PKI体系中RA合规问题探析

2022-03-13 23:30赵改侠李达谢宗晓中国金融认证中心
中国质量与标准导报 2022年6期
关键词:数字证书电子签名合规

赵改侠 李达 谢宗晓(中国金融认证中心)

0 引言

注册机构(RegistrationAuthority,RA)是对用户证书申请者建立注册过程的实体,负责对证书申请者进行标识和鉴别,向认证机构(CertificationAuthority,CA)发起和传递证书申请、更新、吊销等请求。RA是衔接用户与CA的重要桥梁,在整个PKI闭环中具有举足轻重的作用。当然,引入RA也增加了风险,比如CA需要对RA本身进行认证及可靠性管理,RA自身的风险会传导至CA。

《中华人民共和国电子签名法》(以下简称:《电子签名法》)、《电子认证服务管理办法》和《电子认证服务使用密码管理办法》等法律法规的相关要求主要针对CA来规范,没有专门针对RA的专项管理办法。因此,针对RA的合规要求,要结合对CA的合规要求来分析。鉴于PKI体系中RA承担的重要角色,以及在实践中的一些典型问题,本文重点分析RA的合规问题以及解决思路。

1 RA类型

当前,我国具有电子认证服务许可证的CA有50多家,其大多通过授权RA的模式开展业务。通常授权协议约定RA承担数字证书告知、审核、资料保管,以及CA与数字证书协议的签署等事项,并由RA代理数字证书服务费用。RA有以下几种类型。

(1)传统型RA

传统型RA出于自身业务安全,需要使用证书,因此证书受理流程通常被嵌入其业务流程中。这类RA一般具有业务受理窗口,合规及风控把控能力较强。比如,电子政务、银行等领域用户办理业务时,通常在办理事项选项中增加证书选项,用户选择证书选项后,则可在纳税、政府招标投标、银行转账、贷款等业务场景中使用数字证书。这类业务场景通常将数字证书私钥保存在智能密码钥匙(U盾)中或手机等移动设备中。这类数字证书处于用户绝对控制下,电子签名具有较强的不可否认性;数字证书告知、用户审核、数据存储等合规性风险较低。

(2)在线型RA

随着移动互联网的发展,一些机构尤其是互联网金融机构,出于便捷性、用户体验及成本考虑,将其业务全部采用在线方式。通过在线方式审核用户身份,对用户的告知及协议以勾选项或者强制阅读等方式实现,采用短信验证码等方式获取用户授权,将用户签名私钥保存在平台上。这种类型RA,增加了数字证书用户抵赖风险,存在一定的数字证书告知、用户审核、数据存储等合规性风险。

(3)专业平台型RA

随着无纸化业务需求的增加,出现了一些专业的互联网电子签约平台。其业务模式是对接各类需要电子签署的客户,不参与客户业务,不直接面对最终用户,通过平台接受客户方申请代替数字证书用户申请、保管、调用数字证书。这类RA无法接触最终的数字证书用户,对证书用户的告知、审核、资料保管等无法控制。这种类型的RA,增加了数字证书用户的抵赖风险,同时也给CA带来极大的合规性风险。

2 RA合规现状及存在问题

目前,尚没有专门针对RA的专项管理办法,RA合规主要依据《电子认证服务管理办法》第二十一条、第三十条、第十八条第三款。

告知、审核、资料保管是RA、CA面临的最大困难及合规性风险。受业务模式、管控政策以及新冠肺炎疫情的影响,近年来出现P2P平台暴雷、机构倒闭、消费贷用户还款意愿降低等现象,这暴露出RA存在的一些问题。

(1)对用户告知不完善

数字证书主要用于保护业务安全,提供交易传输过程中的完整性以及交易的抗抵赖性服务。由于PKI体系的专业性,广大用户对数字证书及电子签名认知较少,因此《电子认证服务管理办法》提出CA须对用户的告知事项。而在现实在线业务中,需要向用户告知以及需要用户同意的事项较多,用户往往未全部理解即选择同意。另一方面,业务方对数字证书的理解不够严谨,告知事项比较隐晦,甚至不提数字证书以及私钥托管授权等。这些情况,导致用户事后以不知情提出抵赖,增加了CA的合规性风险。

(2)在线身份审核标准欠缺

《电子签名法》及《电子认证服务管理办法》要求CA对数字证书用户进行身份审核。CA在其业务规则中描述的身份审核方式是否能达到身份审核真实性、准确性、意愿性等效果,没有统一的标准。比如,一些RA使用二要素、三要素、四要素、五要素,一些使用生物识别、短信验证码、小额打款验证,或者使用第三方已验证的结果等。这就造成在真实性、准确性、意愿性效果方面存在差异,给后续的证书使用造成潜在的抵赖风险。

(3)RA数据存储不规范

《电子签名法》要求对与认证相关的信息保存期限至少为电子签名认证证书失效后五年,这就要求由RA负责处理的信息也同样需要保存。通常情况下,RA基于信息保护或者客户控制的因素,不愿意或不能提供给CA保管。RA保存哪些信息、如何保存、如何提取,以及RA停止服务后如何处理等,行业无详细的标准规范。一些RA使用云服务,自身并无机房、主机、信息存储管理规则规范等,一旦出现纠纷需要提取数字证书有关记录时,甚至不知如何提取、是否可以提取等。一旦RA倒闭、停止服务,CA很难获得RA存储的数据,这将给日后的纠纷埋下隐患。

(4)用户授权不清

在线电子签约平台或者互联网金融平台的业务模式,通常是在获取用户授权后,代替用户申请、保存数字证书,在某种指令下调用数字证书执行签名操作等。这种业务模式,在获取用户授权时,对数字证书的使用权限、使用范围、使用时效等比较模糊。比如,用户A通过B平台授权申请数字证书用于处理B1贷款业务,但A不了解证书效期多长,如A需要处理B2消费贷款时,未再次进行授权,B平台直接使用了B1业务时申请的数字证书,这就存在A用户授权范围、时效不明确的问题。

3 RA存在问题解决思路

在监管机构对RA无监管依据的情况下,CA出于降低风险的考虑,应加强对RA的管理。

(1)对RA的授权准入要求

CA应对RA的基本资信进行调研,确保RA有能力履行身份审核、信息告知、数据存储以及RA系统的安全运营。CA可对RA的注册年限、注册资本、技术实力及合规人员情况、经营状况、监管处罚情况、信用情况、业务发展模式、合规体系建设等进行评价。从推动发展互联网业务的角度考虑,可对RA进行动态分类分级管理,对评价特别差的机构,比如严重失信的机构、多次受到监管合规处罚的机构,CA应放弃与其合作。对评价较差的机构,CA应控制对其的授权,比如仅开放一个类型的数字证书,且控制数字证书有效期等措施,并加大对该类机构的合规指导频率。

(2)CA应具有与RA的协议履行监督机制

CA与RA签署协议,约定双方的权利义务。通常约定由RA面向用户,审核用户的申请信息、告知用户使用事项、保存与认证相关的信息等,但RA是否履行了约定义务,CA很难掌握。因此,CA可在协议中约定对RA的合规审计机制,以及违反协议约定后的处置措施。比如,RA机构未按照协议约定,对数字证书用户进行充分告知、身份审核,如用户有歧异的,CA核实情况后,可按照规则吊销用户数字证书,必要时CA可声明该数字证书无效。

(3)按场景制定审核标准

数字证书的使用范围及场景比较广,不同的业务场景对安全需求不同,因此可针对数字证书使用场景提出审核标准。

RA采取在线审核信息时,应选取信源可靠的权威机构作为供应商。比如对个人用户的审核认证可采取如下方式:1)通过公安部数据联网认证。RA可通过与合法拥有公安部数据的供应商合作,对用户的证件种类、证件号码、姓名、出生日期、户口所在地、证件有效期等进行个人用户身份认证。2)通过电信运营商进行认证。RA可通过证件类型、证件有效期、证件号码、姓名、手机号码等对个人用户进行身份认证。3)通过银行卡信息进行实名认证。RA可通过银行卡号码、开户行、开户人姓名、开户人证件号码等对个人用户进行实名认证。4)针对政府职员、公职人员等低风险主体以及签署劳动合同、快递签收等低风险业务的意愿性认证,可以采取邮件确认、短信验证、业务显式告知、业务连续性控制等任何一种方式实现意愿性确认。针对涉及金额支付(自动扣款)、财产抵押、贷款、保险的业务,除业务显式告知、业务连续性控制等方式外,还必须增加活体人脸识别、现场照片、录音、视频等任何一种或者多种方式进行意愿性认证。

RA对机构(企业)用户的身份认证和意愿性认证可采用以下方式:1)通过工商信息进行企业身份认证。RA应对企业名称、企业统一信用代码、法定代表人姓名、法定代表人身份证号码等信息进行认证。2)通过有效的法律文件进行企业身份认证。RA可通过股东决议书、授权委托书、律师函、公证书等有效的法律文件进行企业身份认证。3)对政府机构的意愿性确认,可以通过机构(企业)邮件、经办人手机短信验证码等方式确认;对其他机构可以通过法人短信验证码、经办人人脸识别、经办人短信验证码、对公账号小额打款等方式确认。4)任何使用第三方CA签发的且存储在智能密码钥匙里的数字证书,进行其他业务所需要的身份认证,可以达到实名认证及意愿性确认效果。

(4)RA数据保管要求

RA保存数据应便于CA提取。RA应当按照安全、准确、完整、保密的原则,妥善保存用户资料和交易记录,确保能重现交易场景,在CA需要时可以方便提供用户身份验证、意愿性验证、告知记录等相关信息,保存期限不低于证书失效后5年。RA应保证与数字证书相关的信息不被篡改、隐私信息不被泄露,且只有被授权者才能接触RA相关敏感数据及设备。RA的访问记录、授权记录、门禁记录、监控记录、系统日志等应至少保留1年,以便CA及其他监管机构的审计或者安全评估。

4 结语

CA授权的RA在PKI体系中承担着重要的角色,RA的质量直接决定了PKI体系的整体质量,因此有必要对RA的运营从监管及标准层面进行规范。同时,也应加强社会公众对PKI体系的认识,正确理解数字证书及电子认证服务的作用及机制,共同促进互联网业务健康发展。

猜你喜欢
数字证书电子签名合规
无线网络安全认证研究
对企业合规风险管理的思考
外贸企业海关合规重点提示
GDPR实施下的企业合规管理
电子签名
基于数字证书的军事信息系统安全防护方案
谈谈《电子签名法》的内涵和特点
数字签名保护Word文档
法律视域下的电子签名效力探析
不只是合规