了解 eIDAS 的基础知识、含义,以及如何申请经过认证的合格电子签名安全解决方案是与欧盟成员开展业务的重要保障。
什么是 eIDAS 法规?eIDAS 的创建和发展背景
eIDAS 是一项欧盟法规,它建立了一套法律框架,是电子识别、身份验证和信任服务 (eIDAS) 法规是欧盟 (EU) 最/具影响力和最全面的法律之一,用于电子交易的电子识别和信任服务,以及公民、组织和公共当局之间的安全电子互动的相互承认。其目的是提高公共和私人在线服务的效力,强调电子服务(包括电子签名、印章和时间戳)安全的重要性。根据 eIDAS,任何欧盟公民都可以使用其国家/地区的国家电子识别计划,并在任何欧盟成员国轻松生成电子签名。
eIDAS 并不是欧盟关于电子交易的第一项法规。1999 年便有了《电子签名指令》,但 eIDAS 正式宣布所有成员国的电子签名在法律效力上等同于手写签名。
在 eIDAS 之前,每个欧盟成员国自由决定自己的电子交易安全规则。每个成员国都有自己的法律要求、数据处理政策和信任服务基础结构,但大多数都无法跨境运作。例如,在一个国家/地区签署的电子文件在另一个国家/地区可能不具有相同的法律效力。诸如此类的问题在整个欧盟地区造成了不连贯的格局,使人们对电子身份的合法性和有效性感到困惑。更糟糕的是,它使跨境贸易变得极其困难。
欧盟在 2014 年颁布 eIDAS 时决定解决这个问题。该法规在 2016 年全面生效,此后每个欧盟成员国都必须遵守统一的电子身份、身份验证和签名标准。最终的 eIDAS 2.0 提案于2021 年 6 月 3 日发布,旨在修正各种缺点,并建立一种让欧洲公民以更高效率获得官方认可的数字身份的方法。
随着欧洲数字身份钱包(EUDI)的引入,eIDAS 2.0 带来了巨大的机会——扩展了身份的概念,包括从全球任何位置可访问的物理服务和交易,同时允许用户对个人信息和数据进行单独控制。
最终,eIDAS 框架:
确保个人和企业可以使用自己的国家电子身份计划在线访问公共服务。
通过确保所有身份方案跨境运作,具有与传统手写签名相同的法律地位,为信任服务创造单一的欧洲市场。
哪些人和事物受 eIDAS 监管的影响?
从广义上讲,eIDAS 会影响:
欧盟成员国的公民。
总部设在欧盟的组织,或与其他欧盟组织和/或公民有业务往来的组织。
欧盟信任服务提供商 (TSP) 保护通过公共网络进行的欧盟交易,尤其是与商业或法律事务相关的交易,数字身份认证在这两种交易中很重要。TSP 包括参与创建、验证和保存电子身份、电子签名、电子印章或数字证书的任何实体。
下方列出了 eIDAS 涵盖的部分数字交易:
与旅行相关的交易。
企业对企业电子票据。
政府服务,例如投票或纳税申报。
银行协议、投资和贷款。
网站身份验证。
第三方支付服务。
eIDAS 法规也要求政府、商业和公共服务领域承认标准签名格式和泛欧身份。换句话说,任何欧盟成员国都必须平等认可公民的电子身份证。值得注意的是,合规性方面的负担完全落在 TSP 身上,而不是消费者本身。
eIDAS 有何好处?
引入电子识别和信任服务可以带来许多好处。欧盟委员会称,这些好处包括:
更好的用户体验:eIDAS 支持的身份验证服务类型可确保向消费者顺利交付产品。更重要的是,他们通过在交易过程中为客户提供更高级别的安全来增加信任和满意度。
提高安全性:eIDAS 允许个人在不泄露信息的情况下方便地访问各种在线服务。企业需要遵守更严格的数据保护要求,确保他们以最谨慎的方式处理消费者的个人数据并遵守其法律义务。
简化跨境效率:有了 eIDAS,组织就没有必要采用因地点而异、复杂多样的计划,而这曾经是国际电子商务的常见痛点。现在,企业无论在哪个欧盟成员国,都可以进行交易。
当然,eIDAS 也产生了积极的社会经济影响。该法规通过消除电子商务壁垒来促进数字经济增长,避免在线服务变得复杂。
什么是电子身份?
电子身份识别 (“eID”) 是验证某人数字身份的电子手段。欧盟委员会称,安全的电子身份对于数字世界的日常生活至关重要。
电子身份可用于查看电子邮件、在线购物、解锁设备和开展许多其他常规活动。电子识别还可以保证对个人进行明确的识别,确保向实际有权获得服务的人提供恰当的服务。因此,eID 是网上银行和其他敏感数字交易的重点。
eIDAS 安全级别
“安全级别”一词是指服务提供方对个人所声称身份的准确性的确定程度。换句话说,这是您在使用 eID 访问在线服务时,对某人所说的真实身份有多自信。
根据 eIDAS,eID 计划必须根据三个安全级别进行分类:
低:eID 计划使用简单的身份验证,例如密码,在注册过程中很少检查身份。
可用:该方案使用双重身份验证,并在注册过程中进行额外检查。
高:在这三个级别中最/高级别的安全使用复杂的多重身份验证机制和全面的身份检查。
这三个级别都严重依赖身份验证,而身份验证本质上是验证电子身份的过程。这涉及收集相关的身份数据,即只有本人才能共享的有关个人或实体的信息。通常,身份验证方法使用三个身份证明因素:
基于知识的身份验证:签名者只提供他们知道的东西,例如密码或代码。
基于所有权的身份验证:签名者只提供他们本可以拥有的东西,例如身份证件或智能卡。
基于生物识别的身份验证:签名者通过其身体特征(例如指纹识别或面部识别)进行验证。
值得注意的是,eIDAS 法规没有具体说明需要哪些技术或身份验证方法来满足每个安全级别。这就是欧盟成员国各自开发 eID 系统的原因。尽管它们基于 eIDAS 原则,但每个成员国都可以自由以反映其独特技术格局的方式设计其系统。
2022 年的一项研究揭示了欧盟成员国如何制定计划。根据结果:
25 个成员国的 eID 计划支持高度安全级别。
20 个成员国支持可用安全级别。
12 个成员国支持低安全级别。
如您所见,欧盟倾向于加强安全级别,这突显了安全电子识别的重要性。
什么是 eIDAS 信任服务?
信任服务是指为保护电子交易而开展的各种身份验证和签名活动。一些最常见的信任服务包括:
证书:确保某人身份的一种方法是让第三方机构向他们颁发数字证书。 简而言之,证书是通过公钥加密来证明设备、服务器、用户或实体真实性的文件。其工作原理是包含证书持有者的公钥副本,该副本必须与相应的私钥匹配以验证其真实性。
电子时间戳:时间戳是这样一个过程:日期和时间以电子和加密方式与文档、文档签名和其他信息绑定,从而证明文档在给定时间内存在。 日期和时间的准确性由信任服务提供商保证,不会受到第三方的损害。出于多种原因,这在法律上可能很重要,但在合同协议出现争议时尤其有用。
电子签名和印章:与手写签名一样,电子签名是证明法律文件真实性并证明愿受其中条款约束的意图的一种方式。 相比之下,电子印章代表整个组织,而不是一个人。
数字签名:数字签名是一种使用数字证书和私有签名密钥创建的电子签名。数字签名防篡改,因此可以确保文档在签名后没有被更改。
任何为上述任何一项提供便利的组织都被视为信任服务提供商,因此必须遵守 eIDAS。
eIDAS 定义的电子签名类型
eIDAS 定义了服务提供商可以提供的三种电子签名:
1. 基本电子签名
欧盟委员会认为基本电子签名是三种签名中最基本的。其定义为“电子形式的数据,依附于电子形式的其它数据或与之有逻辑关联,供签名人签字之用”。从本质上讲,在电子文档上写名字这样简单的事情就可能构成简单的电子签名。
2. 高级电子签名
高级电子签名有更精确的要求。例如,它必须是:
与签名者唯/一关联且能够识别签名者
以允许签名者维持控制权的方式创建
链接到文档,以便可以检测到后续的任何更改
通常,高级电子签名是使用数字证书和加密密钥创建的,这意味着它也可以被视为数字签名。但是,他们也可以使用生物识别、访问代码和其他电子手段。
3. 合格电子签名,即 QES 签名(在线申请:https://www.ihuandu.com/screen-product-44-ssl_brand--domain_type-11-ssl_level--ssl_encrypt-.html )
作为三种签名中最复杂的一种,合格电子签名可提供最/高级别的安全。但是,还有两个额外要求需要考虑:
合格电子签名只能使用合格的签名创建设备 (QSCD) 创建。QSCD 是一种加密硬件,例如已通过 eIDAS 认证流程的硬件安全模块 (HSM)。
合格电子签名还必须基于合格的证书。根据 eIDAS,合格证书遵循比普通数字证书更严格的要求。此外,它只能由合格信任服务提供商 (QSTP) 发行,例如已经和环度网信展开合作的 GlobalSign、Entrust 等。 如欧盟可信名单所列,QSTP 是经过国家主管的机构审计并授予合格地位的组织。
使用环度网信引入的解决方案加强 eIDAS 合规性
我们知道达成合规性并不容易,eIDAS 法规也不例外。无论您是欧盟组织还是信任服务提供商,您都希望随时随地为消费者提供安全、无缝的交易体验。
欧盟组织:使用 Entrust 生成高级和合格签名及印章
环度网信提供的方案中的合作伙伴有的是云签名联盟的创始成员、全球值得信赖的证书颁发机构、Adobe Approved Trust List 成员,以及符合欧盟 eIDAS 要求的信任服务提供商。我们可以根据 eIDAS 高级和合格签名帮助您设置电子签名服务。
本文主要内容来自 CA 的文档收集整理,并有删改,仅供参考,如有侵权,联系删除。
- 扫一扫二维码可分享朋友或朋友圈
