Поставщик услуг доверия - Википедия - Trust service provider
А поставщик услуг доверия (TSP) является физическим или юридическим лицом, обеспечивающим и сохраняющим цифровые сертификаты создавать и проверять электронные подписи и для аутентификации подписавших их лиц, а также веб-сайтов в целом.[1][2] Поставщики доверительных услуг квалифицированы центры сертификации требуется в Евросоюз и в Швейцарии в контексте регулируемых электронная подпись процедуры.[3]
История
Период, термин поставщик услуг доверия был придуман Европейский парламент и Европейский Совет так же важно и соответствующий полномочия, обеспечивающие неотречение регулируемому электронная подпись процедура. Впервые он был воспринят в Директива об электронных подписях 1999/93 / EC и первоначально назывался поставщик сертификационных услуг. Директива была отменена eIDAS Постановление, вступившее в силу 1 июля 2016 года.[2][4] А регулирование является обязательным законодательным актом, требующим всех Страны-члены ЕС следовать.[5]
Описание
Поставщик трастовых услуг несет ответственность за обеспечение целостности электронной идентификации для подписавших лиц и услуг с помощью надежных механизмов для аутентификация, электронные подписи и цифровые сертификаты. eIDAS определяет стандарты того, как поставщики услуг доверия должны предоставлять свои услуги аутентификации и неотречение. Регламент содержит руководство для Страны-члены ЕС о том, как следует регулировать и признавать поставщиков трастовых услуг.
Услуга доверия определяется как электронная услуга, которая предполагает одно из трех возможных действий. Во-первых, это может касаться создания, проверки или подтверждения электронных подписей, а также отметки времени или же уплотнения, электронно зарегистрированные службы доставки и сертификаты которые требуются с этими услугами. Второе действие влечет за собой создание, проверку, а также проверку сертификатов, которые используются для аутентификации веб-сайтов. Третье действие - сохранение этих электронных подписей, печатей или соответствующих сертификатов.
Чтобы быть повышенным до уровня квалифицированной службы доверия, служба должна соответствовать требованиям, установленным Регламентом eIDAS. Трастовые услуги обеспечивают структуру доверия, которая способствует продолжению отношений для электронных транзакций, которые проводятся между участвующими странами-членами ЕС и организациями.[1][6]
Роль квалифицированного поставщика трастовых услуг
Квалифицированный поставщик трастовых услуг играет важную роль в процессе квалифицированной электронной подписи. Поставщикам трастовых услуг должен быть предоставлен квалифицированный статус и разрешение надзорного государственного органа на предоставление квалифицированные цифровые сертификаты которые можно использовать для создания квалифицированных электронных подписей. eIDAS требует, чтобы ЕС вел Список доверия ЕС, в котором перечислены поставщики и услуги, получившие квалификационный статус. Поставщик трастовых услуг не имеет права предоставлять квалифицированные трастовые услуги, если они не находятся в Списке доверия ЕС.[1][7]
Поставщики услуг доверия, внесенные в список доверия ЕС, обязаны соблюдать строгие правила, установленные в рамках eIDAS. При создании сертификатов им необходимо предоставить метки, действительные по времени и дате. Подписи, у которых истек срок действия сертификатов, необходимо немедленно отозвать. ЕС обязывает поставщиков трастовых услуг проводить соответствующее обучение для всего персонала, нанятого провайдером трастовых услуг. Они также должны предоставлять такие инструменты, как программное и аппаратное обеспечение, которые заслуживают доверия и способны предотвратить подделку производимых сертификатов.[1][2]
Зрение
Одной из основных задач eIDAS было облегчение как общественных, так и деловых услуг, особенно тех, которые предоставляются между сторонами через границы государств-членов ЕС. Эти транзакции теперь могут быть безопасно ускорены с помощью средств электронной подписи и услуг, предоставляемых поставщиками услуг доверия в отношении обеспечения целостности этих подписей.
Государства-члены ЕС должны через eIDAS создавать «точки единого контакта» (PSC) для доверительных услуг, которые гарантируют, что электронные схемы идентификации могут использоваться для межправительственных транзакций в государственном секторе, включая обмен и доступ к медицинской информации через границы.[2][8][9]
Правовая перспектива электронных подписей, созданных поставщиками трастовых услуг
Пока усовершенствованная электронная подпись имеет обязательную юридическую силу в соответствии с eIDAS, квалифицированная электронная подпись который был создан квалифицированным поставщиком трастовых услуг, имеет более высокую доказательная ценность при использовании в качестве доказательства в суде. Поскольку авторство подписи считается неопровержимый, подлинность подписи не может быть легко оспорена. Страны-члены ЕС обязаны принимать квалифицированные электронные подписи, которые были созданы с квалифицированным сертификатом из других государств-членов, как действительные. В соответствии с Регламентом eIDAS, то есть статьей 24 (2), подпись, созданная с помощью квалифицированного сертификата, имеет такую же юридическую силу, что и собственноручная подпись в суде.[2][3][10]
Стандарты развиваются. Дополнительные стандарты, включая определения политик для поставщиков услуг доверия, разрабатываются Европейским институтом телекоммуникационных стандартов. ETSI.[11]
Глобальная перспектива
Швейцарский стандарт цифровой подписи ZertES определил сопоставимую концепцию поставщиков услуг сертификации. Провайдеры сертификационных услуг должны проходить аудит со стороны органов по оценке соответствия, назначенных Schweizerische Akkreditierungsstelle .[12]В США NIST Стандарт цифровой подписи (DSS) в своей текущей версии не знает ничего, что можно было бы сравнить с квалифицированным поставщиком трастовых услуг, что позволило бы улучшить неотречение через квалифицированный сертификат подписавшего. Однако авторы предстоящего обзора и комментаторы публично обсуждают поправку, аналогичную подходу eIDAS и ZertES к предоставлению доверенных услуг.[13][14] Чтобы обеспечить строгие и неопровержимый глобальные сделки и юридические актуальность, потребуется международная гармонизация.
Полемика
Несколько научно-исследовательских институтов и ассоциаций выразили обеспокоенность по поводу создания небольшой группы централизованных поставщиков услуг доверия в каждой стране, которые аутентифицируют цифровые транзакции. Они заявляют, что эта конструкция может негативно повлиять на конфиденциальность. Учитывая центральную роль поставщиков услуг доверия во многих транзакциях, Совет европейских обществ профессиональной информатики (CEPIS) опасается, что поставщики услуг доверия будут получать и собирать информацию об отличительных характеристиках граждан, которые подлежат аутентификации. Что касается требований к сохранению данных и ожидаемых усилий по сохранению доказательств для запросов о потенциальной ответственности по неточным идентификаторам, CEPIS видит риск того, что поставщики услуг доверия могут создавать и хранить записи журналов всех процессов аутентификации. Полученная информация позволяет отслеживать и профилирование вовлеченных граждан. Если партнер транзакции также идентифицирует себя, интересы пользователей и их коммуникационное поведение дополнительно улучшат полученные профили. Большое количество данных анализ позволит глубже понять неприкосновенность частной жизни и отношения граждан. Прямая связь с соответствующими государственными органами может позволить им получить доступ к полученным данным и профилям.[15]
Авторы утверждают, что для того, чтобы по-настоящему воспользоваться преимуществами безопасных и бесшовных трансграничных электронных транзакций, необходимо более точно указать уровни гарантии, определения и техническое развертывание.[16]
Рекомендации
- ^ а б c d Тернер, Дон М. «Поставщики услуг доверия согласно eIDAS». Криптоматический. Получено 22 июн 2016.
- ^ а б c d е «ПОСТАНОВЛЕНИЕ (ЕС) № 910/2014 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и отменяющее Директиву 1999/93 / EC». EUR-Lex. ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА. Получено 18 марта 2016.
- ^ а б Тернер, Рассвет. «Понимание eIDAS». Криптоматический. Получено 12 апреля 2016.
- ^ «Директива 1999/93 / EC Европейского парламента и Совета от 13 декабря 1999 г. о структуре Сообщества для электронных подписей». Официальный журнал Европейского парламента. Получено 22 июн 2016.
- ^ Тернер, Дон М. «eIDAS от Директивы к Регламенту». Криптоматический. Получено 29 июн 2016.
- ^ Бендер, Йенс. «Регламент eIDAS: EID - возможности и риски» (PDF). Bunde.de. Fraunhofer-Gesellschaft. Получено 18 марта 2016.
- ^ «Электронные подписи и инфраструктуры (ESI); Оценка соответствия поставщика доверительных услуг - Требования к органам оценки соответствия, оценивающим поставщиков доверительных услуг» (PDF). Европейский институт телекоммуникационных стандартов. Получено 22 июн 2016.
- ^ Тернер, Дон М. «Расширенные электронные подписи для eIDAS». Криптоматический. Получено 22 июн 2016.
- ^ Керикмяэ, Танел; Рулл, Адди (2016). Будущее права и электронных технологий. Springer. С. 63–64. ISBN 978-3-319-26894-1.
- ^ «Положения, директивы и другие акты». Europa.eu. Европейский Союз. Архивировано из оригинал 12 декабря 2013 г.. Получено 18 марта 2016.
- ^ «Центры сертификации и другие поставщики услуг доверия». Европейский институт телекоммуникационных стандартов. Получено 22 июн 2016.
- ^ Der Schweizerische Bundesrat. "Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES)". Получено 12 мая 2016.
- ^ «FIPS PUB 186-4 - ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ: Стандарт цифровой подписи (DSS)» (PDF). Национальный институт стандартов и технологий. Получено 22 июн 2016.
- ^ Тернер, Рассвет. «Является ли стандарт цифровой подписи DSS юридически обязательным?». Криптоматический. Получено 22 июн 2016.
- ^ Хёльбл, Марко. «Позиция по электронной идентификации и доверительным услугам (eIDAS)» (PDF). Совет европейских обществ профессиональных информатиков (CEPIS). Получено 24 июн 2016.
- ^ ван Зейп, Жак. «Готов ли ЕС к eIDAS?». Secure Identity Alliance. Архивировано из оригинал 22 ноября 2016 г.. Получено 24 июн 2016.