Поставщик доверенных услуг

Поставщик трастовых услуг ( TSP ) — это физическое или юридическое лицо, предоставляющее и сохраняющее цифровые сертификаты для создания и проверки электронных подписей , а также для аутентификации подписавших их лиц, а также веб-сайтов в целом. ^[1]^[2] Поставщики трастовых услуг — это квалифицированные центры сертификации, необходимые в Европейском Союзе и Швейцарии в контексте регулируемых процедур электронной подписи . ^[3]

История

Термин «поставщик трастовых услуг» был придуман Европейским парламентом и Европейским советом как важный и актуальный орган, обеспечивающий невозможность отказа от регулируемой процедуры электронной подписи . Впервые он был упомянут в Директиве об электронных подписях 1999/93/EC и первоначально назывался поставщиком сертификационных услуг. Директива была отменена Регламентом eIDAS , который вступил в силу 1 июля 2016 года. ^[2]^[4] Регламент – это обязательный законодательный акт, который требует всеми государствами-членами ЕС . соблюдения ^[5]

Описание

Поставщик трастовых услуг несет ответственность за обеспечение целостности электронной идентификации подписавших сторон и услуг посредством надежных механизмов аутентификации , электронных подписей и цифровых сертификатов . eIDAS определяет стандарты того, как поставщики услуг доверия должны предоставлять свои услуги аутентификации и неотказуемости . Регламент содержит рекомендации для стран-членов ЕС о том, как следует регулировать и признавать поставщиков трастовых услуг.

Доверительная служба определяется как электронная услуга, которая влечет за собой одно из трех возможных действий. Во-первых, это может касаться создания, проверки или подтверждения электронных подписей, а также отметок времени или печатей , услуг доставки, зарегистрированных в электронной форме, и сертификатов , которые требуются для этих услуг. Второе действие влечет за собой создание, проверку, а также проверку сертификатов, которые используются для аутентификации веб-сайтов. Третье действие — сохранение этих электронных подписей, печатей или соответствующих сертификатов.

Чтобы быть повышенным до уровня квалифицированного трастового сервиса, сервис должен соответствовать требованиям, установленным Регламентом eIDAS. Трастовые услуги обеспечивают структуру доверия, которая облегчает продолжение отношений для электронных транзакций, которые проводятся между участвующими государствами-членами ЕС и организациями. ^[1]^[6]

Роль квалифицированного поставщика трастовых услуг

Квалифицированный поставщик трастовых услуг играет важную роль в процессе квалифицированной электронной подписи. Поставщикам трастовых услуг должен быть присвоен квалифицированный статус и разрешение надзорному государственному органу на предоставление квалифицированных цифровых сертификатов , которые можно использовать для создания квалифицированных электронных подписей. eIDAS требует, чтобы ЕС вел Доверительный список ЕС, в котором перечислены поставщики и услуги, получившие квалифицированный статус. Поставщик трастовых услуг не имеет права предоставлять квалифицированные трастовые услуги, если он не включен в список доверия ЕС. ^[1]^[7]

Поставщики трастовых услуг, включенные в Список доверия ЕС, обязаны следовать строгим правилам, установленным eIDAS. При создании сертификатов им необходимо предоставить действительные по времени и дате штампы. Подписи с истекшими сертификатами должны быть немедленно отозваны. ЕС обязывает поставщиков трастовых услуг проводить соответствующее обучение для всего персонала, нанятого поставщиком трастовых услуг. Они также должны предоставлять такие инструменты, как программное и аппаратное обеспечение, заслуживающие доверия и способные предотвратить подделку выпускаемых сертификатов. ^[1]^[2]

Зрение

Одной из основных целей eIDAS было содействие как государственным, так и бизнес-услугам, особенно тем, которые предоставляются между сторонами через границы государств-членов ЕС. Эти транзакции теперь можно безопасно ускорить с помощью средств электронной подписи и услуг, предоставляемых поставщиками трастовых услуг в отношении обеспечения целостности этих подписей.

Государства-члены ЕС обязаны через eIDAS создать «точки единого контакта» (PSC) для трастовых услуг, которые гарантируют, что схемы электронной идентификации могут использоваться для трансграничных транзакций государственного сектора, включая обмен медицинской информацией и доступ к ней через границы. ^[2]^[8]^[9]

Правовой аспект электронных подписей, создаваемых поставщиками трастовых услуг

Хотя расширенная электронная подпись имеет юридическую силу в соответствии с eIDAS, квалифицированная электронная подпись , созданная квалифицированным поставщиком трастовых услуг, имеет более высокую доказательную силу при использовании в качестве доказательства в суде. Поскольку авторство подписи считается неоспоримым , подлинность подписи нелегко оспорить. Государства-члены ЕС обязаны признавать действительными квалифицированные электронные подписи, созданные с использованием квалифицированного сертификата других государств-членов. Согласно Регламенту eIDAS, то есть статье 24 (2), подпись, созданная с помощью квалифицированного сертификата, имеет ту же юридическую силу, что и собственноручная подпись в суде. ^[2]^[3]^[10]

Стандарты развиваются. Дополнительные стандарты, включая определения политики для поставщиков доверительных услуг, разрабатываются Европейским институтом телекоммуникационных стандартов ETSI . ^[11]

Глобальная перспектива

Швейцарский стандарт цифровой подписи ZertES определил аналогичную концепцию поставщиков услуг сертификации. Поставщики сертификационных услуг должны проходить проверку со стороны органов по оценке соответствия, назначенных Швейцарской аккредитационной службой [ де ] . ^[12]В Соединенных Штатах стандарт цифровой подписи (DSS) NIST в его текущей версии не знает ничего, сравнимого с квалифицированным поставщиком услуг доверия, который позволил бы повысить надежность невозможности отказа посредством квалифицированного сертификата подписавшего. Однако авторы предстоящего обзора и комментаторы публично обсуждают поправку, аналогичную подходу eIDAS и ZertES к предоставлению доверенных услуг. ^[13]^[14] Чтобы обеспечить строгие и неоспоримые глобальные транзакции и юридическую значимость , потребуется международная гармонизация.

Споры

Несколько исследовательских институтов и ассоциаций выразили обеспокоенность по поводу создания небольшой группы централизованных поставщиков доверительных услуг в каждой стране, которые аутентифицируют цифровые транзакции. Они заявляют, что эта конструкция может оказать негативное влияние на конфиденциальность. Учитывая центральную роль поставщиков трастовых услуг во многих транзакциях, Совет европейских профессиональных обществ информатики (CEPIS) опасается, что поставщики трастовых услуг будут получать и собирать информацию об отличительных признаках граждан, которые подлежат аутентификации. Что касается требования сохранять данные и, как следствие, ожидаемых усилий по сохранению доказательств потенциальных запросов об ответственности за неточный идентификатор, CEPIS видит риск того, что поставщики услуг доверия могут создавать и хранить записи журналов всех процессов аутентификации. Полученная информация позволяет осуществлять мониторинг и профилирование вовлеченных граждан. Если контрагент транзакции также идентифицирует себя, интересы пользователей и их коммуникационное поведение дополнительно обострят полученные профили. Анализ больших данных позволит получить далеко идущее представление о конфиденциальности и отношениях граждан. Прямая связь с соответствующими государственными органами может позволить им получить доступ к полученным данным и профилям. ^[15]

В другой публикации утверждается, что для того, чтобы по-настоящему воспользоваться преимуществами безопасных и бесперебойных трансграничных электронных транзакций, необходимо более точно указать уровни обеспечения, определения и техническое развертывание. ^[16]

В 2021 году относительно расплывчатые предлагаемые обновления eIDAS потребуют от браузеров передавать гарантии от TSP своим пользователям. Это, по-видимому, потребует включения определенных правительством TSP параллельно с существующими многосторонними процессами, используемыми браузерами для установления доверия к центрам сертификации . Internet Society и Mozilla заявили о ряде проблем, связанных с этими предложениями. ^[17]^[18]

См. также

eIDAS

Ссылки

^ Jump up to: ^а ^б ^с ^д Тернер, Дон М. «Поставщики трастовых услуг в соответствии с eIDAS» . Криптоматика . Проверено 22 июня 2016 г.
^ Jump up to: ^а ^б ^с ^д ^и «РЕГЛАМЕНТ (ЕС) № 910/2014 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC» . ЭУР-Лекс . ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА . Проверено 18 марта 2016 г.
^ Jump up to: ^а ^б Тернер, Дон. «Понимание eIDAS» . Криптоматика . Проверено 12 апреля 2016 г.
^ «Директива 1999/93/EC Европейского парламента и Совета от 13 декабря 1999 г. о системе Сообщества для электронных подписей» . Официальный журнал Европейского парламента . Проверено 22 июня 2016 г.
^ Тернер, Дон М. «eIDAS от директивы к регулированию» . Криптоматика . Проверено 29 июня 2016 г.
^ Бендер, Йенс. «Регулирование eIDAS: EID — возможности и риски» (PDF) . Bunde.de . Фраунгофера-Гезельшафт . Проверено 18 марта 2016 г.
^ «Электронные подписи и инфраструктуры (ESI); Оценка соответствия поставщика доверенных услуг. Требования к органам по оценке соответствия, оценивающим поставщиков доверенных услуг» (PDF) . Европейский институт телекоммуникационных стандартов . Проверено 22 июня 2016 г.
^ Тернер, Дон М. «Расширенные электронные подписи для eIDAS» . Криптоматика . Проверено 22 июня 2016 г.
^ Керикмяэ, Танель; Рулл, Адди (2016). Будущее права и электронных технологий . Спрингер. стр. 63–64. ISBN 978-3-319-26894-1 .
^ «Положения, директивы и другие акты» . Европа.eu . Европейский Союз. Архивировано из оригинала 12 декабря 2013 года . Проверено 18 марта 2016 г.
^ «Центры сертификации и другие поставщики доверенных услуг» . Европейский институт телекоммуникационных стандартов . Проверено 22 июня 2016 г.
^ Швейцарский федеральный совет. «Постановление об услугах по сертификации в области электронной подписи (Постановление об электронных подписях, ВЗертЭС)» . Проверено 12 мая 2016 г.
^ «FIPS PUB 186-4 — ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ: Стандарт цифровой подписи (DSS)» (PDF) . Национальный институт стандартов и технологий . Проверено 22 июня 2016 г.
^ Тернер, Дон. «Является ли стандарт цифровой подписи NIST DSS юридически обязательным?» . Криптоматика . Проверено 22 июня 2016 г.
^ Хёльбл, Марко. «Положение об услугах электронной идентификации и доверия (eIDAS)» (PDF) . Совет европейских обществ профессиональной информатики (CEPIS) . Проверено 24 июня 2016 г.
^ ван Зийп, Жак. «Готов ли ЕС к eIDAS?» . Альянс безопасной идентификации. Архивировано из оригинала 22 ноября 2016 года . Проверено 24 июня 2016 г.
^ «Краткий обзор влияния Интернета: обязательные корневые сертификаты браузера в Регламенте eIDAS Европейского Союза в Интернете» . Интернет-сообщество . 08.11.2021 . Проверено 06 марта 2022 г.
^ «Эксперты призывают ЕС не вводить небезопасные сертификаты в веб-браузеры» . Мигающий компьютер . Проверено 06 марта 2022 г.

[Turner-TSPs-1] Jump up to: ^а ^б ^с ^д Тернер, Дон М. «Поставщики трастовых услуг в соответствии с eIDAS» . Криптоматика . Проверено 22 июня 2016 г.

[eIDAS-EUR-Lex-2] Jump up to: ^а ^б ^с ^д ^и «РЕГЛАМЕНТ (ЕС) № 910/2014 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC» . ЭУР-Лекс . ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА . Проверено 18 марта 2016 г.

[Tuner_Understanding_eIDAS-3] Jump up to: ^а ^б Тернер, Дон. «Понимание eIDAS» . Криптоматика . Проверено 12 апреля 2016 г.

[1999/93/EC-4] «Директива 1999/93/EC Европейского парламента и Совета от 13 декабря 1999 г. о системе Сообщества для электронных подписей» . Официальный журнал Европейского парламента . Проверено 22 июня 2016 г.

[DirectiveToLegislation-5] Тернер, Дон М. «eIDAS от директивы к регулированию» . Криптоматика . Проверено 29 июня 2016 г.

[Fraunhofer-EIDAS-6] Бендер, Йенс. «Регулирование eIDAS: EID — возможности и риски» (PDF) . Bunde.de . Фраунгофера-Гезельшафт . Проверено 18 марта 2016 г.

[ETSI-Assessment-7] «Электронные подписи и инфраструктуры (ESI); Оценка соответствия поставщика доверенных услуг. Требования к органам по оценке соответствия, оценивающим поставщиков доверенных услуг» (PDF) . Европейский институт телекоммуникационных стандартов . Проверено 22 июня 2016 г.

[TurnerAdvancedElSig-8] Тернер, Дон М. «Расширенные электронные подписи для eIDAS» . Криптоматика . Проверено 22 июня 2016 г.

[BookFutureOfLaw-9] Керикмяэ, Танель; Рулл, Адди (2016). Будущее права и электронных технологий . Спрингер. стр. 63–64. ISBN 978-3-319-26894-1 .

[EU-difference-regulation-directive-10] «Положения, директивы и другие акты» . Европа.eu . Европейский Союз. Архивировано из оригинала 12 декабря 2013 года . Проверено 18 марта 2016 г.

[ETSI-standardsInPrep-11] «Центры сертификации и другие поставщики доверенных услуг» . Европейский институт телекоммуникационных стандартов . Проверено 22 июня 2016 г.

[Bundesrat-ZertES-12] Швейцарский федеральный совет. «Постановление об услугах по сертификации в области электронной подписи (Постановление об электронных подписях, ВЗертЭС)» . Проверено 12 мая 2016 г.

[NIST-DSS-13] «FIPS PUB 186-4 — ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ: Стандарт цифровой подписи (DSS)» (PDF) . Национальный институт стандартов и технологий . Проверено 22 июня 2016 г.

[Turner-DSS-14] Тернер, Дон. «Является ли стандарт цифровой подписи NIST DSS юридически обязательным?» . Криптоматика . Проверено 22 июня 2016 г.

[CEPIS-controvery-15] Хёльбл, Марко. «Положение об услугах электронной идентификации и доверия (eIDAS)» (PDF) . Совет европейских обществ профессиональной информатики (CEPIS) . Проверено 24 июня 2016 г.

[SecureIdentityAlliance-16] ван Зийп, Жак. «Готов ли ЕС к eIDAS?» . Альянс безопасной идентификации. Архивировано из оригинала 22 ноября 2016 года . Проверено 24 июня 2016 г.

[:1-17] «Краткий обзор влияния Интернета: обязательные корневые сертификаты браузера в Регламенте eIDAS Европейского Союза в Интернете» . Интернет-сообщество . 08.11.2021 . Проверено 06 марта 2022 г.

[:0-18] «Эксперты призывают ЕС не вводить небезопасные сертификаты в веб-браузеры» . Мигающий компьютер . Проверено 06 марта 2022 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]