Поставщик услуг доверия ( TSP ) является физическим или юридическим лицом обеспечения и сохранение цифровых сертификатов для создания и проверок электронной подписи и аутентификации их подписавших, а также веб - сайтов в целом. [1] [2] Поставщики трастовых услуг - это квалифицированные центры сертификации, которые требуются в Европейском Союзе и Швейцарии в контексте регулируемых процедур электронной подписи . [3]
История
Термин « поставщик трастовых услуг» был введен Европейским парламентом и Европейским советом в качестве важного и соответствующего органа, обеспечивающего неизменность регулируемой процедуры электронной подписи . Впервые он был упомянут в Директиве об электронных подписях 1999/93 / EC и первоначально назывался поставщиком сертификационных услуг. Директива была отменена в eIDAS регулирования , который стал официальным на 1 июля 2016 года [2] [4] регулирование является обязательным законодательным актом , который требует , чтобы все государства - члены ЕС следовать. [5]
Описание
Поставщик трастовых услуг несет ответственность за обеспечение целостности электронной идентификации для подписавших сторон и услуг с помощью надежных механизмов аутентификации , электронных подписей и цифровых сертификатов . eIDAS определяет стандарты того, как поставщики услуг доверия должны предоставлять свои услуги аутентификации и неотказуемости . Регламент представляет собой руководство для государств-членов ЕС о том, как должны регулироваться и признаваться поставщики трастовых услуг.
Услуга доверия определяется как электронная услуга, которая предполагает одно из трех возможных действий. Во-первых, это может касаться создания, проверки или подтверждения электронных подписей, а также отметок времени или печатей , услуг доставки с электронной регистрацией и сертификатов , которые требуются для этих услуг. Второе действие влечет за собой создание, проверку, а также проверку сертификатов, которые используются для аутентификации веб-сайтов. Третье действие - это сохранение этих электронных подписей, печатей или соответствующих сертификатов.
Чтобы быть повышенным до уровня квалифицированной службы доверия, служба должна соответствовать требованиям, установленным в соответствии с Регламентом eIDAS. Трастовые услуги обеспечивают основу доверия, которая способствует продолжению отношений для электронных транзакций, которые проводятся между участвующими странами-членами ЕС и организациями. [1] [6]
Роль квалифицированного поставщика трастовых услуг
Квалифицированный поставщик трастовых услуг играет важную роль в процессе квалифицированной электронной подписи. Поставщикам трастовых услуг должен быть предоставлен квалифицированный статус и разрешение надзорного государственного органа на предоставление квалифицированных цифровых сертификатов, которые могут использоваться для создания квалифицированных электронных подписей. eIDAS требует, чтобы ЕС вел список доверия ЕС, в котором перечислены поставщики и услуги, получившие квалификационный статус. Поставщик трастовых услуг не имеет права предоставлять квалифицированные трастовые услуги, если они не включены в список доверия ЕС. [1] [7]
Поставщики услуг доверия, внесенные в список доверия ЕС, обязаны соблюдать строгие правила, установленные в рамках eIDAS. При создании сертификатов им необходимо предоставить метки, действительные по времени и дате. Подписи, у которых истек срок действия сертификатов, необходимо немедленно отозвать. ЕС обязывает поставщиков трастовых услуг проводить соответствующее обучение для всего персонала, нанятого провайдером трастовых услуг. Они также должны предоставлять такие инструменты, как программное и аппаратное обеспечение, которые заслуживают доверия и способны предотвратить подделку производимых сертификатов. [1] [2]
Зрение
Одной из основных целей eIDAS было облегчение как общественных, так и деловых услуг, особенно тех, которые предоставляются между сторонами через границы государств-членов ЕС. Эти транзакции теперь можно безопасно ускорить с помощью средств электронной подписи и услуг, предоставляемых поставщиками услуг доверия в отношении обеспечения целостности этих подписей.
Государства-члены ЕС должны через eIDAS создавать «точки единого контакта» (PSC) для доверительных услуг, которые гарантируют, что электронные схемы идентификации могут использоваться для межправительственных транзакций в государственном секторе, включая обмен и доступ к медицинской информации через границы. [2] [8] [9]
Правовая перспектива электронных подписей, созданных поставщиками трастовых услуг
В то время как усовершенствованная электронная подпись является юридически обязательной в соответствии с eIDAS, квалифицированная электронная подпись , созданная квалифицированным поставщиком трастовых услуг, имеет более высокую доказательную ценность при использовании в качестве доказательства в суде. Поскольку считается, что авторство подписи не подлежит сомнению , подлинность подписи не может быть легко оспорена. Страны-члены ЕС обязаны принимать квалифицированные электронные подписи, созданные с помощью квалифицированного сертификата из других государств-членов, как действительные. Согласно Регламенту eIDAS, то есть статье 24 (2), подпись, созданная с помощью квалифицированного сертификата, имеет такую же юридическую силу, что и собственноручная подпись в суде. [2] [3] [10]
Стандарты развиваются. Дополнительные стандарты, включая определения политик для поставщиков услуг доверия, разрабатываются Европейским институтом стандартов электросвязи ETSI . [11]
Глобальная перспектива
Швейцарский стандарт цифровой подписи ZertES определил сопоставимую концепцию поставщиков услуг сертификатов. Провайдеры сертификационных услуг должны проходить аудит со стороны органов по оценке соответствия, назначенных Schweizerische Akkreditierungsstelle . [12] В Соединенных Штатах стандарт цифровой подписи (DSS) NIST в его текущей версии не знает ничего, что можно было бы сравнить с квалифицированным поставщиком трастовых услуг, что позволило бы улучшить неотказуемость с помощью квалифицированного сертификата подписавшего. Однако авторы предстоящего обзора и комментаторы публично обсуждают поправку, аналогичную подходу eIDAS и ZertES к предоставлению доверенных услуг. [13] [14] Для обеспечения строгих и неотвратимых глобальных транзакций и юридической значимости потребуется международная гармонизация.
Полемика
Несколько исследовательских институтов и ассоциаций выразили озабоченность по поводу создания небольшой группы централизованных поставщиков услуг доверия в каждой стране, которые аутентифицируют цифровые транзакции. Они заявляют, что эта конструкция может негативно повлиять на конфиденциальность. Учитывая центральную роль поставщиков услуг доверия во многих транзакциях, Совет европейских обществ профессиональной информатики (CEPIS) опасается, что поставщики услуг доверия будут получать и собирать информацию об отличительных характеристиках граждан, которые подлежат аутентификации. Что касается требований к сохранению данных и ожидаемых усилий по сохранению доказательств для запросов о потенциальной ответственности по неточным идентификаторам, CEPIS видит риск того, что поставщики услуг доверия могут создавать и хранить записи журналов всех процессов аутентификации. Полученная информация позволяет отслеживать и профилировать вовлеченных граждан. Если партнер транзакции также идентифицирует себя, интересы пользователей и их коммуникационное поведение дополнительно улучшат полученные профили. Анализ больших данных позволит глубже понять частную жизнь и отношения граждан. Прямая связь с соответствующими государственными органами может позволить им получить доступ к полученным данным и профилям. [15]
В другой публикации утверждается, что для того, чтобы по-настоящему воспользоваться преимуществами безопасных и бесшовных трансграничных электронных транзакций, необходимо более точно указать уровни гарантии, определения и техническое развертывание. [16]
Рекомендации
- ^ a b c d Тернер, Дон М. «Поставщики услуг доверия согласно eIDAS» . Криптоматический . Проверено 22 июня +2016 .
- ^ а б в г д «ПОСТАНОВЛЕНИЕ (ЕС) № 910/2014 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и отменяющее Директиву 1999/93 / EC» . EUR-Lex . ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА . Проверено 18 марта 2016 .
- ^ а б Тернер, Рассвет. «Понимание eIDAS» . Криптоматический . Проверено 12 апреля +2016 .
- ^ «Директива 1999/93 / EC Европейского парламента и Совета от 13 декабря 1999 г. о структуре Сообщества для электронных подписей» . Официальный журнал Европейского парламента . Проверено 22 июня +2016 .
- ^ Тернер, Дон М. «eIDAS от директивы к регулированию» . Криптоматический . Проверено 29 июня +2016 .
- ^ Бендер, Йенс. «Регулирование eIDAS: EID - возможности и риски» (PDF) . Bunde.de . Fraunhofer-Gesellschaft . Проверено 18 марта 2016 .
- ^ «Электронные подписи и инфраструктуры (ESI); Оценка соответствия поставщика доверительных услуг - Требования к органам по оценке соответствия, оценивающим поставщиков доверительных услуг» (PDF) . Европейский институт телекоммуникационных стандартов . Проверено 22 июня +2016 .
- ^ Тернер, Дон М. «Расширенные электронные подписи для eIDAS» . Криптоматический . Проверено 22 июня +2016 .
- ^ Керикмяэ, Танел; Рулл, Адди (2016). Будущее права и электронных технологий . Springer. С. 63–64. ISBN 978-3-319-26894-1.
- ^ «Положения, директивы и другие акты» . Europa.eu . Европейский Союз. Архивировано из оригинального 12 декабря 2013 года . Проверено 18 марта 2016 .
- ^ «Центры сертификации и другие поставщики услуг доверия» . Европейский институт телекоммуникационных стандартов . Проверено 22 июня +2016 .
- ^ Der Schweizerische Bundesrat. "Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES)" . Дата обращения 12 мая 2016 .
- ^ «FIPS PUB 186-4 - ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ: Стандарт цифровой подписи (DSS)» (PDF) . Национальный институт стандартов и технологий . Проверено 22 июня +2016 .
- ^ Тернер, Рассвет. "Является ли стандарт цифровой подписи DSS юридически обязательным?" . Криптоматический . Проверено 22 июня +2016 .
- ^ Хёльбл, Марко. «Позиция по электронной идентификации и доверительным услугам (eIDAS)» (PDF) . Совет европейских обществ профессиональных информатиков (CEPIS) . Проверено 24 июня +2016 .
- ^ ван Зейп, Жак. «Готов ли ЕС к eIDAS?» . Secure Identity Alliance. Архивировано из оригинального 22 ноября 2016 года . Проверено 24 июня +2016 .