热门问题
时间线
聊天
视角
eIDAS
来自维基百科,自由的百科全书
Remove ads
eIDAS是电子身份认证和信任服务条例[1](英语:electronic IDentification, Authentication and trust Services)的缩写,是为管理电子交易所用电子身份和信任服务而制定的一项欧盟规章。该规章2014年获得通过,规定于2016年至2018年间逐步生效。[2][3]
 | 此条目翻译自英语维基百科,需要相关领域的编者协助校对翻译。 |
 | 此条目需要精通或熟悉法律的编者参与及协助编辑。 |
在2023年,拟定的修改准许任何欧盟内的政府进行中间人攻击和深入监视加密通信在内的互联网信息。[4]网络安全研究人员、非政府组织和民间社会团体谴责该提案,指其侵害人权、隐私和尊严。[5][6][7]
Remove ads
介绍
eIDAS监管欧盟内部市场的电子交易的电子识别和信任服务。其规范了电子签名、电子交易、当事机构及嵌入过程,从而为用户提供安全的线上业务,例如电子金融转账和公共服务交易,使签名人和接收人更加便利和安全。用户得以通过一键式技术实现跨境交易,而无需依赖邮件、传真等传统方法或亲自提交纸质文件。[3][8]
eIDAS制定了相关标准,使电子签名、合格数字证书、电子印章、时间戳和其他身份验证机制促成电子交易的证明,使其具有与纸质交易同等的法律地位。[9]
该规章于2015年7月生效,以促进欧盟内部安全、无缝的电子交易。成员国必须认可符合eIDAS标准的电子签名。[3][10]
时间线
该规定2014年7月23日由关于电子识别的欧盟规章910/2014所制定,并废止了1999年12月13日的1999/93/EC。[2][3]
规章在2014年9月17日生效,2016年7月1日起适用,除非符合第52条中列出的特定豁免条款。[11]2018年9月29日起,在任一欧盟成员国提供公共数字服务的组织都须认可所有欧盟成员国的电子身份。这适用于欧洲单一市场的所有国家。[12][13]
预见
eIDAS是欧盟委员会着眼欧洲数字议程的成果,在委员会的监督下实现eIDAS以刺激欧盟内的数字增长。[14]
eIDAS的主旨是推动创新。遵守eIDAS中为技术制定的准则是为推动组织采用更高水平的信息安全和创新成果。除此之外,eIDAS重点关注如下方面:[10][15]
- 互操作性:成员国需创建一个通用框架,以识别其他成员国的eID(数字身份)并确保其真实性和安全性。这使用户可以轻松开展跨境业务。
- 透明度:eIDAS提供一个清晰易得的适合用于集中式签名框架的可信服务列表,促使安全利益相关者就保护数字签名的最佳技术和工具开展对话。
电子交易监管
规定为与电子交易相关的下列重要方面提供监管环境:[3]
- 数字身份:全欧洲范围内的具有法律效力的公民数字身份验证框架。定义了欧盟数字身份的九项原则:[16]用户选择、隐私、互操作性和安全性、信任、便利性、用户同意和控制比例、相应知识和全球可扩展性。
- 高级电子签名(AdES):满足某些要求的电子签名被视为高级电子签名:
- 合格电子签名,由合格电子签名创建设备基于合格电子签名证书创建的高级电子签名。
- 合格电子签名数字证书,由合格信任服务商签发的证明合格电子签名真实性的证书。
- 合格网站认证证书,eIDAS规章定义的信任服务下的合格数字证书。
- 信任服务,创建、验证和核实电子签名、时间戳、印章和证书的电子服务。信任服务也可能提供网站身份认证,以及其所创建的电子签名、证书和印章的保存。由信任服务提供商完成。
- 欧盟信任名单(EUTL)
Remove ads
演变和法律影响
eIDAS规章源自欧盟指令1999/93/EC,其中定义了欧盟成员国在电子签名方面应实现的目标。欧洲小国较早开始采用数字签名和身份识别,例如爱沙尼亚于2002年就提供首个数字签名,拉脱维亚于2006年提供首个数字签名。这些国家的经验现在被用来制定覆盖全欧盟的规章,该规章自2016年7月1日起在全欧盟范围内成为有约束力的法律[18]。1999/93/EC指令要求欧盟成员国负责制定法律,以实现在欧盟内部创建一个电子签名系统的目标。该指令还允许每个成员国解释法律并施加限制,这阻碍了实际场景中的互操作性并导致碎片化局面。[19]与1999年的指令相比,eIDAS确保成员国间对eID身份验证有相互认可,[20]以实现数字单一市场的目标。
eIDAS提供一个具法律价值的分层举措。它要求任何电子签名都不能仅因不是高级或合格的电子签名而被否认法庭上的法律效力或可受理性。[21]合格的电子签名必须有与手写签名同等的法律效力。[22]
法人的电子印章签名的证明价值也获解决,印章享有未受损害、所附数据来源正当的假定。[23]
Remove ads
中间人攻击和大规模监视
2023年,对eIDAS的一项更改提案将允许任何欧盟政府监听加密通信在内的所有互联网通信。[4][6]该提案的机制与2019年哈萨克斯坦尝试过的大规模监控相同。
该提案将强制浏览器供应商在网络浏览器中置入“后门”,以利执行中间人攻击,用户会认为正在与所请求的服务器进行通信,但实际上的对方可能为政府服务器,而政府服务器可以窃听与篡改传输的消息,并将消息传回原定的接收者。[27]
若该提案通过,欧盟各国政府原则上可以拦截这些浏览器以加密方式传输的任何信息,读取敏感的加密内容和随意修改信息,而用户不会感到异样。[28][29]法制化较弱的国家中这尤为令人担心,国家或相关人士可以利用法律监视本国公民以实现政治镇压和个人利益,且有人担心与国家相关的私人可滥用大规模监控权力实现个人目的。[5][7]
提案的主要内容在最终草案中被保留,但也已做出规定,允许浏览器提供商在某些情形下继续实施安全准则,降低此类隐蔽攻击的可能性。[30]其中指出:
- By way of derogation to paragraph 1 and only in case of substantiated concerns related to breaches of security or loss of integrity of an identified certificate or set of certificates, web-browsers may take precautionary measures in relation to that certificate or set of certificates.
中译:
- 作为对第1款的豁免,仅当对一份或一套证书的安全性或完整性有确凿担忧时,网络浏览器可对这些证书采取预防措施。
Remove ads
身份号码
数据库信息须与某种身份号码相关联。要证明一个人对某些个人信息的访问权,有几个步骤。[重要吗?]
- 关联一个人与一个号码,这可通过一个国家开发的例如数字证书体系来完成。
- 特定信息关联一个号码。
- 对eIDAS,拥有信息的国家所用的号码与颁发数字证书的国家所用的号码需要关联。
eIDAS中最小的身份概念是姓名和出生日期。但访问更敏感的信息时,需要证明两个不同国家颁发的身份号码指向同一个人。[31]
安全漏洞
2019年10月,安全研究人员在eIDAS-Node(欧盟委员会提供的eID eIDAS Profile的一个示例实现[32])中发现两个安全漏洞。eIDAS-Node 2.3.1版本中进行了修复。[33]
欧洲自治身份框架
欧盟已开始创建兼容eIDAS的欧洲自主主权身份框架(ESSIF)[来源请求]。但在许多国家,使用eIDAS服务需为Google或苹果公司的客户。[来源请求]
欧盟可信列表(EUTL)
欧盟可信列表(European Union Trusted Lists,EUTL)是一份公开列表,包含200多家活跃的、传统的信任服务提供商(TSP),它们经过专门认证,能提供遵守欧盟eIDAS电子签名规章的最高水平的合规性。[34]
参见
参考资料
外部链接
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads