2006年6月20日,天威诚信副总裁李延昭先生做客赛迪网,与网友们就电子认证及电子签名等热点话题进行交流和互动。以下为访谈摘录:
网友:天威诚信签发的证书是受立法保护的吗?
李延昭:去年《中华人民共和国电子签名法》的生效,按照法律要求从业者需要取牌照,去年9月我们第一批拿到信息产业部的从业许可证。但并不是说我们签发出去证书都受法律保护,只有经过严格鉴证流程颁发出来的签名证书才能做到,具体的申请流程可以到我们的网站上查看。有些数字证书不是用来做电子签名的,很可能用来对信息加密,安全登陆系统身份识别用的,并没有做任何签名工作。这一类证书它本身的安全级别会低一点,我们的审核流程也比较简单。由于没有按照严格的审核流程,如果用这类证书做电子签名,我们是不承担任何法律责任的。从技术角度来看,身份识别证书的根和电子签名证书的根不在同一条证书信任链上。
网友:CA(电子认证服务)如何保证自己的公正性?我申请的证书,认证服务公司是不是就有备份? 李延昭:电子认证服务公司有几类证书,一般的电子签名证书在电子认证公司实际上是没有留任何备份的,它的密钥生成都是客户端生成,并不是服务端也就是服务商那里生成。但是加密的证书是在服务端生成再提供给客户的。这主要是因为我国密码管理的要求,出于国家信息安全角度考虑,比如为了对一些敏感信息解密,但是这只是在极端特殊事件上发生时才这么做。这一类证书是在我们的KMC中心备份的,但是恢复证书的所有步骤都是在国家密码管理局的监控之下做的,不是说随便我们就可以恢复一个人的证书。
程鸿:国家有没有强制电子交易过程中必须得有第三方认证?
李延昭:很遗憾,目前还没有。《电子签名法》里也说使用者自愿的情况下可以用第三方签名服务,但是如果使用者不愿意用也是可以的,但出问题就是只能自己解决。
程鸿:比如电子钱包支付的过程中,交易中消费者是没有选择权的。
李延昭:我们要把数字证书技术分开看,证书可以实现认证、电子签名等多种功能。包括PKI认证技术在内的认证技术出现很早,但是中国《电子签名法》是05年4月1号正式生效,认证技术出现了一个分水岭。用户拿到数字证书首先要看他的用途。如果仅仅做身份确认,把它当作一个安全访问的手段去替代目前不太安全的用户名密码登陆方式。非第三方运营也是可以的。但是如果对外提供一个公共的服务,出据很多数据单据并保证这些单据没有问题,采用非第三方的电子签名证书在上面做电子签名的话,自己运行认证系统就会存在有法律风险。因为法律不认可你未经公证的证书,这才是为什么要有第三方认证服务机构的存在。
程鸿:随着国家有关电子签名法的实施细节完成和补充,现在不合法的但是拥有大量终端客户的数字认证公司怎么办?
李延昭:按理说法律是滞后的,在法律出台前已有很多公司做了很大的投资,建立了自己的认证系统,不能说一夜之间把所有认证系统清理干净,这需要一段时间。另外,不是所有的系统都是需要得到法律认可的。要看这个系统究竟为用户提供什么样的服务,如果做电子签名服务,必须取得从业牌照。如果仅仅提供身份的识别或者是替代用户名和口令的的安全技术,没什么必要去推倒重来。现在很多机构已经存在,要清除他们或者说他们不合法,我觉得他们可能混淆上述的概念,他们没有理解电子签名法约束的是什么样的行为和什么样的机构。
1
2
下一页>>
