eIDAS

eIDAS (для «услуг электронной идентификации, аутентификации и доверия») — это регламент ЕС , заявленной целью которого является регулирование « электронной идентификации и услуг доверия для электронных транзакций ». Он был принят в 2014 году, а его положения вступили в силу в период с 2016 по 2018 год. ^[1]^[2]

В 2023 году предлагаемое изменение закона позволит любому правительству ЕС осуществлять атаки «человек посередине» и шпионить за всеми интернет-сообщениями , включая зашифрованные сообщения. ^[3] Это предложение было осуждено группами исследователей кибербезопасности, неправительственными организациями и гражданским обществом как угроза правам человека, конфиденциальности и достоинству. ^[4]^[5]^[6]

Описание

Европейского Союза eIDAS курирует услуги электронной идентификации и доверия для электронных транзакций на внутреннем рынке . Он регулирует электронные подписи , электронные транзакции, участвующие органы и процессы их внедрения, чтобы обеспечить пользователям безопасный способ ведения бизнеса в Интернете, например, перевод электронных средств или транзакции с государственными услугами . И подписавший , и получатель могут иметь больше удобства и безопасности . Вместо того, чтобы полагаться на традиционные методы, такие как почта или факс , или лично появляться для подачи бумажных документов, они теперь могут выполнять транзакции через границы, например, с помощью « 1-Click ». технологии ^[2]^[7]

eIDAS создал стандарты, согласно которым электронные подписи, квалифицированные цифровые сертификаты , электронные печати , временные метки и другие механизмы подтверждения подлинности обеспечивают возможность электронных транзакций с той же юридической силой, что и транзакции, выполняемые на бумаге. ^[8]

Постановление вступило в силу в июле 2015 года как средство обеспечения безопасных и бесперебойных электронных транзакций внутри Европейского Союза. Государства-члены обязаны признавать электронные подписи, соответствующие стандартам eIDAS. ^[2]^[9]

Хронология

Закон был установлен Регламентом ЕС 910/2014 от 23 июля 2014 года об электронной идентификации и отменен 1999/93/EC с 13 декабря 1999 года. ^[1]^[2]

Он вступил в силу 17 сентября 2014 года и применяется с 1 июля 2016 года, за исключением отдельных статей, перечисленных в его статье 52. ^[10] Все организации, предоставляющие общедоступные цифровые услуги в государстве-члене ЕС, должны признать электронную идентификацию во всех государствах-членах ЕС с 29 сентября 2018 года. Это распространялось на все страны единого европейского рынка . ^[11]^[12]

В июле 2024 года Ассоциация go.eIDAS с рядом немецких технологических фирм и фондов запустила первый испытательный стенд eIDAS для выдачи PID-учетных данных для кошельков, совместимых с архитектурой и эталонной структурой (ARF). ^[13]

Зрение

eIDAS является результатом внимания Европейской комиссии к цифровой повестке дня Европы. Под надзором комиссии была внедрена система eIDAS для стимулирования цифрового роста в ЕС. ^[14]

Цель eIDAS — стимулировать инновации. Придерживаясь руководящих принципов, установленных для технологий в рамках eIDAS, организации подталкиваются к использованию более высоких уровней информационной безопасности и инноваций . Кроме того, eIDAS фокусируется на следующем: ^[9]^[15]

Функциональная совместимость : государства-члены обязаны создать общую структуру, которая будет распознавать электронные идентификаторы других государств-членов и обеспечивать их подлинность и безопасность. Это позволяет пользователям легко вести бизнес через границы.
Прозрачность : eIDAS предоставляет четкий и доступный список доверенных сервисов, которые можно использовать в рамках централизованной системы подписи. Это дает заинтересованным сторонам в области безопасности возможность участвовать в диалоге о лучших технологиях и инструментах для защиты цифровых подписей.

Регулируемые аспекты электронных сделок

Регламент обеспечивает нормативную среду для следующих важных аспектов, связанных с электронными транзакциями: ^[2]

Цифровая идентификация : общеевропейская структура (Европейский кошелек цифровой идентификации, EDIW) ^[16] для цифровой аутентификации граждан, имеющих юридическую силу. девять принципов европейской цифровой идентичности : Определены ^[17] выбор пользователя, конфиденциальность, совместимость и безопасность, доверие, удобство, согласие пользователя и пропорциональность контроля, знание коллег и глобальная масштабируемость.
Расширенная электронная подпись (AdES). Электронная подпись считается расширенной, если она соответствует определенным требованиям:
- Он предоставляет уникальную идентифицирующую информацию, которая связывает его с его подписавшим.
- Подписавшееся лицо имеет единоличный контроль над данными, используемыми для создания электронной подписи.
- Он должен быть способен определить, были ли подделаны данные, сопровождающие сообщение, после его подписания. Если подписанные данные изменились, подпись помечается как недействительная.
- Существует сертификат электронной подписи, электронное доказательство, которое подтверждает личность подписавшего и связывает данные проверки электронной подписи с этим лицом.
- Расширенные электронные подписи могут быть технически реализованы в соответствии со стандартом XAdES , PAdES , CAdES или ASiC Baseline Profile ( Associated Signature Containers ) для цифровых подписей, указанным ETSI . ^[18]
Квалифицированная электронная подпись — расширенная электронная подпись, создаваемая устройством создания квалифицированной электронной подписи на основе квалифицированного сертификата для электронных подписей.
Квалифицированный цифровой сертификат для электронной подписи — сертификат, удостоверяющий подлинность квалифицированной электронной подписи, выданный квалифицированным поставщиком доверенных услуг.
Квалифицированный сертификат аутентификации веб-сайта — квалифицированный цифровой сертификат в рамках доверенных служб, определенных в Регламенте eIDAS.
Служба доверия — электронная служба, которая создает, проверяет и проверяет электронные подписи , отметки времени , печати и сертификаты . Также служба доверия может обеспечивать аутентификацию веб-сайта и сохранение созданных электронных подписей, сертификатов и печатей. Этим занимается поставщик услуг доверия .
Списки доверенных лиц Европейского Союза ( EUTL )

Эволюция и правовые последствия

Регламент eIDAS произошел от Директивы 1999/93/EC, которая установила цель, которую должны были достичь государства-члены ЕС в отношении электронного подписания. Небольшие европейские страны были одними из первых, кто начал применять цифровые подписи и идентификацию, например, первая эстонская цифровая подпись была дана в 2002 году, а первая латвийская цифровая подпись была дана в 2006 году. Их опыт был использован для разработки теперь общеевропейского регулирования. , который стал обязательным законом на всей территории ЕС с первого июля 2016 года. ^[19] Директива 1999/93/EC возложила на государства-члены ЕС ответственность за разработку законов, которые позволили бы им достичь цели создания системы электронной подписи в ЕС. Директива также позволяла каждому государству-члену интерпретировать закон и налагать ограничения, тем самым предотвращая реальную функциональную совместимость и приводя к фрагментированному сценарию. ^[20] В отличие от директивы 1999 года, eIDAS обеспечивает взаимное признание eID для аутентификации среди государств-членов. ^[21] тем самым достигаясь цели создания Единого цифрового рынка .

eIDAS обеспечивает многоуровневый подход, имеющий юридическую ценность. Он требует, чтобы ни одна электронная подпись не могла быть лишена юридической силы или приемлемости в суде только потому, что она не является усовершенствованной или квалифицированной электронной подписью. ^[22] Квалифицированные электронные подписи должны иметь ту же юридическую силу, что и рукописные подписи. ^[23]

Для электронных печатей (вариантов подписей юридических лиц) прямо указывается доказательная сила , поскольку на печати должна действовать презумпция целостности и правильности происхождения прикрепленных данных. ^[24]

В июне 2021 года Комиссия предложила поправку и опубликовала рекомендацию. ^[25]^[26]^[27]

Атаки «человек посередине» и массовая слежка

В 2023 году в eIDAS было предложено изменение, которое позволит любому правительству ЕС контролировать все интернет-коммуникации , даже в зашифрованном виде. ^[5]^[3] Это предложение сработало по тому же механизму, что и попытка массовой слежки в Казахстане в 2019 году .

Это предложение вынудит производителей браузеров разместить в веб-браузерах бэкдор, позволяющий им выполнять атаку «человек посередине» , заставляя пользователей думать, что они общаются с запрошенным сервером, хотя на самом деле они будут общаться. напрямую с правительственным сервером. Затем правительственный сервер мог прочитать и изменить свои сообщения, прежде чем передать возможно измененное сообщение предполагаемому получателю. ^[28]

В случае принятия правительства ЕС в принципе смогут перехватывать любую информацию, передаваемую этими браузерами в зашифрованном виде, читать любой конфиденциальный или зашифрованный контент без ведома пользователя и изменять информацию по своему желанию. ^[29]^[30] Это вызывало особую обеспокоенность в странах с более слабым верховенством закона, где государство и связанные с ним субъекты могли использовать закон для шпионажа за своими гражданами в целях политических репрессий и личной выгоды. Кроме того, существовало беспокойство по поводу того, что это позволит частным лицам со связями в государстве получить доступ к средствам массовой слежки и злоупотреблять ими в своих целях. ^[4]^[6]

Хотя основная формулировка этого текста осталась в окончательном проекте, в текст были включены положения, которые позволяют производителям браузеров продолжать реализовывать положения безопасности, которые на практике затруднили бы этот тип перехвата, не будучи обнаруженным. ^[31] В частности, в окончательном проекте текста говорится следующее:

В отступление от параграфа 1 и только в случае обоснованных опасений, связанных с нарушением безопасности или потерей целостности идентифицированного сертификата или набора сертификатов, веб-браузеры могут принимать меры предосторожности в отношении этого сертификата или набора сертификатов.

что было истолковано как разрешение производителям браузеров продолжать использовать такие механизмы, как прозрачность сертификатов, для обеспечения безопасности браузера. ^[31]

Идентификационный номер

Информация базы данных должна быть связана с каким-то идентификационным номером . Чтобы подтвердить, что человек имеет право на доступ к некоторой личной информации, необходимо выполнить несколько шагов.

Подключение человека к номеру, что можно осуществить с помощью методов, разработанных в одной стране, например цифровых сертификатов .
Привязка номера к конкретной информации, выполняемая в базах данных.
Для eIDAS необходимо связать номер, используемый страной, располагающей информацией, с номером, используемым страной, выдающей цифровые сертификаты.

eIDAS имеет минимальное понятие личности, имя и дату рождения . Но для доступа к более конфиденциальной информации необходимо какое-то подтверждение того, что идентификационные номера, выданные двумя странами, относятся к одному и тому же человеку. ^[32]

Уязвимости

В октябре 2019 г. были обнаружены две бреши безопасности в eIDAS-Node (пример реализации профиля eID eIDAS, предоставленный Европейской комиссией). ^[33]) были обнаружены исследователями безопасности; обе уязвимости были исправлены для версии 2.3.1 eIDAS-Node. ^[34]

Европейская система самосуверенной идентичности

Европейский Союз начал ^{[ когда? ]} совместимой с eIDAS , создание Европейской системы самосуверенной идентификации (ESSIF), ^{[ нужна ссылка ]} но во многих странах пользователи должны быть клиентами Google или Apple, чтобы пользоваться услугами eIDAS.

ЕСТЛ

Списки доверенных лиц Европейского Союза (EUTL) — это общедоступный список, включающий более 200 действующих и устаревших поставщиков доверенных услуг (TSP), которые специально аккредитованы для обеспечения высочайшего уровня соответствия регламенту ЕС по электронной подписи eIDAS. ^[35]

См. также

Ссылки

^ Перейти обратно: ^а ^б Тернер, Дон. «Понимание eIDAS» . Криптоматика . Проверено 12 апреля 2016 г.
^ Перейти обратно: ^а ^б ^с ^д ^и «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC» . ЭУР-Лекс . Европейский Парламент и Совет Европейского Союза . Проверено 18 марта 2016 г.
^ Перейти обратно: ^а ^б https://blog.mozilla.org/netpolicy/files/2023/11/eIDAS-Industry-Letter.pdf
^ Перейти обратно: ^а ^б https://last-chance-for-eidas.org/
^ Перейти обратно: ^а ^б https://nce.mpi-sp.org/index.php/s/cG88cptFdaDNyRr
^ Перейти обратно: ^а ^б https://www.internetsociety.org/resources/doc/2023/qualified-web-authentication-certificates-qwacs-in-eidas/
^ ван Зийп, Жак. «Готов ли ЕС к eIDAS?» . Альянс безопасной идентификации. Архивировано из оригинала 22 ноября 2016 года . Проверено 18 марта 2016 г.
^ Тернер, Дон М. «eIDAS от директивы к регулированию – правовые аспекты» . Криптоматика . Проверено 18 марта 2016 г.
^ Перейти обратно: ^а ^б Бендер, Йенс. «Регулирование eIDAS: EID — возможности и риски» (PDF) . Bunde.de . Фраунгофера-Гезельшафт . Проверено 18 марта 2016 г.
^ Действующий eIDAS, правила применения и исключения на Europa.eu.
^ Информация о eIDAS , Коннектикус.
^ Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г.
^ «Тестовый стенд eIDAS успешно запущен» . www.eid.as. Проверено 19 июня 2024 г.
^ «Цифровая повестка дня для Европы» . ЭУР-Лекс . Европейская Комиссия . Проверено 18 марта 2016 г.
^ Дж.А., Ашик. «Программа eIDAS: инновации, совместимость и прозрачность» . Криптоматика . Проверено 18 марта 2016 г.
^ «Европейский кошелек цифровой идентификации | Формирование цифрового будущего Европы» . digital-strategy.ec.europa.eu . 13 июня 2022 г. Проверено 27 января 2024 г.
^ «К принципам и рекомендациям по совместимости eID на онлайн-платформах» (PDF) . Европа.eu . Европейская комиссия. Архивировано (PDF) из оригинала 24 июня 2019 года . Проверено 29 августа 2021 г.
^ Тернер, Дон М. «Разница между электронной и цифровой подписью» . Криптоматика . Проверено 21 апреля 2016 г.
^ «Положения, директивы и другие акты» . Европа.eu . Европейский Союз. Архивировано из оригинала 12 декабря 2013 года . Проверено 18 марта 2016 г.
^ «Понимание eIDAS – все, что вы когда-либо хотели знать о новом Регламенте ЕС об электронной подписи» . Юридические технологии . Архивировано из оригинала 17 января 2018 года . Проверено 1 марта 2016 г.
^ «Большой шаг на пути к единому европейскому цифровому рынку» (PDF) . Журнал «Внутри». Архивировано из оригинала (PDF) 27 марта 2019 года . Проверено 27 марта 2019 г.
^ Статьи 25 (1) и определения в статьях 3 (10)–3 (12).
^ Статья 25 (2)
^ Статья 35 (2)
^ «Комиссия предлагает надежную и безопасную цифровую идентификацию для всех европейцев» (пресс-релиз). Европейская комиссия. 3 июня 2021 г.
^ Процедура 2021/0136/COD на EUR-Lex , Процедура 2021/0136(COD) на ŒIL
^ Рекомендация Комиссии (ЕС) 2021/946 от 3 июня 2021 г. об общем наборе инструментов Союза для скоординированного подхода к Европейской системе цифровой идентификации на EUR-Lex.
^ https://www.eff.org/deeplinks/2021/12/eus-digital-identity-framework-endangers-browser-security .
^ https://www.eff.org/document/eidas-letter-2022.
^ https://mullvad.net/en/blog/2023/11/2/eu-digital-identity-framework-eidas-another-kind-of-chat-control/
^ Перейти обратно: ^а ^б Хопман, Яап-Хенк (20 ноября 2023 г.). «Некоторые замечания по окончательному тексту Европейской системы цифровой идентификации (eIDAS)» . blog.xot.nl. Проверено 25 ноября 2023 г.
^ Как создать связь между шведскими и зарубежными eID? (на шведском языке. Перевод названия: Как соединить шведский и зарубежный eID?)
^ «Пакет интеграции eIDAS-Node» . Европейская комиссия . Архивировано из оригинала 10 июня 2019 года . Проверено 29 октября 2019 г. Программное обеспечение eIDAS-Node содержит необходимые модули, помогающие государствам-членам взаимодействовать с другими аналогами, совместимыми с eIDAS, централизованно или распределенно.
^ Чимпану, Каталин (29 октября 2019 г.). «В системе аутентификации eIDAS ЕС устранена серьезная уязвимость» . ЗДНет . Архивировано из оригинала 29 октября 2019 года . Проверено 29 октября 2019 г. Уязвимость позволила бы злоумышленникам выдать себя за любого гражданина или предпринимателя ЕС.
^ https://helpx.adobe.com/document-cloud/kb/european-union-trust-lists.html.

Внешние ссылки

[Tuner_Understanding_eIDAS-1] Перейти обратно: ^а ^б Тернер, Дон. «Понимание eIDAS» . Криптоматика . Проверено 12 апреля 2016 г.

[eIDAS-EUR-Lex-2] Перейти обратно: ^а ^б ^с ^д ^и «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC» . ЭУР-Лекс . Европейский Парламент и Совет Европейского Союза . Проверено 18 марта 2016 г.

[blog.mozilla.org-3] Перейти обратно: ^а ^б https://blog.mozilla.org/netpolicy/files/2023/11/eIDAS-Industry-Letter.pdf

[last-chance-for-eidas.org-4] Перейти обратно: ^а ^б https://last-chance-for-eidas.org/

[nce.mpi-sp.org-5] Перейти обратно: ^а ^б https://nce.mpi-sp.org/index.php/s/cG88cptFdaDNyRr

[internetsociety.org-6] Перейти обратно: ^а ^б https://www.internetsociety.org/resources/doc/2023/qualified-web-authentication-certificates-qwacs-in-eidas/

[SecureIdentityAlliance-7] ван Зийп, Жак. «Готов ли ЕС к eIDAS?» . Альянс безопасной идентификации. Архивировано из оригинала 22 ноября 2016 года . Проверено 18 марта 2016 г.

[Turner-eIDAS-from-directive-to-reg-8] Тернер, Дон М. «eIDAS от директивы к регулированию – правовые аспекты» . Криптоматика . Проверено 18 марта 2016 г.

[Fraunhofer-EIDAS-9] Перейти обратно: ^а ^б Бендер, Йенс. «Регулирование eIDAS: EID — возможности и риски» (PDF) . Bunde.de . Фраунгофера-Гезельшафт . Проверено 18 марта 2016 г.

[10] Действующий eIDAS, правила применения и исключения на Europa.eu.

[11] Информация о eIDAS , Коннектикус.

[12] Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г.

[13] «Тестовый стенд eIDAS успешно запущен» . www.eid.as. Проверено 19 июня 2024 г.

[EUR-Lex-digital_agenda-14] «Цифровая повестка дня для Европы» . ЭУР-Лекс . Европейская Комиссия . Проверено 18 марта 2016 г.

[AshiqJA-eIDAS-agenda-15] Дж.А., Ашик. «Программа eIDAS: инновации, совместимость и прозрачность» . Криптоматика . Проверено 18 марта 2016 г.

[16] «Европейский кошелек цифровой идентификации | Формирование цифрового будущего Европы» . digital-strategy.ec.europa.eu . 13 июня 2022 г. Проверено 27 января 2024 г.

[17] «К принципам и рекомендациям по совместимости eID на онлайн-платформах» (PDF) . Европа.eu . Европейская комиссия. Архивировано (PDF) из оригинала 24 июня 2019 года . Проверено 29 августа 2021 г.

[Turner_Diff-Electronic-Digital-Sig-18] Тернер, Дон М. «Разница между электронной и цифровой подписью» . Криптоматика . Проверено 21 апреля 2016 г.

[EU-difference-regulation-directive-19] «Положения, директивы и другие акты» . Европа.eu . Европейский Союз. Архивировано из оригинала 12 декабря 2013 года . Проверено 18 марта 2016 г.

[20] «Понимание eIDAS – все, что вы когда-либо хотели знать о новом Регламенте ЕС об электронной подписи» . Юридические технологии . Архивировано из оригинала 17 января 2018 года . Проверено 1 марта 2016 г.

[21] «Большой шаг на пути к единому европейскому цифровому рынку» (PDF) . Журнал «Внутри». Архивировано из оригинала (PDF) 27 марта 2019 года . Проверено 27 марта 2019 г.

[22] Статьи 25 (1) и определения в статьях 3 (10)–3 (12).

[23] Статья 25 (2)

[24] Статья 35 (2)

[25] «Комиссия предлагает надежную и безопасную цифровую идентификацию для всех европейцев» (пресс-релиз). Европейская комиссия. 3 июня 2021 г.

[26] Процедура 2021/0136/COD на EUR-Lex , Процедура 2021/0136(COD) на ŒIL

[27] Рекомендация Комиссии (ЕС) 2021/946 от 3 июня 2021 г. об общем наборе инструментов Союза для скоординированного подхода к Европейской системе цифровой идентификации на EUR-Lex.

[28] ttps://www.eff.org/deeplinks/2021/12/eus-digital-identity-framework-endangers-browser-security .

[29] ttps://www.eff.org/document/eidas-letter-2022.

[30] ttps://mullvad.net/en/blog/2023/11/2/eu-digital-identity-framework-eidas-another-kind-of-chat-control/

[:0-31] Перейти обратно: ^а ^б Хопман, Яап-Хенк (20 ноября 2023 г.). «Некоторые замечания по окончательному тексту Европейской системы цифровой идентификации (eIDAS)» . blog.xot.nl. Проверено 25 ноября 2023 г.

[32] Как создать связь между шведскими и зарубежными eID? (на шведском языке. Перевод названия: Как соединить шведский и зарубежный eID?)

[eIDAS-Node,_EC,_2019-33] «Пакет интеграции eIDAS-Node» . Европейская комиссия . Архивировано из оригинала 10 июня 2019 года . Проверено 29 октября 2019 г. Программное обеспечение eIDAS-Node содержит необходимые модули, помогающие государствам-членам взаимодействовать с другими аналогами, совместимыми с eIDAS, централизованно или распределенно.

[Cimpanu,_ZDNet,_2019-34] Чимпану, Каталин (29 октября 2019 г.). «В системе аутентификации eIDAS ЕС устранена серьезная уязвимость» . ЗДНет . Архивировано из оригинала 29 октября 2019 года . Проверено 29 октября 2019 г. Уязвимость позволила бы злоумышленникам выдать себя за любого гражданина или предпринимателя ЕС.

[35] ttps://helpx.adobe.com/document-cloud/kb/european-union-trust-lists.html.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]