这是发布在2006年8月份《IT时报》上的采访稿,5年多过去了,电子签名在国内渐已推广,上海市数字证书认证中心有限公司也获得长足进步,当初他们借人“屋檐”,如今在四川北路豪杰国际广场买下一个楼面办公,在虹桥地区增设一个受理处,还开通了4008210540客服热线。
网络改变了我们生活、改变了我们的工作形态,从生产到销售、从操作到管理、从税收到年检,自动化办公、电子商务、电子政务等,现实生活里已经无网不在,无“网”不胜,但机遇和挑战同在。在虚拟世界里,网上身份如何确认?网上交易时对方发出的信息是否真实可信?诚信是进行各种网上行为的基础,而构架安全可信的网络环境是各种网上操作顺利开展的有利保障,国家颁布《电子签名法》已一年过去了 ,记者采访了相关专家。
用“数字”构建网上诚信体系
IT时报记者张一鸣摄影报道
上海将认真自检信息安全
据上海市信息化委员会有关负责人介绍,信息产业部将于今年10月前,组织检查组对《电子签名法》和《电子认证服务管理办法》的实施情况进行年度检查。年检将主要检查电子认证服务机构(CA)是否符合《电子签名法》、《电子认证服务管理办法》基本要求;二是检查CA的电子认证业务规则框架是否符合《电子认证业务规则规范(试行)》要求;三是检查CA的环境控制及运营管理措施是否符合其电子认证业务规则的承诺要求。重点是建立健全电子认证服务机构的安全管理、内部审计和保密制度,并对电子签名人和电子签名依赖方的资料切实予以保密。
上海市信息委要求各有关单位一是依据《电子认证服务机构年检指引》要求,认真和严格开展自检工作,并于8月30日前将已获得《电子认证服务许可证》CA的自检报告报信息委政策法规处,目前尚未获得信产部依法颁布的《电子认证服务许可证》并拟继续从事电子认证服务的单位,应当具备《电子认证服务管理办法》第五条规定的条件,并按照《电子认证服务管理办法》第六条的规定,积极依法申请电子认证服务资质。二是针对自检中暴露的问题,制定整改工作计划,积极采取有效措施逐步加以解决。该负责人还强调,作为第三方的CA机构,它是有准入门槛的,一旦经行政许可,上线了将不可退出,就好比水电煤气基础设施一样对全社会有承诺的,检查只是为了更好地为社会作好服务。
电子签名决非签名电子化
“我们公司1998年成立,是国内第一家第三方的数字认证机构,目前累计发证量已达到60万份,仅次于银联CA。”上海市数字证书认证中心有限公司总经理李国在接受采访时向记者介绍,“为了解决网络环境下交易或相关联当事人身份确认问题,在技术手段上的计算机口令、数字签名、生物技术(指纹、掌纹、视网膜纹、脑电波、声波、DNA等)签名等,统称为电子签名。”
上海市数字证书认证中心有限公司政策法务部总经理崔久强向记者说明了必须要弄清楚的三个概念:无论是传统签名还是电子签名,其主要功能一致:表明文件的来源,即识别签名人;表明签名人对文件内容的确认;能够构成签名人对文件内容正确性和完整性负责的根据。电子签名不是传统签名的电子化。从手段上来说,二者并无实质联系。之所以称其为“电子签名”,只是基于使用目的和履行的功能与传统签名相同而已。电子签名有多种方式,数字签名仅是其中的一种,即指采用非对称密钥加密技术制成的电子签名这一种。
“外界传言数字签名能被破解,其实那是误导,那2的1048次方的乘积是什么样的一个计算量,即便是超算中心连续运算也只是得到一长串的数字,并不能破解信息的内容。”李国向记者介绍,“作为网上身份的确认,数字签名的合法性和真实性必须由第三方来认证确认,而由CA 提供的数据,都将表明经过签名的一切行为都是具有公正性和不可抵赖性。”
用数字构建网上诚信链
“截至目前,我们已经获得诸多相关重要资质,通过国家密码管理委员会办公室的技术鉴定、上海市数字认证业务经营资质、国家保密局首批批准的具有涉密网集成资质的单位、公安部计算机信息系统安全产品销售许可证、通过国家信息安全测评中心的测评、通过国际质量体系 ISO9000认证、国家信息化安全应用示范单位……”李国指着墙上挂的和玻璃搁板上摆放着的各类牌证如数家珍般吐露。
“我们从网上证券做起,依托自身的应用接口体系,现在已发展并推广了B2B交易、网上招标、网上银行、网上证券、网上办公、网上年检、网上报税、企业内部信息系统、电子政务等基于CA技术的信任解决方案。”李国喜滋滋地继续他的介绍,“CA证书应用的对象涉及 金融、政府、石化、电力、医疗、物流、税务等领域。”
“上海市党政公务网 CA认证系统、国家信息安全 863重点工程(S219) –国家电子商务安全平台、中国外汇交易中心 CA认证系统、中国银行华东分中心 CA 认证系统、北京和安徽数字证书认证系统、包括海通证券等在内的 15家证券公司身份认证安全解决方案、上海大众汽车交易网身份认证安全方案……”从一长串的客户名单可以看出上海CA作为地方唯一有资质的认证中心的卓越成就。“本来企事业单位要上税,必须带着现金或支票和相关证件等到税务局上税,不管刮风下雨还是烈日炎炎,再要摊上交通成本和时间成本。现在建成的上海市税务局网上报税身份认证安全集成方案让经过CA认证的企业和个人,足不出户就可以完税。税务部门对使用标识其身份的数字证书登录网上纳税的电邮过来的数据进行处理、储存,并将处理结果反馈给纳税人,所有诸如企业账号、纳税额等申报信息都经过高强度加密,保证信息在安全状态下点对点地在纳税人与税务系统中传递,即使有人从中非法截获,也无从知道真实内容。它省事省力省钱,受到各方好评。”李国说到兴起一发不可收,“还有像大连期货交易所与经纪公司、经纪人的认证系统确保了交易各方的公平利益;上海政府采购中心CA认证系统只需网上免费下载标书,供方将填好的标书从网上发给采购中心,采购中心将几家标书分转给专家组,专家将意见回回馈给采购中心,然后综合考虑揭标,其便捷性和安全性足以让投标人放心。”
还有像重庆钢铁集团内部结算的也用到了上海CA认证系统,“因为集团内部的各企业独立核算,原料、矿石、运输、燃料、人工等诸多方面需要结算,如果没有可靠的系统来保障,几百万的资金划走谁负责?”李国还介绍全国的拍卖师也都“CA”了,其实像律师、著名设计师、专家级医生等需要在网上“从业”的都可以进行电子签名认证,这样可以防止假冒和被人骗。
像eBay易趣、阿里巴巴淘宝网上的个人开店和交易注册用户实际已经应用了电子签名和数字证书服务,只不过其加密的级别不是太高,但那庞大的数量,足以看出电子签名推广的前景。李国还是笑意灿烂地向记者介绍。
别看它像个小U盘,它可是不可复制的密钥,就是非法拥有却无法使用
上海市CA公司对外服务窗口
CA认证依旧任重道远
国务院发展研究中心研究员李广乾向记者表示,《电子签名法》规定,数据电文、电子签名主要适用于电子商务。李广乾认为,电子签名应该率先在电子政务方面推广,“政府部门应该是数字认证的有力推动者,应该是信用建设的先行者”。国务院信息化工作办公室陈小筑司长表示,《电子签名法》对公司辨别身份的真伪是起到一定作用,但并不能为电子商务解决所有问题,普及应用仍面临瓶颈。
也有专家提出,当发生纠纷时,谁对CA提供的数据合法性负责,是否也应该有类似司法举证服务中心的机构;上海CA总经理李国还表示,当关联双方都无过错,由于证书发放的错误,责任由CA承担。
今年2月,国务院办公厅转发的《关于网络信任体系建设的若干意见》强调的以密码技术为基础的数字认证,其事关信息安全,怎么讲都不过分。
《意见》指出,国家密码管理局要会同有关部门,尽快制定电子政务活动中使用电子签名、数据电文的具体办法,研究制定电子政务认证的规范性技术文件,明确协议标准,统一应用接口,规范服务模式,加强对电子政务认证工作的指导,实现电子政务电子认证的安全可控、互通互认。
鼓励电子商务中的电子认证服务适度竞争,提高资源利用水平。信息产业部要加强管理和指导,提高电子认证服务质量和可信度,推广电子签名应用,鼓励资源和服务共享,防止盲目重复建设。
张一鸣