电子认证[编辑]

简介

电子签名只是从技术手段上对签名人身份做出辩认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题，则是电子签名技术本身无法解决的问题。换言之，这里面有一个解决私人密钥持有电子认证人信用度的问题。这里面包括两种可能性。一是密钥持有人主观恶意，即有意识否认自己做出的行为；二是客观原因，即发生密钥丢失、被窃或被解密情况，使发件人或收件人很难解释归责问题。事实上，相类似的问题在我们传统商业交易活动中也存在，只不过我们有一套相对完整的解决方案罢了。当然这里包括相配套的法律规范及保护措施。在传统的签字（盖章）使用中，为了防止签字（盖章）方提供伪造虚假或被篡改的签字（盖章）或者防止发送人以各种理由否认该签字（盖章）为其本人所为，一些国家或地区采取通过具有权威性公信力的授权机关对某印章提前做出备案，并可提供验证证明的方式，防止抵赖或伪造等情形发生。例如，在我国台湾省，对一些重要法律文件（如房地产买卖交易文件），对印章真实性认证就采取下述方式处理：为保证盖过章的文件的真实性，印章持有人在盖章之前需把印章送到具有权威性的户政事务所登记备案，并申请印鉴证明，之后再把印鉴证明同盖过章的文件一并送给收件方,收件方将印鉴证明同原件相比较，如完全一致，就可确认文件及其印章的真实性了。ˉ在电子交易过程，同样需要一个具有权威性公信力的第三者作为安全认证机关（Certificate Authority）对公开密钥行使辨别及认证等管理职能，以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等风险。由此可见，电子签名的安全使用必须配合安全认证机关体系的建立。事实上，西方很多国家（美国、加拿大、德国等）以及日本都已经或正在建立相配套的公共密钥基础设施（ public key infrastructure）。这样，网络上电子签名与CA认证的相互结合就解决了前面阐述的由于电子签名技术方面无法解决的信用度的问题。

定义

电子认证是以电子认证证书（又称数字证书）为核心技术的加密技术，它以PKI技术为基础，对网络上传输的信息进行加密、解密、数字签名和数字验证。电子认证是电子政务和电子商务中的核心环节，可以确保网上传递信息的保密性、完整性和不可否认性，确保网络应用的安全。

电子认证以其所具有的四大特征新实处在信息化应用中基础性、关键性的作用。

（1）真实性。要确保交易双方的真实身份、信息内容真实以其交易发生时间的真实性。

（2）完整性。确保双方交易的信息是完整的、没有被篡改过和伪造过。

（3）机密性。确保电子交易中数据电文、交换数据、信息的保密性，使之不被交易双方以外的交易无关个体获知。

（4）不可否认性。不可否认性确保了交易双方不能对其参与过交易的事实进行抵赖，它为日后可能存在的交易纠纷提供了一个可信的证据。

目的

电子认证的目的就是通过CA机关对公共密钥进行辨别和认证（包括跨国认证）以防止或减少因密钥的丢失、损毁或解密等原因造成电子文件环境交易的不确定因素及不安全性风险。同时，认证证明书还能佐证密钥申请人的资信状况。

操作程序

电子认证的具体操作程序为：发件人在做电子签名前，签署者必须将他的公共密钥送到一个经合法注册，具有从事电子认证服务许可证的第三方，即CA认证中心，登记并由该认证中心签发电子印鉴证明（Certificate）。尔后，发件人将电子签名文件同电子印鉴证明一并发送给对方，收件方经由电子印鉴佐证及电子签名的验证，即可确信电子签名文件的真实性和可信性。由此可见，在电子文件环境中，CA认证中心扮演的角色与上述传统书面文件签字（盖章）环境中的第三者（户政事务所）的角色有异曲同工之妙。CA认证中心正起电子认证到一个行使具有权威性公证的第三人的作用。而经CA认证机关颁发的电子印鉴证明就是证明两者之间的对应关系的一个电子资料，该资料指明及确认使用者名称及其公共密钥。使用者从公开地方取得证明后，只要查验证明书内容确实是由CA机关所发，即可推断证明书内的公开密钥确实为该证明书内相对应的使用者本人所拥有。如此，该公共密钥持有人无法否认与之相对应的该密钥为他所有，进而亦无法否认经该密钥所验证通过的电子签名不为他所签署。

认证效力

电子认证的效力一般通过两种途径得到保障。第一种也是最直接的是通过立法的形式加以确认。这主要是通过法律授权政府机关主管部门制定相应规则，从而最终达到保障电子认证的效力具有法律上的依据与保障。美国很多州都是采取此种方式。这主要是表现在以下几个方面：

　　--1、以直接的立法形式明示直接承认可被接受的技术方案标准；（如美国犹他州；香港特别行政区法等。）

　　--2、授权政府主管部门制定相应规则如享有颁发、或吊销CA机构从事电子认证业务许可的权力，同时对违规/违法经营操作的CA机构具有行政处罚权；

　　--3、制定明确的设立及管理CA机构的条件及程序。同时，在监管CA机构层面上，政府主管部门还设置所有合法登记、注册经营电子认证业务的CA机构的资料库供客户查询。如美国犹他州法律规定，主管机构在其设置的公共密钥凭电子认证

证资料库中，专门开辟一个存有所有登记注册CA机构详尽档案数据库。其中除了一般公司信息（如公司名称、住址及电话及被授权的营业范围）外，还包括目前使用的核发认证凭证的机构有无违规经营遭到处罚的记录等等信息。

　　--第二种方式是采取当事人之间通过协议方式来确认电子认证的效力。在这种情形下，法律只规定原则性条文，如确认电了签名与书面签名的同等效力性，至于当事人之间如何选择技术方案以及由谁来做"第三者"--电子认证人，则由当事人之间协议确定。在此情形下，银行，ISP公司等均可扮演电子认证的机构的角色。但相对第一种形式，电子认证的效力就相对薄弱。特别是发生纠纷的情况下，以及如何对抗第三人等，法院如何判定合约效力及责任归属问题，就无专门法律可依。

服务管理办法

中华人民共和国信息产业部令第35号《电子认证服务管理办法》已经2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过，现予发布，自2005年4月1日起施行．　部长：王旭东二00五年二月八日电子认证服务管理办法
第一章　总则
第一条　为了规范电子认证服务行为，对电子认证服务提供者实施监督管理，依照《中华人民共和国电子签名法》和其他法律、行政法规的规定，制定本办法。
第二条　本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。
本办法所称电子认证服务提供者，是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构（以下称为“电子认证服务机构”）。

电子认证
第三条　在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务，适用本办法。
第四条　中华人民共和国信息产业部（以下简称“信息产业部”）依法对电子认证服务机构和电子认证服务实施监督管理。第二章　电子认证服务机构
第五条　电子认证服务机构，应当具备下列条件：
（一）具有独立的企业法人资格；
（二）从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；
（三）注册资金不低于人民币三千万元；
（四）具有固定的经营场所和满足电子认证服务要求的物理环境；
（五）具有符合国家有关安全标准的技术和设备；
（六）具有国家密码管理机构同意使用密码的证明文件；
（七）法律、行政法规规定的其他条件。
第六条　申请电子认证服务许可的，应当向信息产业部提交下列材料：
（一）书面申请；
（二）专业技术人员和管理人员证明；
（三）资金和经营场所证明；
（四）国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证；
（五）国家密码管理机构同意使用密码的证明文件。
第七条　信息产业部对提交的申请材料进行形式审查，依法作出是否受理的决定。
第八条　信息产业部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的，指派两名以上工作人员实地进行核查。
第九条　信息产业部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。
第十条　信息产业部自接到申请之日起四十五日内作出许可或者不予许可的书面决定。不予许可的，说明理由并书面通知申请人；准予许可的，颁发《电子认证服务许可证》，并公布下列信息：
（一）《电子认证服务许可证》编号；
（二）电子认证服务机构名称；
（三）发证机关和发证日期。
电子认证服务许可相关信息发生变更的，信息产业部应当及时公布。
《电子认证服务许可证》的有效期为五年。
第十一条　取得电子认证服务许可的，应当持《电子认证服务许可证》到工商行政管理机关办理相关手续。　　第十二条　取得认证资格的电子认证服务机构，在提供电子认证服务之前，应当通过互联网公布下列信息：
（一）机构名称和法定代表人；
（二）机构住所和联系办法；
（三）《电子认证服务许可证》编号；
（四）发证机关和发证日期；
（五）《电子认证服务许可证》有效期的起止时间。
第十三条　电子认证服务机构在《电子认证服务许可证》的有效期内变更法人名称、住所、注册资本、法定代表人的，应自完成相关变更手续之日起五日内按照本办法第十二条的规定公布变更后的信息，并自公布之日起十五日内向信息产业部备案。
第十四条　《电子认证服务许可证》的有效期届满要求续展的，电子认证服务机构应在许可证有效期届满三十日前向信息产业部申请办理续展手续，并自办结之日起五日内按照本办法第十二条的规定公布相关信息。第三章　电子认证服务
第十五条　电子认证服务机构应当按照信息产业部公布的《电子认证业务规则规范》的要求，制定本机构的电子认证业务规则，并在提供电子认证服务前予以公布，向信息产业部备案。
电子认证业务规则发生变更的，电子认证服务机构应当予以公布，并自公布之日起三十日内向信息产业部备案。第十六条　电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。
第十七条　电子认证服务机构应当保证提供下列服务：

电子认证
（一）制作、签发、管理电子签名认证证书；
（二）确认签发的电子签名认证证书的真实性；
（三）提供电子签名认证证书目录信息查询服务；
（四）提供电子签名认证证书状态信息查询服务。
第十八条　电子认证服务机构应当履行下列义务：
（一）保证电子签名认证证书内容在有效期内完整、准确；
（二）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；
（三）妥善保存与电子认证服务相关的信息。
第十九条　电子认证服务机构应当建立完善的安全管理和内部审计制度，并接受信息产业部的监督管理。
第二十条　电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。
电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义务。
第二十一条　电子认证服务机构在受理电子签名认证证书申请前，应当向申请人告知下列事项：
（一）电子签名认证证书和电子签名的使用条件；
（二）服务收费的项目和标准；
（三）保存和使用证书持有人信息的权限和责任；
（四）电子认证服务机构的责任范围；
（五）证书持有人的责任范围；
（六）其他需要事先告知的事项。
第二十二条　电子认证服务机构受理电子签名认证申请后，应当与证书申请人签订合同，明确双方的权利义务。第四章　电子认证服务的暂停、终止
第二十三条　电子认证服务机构在《电子认证服务许可证》的有效期内拟终止电子认证服务的，应在终止服务六十日前向信息产业部报告，同时向信息产业部申请办理证书注销手续，并持信息产业部的相关证明文件向工商行政管理机关申请办理注销登记或者变更登记。
第二十四条　电子认证服务机构拟暂停或者终止电子认证服务的，应在暂停或者终止电子认证服务九十日前，就业务承接及其他有关事项通知有关各方。
电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂停或者终止电子认证服务六十日前向信息产业部报告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排。
第二十五条　电子认证服务机构拟暂停或者终止电子认证服务，未能就业务承接事项与其他电子认证服务机构达成协议的，应当申请信息产业部安排其他电子认证服务机构承接其业务。
第二十六条　电子认证服务机构被依法吊销电子认证服务许可的，其业务承接事项的处理按照信息产业部的规定进行。
第二十七条　电子认证服务机构有根据信息产业部的安排承接其他机构开展的电子认证服务业务的义务。
第五章　电子签名认证证书
第二十八条　电子签名认证证书应当准确载明下列内容：
（一）签发电子签名认证证书的电子认证服务机构名称；
（二）证书持有人名称；
（三）证书序列号；
（四）证书有效期；
（五）证书持有人的电子签名验证数据；
（六）电子认证服务机构的电子签名；
（七）信息产业部规定的其他内容。
第二十九条　有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：
（一）证书持有人申请撤销证书；
（二）证书持有人提供的信息不真实；
（三）证书持有人没有履行双方合同规定的义务；
（四）法律、行政法规规定的其他情况。
第三十条　有下列情况之一的，电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验，并对有关材料进行审查：
（一）申请人申请电子签名认证证书；
（二）证书持有人申请更新证书；
（三）证书持有人申请撤销证书。
第三十一条　电子认证服务机构更新或者撤销电子签名认证证书时，应当予以公告。

电子认证
第六章　监督管理　　第三十二条　信息产业部对电子认证服务机构进行年度检查并公布检查结果。
年度检查采取报告审查和现场核查相结合的方式。
第三十三条　取得电子认证服务许可的电子认证服务机构，在电子认证服务许可的有效期内不得降低其设立时所应具备的条件。
第三十四条　电子认证服务机构应当按照信息产业部信息统计的要求，按时和如实报送认证业务开展情况及有关资料。
第三十五条　电子认证服务机构应当对其从业人员进行岗位培训。
第三十六条　信息产业部根据监督管理工作的需要，可以委托有关省、自治区和直辖市的信息产业主管部门承担具体的监督管理事项。
第七章　罚则
第三十七条　电子认证服务机构向信息产业部隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料的，由信息产业部依据职权责令改正，并处警告或者五千元以上一万元以下罚款。
第三十八条　信息产业部和省、自治区和直辖市的信息产业主管部门的工作人员，不依法履行监督管理职责的，由信息产业部或者省、自治区和直辖市的信息产业主管部门依据职权视情节轻重，分别给予警告、记过、记大过、降级、撤职、开除的行政处分；构成犯罪的，依法追究刑事责任。
第三十九条　电子认证服务机构违反本办法第十六条、第二十七条的规定的，由信息产业部依据职权责令限期改正，并处警告或一万元以下的罚款，或者同时处以以上两种处罚。
第四十条　电子认证服务机构违反本办法第三十三条的规定的，由信息产业部依据职权责令限期改正，并处三万元以下罚款。
第八章　附则
第四十一条　本办法施行前已从事电子认证服务的机构拟继续从事电子认证服务的，应在2005年9月30日前依照本办法取得电子认证服务许可；拟终止电子认证服务的，应当对终止业务的相关事项作出妥善安排。自2005年10月1日起，未取得电子认证服务许可的，不得继续从事电子认证服务。
第四十二条　经信息产业部根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。第四十三条本办法自2005年4月1日起施行。

参考资料： 1.http://www.youchengchemical.com/bbs/index.php 2.www.sheca.com/default.aspx 3.http://www.ic37.com/htm_news/2008-1/13356_798660.htm

扩展阅读： 1 http://www.itrus.com.cn/content.asp?id=375 2 http://blog.sina.com.cn/u/1604456884 3 http://t.sina.com.cn/itruschina2000 4 http://www.miit.gov.cn/n11293472/n11505629/n11506629/n11967886/n11967946/12432542.html 5 http://www.miit.gov.cn/n11293472/n11294912/n11296092/11904895.html 6 http://www.miit.gov.cn/n11293472/n11293832/n11294042/n11481465/13056991.html