eIDAS ( е lectronic ID entification, uthentication и треста S ervices) является регулирование ЕС по электронной идентификации и трастовых услуг для электронных транзакций в едином европейском рынке . Он был установлен в соответствии с Регламентом ЕС 910/2014 от 23 июля 2014 г. об электронной идентификации и отменяет 1999/93 / EC с 13 декабря 1999 г. [1] [2]
Он вступил в силу 17 сентября 2014 года и применяется с 1 июля 2016 года, за исключением некоторых статей, перечисленных в его статье 52. [3] Все организации, предоставляющие публичные цифровые услуги в государстве-члене ЕС, должны признавать электронную идентификацию из всех государств-членов ЕС. от 29 сентября 2018 г. [4] [5]
Описание [ править ]
eIDAS курирует электронную идентификацию и трастовые услуги для электронных транзакций на внутреннем рынке Европейского Союза . Он регулирует электронные подписи , электронные транзакции, вовлеченные органы и процессы их встраивания, чтобы предоставить пользователям безопасный способ ведения бизнеса в Интернете, такого как электронные переводы средств или транзакции с общедоступными услугами . И подписавший, и получатель могут иметь больше удобства и безопасности . Вместо того, чтобы полагаться на традиционные методы, такие как почта или факс , или появляться лично для подачи бумажных документов, теперь они могут выполнять транзакции через границу, например " 1-Click""технология. [2] [6]
eIDAS разработал стандарты, в соответствии с которыми электронные подписи, квалифицированные цифровые сертификаты , электронные печати , отметки времени и другие доказательства для механизмов аутентификации позволяют осуществлять электронные транзакции с таким же юридическим статусом, что и транзакции, выполняемые на бумаге. [7]
Регламент вступил в силу в июле 2014 года как средство обеспечения безопасных и бесперебойных электронных транзакций в Европейском Союзе. Государства-члены обязаны признавать электронные подписи, соответствующие стандартам eIDAS. [2] [8]
Видение [ править ]
eIDAS является результатом внимания Европейской комиссии к цифровой повестке дня Европы. Под надзором Комиссии eIDAS была внедрена для стимулирования цифрового роста в ЕС. [9]
Цель eIDAS - стимулировать инновации. Придерживаясь руководящих принципов, установленных для технологий в рамках eIDAS, организации подталкивают к использованию более высоких уровней информационной безопасности и инноваций . Кроме того, eIDAS уделяет особое внимание следующему: [8] [10]
- Функциональная совместимость : государства-члены должны создать общую структуру, которая будет распознавать идентификаторы eID других государств-членов и обеспечивать их подлинность и безопасность. Это позволяет пользователям легко вести бизнес за границей.
- Прозрачность : eIDAS предоставляет четкий и доступный список доверенных сервисов, которые могут использоваться в рамках централизованной системы подписи. Это позволяет заинтересованным сторонам в области безопасности участвовать в диалоге о лучших технологиях и инструментах для защиты цифровых подписей.
Регулируемые аспекты электронных транзакций [ править ]
Регламент обеспечивает нормативную среду для следующих важных аспектов, связанных с электронными транзакциями: [2]
- Расширенная электронная подпись : электронная подпись считается расширенной, если она соответствует определенным требованиям:
- Он предоставляет уникальную идентифицирующую информацию, которая связывает его с подписавшим его лицом.
- Подписывающее лицо имеет исключительный контроль над данными, используемыми для создания электронной подписи.
- Он должен быть способен идентифицировать, были ли данные, сопровождающие сообщение, изменены после подписания. Если подписанные данные изменились, подпись помечается как недействительная.
- Существует сертификат электронной подписи, электронное доказательство, которое подтверждает личность подписавшего и связывает данные проверки электронной подписи с этим лицом.
- Расширенные электронные подписи могут быть технически реализованы в соответствии со стандартом XAdES , PAdES , CAdES или ASiC Baseline Profile ( связанные контейнеры подписи ) для цифровых подписей, определенным ETSI . [11]
- Квалифицированная электронная подпись , усовершенствованная электронная подпись, которая создается квалифицированным устройством для создания электронной подписи на основе квалифицированного сертификата для электронных подписей.
- Квалифицированный цифровой сертификат для электронной подписи , сертификат, подтверждающий подлинность квалифицированной электронной подписи, выданный квалифицированным поставщиком доверенных услуг.
- Квалифицированный сертификат аутентификации веб-сайта , квалифицированный цифровой сертификат в рамках служб доверия, определенных в Регламенте eIDAS.
- Служба доверия , электронная служба, которая создает, проверяет и проверяет электронные подписи , отметки времени , печати и сертификаты . Также служба доверия может обеспечивать аутентификацию веб-сайта и сохранение созданных электронных подписей, сертификатов и печатей. Этим занимается провайдер трастовых услуг .
Эволюция и правовые последствия [ править ]
Регламент eIDAS возник на основе Директивы 1999/93 / EC, которая поставила цель, которую государства-члены ЕС должны были достичь в отношении электронной подписи. Небольшие европейские страны были одними из первых, кто начал внедрять цифровые подписи и идентификацию, например, первая цифровая подпись Эстонии была дана в 2002 году, а первая латвийская цифровая подпись была дана в 2006 году. постановление , которое стало обязательным в качестве закона на всей территории ЕС с 1 июля 2016 года. [12] Директива заставила государства-члены ЕСотвечает за создание законов, которые позволят им достичь цели создания системы электронной подписи в ЕС. Директива также позволила каждому государству-члену интерпретировать закон и налагать ограничения, тем самым предотвращая реальную совместимость и приводя к фрагментированному сценарию. [13] В отличие от этой директивы, eIDAS обеспечивает взаимное признание eID для аутентификации между государствами-членами [14], таким образом достигая цели единого цифрового рынка .
eIDAS обеспечивает многоуровневый подход, имеющий юридическую ценность. Он требует, чтобы никакая электронная подпись не была лишена юридической силы или приемлемости в суде только потому, что она не является усовершенствованной или квалифицированной электронной подписью. [15] Квалифицированные электронные подписи должны иметь такую же юридическую силу, что и собственноручные подписи. [16]
Для электронных печатей (версии подписей юридических лиц) доказательная сила явно указана, поскольку печати должны обладать презумпцией целостности и правильности происхождения прилагаемых данных. [17]
Идентификационный номер [ править ]
Информация в базе данных должна быть связана с каким-то идентификационным номером. Чтобы удостовериться, что человек имеет право на доступ к некоторой личной информации, необходимо выполнить несколько шагов.
- Подключение человека к номеру, которое может быть выполнено с помощью методов, разработанных в одной стране, таких как цифровые сертификаты.
- Связь номера с конкретной информацией, сделанной в базах данных.
- Для eIDAS необходимо связать номер, используемый страной, имеющей информацию, с номером, используемым страной, выдающей цифровые сертификаты.
В eIDAS есть как минимум понятие личности, имя и дата рождения. Но для доступа к более конфиденциальной информации необходима какая-то сертификация, согласно которой идентификационные номера, выданные двумя странами, относятся к одному и тому же лицу. [18]
Уязвимости [ править ]
В октябре 2019 г. исследователи безопасности обнаружили два недостатка безопасности в eIDAS-Node (образец реализации профиля eID eIDAS, предоставленный Европейской комиссией [19] ); обе уязвимости были исправлены для версии 2.3.1 eIDAS-Node. [20]
Европейская система суверенной идентичности [ править ]
Европейский Союз создает совместимую с eIDAS Европейскую систему суверенной идентичности (ESSIF).
Ссылки [ править ]
- ^ Тернер, Рассвет. «Понимание eIDAS» . Криптоматический . Проверено 12 апреля +2016 .
- ^ a b c d «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 года об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и отменяющий Директиву 1999/93 / EC» . EUR-Lex . Европейский парламент и Совет Европейского Союза . Проверено 18 марта +2016 .
- ^ Действующая eIDAS, ее применение и исключения на Europa.eu
- ^ Информация на eIDAS , Коннектис.
- ^ Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г.
- ^ ван Зейп, Жак. «Готов ли ЕС к eIDAS?» . Secure Identity Alliance. Архивировано из оригинального 22 ноября 2016 года . Проверено 18 марта +2016 .
- ^ Тернер, Дон М. «eIDAS от директивы к регулированию - правовые аспекты» . Криптоматический . Проверено 18 марта +2016 .
- ^ a b Бендер, Йенс. «Регулирование eIDAS: EID - возможности и риски» (PDF) . Bunde.de . Fraunhofer-Gesellschaft . Проверено 18 марта +2016 .
- ^ «Цифровая повестка дня для Европы» . EUR-Lex . Европейская комиссия . Проверено 18 марта +2016 .
- ^ JA, Ашик. «Повестка дня eIDAS: инновации, функциональная совместимость и прозрачность» . Криптоматический . Проверено 18 марта +2016 .
- ^ Тернер, Дон М. «Разница между электронной подписью и цифровой подписью» . Криптоматический . Проверено 21 апреля 2016 года .
- ^ «Положения, директивы и другие акты» . Europa.eu . Европейский Союз. Архивировано из оригинального 12 декабря 2013 года . Проверено 18 марта +2016 .
- ^ «Понимание eIDAS - Все, что вы когда-либо хотели знать о новом Регламенте ЕС об электронной подписи» . Юридические технологии . Проверено 1 марта +2016 .
- ^ «Большой шаг к единому европейскому цифровому рынку» (PDF) . Журнал Inside . Проверено 27 марта 2019 .
- ^ Статьи 25 (1) и определения в статьях 3 (10) - 3 (12)
- ^ Статья 25 (2)
- ^ Статья 35 (2)
- ^ Hur skapar du en koppling mellan svenska och utländska eID: n? (на шведском. Перевод названия: Как связать шведский и иностранный eID?)
- ^ "Пакет интеграции eIDAS-Node" . Европейская комиссия . Архивировано из оригинала (html) 10 июня 2019 года . Проверено 29 октября 2019 года .
Программное обеспечение eIDAS-Node содержит необходимые модули, помогающие государствам-членам централизованно или распределенно взаимодействовать с другими партнерами, совместимыми с eIDAS.
- ^ Cimpanu, Каталин (29 октября 2019). «Основная уязвимость исправлена в системе аутентификации ЕС eIDAS» . ZDNet . Архивировано из оригинала (html) 29 октября 2019 года . Проверено 29 октября 2019 года .
Уязвимость позволила бы злоумышленникам выдать себя за любого гражданина ЕС или компанию.
Внешние ссылки [ править ]
- «ПОСТАНОВЛЕНИЕ (ЕС) № 910/2014 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и отменяющее Директиву 1999/93 / EC» . - Текст постановления ЕС по eIDAS.