电子认证服务四大纠结
- 来源:计算机世界
- 关键字:电子,认证,服务,纠结
- 发布时间:2010-07-05 15:59
《电子签名法》颁布实施五周年来,目前在中国,共有30家认证机构获得了工业和信息化部颁发的服务许可证,截止到2010年4月,市场总共颁发了超过一千多万张数字证书,并且每年还在以50%以上的速度增长。毫无疑问,中国电子认证服务市场前景喜人。然后,比较起目前上亿的网民数以及动辄上亿的网银用户数,目前的发放的证书数实在太少了。原因何在呢?
本报记者 胡英 汤铭
“理论上讲,网络上但凡需要进行身份认证、电子交易、电子签名、记录交易行为的地方,都需要电子认证与签名服务。”工业和信息化部信息安全协调司副司长欧阳武在多个场合曾经这样表示。
这是因为,互联网迅猛发展,网络经济已经成为一种新兴的经济形态,在这一新的经济环境下,如何让网络具有可信度,是保证网络经济时代经济信息安全面临的重要挑战。“事实上,这已经成为了互联网信息安全的一个突出问题。”欧阳武认为。
“国家正在积极倡导网络实名制,就是为了打造一个可信任的网络机制,在这其中,使用电子认证和签名技术是完全能实现可信任网络机制的目标。”北京CA公司总经理詹榜华说。采用数字证书技术,对网上个人身份、机构的身份、服务器身份进行认证和签名,通过第三方中立的电子认证服务机构对数字证书进行认证,是建立互联网上信任机制的一种好办法。
毫无疑问,电子签名认证服务市场巨大,前景喜人。
然而,现实的情况却并不乐观:从工业和信息化部了解到的数据,截止到2010年4月10日,中国市场总共发放的数字证书只有区区1110万张,其中机构数字证书590万张、个人数字证书516万张、设备证书9905张。再看另一组工信部的数据,截止到2010年4月22日,中国的上网人数达到4.04亿人;易观国际最新的数据,截止到2010年3月底,中国网银用户数达到2.11亿人!另据今年4月份在Gizmodo上公布的一份由INTAC绘制的全球专用服务器数量图上看,全球服务器数量粗略估计已经达到了5000万台以上。
数字不比不知道,一比吓一跳!《电子签名法》实施5周年来,我国的数字证书发放量比较起网民数、网银用户数和服务器数量,连1/20都不到,实在太微不足道了。这当然一方面说明,我国的电子认证服务市场大有可为;另一方面也不得不令人怀疑,是什么原因阻碍了数字证书在中国的快速应用?
《计算机世界》报社记者经过多方调查采访,终于找到了目前纠结在电子认证服务市场的四大纠结。
纠结一:数字证书不为人所知
很多人不了解数字证书——这是阻碍电子认证服务市场的第一大拦路虎。
为了了解究竟有多少业内人士了解数字证书(CA)和数字证书服务机构(CA机构),记者曾经在计世网的用户中心(http://user.ccw.com.cn/ucHome/vote.php?do=vote&ac=view&id=68793&uid=299547)发起一份调查:你了解电子签名和认证技术吗?结果只有18.9%的人100%了解;45.67%的人了解一半;35.43%的人完全不了解。有人问:“第一次听到ca,还以为是数字电视的条件接收呢”;还有人问“这个CA机构与CA公司是什么关系?”调查结果非常令人失望,这还是在专业的IT人士中的一次调查。在普通老百姓中呢?有多少人了解电子签名和认证呢?结果更不敢想象。
记者身边的很多朋友,有的经常使用网银,也有很多使用了U盾等各大商业银行发行的USB Key的人,当记者询问他们为什么要用时,他们的回答往往是:银行推荐的,也不知道为什么有了“用户名和密码”或者“刮刮卡”,还要用USB Key?
“这就是普通百姓对数字证书的最大认识误区,很多人只将电子认证作为身份认证的手段,等同于用户名/密码、动态口令等技术,这实在是对电子认证服务作用认识上的巨大片面性。”詹榜华告诉记者。“电子认证服务除了对身份进行认证外,最重要的是实现电子签名。“电子签名能保证信息的完整性和签名人对数据电文的认可,这是用户名/密码、动态口令等技术无法实现的,这才是电子认证最重要的价值,丢掉这一点,无异于‘自贬身价’、‘丢了西瓜,捡了芝麻’”。这只能说明,包括银行在内的一些数字认证服务机构,对自己的员工并没有进行专业的数字认证服务培训,员工可能自己都不懂,就更不具备对普通用户进行告之、解释和宣传的能力了。
普通用户对电子签名和服务不了解对电子签名技术应用的推广也许起不到太重要的推波助澜作用,直接采用电子认证服务的应用机构如果不了解,就直接会影响数字证书的发放了。
北京市东城区是实施电子签名与认证技术相对比较早的单位,这首先得益于该区首先在电子政务应用平台上使用了数字证书,让每个公务员都能实名登陆进入电子政务网。据东城区信息化工作办公室倪东副主任介绍,因为了解了电子认证服务的好处,东城区在全区范围内向社区全科医生也开始推广电子签名和数字证书。回想当初在开始推行这套系统时,倪东坦言难度不小。“大家刚开始用的时候很多人对数字证书都不了解,也不知道怎么用,所以我们当时是到全区几十个社区医疗卫生服务点去逐一培训,教会一个再到下一个。”
虽然一方面政府职能部门和电子认证服务机构在大力倡导、积极推进电子签名的应有。但是另一方面,作为用户机构,很多人刚开始确实不了解新兴的电子签名认证服务。比如,医院CIO对于电子签名的需求目前都还处于模糊认识阶段。
“首先对于电子签名的应用场景不甚明了,电子签名是用于环节与环节之间(譬如:医生与护士之间、医生与执行科室之间)的确认? 用于医院向有关机构举证的确认?用于完成或者未完成病历的确认?还是完成或者未完成医疗记录的确认?这些问题目前都还不清楚。其次,对于电子签名的适用性也比较模糊,譬如:基础设施条件、签名时机、对系统性能的影响、对数据库中的数据如何签名等。”解放军总医院计算机室主任薛万国自称,他本人对于上述这些问题都是很模糊的,因此,在考虑是否采用数字证书及电子认证服务时,也还处于摸索阶段。
此外,对于其他一些新兴的行业,比如电子商务、网游领域,数字证书能为他们带来什么?目前还真没人能说得清。以网游行业为例,网游行业最令人头疼的问题应该是对玩家的虚拟财产、虚拟武器、游戏帐号的安全保护问题,凭想象,电子签名技术应该是能应用在这其中的,但实际情况上,网游领域是数字证书尚未开垦的一片处女地,需要认证服务机构和网游技术开发者共同探讨,寻找到数字证书与应用合作的契合点,才可能真正将数字证书应用到网游领域,那时,市场就真正打开了。
总之,人们不了解数字证书,一方面是因为数字证书确实还是个新兴的市场领域,还需要领导、CA机构不断反复地向用户宣传、讲解;另一方面,需要CA机构与应用单位密切合作,找到真正的应用点,才能不断在一个又一个新领域开花结果。
纠结二:证书使用体验差
当下,越来越多的IT产品和IT服务都在强调要给用户提供最佳的使用体验。就例如苹果的手机、平板电脑,自从上市之后,即使是要从自己腰包中掏出不少银子,它们还是受到了各类用户的热捧,究其原因,很重要的一个原因就是苹果的产品给用户带来了极佳的使用体验。
电子认证服务的产品,是存储了用户数字证书的Usb Key,虽然它插上电脑就可以使用,但是对于很多不太熟悉电脑使用的人来说,使用中还是有些麻烦。
首先是安装的复杂性导致用户的担心。记者在安装某商业银行网上银行数字证书的时候,就曾经遇到系统不兼容的问题,记者的电脑安装了微软Windows7操作系统,数字证书安装中提示要求使用低版本的操作系统。为此,记者向客服人员咨询,对方表示这都是属于技术问题,用户只能按照要求降低系统版本。试想,谁愿意为了仅仅使用数字证书而重新安装操作系统?
其次是与其他流行通用软件不能相互认证性,导致使用体验极差。广州市信息安全测评中心副主任周晓斌对记者说:“在中国,使用数字证书的人群中,至少90%不是专业IT人员,对于数字证书的使用或多或少都会遇到各种问题。例如,数字证书的驱动程序,很多对浏览器有很高的要求,比如现在很多网银使用的数字证书不支持微软最新的IE8浏览器,不支持Firefox浏览器,这样给消费者会带来很大的麻烦。”同时,不被流行的浏览器认证,将导致用户经常面临困惑,由此制约数字证书的发放。以服务器数字证书为例,国内很多电子认证服务机构提供的服务器数字证书没有经过微软浏览器的安全认证,这会导致普通用户在访问基于微软浏览器的数字证书时,系统会反复提示:“你遇到了不安全的数字证书,是否还要继续。”试想,遇到这样的提示,哪个用户敢冒系统不安全的风险继续使用?即使有人还继续愿意使用,接下来需要安装各种控件,这就给很多用户带来心理不安。这是国内设备数字证书发放量到目前为止还不超过1万张的根本原因。
第三,各种CA机构颁发的数字证书不能相互认证,也是制约数字证书发放的根本原因。记者手头就曾经有3家网银的USB Key,但各自无法通用,使用起来非常不方便。过去专家曾经提议建立“根CA”或“桥CA”,目的是希望通过一个Key,能访问多个应用。但由于技术和商业模式的原因,这两种方式最终流产,而各个CA机构依然在条块分割的市场各自为战,无法合作。带来的最终结果是,增加用户的使用难度。
纠结三:自建CA隐患大
根据工业和信息化部网站披露的信息,截至2010年5月31日,全中国有效电子认证证书持有量合计11423482张。
但是有业内专家估计,全中国实际使用的电子认证证书的数量是这个数字的好几倍。那这些证书从何而来的呢?“都是从那些没有经过国家主管部门审批许可的电子认证服务机构发出来的。”该专家一语点出了这个“公开的秘密”。
目前,中国对电子认证服务行业实行的是行政许可和市场准入制度,2005年实施的《电子签名法》及《电子认证服务管理办法》确立了合法电子认证服务机构的认定程序和法律责任:由国务院信息产业主管部门依法对电子认证服务机构实施监督管理。这意味着,依照《电子签名法》成立的获得了工信部市场许可的CA机构,其签发的数字证书以及使用有效数字证书进行的可靠电子签名,均具法律效力。而那些没有获得工业和信息化部等权威部门许可的非第三方CA机构,根据《电子签名法》的规定,他们在未取得电子认证服务许可证前,其涉及的电子签名的法律效力有待鉴别。目前,没有获得国家主管部门批准建立的非第三方电子认证服务机构主要集中在金融行业。
记者曾经通过银行柜台和客户服务热线了解到,工、农、建、中四大银行都推出了各自的网银业务,其中前三家可以给网银用户提供数字证书服务。但据记者目前掌握的资料,为这些数字证书提供电子认证服务的,大都是这些银行自建的CA; 而根据来自主管部门的资料,这些CA机构都没有获得工业和信息化部颁发的电子认证服务许可证。
于是现在就存在了这样一个现实,银行的自建CA在没有得到行业主管部门的行政许可下,“无证”地进行着电子签名的认证服务。“无证”服务会给用户带了什么样的问题和风险呢?《计算机世界》报在2009年曾专门针对网上银行安全问题进行过专门的调查报道,我们发现,对于使用银行自建CA提供的数字证书,会带来以下两方面的风险:
首先,没有获得工业和信息化部等权威部门许可的银行自建CA,是自己发放数字证书,然后又自己验证发放的数字证书是否可靠,相当于又当“运动员又当裁判”,因此其签发的数字证书的法律效率有待鉴别;其次,由于银行自建CA,造成用户处于一个不平等的弱势地位,一旦发生纠纷,需要进行司法解决时,用户往往会取证困难,容易使自己的合法权益不能得到有利保护。
因此,如果金融机构这样的重量级用户能够采用依法建立的电子认证服务,不但能减少自身在部署和运营数字证书中存在的风险,更能整合电子认证服务机构的优势资源,形成合力推广电子认证服务,促进优质服务,确保网上应用系统安全、稳定、健康发展。
纠结四:服务有待深化
电子认证服务机构从名称和定义来说,都应该是一种服务机构,但现实情况是,由于许多CA机构都具有官方背景,还没有从管理者的角色中转变出来,因此,往往错误地将自己定位为管理机构而非服务机构。这给用户带来了新的困惑:很多人认为CA机构就是一个赚钱的部门,并且利润丰厚。因此大家竞相涌入这一领域。但现实情况如何呢?
张先生在一家电子商务公司工作,他对电子认证服务的质量就有很大的意见。他告诉记者:“我曾经去一个电子认证服务机构申请数字证书,一开始我以为很简单,结果完全不是那么回事。申请USB Key存储介质很复杂,申请的过程就像当初申办银行卡一样,不可能几分钟就能办好,让我等了将近半天时间,听说有人还等上好几天的。”张先生还向记者抱怨,申请了数字证书后,每年除了催缴服务费和数字证书更新费用时,平时根本不见不到CA的工作人员,就是在使用USB Key的过程中出现问题了,都是与对方技术人员电话沟通,从来没有见到过上门服务的情况。
作为业内人士,詹榜华表示,现在全国几十家电子认证服务机构的服务支撑能力良莠不齐,很多CA机构的服务水平达不到用户的需求,这才产生了用户的抱怨。“我们目前的几十家CA机构,最大的问题就是服务支撑能力。就是说电子认证服务能提供什么样的服务?目前绝大多数CA机构能做的就是发证书。用户来了,CA机构给发一个证书,然后什么都没有了。第二年证书需要更新了,用户再来,还是交钱走人,再给发一个证书,这根本就不是服务。”
詹榜华认为,CA机构应该打造以下四方面的服务能力:首先是要让用户相信你;其次让用户很方便得到服务;第三要很方便地使用服务;第四让服务能够给用户创造更多的价值。因此,北京CA很早就开始建立了以客户为中心的新型电子认证服务体系建设,并打造了这样一个技术平台,以便更好地为用户服务。
“目前很多CA机构的电子签名服务中,仅有身份认证和证书服务,没有签名应用服务,更没有针对电子签名的司法鉴定和诉讼代理服务,因此,用户在使用电子签名时不放心,还有顾虑。而且在过去,我们关注更多的是电子签名中的证书发放,对证书发放者的身份进行了认定,而缺乏对证书发放之后的作用、使用中的问题进行关注,也缺少相关的配套措施。”欧阳武说。对于未来如何加强推进电子认证服务,欧阳武希望能建立一种“傻瓜式”的便利服务体系。这就意味着,不但要完善技术体系,还需要形成服务的体系化; 不仅要完善电子认证服务机构的服务,还需要完善更多的后续配套的服务。
“目前全国有30家电子认证服务机构,有的业务就开展得很好,既有呼叫中心的服务,也有上门服务。所以,业界正在探讨,是否可以建立一个电子认证服务联盟。以一条龙的服务形式,确保用户在电子签名、电子认证、电子取证、司法诉讼中的任何一个环节,都有相关的机构可以提供优质可靠的服务。”欧阳武说。
周晓斌希望未来能形成类似“银联”这样的电子认证服务联盟组织,可解决不同CA机构发放的数字证书之间互相认证的问题,这样,可极大解决数字证书的易用性问题。“希望能有这样一个‘桥梁’,在要运用电子签名及数字证书的机构、个人和提供证书认证服务的机构,以及提供相关技术服务的厂商之间搭起一个桥梁,把大家全部都联起来了。”
这样联结起来,对电子认证服务行业会有怎样的好处呢?周晓斌表示,如果有了这样一座桥梁,不但可以把各个应用都联接起来,同时促使各家CA的证书,以及底层提供密码支撑的厂家形成统一的技术规划和要求。这样在未来,也许条块化的电子认证服务市场就可以被打破,促使各家电子认证服务机构成为真正的全国性服务机构,而不是只局限于某一地,从而让电子认证服务市场得到进一步扩大。
……
本报记者 胡英 汤铭
“理论上讲,网络上但凡需要进行身份认证、电子交易、电子签名、记录交易行为的地方,都需要电子认证与签名服务。”工业和信息化部信息安全协调司副司长欧阳武在多个场合曾经这样表示。
这是因为,互联网迅猛发展,网络经济已经成为一种新兴的经济形态,在这一新的经济环境下,如何让网络具有可信度,是保证网络经济时代经济信息安全面临的重要挑战。“事实上,这已经成为了互联网信息安全的一个突出问题。”欧阳武认为。
“国家正在积极倡导网络实名制,就是为了打造一个可信任的网络机制,在这其中,使用电子认证和签名技术是完全能实现可信任网络机制的目标。”北京CA公司总经理詹榜华说。采用数字证书技术,对网上个人身份、机构的身份、服务器身份进行认证和签名,通过第三方中立的电子认证服务机构对数字证书进行认证,是建立互联网上信任机制的一种好办法。
毫无疑问,电子签名认证服务市场巨大,前景喜人。
然而,现实的情况却并不乐观:从工业和信息化部了解到的数据,截止到2010年4月10日,中国市场总共发放的数字证书只有区区1110万张,其中机构数字证书590万张、个人数字证书516万张、设备证书9905张。再看另一组工信部的数据,截止到2010年4月22日,中国的上网人数达到4.04亿人;易观国际最新的数据,截止到2010年3月底,中国网银用户数达到2.11亿人!另据今年4月份在Gizmodo上公布的一份由INTAC绘制的全球专用服务器数量图上看,全球服务器数量粗略估计已经达到了5000万台以上。
数字不比不知道,一比吓一跳!《电子签名法》实施5周年来,我国的数字证书发放量比较起网民数、网银用户数和服务器数量,连1/20都不到,实在太微不足道了。这当然一方面说明,我国的电子认证服务市场大有可为;另一方面也不得不令人怀疑,是什么原因阻碍了数字证书在中国的快速应用?
《计算机世界》报社记者经过多方调查采访,终于找到了目前纠结在电子认证服务市场的四大纠结。
纠结一:数字证书不为人所知
很多人不了解数字证书——这是阻碍电子认证服务市场的第一大拦路虎。
为了了解究竟有多少业内人士了解数字证书(CA)和数字证书服务机构(CA机构),记者曾经在计世网的用户中心(http://user.ccw.com.cn/ucHome/vote.php?do=vote&ac=view&id=68793&uid=299547)发起一份调查:你了解电子签名和认证技术吗?结果只有18.9%的人100%了解;45.67%的人了解一半;35.43%的人完全不了解。有人问:“第一次听到ca,还以为是数字电视的条件接收呢”;还有人问“这个CA机构与CA公司是什么关系?”调查结果非常令人失望,这还是在专业的IT人士中的一次调查。在普通老百姓中呢?有多少人了解电子签名和认证呢?结果更不敢想象。
记者身边的很多朋友,有的经常使用网银,也有很多使用了U盾等各大商业银行发行的USB Key的人,当记者询问他们为什么要用时,他们的回答往往是:银行推荐的,也不知道为什么有了“用户名和密码”或者“刮刮卡”,还要用USB Key?
“这就是普通百姓对数字证书的最大认识误区,很多人只将电子认证作为身份认证的手段,等同于用户名/密码、动态口令等技术,这实在是对电子认证服务作用认识上的巨大片面性。”詹榜华告诉记者。“电子认证服务除了对身份进行认证外,最重要的是实现电子签名。“电子签名能保证信息的完整性和签名人对数据电文的认可,这是用户名/密码、动态口令等技术无法实现的,这才是电子认证最重要的价值,丢掉这一点,无异于‘自贬身价’、‘丢了西瓜,捡了芝麻’”。这只能说明,包括银行在内的一些数字认证服务机构,对自己的员工并没有进行专业的数字认证服务培训,员工可能自己都不懂,就更不具备对普通用户进行告之、解释和宣传的能力了。
普通用户对电子签名和服务不了解对电子签名技术应用的推广也许起不到太重要的推波助澜作用,直接采用电子认证服务的应用机构如果不了解,就直接会影响数字证书的发放了。
北京市东城区是实施电子签名与认证技术相对比较早的单位,这首先得益于该区首先在电子政务应用平台上使用了数字证书,让每个公务员都能实名登陆进入电子政务网。据东城区信息化工作办公室倪东副主任介绍,因为了解了电子认证服务的好处,东城区在全区范围内向社区全科医生也开始推广电子签名和数字证书。回想当初在开始推行这套系统时,倪东坦言难度不小。“大家刚开始用的时候很多人对数字证书都不了解,也不知道怎么用,所以我们当时是到全区几十个社区医疗卫生服务点去逐一培训,教会一个再到下一个。”
虽然一方面政府职能部门和电子认证服务机构在大力倡导、积极推进电子签名的应有。但是另一方面,作为用户机构,很多人刚开始确实不了解新兴的电子签名认证服务。比如,医院CIO对于电子签名的需求目前都还处于模糊认识阶段。
“首先对于电子签名的应用场景不甚明了,电子签名是用于环节与环节之间(譬如:医生与护士之间、医生与执行科室之间)的确认? 用于医院向有关机构举证的确认?用于完成或者未完成病历的确认?还是完成或者未完成医疗记录的确认?这些问题目前都还不清楚。其次,对于电子签名的适用性也比较模糊,譬如:基础设施条件、签名时机、对系统性能的影响、对数据库中的数据如何签名等。”解放军总医院计算机室主任薛万国自称,他本人对于上述这些问题都是很模糊的,因此,在考虑是否采用数字证书及电子认证服务时,也还处于摸索阶段。
此外,对于其他一些新兴的行业,比如电子商务、网游领域,数字证书能为他们带来什么?目前还真没人能说得清。以网游行业为例,网游行业最令人头疼的问题应该是对玩家的虚拟财产、虚拟武器、游戏帐号的安全保护问题,凭想象,电子签名技术应该是能应用在这其中的,但实际情况上,网游领域是数字证书尚未开垦的一片处女地,需要认证服务机构和网游技术开发者共同探讨,寻找到数字证书与应用合作的契合点,才可能真正将数字证书应用到网游领域,那时,市场就真正打开了。
总之,人们不了解数字证书,一方面是因为数字证书确实还是个新兴的市场领域,还需要领导、CA机构不断反复地向用户宣传、讲解;另一方面,需要CA机构与应用单位密切合作,找到真正的应用点,才能不断在一个又一个新领域开花结果。
纠结二:证书使用体验差
当下,越来越多的IT产品和IT服务都在强调要给用户提供最佳的使用体验。就例如苹果的手机、平板电脑,自从上市之后,即使是要从自己腰包中掏出不少银子,它们还是受到了各类用户的热捧,究其原因,很重要的一个原因就是苹果的产品给用户带来了极佳的使用体验。
电子认证服务的产品,是存储了用户数字证书的Usb Key,虽然它插上电脑就可以使用,但是对于很多不太熟悉电脑使用的人来说,使用中还是有些麻烦。
首先是安装的复杂性导致用户的担心。记者在安装某商业银行网上银行数字证书的时候,就曾经遇到系统不兼容的问题,记者的电脑安装了微软Windows7操作系统,数字证书安装中提示要求使用低版本的操作系统。为此,记者向客服人员咨询,对方表示这都是属于技术问题,用户只能按照要求降低系统版本。试想,谁愿意为了仅仅使用数字证书而重新安装操作系统?
其次是与其他流行通用软件不能相互认证性,导致使用体验极差。广州市信息安全测评中心副主任周晓斌对记者说:“在中国,使用数字证书的人群中,至少90%不是专业IT人员,对于数字证书的使用或多或少都会遇到各种问题。例如,数字证书的驱动程序,很多对浏览器有很高的要求,比如现在很多网银使用的数字证书不支持微软最新的IE8浏览器,不支持Firefox浏览器,这样给消费者会带来很大的麻烦。”同时,不被流行的浏览器认证,将导致用户经常面临困惑,由此制约数字证书的发放。以服务器数字证书为例,国内很多电子认证服务机构提供的服务器数字证书没有经过微软浏览器的安全认证,这会导致普通用户在访问基于微软浏览器的数字证书时,系统会反复提示:“你遇到了不安全的数字证书,是否还要继续。”试想,遇到这样的提示,哪个用户敢冒系统不安全的风险继续使用?即使有人还继续愿意使用,接下来需要安装各种控件,这就给很多用户带来心理不安。这是国内设备数字证书发放量到目前为止还不超过1万张的根本原因。
第三,各种CA机构颁发的数字证书不能相互认证,也是制约数字证书发放的根本原因。记者手头就曾经有3家网银的USB Key,但各自无法通用,使用起来非常不方便。过去专家曾经提议建立“根CA”或“桥CA”,目的是希望通过一个Key,能访问多个应用。但由于技术和商业模式的原因,这两种方式最终流产,而各个CA机构依然在条块分割的市场各自为战,无法合作。带来的最终结果是,增加用户的使用难度。
纠结三:自建CA隐患大
根据工业和信息化部网站披露的信息,截至2010年5月31日,全中国有效电子认证证书持有量合计11423482张。
但是有业内专家估计,全中国实际使用的电子认证证书的数量是这个数字的好几倍。那这些证书从何而来的呢?“都是从那些没有经过国家主管部门审批许可的电子认证服务机构发出来的。”该专家一语点出了这个“公开的秘密”。
目前,中国对电子认证服务行业实行的是行政许可和市场准入制度,2005年实施的《电子签名法》及《电子认证服务管理办法》确立了合法电子认证服务机构的认定程序和法律责任:由国务院信息产业主管部门依法对电子认证服务机构实施监督管理。这意味着,依照《电子签名法》成立的获得了工信部市场许可的CA机构,其签发的数字证书以及使用有效数字证书进行的可靠电子签名,均具法律效力。而那些没有获得工业和信息化部等权威部门许可的非第三方CA机构,根据《电子签名法》的规定,他们在未取得电子认证服务许可证前,其涉及的电子签名的法律效力有待鉴别。目前,没有获得国家主管部门批准建立的非第三方电子认证服务机构主要集中在金融行业。
记者曾经通过银行柜台和客户服务热线了解到,工、农、建、中四大银行都推出了各自的网银业务,其中前三家可以给网银用户提供数字证书服务。但据记者目前掌握的资料,为这些数字证书提供电子认证服务的,大都是这些银行自建的CA; 而根据来自主管部门的资料,这些CA机构都没有获得工业和信息化部颁发的电子认证服务许可证。
于是现在就存在了这样一个现实,银行的自建CA在没有得到行业主管部门的行政许可下,“无证”地进行着电子签名的认证服务。“无证”服务会给用户带了什么样的问题和风险呢?《计算机世界》报在2009年曾专门针对网上银行安全问题进行过专门的调查报道,我们发现,对于使用银行自建CA提供的数字证书,会带来以下两方面的风险:
首先,没有获得工业和信息化部等权威部门许可的银行自建CA,是自己发放数字证书,然后又自己验证发放的数字证书是否可靠,相当于又当“运动员又当裁判”,因此其签发的数字证书的法律效率有待鉴别;其次,由于银行自建CA,造成用户处于一个不平等的弱势地位,一旦发生纠纷,需要进行司法解决时,用户往往会取证困难,容易使自己的合法权益不能得到有利保护。
因此,如果金融机构这样的重量级用户能够采用依法建立的电子认证服务,不但能减少自身在部署和运营数字证书中存在的风险,更能整合电子认证服务机构的优势资源,形成合力推广电子认证服务,促进优质服务,确保网上应用系统安全、稳定、健康发展。
纠结四:服务有待深化
电子认证服务机构从名称和定义来说,都应该是一种服务机构,但现实情况是,由于许多CA机构都具有官方背景,还没有从管理者的角色中转变出来,因此,往往错误地将自己定位为管理机构而非服务机构。这给用户带来了新的困惑:很多人认为CA机构就是一个赚钱的部门,并且利润丰厚。因此大家竞相涌入这一领域。但现实情况如何呢?
张先生在一家电子商务公司工作,他对电子认证服务的质量就有很大的意见。他告诉记者:“我曾经去一个电子认证服务机构申请数字证书,一开始我以为很简单,结果完全不是那么回事。申请USB Key存储介质很复杂,申请的过程就像当初申办银行卡一样,不可能几分钟就能办好,让我等了将近半天时间,听说有人还等上好几天的。”张先生还向记者抱怨,申请了数字证书后,每年除了催缴服务费和数字证书更新费用时,平时根本不见不到CA的工作人员,就是在使用USB Key的过程中出现问题了,都是与对方技术人员电话沟通,从来没有见到过上门服务的情况。
作为业内人士,詹榜华表示,现在全国几十家电子认证服务机构的服务支撑能力良莠不齐,很多CA机构的服务水平达不到用户的需求,这才产生了用户的抱怨。“我们目前的几十家CA机构,最大的问题就是服务支撑能力。就是说电子认证服务能提供什么样的服务?目前绝大多数CA机构能做的就是发证书。用户来了,CA机构给发一个证书,然后什么都没有了。第二年证书需要更新了,用户再来,还是交钱走人,再给发一个证书,这根本就不是服务。”
詹榜华认为,CA机构应该打造以下四方面的服务能力:首先是要让用户相信你;其次让用户很方便得到服务;第三要很方便地使用服务;第四让服务能够给用户创造更多的价值。因此,北京CA很早就开始建立了以客户为中心的新型电子认证服务体系建设,并打造了这样一个技术平台,以便更好地为用户服务。
“目前很多CA机构的电子签名服务中,仅有身份认证和证书服务,没有签名应用服务,更没有针对电子签名的司法鉴定和诉讼代理服务,因此,用户在使用电子签名时不放心,还有顾虑。而且在过去,我们关注更多的是电子签名中的证书发放,对证书发放者的身份进行了认定,而缺乏对证书发放之后的作用、使用中的问题进行关注,也缺少相关的配套措施。”欧阳武说。对于未来如何加强推进电子认证服务,欧阳武希望能建立一种“傻瓜式”的便利服务体系。这就意味着,不但要完善技术体系,还需要形成服务的体系化; 不仅要完善电子认证服务机构的服务,还需要完善更多的后续配套的服务。
“目前全国有30家电子认证服务机构,有的业务就开展得很好,既有呼叫中心的服务,也有上门服务。所以,业界正在探讨,是否可以建立一个电子认证服务联盟。以一条龙的服务形式,确保用户在电子签名、电子认证、电子取证、司法诉讼中的任何一个环节,都有相关的机构可以提供优质可靠的服务。”欧阳武说。
周晓斌希望未来能形成类似“银联”这样的电子认证服务联盟组织,可解决不同CA机构发放的数字证书之间互相认证的问题,这样,可极大解决数字证书的易用性问题。“希望能有这样一个‘桥梁’,在要运用电子签名及数字证书的机构、个人和提供证书认证服务的机构,以及提供相关技术服务的厂商之间搭起一个桥梁,把大家全部都联起来了。”
这样联结起来,对电子认证服务行业会有怎样的好处呢?周晓斌表示,如果有了这样一座桥梁,不但可以把各个应用都联接起来,同时促使各家CA的证书,以及底层提供密码支撑的厂家形成统一的技术规划和要求。这样在未来,也许条块化的电子认证服务市场就可以被打破,促使各家电子认证服务机构成为真正的全国性服务机构,而不是只局限于某一地,从而让电子认证服务市场得到进一步扩大。
关注读览天下微信,
100万篇深度好文,
等你来看……