本文浅谈 eIDAS 如何根据它们提供的保障级别对电子签名进行分类区别。如果你正在考虑申请合规的 eIDAS 数字签名,那么本文可能帮助你如何选择合适级别的 eIDAS 签名证书。
eIDAS 下的签名保证等级是什么?
通常因不同的国家、地区,行业或预期使用场景而存在许多不同的签名规则,甚至这种规则存在很大差异,不同的签名分类存在不同的信任和保障水平。这主要取决于所述签名的技术手段和管理规范。
eIDAS 的引入是为了创建一个安全电子签名的公共基础和框架。这将有助于增强信任,提升用户体验,促进跨境使用和认可。
eIDAS 还建立了提供更高保证水平的签名(“合格”电子签名)的认证制度,这样做改变了欧洲的签名市场。下面我们分别看看不同的保障等级。
基本电子签名
根据 eIDAS 的说明,电子签名可以定义为:附在其他形式的电子数据上或在逻辑上与其他电子数据相关联,并由签署人用来签署的电子形式的数据。
从字面上理解这个定义,你可以简单地通过扫描你的签名或在你选择的设备上打开的文件中勾选一个框来签署文件。从技术上讲,数据是电子形式的,并附在文件中,但 eIDAS 试图解决这个模型存在的漏洞。
比如这根本没有涵盖签署文件的目的。因为文件仍然可以被篡改,“签名”可以很容易地被伪造(即,我们不能确定是谁在框中打勾来确认条款和条件)。用正确的术语来说:文档的完整性和签署的真实性都没有办法确认。
高级电子签名(AES)
在 eIDAS 中,AES 必须满足以下要求:
仅仅属于签署人;
能够辨认签字人的身份;
使用电子签名创建的数据,签名者可以在其单独控制下以高度信任的方式使用;
链接到以这种方式签名的数据的任何后续更改是可检测的。
使用基于公钥基础设施 (PKI)的数字签名可以满足上述要求。如果你不熟悉它的工作原理:数字签名与数字证书一起应用,它就像护照或驾照的电子版本,只有在可信的第三方(称为证书颁发机构或 CA)彻底验证你的身份后才颁发。数字证书及其产生的签名对个人来说是唯&一的,几乎不可能被欺骗,满足了上述两个要求。
因为签名者是用于应用签名的私钥的唯&一持有者,所以可以确定签名者就是签名上体现出来的那个人。最后,签名验证过程的一部分(当收件人打开文档时自动发生)包括检查自文档签名以来是否对其进行了任何更改。
回到专业术语:如果满足 AES 的要求,完整性和真实性就得到了保证。AES 不能仅仅因为是电子形式而被法律驳回,这意味着正确实现的 AES 与传统的手写签名一样好。然而,如果 AES 的有效性受到质疑,那么证明所有必要标准已满足的责任在于签字人。
在这里,GlobalSign 许多产品甚至在 eIDAS 获得 AES 资格之前就存在了。除了传统的在 USB 令牌上部署证书的安全方法外,我们基于云的数字签名服务(DSS)可以帮助您应用符合 AES 标准的数字签名。
合格电子签名 (QES)
QES 是:一种高级别的电子签名,由合格的签名生成设备生成,并以合格的电子签名证书为基础。
首先,让我们看看什么是“合格的签名创建设备”(QSCD)。根据 eIDAS 要求,设备必须保证:
电子签名创建数据的机密性;
用于电子签名生成的电子签名生成数据实际上只能出现一次;
无法派生用于创建签名的电子签名创建数据,并且使用当前可用的技术防止签名被伪造;
合法签名者可以可靠地保护用于签名生成的电子签名生成数据不被他人使用;
代表签名者生成或管理签名者数据只能由合格的信任服务提供者完成
在不影响第 1 点的情况下,代表签署人管理电子签名创建数据的合格信托服务提供商仅可出于备份目的复制电子签名创建数据,前提是满足以下要求:
重复数据集的安全性必须与原始数据集相同;
重复数据集的数量不得超过确保服务连续性所需的最/低数量;
规定称,如果您打算使用 QES,则必须将创建和签名数据存储在高度可靠和有保障的设备上,例如加密 USB 令牌或硬件安全模块(HSMs),至少符合 FIPS 140-2 Level 3,这是为加密模块创建的安全标准。
QES 定义的下一部分指出,设备上的数据必须基于“合格的电子签名证书”。合格证书只能从被认可为合格信任服务提供商(QTSP)的认证机构购买,例如 GlobalSign 为了确保 QSCD 的要求得到满足,我们在 GlobalSign以 SafeNet USB 令牌的形式提供经过认证的 QSCD,同时购买合格证书。
QES 作为 eIDAS 下数字签名的"金标准",保证了数字签名的完整性和真实性。欧盟成员国必须承认使用其他成员国合格证书创建的 QES 的有效性。此外,除非有理由怀疑底层证书被滥用,否则 QES 可以被认为是传统的湿墨签名的法律等效物。举证责任将由怀疑合格签名有效性的一方承担。
eSeals
电子印章类似于电子签名,但不同之处在于签名背后的身份。与电子签名一样,印章也能保证完整性和真实性,只不过签名者不是个人,而是组织单位。
eIDAS 提到了它们是欧盟成员国使用的,但你也可以在你的机构或组织中使用它们。你是否需要,取决于你需要以个人或单位组织的身份签署。印章通常更适合自动或大批量签名的需要。
我需要申请哪个保证等级的证书?
根据 eIDAS 第 25 条:
电子签名不得仅以其为电子表格或者不符合合格电子签名的条件而否认其法律效力和作为诉讼证据的可采性。
因此,在电子签名工作流程中至少使用 AES 是有意义的,否则签名可能会因为是电子的而被驳回。电子签名无效可能是企业在转型过程中最关注的问题之一。
先进和合格的电子签名都提供了高度的信任和保证。在从传统签名向电子签名转换的过程中,如何保持签名的这些特征是一个关键问题。关键的区别在于举证责任。
您是否计划建立一个高容量的签名工作流?那么我们的数字签名服务可能就是您正在寻找的。AES 与安全的工作流程证明和用户身份验证将保证您的签名在一个法律坚实的基础上的信任和保证。
是否明确要求 QES,例如,因为您的 CEO 必须签署提交欧洲投标的文件?如果我们也向 QSCD 颁发了合格的证书,就可以偶尔签署非常重要的文件,而不必太担心能够证明方法本身的安全性。
最后,值得记住的是,虽然 eIDAS 没有指定使用公开可信的数字证书,但我们建议使用它们并从公开可信的证书颁发机构购买它们。如果希望在流行的文档签名平台(如 Adobe Acrobat Sign 或 DocuSign)中自动验证和信任签名,公共信任至关重要。这样,当您签署文档时,您不仅具有合规性,而且为文档接收方提供了无缝的用户体验。
如果您想讨论符合 eIDAS 的电子签名解决方案,您可以联系环度网信以获得更多信息。