016). Будущее права и электронных технологий . Springer. С. 63–64. ISBN 978-3-319-26894-1.
10. "Регламенты, директивы и другие акты". Europa.eu . Европейский Союз. Архивировано из оригинала 12 декабря 2013 года . Получено 18 марта 2016 года .
11. "Сертификационные центры и другие поставщики услуг доверия". Европейский институт стандартов в области телекоммуникаций . Получено 22 июня 2016 г.
12. Швейцарский Бундесрат. «Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES)» . Проверено 12 мая 2016 г.
13. "FIPS PUB 186-4 - FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION: Digital Signature Standard (DSS)" (PDF) . Национальный институт стандартов и технологий . Получено 22 июня 2016 г. .
14. Тернер, Дон. «Является ли стандарт цифровой подписи NIST DSS юридически обязательным?». Cryptomathic . Получено 22 июня 2016 г.
15. Хёльбл, Марко. "Position on the Electronic identification and trust services (eIDAS)" (PDF) . Совет европейских профессиональных обществ информатики (CEPIS) . Получено 24 июня 2016 г. .
16. ван Зейп, Жак. «Готов ли ЕС к eIDAS?». Secure Identity Alliance. Архивировано из оригинала 22 ноября 2016 года . Получено 24 июня 2016 года .
17. «Краткий обзор влияния Интернета: обязательные корневые сертификаты браузера в регламенте eIDAS Европейского союза об Интернете». Internet Society . 2021-11-08 . Получено 2022-03-06 .
18. «Эксперты призывают ЕС не вводить небезопасные сертификаты в веб-браузеры». BleepingComputer . Получено 2022-03-06 .