什么是電網(wǎng)站子認證
由于政府主管機關(guān)在CA認證中扮演國家的角色,因此在體系的建立,標準的設(shè)定,以及兼容跨國認證等方面具有絕對權(quán)威性及統(tǒng)一性的特點。因此,在實施電子認證服務(wù)過程中,其可操作性及可執(zhí)行性的特點是顯而易見的。這就避免可能由于不同標準(技術(shù)及服務(wù)兩方面)的出現(xiàn),從而使得電子認證變得無法實施,達不到消除網(wǎng)上交易缺乏安全性的顧慮的目的。
三、電子認證的目的
(3) 公證資格:須有公證人(a notary public)資格或至少聘雇一具有公證人資格之員工;
(5) 專業(yè)知識:所雇用員工必須具有執(zhí)行認證業(yè)務(wù)之專業(yè)知識;
CA機構(gòu)申請從事電子認證服務(wù)牌照時,需滿足一定的審批條件。政府主管部門在審核及批發(fā)許可證時,除要審查申請人的硬件措施(如辦公場所的選定)、軟件條件(如公司中人員的技術(shù)專業(yè)知識),還要審查主體資格,承擔損害賠償?shù)哪芰Φ榷鄠€方面。下面簡單介紹一下美國猶他州電子簽名法規(guī)定CA提供電子認證服務(wù)的條件。
(2) 程序:CA本身必須申請公開金鑰憑證且須存放在主管機關(guān)設(shè)置或承認的公開金鑰憑證資料庫中以供大眾檢視讀?。?br />
2)標準化。
1、 以直接的立法形式明示直接承認可被接受的技術(shù)方案標準;(如美國猶他州;香港特別行政區(qū)法例等。)
(6) 經(jīng)營擔保:除了政府官員或機關(guān)申請經(jīng)營CA業(yè)務(wù)外,其他申請者必須提供營業(yè)擔保;
電子認證的具體操作程序為:發(fā)件人在做電子簽名前,簽署者必須將他的公共密鑰送到一個經(jīng)合法注冊,具有從事電子認證服務(wù)許可證的第三方,即CA認證中心,登記并由該認證中心簽發(fā)電子印鑒證明(Certificate)。爾后,發(fā)件人將電子簽名文件同電子印鑒證明一并發(fā)送給對方,收件方經(jīng)由電子印鑒佐證及電子簽名的驗證,即可確信電子簽名文件的真實性和可信性。由此可見,在電子文件環(huán)境中,CA認證中心扮演的角色與上述傳統(tǒng)書面文件簽字(蓋章)環(huán)境中的第三者(戶政事務(wù)所)的角色有異曲同工之妙。CA認證中心正起到一個行使具有權(quán)威性公證的第三人的作用。而經(jīng)CA認證機關(guān)頒發(fā)的電子印鑒證明就是證明兩者之間的對應(yīng)關(guān)系的一個電子資料,該資料指明及確認使用者名稱及其公共密鑰。使用者從公開地方取得證明后,只要查驗證明書內(nèi)容確實是由CA機關(guān)所發(fā),即可推斷證明書內(nèi)的公開密鑰確實為該證明書內(nèi)相對應(yīng)的使用者本人所擁有。如此,該公共密鑰持有人無法否認與之相對應(yīng)的該密鑰為他所有,進而亦無法否認經(jīng)該密鑰所驗證通過的電子簽名不為他所簽署。
電子認證的目的就是通過CA機關(guān)對公共密鑰進行辨別和認證(包括跨國認證)以防止或減少因密鑰的丟失、損毀或解密等原因造成電子文件環(huán)境交易的不確定因素及不安全性風險。同時,認證證明書還能佐證密鑰申請人的資信狀況。
同時,由于電子認證在網(wǎng)絡(luò)中的應(yīng)用具有跨越國界的特性,只有國家主管部門以國家名義出面介入,從而使得電子認證的效力的可靠性具有為他國承認的后果。
第二種方式是采取當事人之間通過協(xié)議方式來確認電子認證的效力。在這種情形下,法律只規(guī)定原則性條文,如確認電了簽名與書面簽名的同等效力性,至于當事人之間如何選擇技術(shù)方案以及由誰來做"第三者"--電子認證人,則由當事人之間協(xié)議確定。在此情形下,銀行,ISP公司等均可扮演電子認證的機構(gòu)的角色。但相對第一種形式,電子認證的效力就相對薄弱。特別是發(fā)生糾紛的情況下,以及如何對抗第三人等,法院如何判定合約效力及責任歸屬問題,就無專門法律可依。
一、電子認證的概念
(4) 從業(yè)人員不得有嚴重犯罪前科:所雇用的員工中不得有重大犯罪之前科或是犯有其他詐欺、虛偽陳述或欺騙之罪行;
電子簽名只是從技術(shù)手段上對簽名人身份做出辯認及能對簽署文件的發(fā)件人與發(fā)出電子文件所屬關(guān)系做出確認的方式。但如何解決上文提到判定公共密鑰的確定性以及私人密鑰持有者否認簽發(fā)文件的可能性等問題,則是電子簽名技術(shù)本身無法解決的問題。換言之,這里面有一個解決私人密鑰持有人信用度的問題。這里面包括兩種可能性。一是密鑰持有人主觀惡意,即有意識否認自己做出的行為;二是客觀原因,即發(fā)生密鑰丟失、被竊或被解密情況,使發(fā)件人或收件人很難解釋歸責問題。事實上,相類似的問題在我們傳統(tǒng)商業(yè)交易活動中也存在,只不過我們有一套相對完整的解決方案罷了。當然這里包括相配套的法律規(guī)范及保護措施。在傳統(tǒng)的簽字(蓋章)使用中,為了防止簽字(蓋章)方提供偽造虛假或被篡改的簽字(蓋章)或者防止發(fā)送人以各種理由否認該簽字(蓋章)為其本人所為,一些國家或地區(qū)采取通過具有權(quán)威性公信力的授權(quán)機關(guān)對某印章提前做出備案,并可提供驗證證明的方式,防止抵賴或偽造等情形發(fā)生。例如,在我國臺灣省,對一些重要法律文件(如房地產(chǎn)買賣交易文件),對印章真實性認證就采取下述方式處理:為保證蓋過章的文件的真實性,印章持有人在蓋章之前需把印章送到具有權(quán)威性的戶政事務(wù)所登記備案,并申請印鑒證明,之后再把印鑒證明同蓋過章的文件一并送給收件方,收件方將印鑒證明同原件相比較,如完全一致,就可確認文件及其印章的真實性了。ˉ在電子交易過程,同樣需要一個具有權(quán)威性公信力的第三者作為安全認證機關(guān)(Certificate Authority)對公開密鑰行使辨別及認證等管理職能,以防止發(fā)件人抵賴或減少因密鑰丟失、被偷竊或被解密等風險。由此可見,電子簽名的安全使用必須配合安全認證機關(guān)體系的建立。事實上,西方很多國家(美國、加拿大、德國等)以及日本都已經(jīng)或正在建立相配套的公共密鑰基礎(chǔ)設(shè)施( public key infrastructure)。這樣,網(wǎng)絡(luò)上電子簽名與CA認證的相互結(jié)合就解決了前面闡述的由于電子簽名技術(shù)方面無法解決的信用度的問題。
(9) 必須遵守主管機構(gòu)的所有其他規(guī)定。
二、電子認證的程序
(7) 軟硬件設(shè)施:對于經(jīng)營CA業(yè)務(wù)所需軟硬件設(shè)施,必須對該設(shè)施擁有具有合法的權(quán)利;
四、 電子認證的機構(gòu)
其主要內(nèi)容有以下3個方面:(1)保證自報姓名的個人和法人的合法性的本人確認。確認本人的簡單方法一般有組合使用用戶ID和密碼,磁卡或IC卡和密碼。需要進行慎重的認證時,可利用指紋、虹膜類型等可識別人體的生物統(tǒng)計學技術(shù)。(2)特別是通過電子商務(wù)進行貴重物品的交易時,保證個人或企業(yè)間收發(fā)信息在通信的途中和到達后不被改變的信息認證。(3)數(shù)字簽名。在數(shù)字信息內(nèi)添加署名信息。
電子認證的效力一般通過兩種途徑得到保障。第一種也是最直接的是通過立法的形式加以確認。這主要是通過法律授權(quán)政府機關(guān)主管部門制定相應(yīng)規(guī)則,從而最終達到保障電子認證的效力具有法律上的依據(jù)與保障。美國很多州都是采取此種方式。這主要是表現(xiàn)在以下幾個方面:
3)可執(zhí)行性
政府主管部門可規(guī)定法律統(tǒng)一的技術(shù)方案以及規(guī)范不同級別的CA機關(guān)的電子認證標準及程序。同時,政府主管機關(guān)可擔當最高一級的公共密鑰認證中心的角色。這是美國各州及聯(lián)邦政府以及德國等國公共密鑰基礎(chǔ)建設(shè)體系都普遍采用的一種形式。
只有經(jīng)國家主管部門授權(quán)經(jīng)營的電子認證服務(wù)公司或由主管部門批發(fā)經(jīng)營許可證的CA認證機關(guān)簽發(fā)的電子認證證書最有權(quán)威性。在一定意義上,這正如只有經(jīng)公安部門發(fā)出的個人身份證具有絕對可靠的權(quán)威性一樣。
3、 制定明確的設(shè)立及管理CA機構(gòu)的條件及程序。同時,在監(jiān)管CA機構(gòu)層面上,政府主管部門還設(shè)置所有合法登記、注冊經(jīng)營電子認證業(yè)務(wù)的CA機構(gòu)的資料庫供客戶查詢。如美國猶他州法律規(guī)定,主管機構(gòu)在其設(shè)置的公共密鑰憑證資料庫中,專門開辟一個存有所有登記注冊CA機構(gòu)詳盡檔案數(shù)據(jù)庫。其中除了一般公司信息(如公司名稱、住址及電話及被授權(quán)的營業(yè)范圍)外,還包括目前使用的核發(fā)認證憑證的機構(gòu)有無違規(guī)經(jīng)營遭到處罰的記錄等等信息。
電子認證 electronic authentication,采用電子技術(shù)檢驗用戶合法性的操作。
2. 電子認證機關(guān)(CA)設(shè)立的條件
(1) 主體資格:可為執(zhí)業(yè)律師;在猶他州注冊登記的信托機機能或保險機構(gòu);猶他州州長、州法院、市、郡等已經(jīng)依法律或行政命令指定執(zhí)行CA認證業(yè)務(wù)的公務(wù)人員并為該機構(gòu)員工進行認證之組織;任何在猶他州取得營業(yè)許可的公司;
(8) 營業(yè)場所:必須在猶他州設(shè)有營業(yè)處所或是指定代理人代為執(zhí)行業(yè)務(wù);
縱觀一些國家在電子認證(CA)設(shè)定的形式一般有兩大類。第一類是直接由國家有關(guān)負責部門下屬單位直接設(shè)立,從事電子認證服務(wù)工作。或者是由政府的相關(guān)部門扮演CA體系中最高一層的認證中心角色。第二大類是由政府相關(guān)部門做出授權(quán),規(guī)定嚴格的審批條件和程序簽發(fā)認證證書(Certificate),同時行使監(jiān)督權(quán),以確保網(wǎng)絡(luò)交易的安全性。無論是哪種形式,政府扮演的角色是至關(guān)重要的。其原因有以下幾點:
1. 電子認證機構(gòu)設(shè)立的形式。
1)權(quán)威性。
2、 授權(quán)政府主管部門制定相應(yīng)規(guī)則如享有頒發(fā)、或吊銷CA機構(gòu)從事電子認證業(yè)務(wù)許可的權(quán)力,同時對違規(guī)/違法經(jīng)營操作的CA機構(gòu)具有行政處罰權(quán);
五、電子認證的效力