2006年6月20日,天威诚信副总裁李延昭先生做客赛迪网,与网友们就电子认证及电子签名等热点话题进行交流和互动。以下为访谈摘录:
程鸿:可能对很多普通用户来说数字证书毕竟是看不见摸不着的东西。我们讲电子签名签在什么地方,对他来说是一个很模糊的概念。除了我们讲的电子支付,其他的场合里头是不是数字证书早就有所使用了?
李延昭:证书在国外其实用的很广。包括现在我们每天发的邮件,如OUT LOOK、foxmail里都集成了PKI的技术,包括我们现在使用的防火墙,或者是网络服务器,也都内置了PKI的技术。举一个简单的例子,我们发邮件的时候很多用户可能在邮件系统里面放一些很敏感的信息,比如财务报表,一个公司关键研发的图纸,有些时候会觉得公司的邮箱或者内部的服务器存储不够好,不够大便放到一个大的公共邮箱里面去,比如GMAIL。很多信息对技术人员来讲都是透明的,因为所有的邮件在互联网上发的时候就是一个明信片,所有的技术人员都可以看到,传输的中转过程的人员都也是可以看到。我们就是要用邮件证书的方式将你发的邮件加密,也可以作签名,加密是最基本的作用,就是把贴一个数字信封,只有接邮件的人才能打开,其他中转的人都是看不到的。这是一个很普遍的应用,现在国内因为很多人意识不到这点,并没有真正的应用。我们在国内做服务的时候也是这样,安全邮件市场其实非常大,但是国内现在用户量非常少。
程鸿:您提到了一个新的领域,现在包括企业用户有时候也会愿意花一些钱做企业邮箱,就是说可以防垃圾邮件,防止邮箱被人入侵等等,但是他们不会考虑到实际邮件传输过程中的信息安全?
李延昭:他们更多的还是从技术角度考虑系统本身的安全、病毒的攻击等等。一个模型是不是安全要从多个方面考虑。首先是什么样的人运能接受这个市场,然后才是逻辑安全。逻辑安全就是防火墙、防病毒监测等一系列的。物理安全就是这样的系统究竟有什么样的物理环境,再一个是通信的安全。其实从整体考虑态度把整个系统做成一个安全的系统。
网友:我是做共享软件的代码签名证书能帮我解决什么问题?
李延昭:一般代码签名证书基本是确认这段代码的所属者的信息。我们现在在网上看到很多共享软件,包括收费和不收费的,我们进入新浪或者进入大众的百度会让你下载一个控件,这个控件是不是原发厂商放在那儿的,是不是别人放的木马都不清楚。这段代码到底谁开发的?你也不清楚。所以下载到你的软件里的时候可能会带来一些病毒安装在系统里。代码签名实际上是为了确认这个代码的原发性,保证这个代码公开在服务器的没有被别人篡改,你下载到IE浏览器的时候系统也会做认证。如果说共享软件有意捆绑木马,下载到你的机器里对你造成损害。代码签名本身可以帮你追查发送者,你将拥有追诉权力。我现在一般下载软件的时候可以看一下这个签名是不是完整的,另外这个签名是不是国家或者国际认证的签名证书,大的机构审核对申请代码签名的机构认证很严格,追诉签名人会更加方便。现在有很多共享软件的开发者自己做一个证书在上面做签名,追溯便没有保证。
网友:天威诚信的可以实现时间戳服务吗?
李延昭:实际上标准时间和认证是分开的。很多东西都是技术理想化,市场上并没有被广泛应用,这套设备我们也有,但是真正使用的非常非常少,而且这种标准时间也有很多种取得的方式。所以有很多低廉的成本即可以做到,没有必要真的花很多钱。
程鸿:数字证书做邮件加密会不会很麻烦?特别对于企业大规模应用的话?
李延昭:在申请和初次安装的时候的确比安装一个普通的邮件客户端麻烦,因为要申请,要确认身份。但是一般企业有自己的IT人员,对IT人员来说不麻烦。对用户来说一旦安装好了以后,初次安装的时候可能稍微费点力气,但是后面做的时候因为证书每年是更新的,你在一年的使用过程中不会感觉到有什么特别麻烦的,除非你的系统完全需要重装。如果你的身份证丢失了会不会很简单的从公安局再拿一个身份证?不会的,肯定走一个很复杂的流程。证书是一样的,因为现在很多时候都在讲由于认证系统太难于使用,所以使得很多人不愿意用。但其实认证系统是你网络上的身份证,如果你很容易拿到一个身份证会怀疑这个东西能不能保证安全?如果你在网上提交就能拿到的话就容易变成儿戏,本身也不是很安全。但是易用性本身是一个障碍,我们从03年、04年就开始在易用性上做一些改良,从安全、易用性上要有一个匹配。做技术的人员不考虑用户的实际感受,要把这个东西做到安全的极致,结果发现用户不停的在用各种各样的东西,实际上用户已经崩溃了,甚至装了也不用。 我们对于易用性的研发,使证书易用性得到大幅度提高。
程鸿:我看到咱们网站上有一个邮件加密的数字产品,对于个人用户来说,比如软件需要一些更安全的加密保护,这对于接受方来说有什么要求呢?
李延昭:我们目前在网站上做的宣传,我们最近有一个促销活动是一年,可以通过网上支付购买电子邮件证书。对于个人我们还有证书易用性的工具(天威诚信数字证书助手),我们得免费软件可以让用户很方便的备份证书,使用证书,配置证书。现在很多人因为在网上都会用腾讯、QQ,我们当时设计这个软件产品的目标是所有会使用QQ的人就可以使用数字证书的所有功能。应该说我们这个软件目前还没有达到我们想象的水平,但一些基本功能已经没问题了,我们点击一次按键就可以完成配置OE的电子邮件的环节。我们虽然在技术上做了很长时间,但终于有了突破。
程鸿:以前是不显山不露水?
李延昭:现在是为大众用户解决一些易用性的问题。证书对每一个人来说都是安全保证,都可以保证普通的IT系统的安全。包括邮件,可能以后用到的实时聊天系统,比如我们现在用MSN和QQ,在上面聊天的时候不是所有的话都是公开、开放的,有些是很私密的聊天,要想做到私密的聊天可能就需要证书的加密。
程鸿:现在聊天的IE传输过程本身也是很大的风险?
李延昭:实际上你跟别人聊天的时候所有人都能看到的,尤其公司内部对你公司的技术人员都是公开的。他就是想看不想看的问题,他真的想去分析的话一定会找到你跟谁讲什么内容。这点其实很可怕的,对大众来讲使用这种服务的时候还未意识到安全风险。
程鸿:数字证书助手是不是能识别出所有的证书来?
李延昭:按照国际标准签发的都可以。
1
2
下一页>>
