Poskytovatel důvěryhodných služeb - Trust service provider - Wikipedia

A poskytovatel důvěryhodných služeb (TSP) je osoba nebo právnická osoba poskytující a uchovávající digitální certifikáty vytvořit a ověřit elektronické podpisy a ověřovat jejich signatáře i webové stránky obecně.[1][2] Poskytovatelé důvěryhodných služeb jsou kvalifikovaní certifikační autority požadované v Evropská unie a ve Švýcarsku v kontextu regulovaných elektronické podepisování postupy.[3]

Dějiny

Termín poskytovatel důvěryhodných služeb byl vytvořen Evropský parlament a Evropská rada jako důležité a relevantní poskytující orgán nepopiratelnost regulované elektronické podepisování postup. Poprvé byl vychován v Směrnice o elektronických podpisech 1999/93 / ES a původně byl pojmenován poskytovatel certifikačních služeb. Směrnice byla zrušena eIDAS Nařízení, které se stalo oficiálním 1. července 2016.[2][4] A nařízení je závazný legislativní akt, který vyžaduje vše Členské státy EU následovat.[5]

Popis

Poskytovatel služeb vytvářejících důvěru je odpovědný za zajištění integrity elektronické identifikace pro signatáře a služby prostřednictvím silných mechanismů pro ověřování, elektronické podpisy a digitální certifikáty. eIDAS definuje standardy, jak mají poskytovatelé důvěryhodných služeb poskytovat své služby ověřování a nepopiratelnost. Nařízení poskytuje pokyny pro Členské státy EU o způsobu regulace a uznávání poskytovatelů důvěryhodných služeb.

Důvěryhodná služba je definována jako elektronická služba, která zahrnuje jednu ze tří možných akcí. Nejprve se to může týkat vytváření, ověřování nebo ověřování elektronických podpisů a také časová razítka nebo těsnění, elektronicky registrované doručovací služby a certifikace které jsou u těchto služeb vyžadovány. Druhá akce zahrnuje vytvoření, ověření i ověření certifikátů, které se používají k ověřování webových stránek. Třetí akcí je uchování těchto elektronických podpisů, pečetí nebo souvisejících certifikátů.

Aby mohla být služba povýšena na úroveň kvalifikované důvěryhodné služby, musí splňovat požadavky stanovené v nařízení eIDAS. Důvěryhodné služby poskytují rámec důvěryhodnosti, který usnadňuje trvalé vztahy pro elektronické transakce prováděné mezi zúčastněnými členskými státy a organizacemi EU.[1][6]

Role kvalifikovaného poskytovatele služeb vytvářejících důvěru

Kvalifikovaný poskytovatel důvěryhodných služeb hraje důležitou roli v procesu kvalifikovaného elektronického podepisování. Poskytovatelům důvěryhodných služeb musí být udělen kvalifikovaný status a povolení, aby je mohl poskytnout orgán státní správy kvalifikované digitální certifikáty které lze použít k vytvoření kvalifikovaných elektronických podpisů. eIDAS vyžaduje, aby EU vedla seznam důvěryhodných osob EU, který obsahuje seznam poskytovatelů a služeb, které získaly status kvalifikované osoby. Poskytovatel důvěryhodných služeb není oprávněn poskytovat kvalifikované důvěryhodné služby, pokud nejsou na seznamu důvěryhodných látek EU.[1][7]

Poskytovatelé důvěryhodných služeb, kteří jsou na seznamu důvěryhodných látek EU, jsou povinni dodržovat přísné pokyny stanovené v eIDAS. Při vytváření certifikátů musí poskytnout razítka platná v čase a datu. Podpisy, jejichž certifikáty vypršely, je třeba okamžitě odvolat. EU zavazuje poskytovatele důvěryhodných služeb k tomu, aby poskytli odpovídající školení všem zaměstnancům poskytovaným důvěryhodnými službami. Dále poskytnou nástroje, jako je software a hardware, které jsou důvěryhodné a schopné zabránit padělání vydávaných certifikátů.[1][2]

Vidění

Jedním z hlavních záměrů eIDAS bylo usnadnit veřejné i obchodní služby, zejména služby poskytované mezi stranami přes hranice členských států EU. Tyto transakce lze nyní bezpečně urychlit prostřednictvím elektronického podepisování a služeb poskytovaných poskytovateli důvěryhodných služeb, pokud jde o zajištění integrity těchto podpisů.

Členské státy EU jsou prostřednictvím eIDAS povinny zřídit „jednotná kontaktní místa“ (PSC) pro důvěryhodné služby, která zajistí, že systémy elektronických identifikačních údajů mohou být použity pro přeshraniční transakce ve veřejném sektoru, včetně přeshraniční výměny a přístupu ke zdravotnickým informacím.[2][8][9]

Právní perspektiva elektronických podpisů vytvořených poskytovateli důvěryhodných služeb

Zatímco zaručený elektronický podpis je právně závazný podle eIDAS, a kvalifikovaný elektronický podpis který byl vytvořen kvalifikovaným poskytovatelem důvěryhodných služeb, nese vyšší důkazní hodnota při použití jako důkaz u soudu. Protože se zvažuje autorství podpisu nepopiratelný, nelze autenticitu podpisu snadno zpochybnit. Členské státy EU jsou povinny přijímat kvalifikované elektronické podpisy, které byly vytvořeny s kvalifikovaným certifikátem z jiných členských států, za platné. Podle nařízení o eIDAS, tj. Čl.24 odst.2, má podpis vytvořený kvalifikovaným certifikátem stejnou právní hodnotu jako vlastnoruční podpis u soudu.[2][3][10]

Standardy se vyvíjejí. Další standardy včetně definic zásad pro poskytovatele služeb vytvářejících důvěru vyvíjí Evropský institut pro telekomunikační normy ETSI.[11]

Globální perspektiva

Švýcarský standard digitálního podepisování ZertES definoval srovnatelný koncept poskytovatelů certifikačních služeb. Poskytovatelé certifikačních služeb musí být auditováni orgány posuzování shody, které byly jmenovány Schweizerische Akkreditierungsstelle [de ].[12]Ve Spojených státech NIST Standard digitálního podpisu (DSS) ve svém aktuálním vydání neví nic srovnatelného s kvalifikovaným poskytovatelem důvěryhodných služeb, které by umožňovaly vylepšovat nepopiratelnost prostřednictvím kvalifikovaného certifikátu signatáře. Autoři nadcházející revize a komentátoři však veřejně diskutují o novele podobné přístupu eIDAS a ZertES k poskytování důvěryhodných služeb.[13][14] Umožnit přísné a nepopiratelný globální transakce a legální relevantnost, byla by nutná mezinárodní harmonizace.

Kontroverze

Několik výzkumných ústavů a ​​sdružení vyjádřilo znepokojení nad vytvořením malé skupiny centralizovaných poskytovatelů služeb vytvářejících důvěru v každé zemi, kteří ověřují digitální transakce. Tvrdí, že tento konstrukt může mít negativní dopad na soukromí. Vzhledem k ústřední roli poskytovatelů důvěryhodných služeb v mnoha transakcích se Rada evropských společností profesionální informatiky (CEPIS) obává, že by poskytovatelé důvěryhodných služeb získali a shromáždili informace o rozlišujících atributech občanů, kteří jsou předmětem autentizace. Co se týká jejich požadavku na uchování dat a výsledného očekávaného úsilí o uchování důkazů o potenciálních požadavcích na odpovědnost za nepřesné ID, CEPIS vidí riziko, že poskytovatelé služeb vytvářejících důvěru mohou vytvářet a ukládat položky protokolu všech procesů ověřování. Získané informace umožňují monitorování a profilování zúčastněných občanů. Pokud se protějšek transakce také identifikuje, získávané profily navíc zostří zájmy uživatelů a jejich komunikační chování. Velká data Analýza by umožnila dalekosáhlý pohled na soukromí a vztahy občanů. Přímé spojení s oprávněnými vládními orgány by jim mohlo umožnit přístup k získaným údajům a profilům.[15]

Autoři tvrdí, že pro skutečné využití výhod bezpečných a bezproblémových přeshraničních elektronických transakcí je třeba přesněji specifikovat úrovně záruky, definice a technické nasazení.[16]

Reference

  1. ^ A b C d Turner, Dawn M. „Poskytovatelé důvěryhodných služeb podle eIDAS“. Kryptomatická. Citováno 22. června 2016.
  2. ^ A b C d E „NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93 / ES“. EUR-Lex. EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE. Citováno 18. března 2016.
  3. ^ A b Turner, Dawn. „Porozumění eIDAS“. Kryptomatická. Citováno 12. dubna 2016.
  4. ^ „Směrnice Evropského parlamentu a Rady 1999/93 / ES ze dne 13. prosince 1999 o rámci Společenství pro elektronické podpisy“. Úřední věstník Evropského parlamentu. Citováno 22. června 2016.
  5. ^ Turner, Dawn M. „eIDAS od směrnice k nařízení“. Kryptomatická. Citováno 29. června 2016.
  6. ^ Bender, Jens. „Nařízení eIDAS: EID - příležitosti a rizika“ (PDF). Bunde.de. Fraunhofer-Gesellschaft. Citováno 18. března 2016.
  7. ^ „Elektronické podpisy a infrastruktury (ESI); Posuzování shody poskytovatele služeb důvěryhodnosti - Požadavky na subjekty posuzování shody posuzující poskytovatele služeb důvěryhodnosti“ (PDF). Evropský institut pro telekomunikační normy. Citováno 22. června 2016.
  8. ^ Turner, Dawn M. „Pokročilé elektronické podpisy pro eIDAS“. Kryptomatická. Citováno 22. června 2016.
  9. ^ Kerikmäe, Tanel; Rull, Addi (2016). Budoucnost práva a eTechnologií. Springer. str. 63–64. ISBN  978-3-319-26894-1.
  10. ^ „Nařízení, směrnice a jiné akty“. Europa.eu. Evropská unie. Archivovány od originál dne 12. prosince 2013. Citováno 18. března 2016.
  11. ^ „Certifikační úřady a další poskytovatelé důvěryhodných služeb“. Evropský institut pro telekomunikační normy. Citováno 22. června 2016.
  12. ^ Der Schweizerische Bundesrat. „Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES)“. Citováno 12. května 2016.
  13. ^ „FIPS PUB 186-4 - PUBLIKACE STANDARDŮ PRO ZPRACOVÁNÍ FEDERÁLNÍCH INFORMACÍ: Standard digitálního podpisu (DSS)“ (PDF). Národní institut pro standardy a technologie. Citováno 22. června 2016.
  14. ^ Turner, Dawn. „Je NIST Digital Signature Standard DSS legálně závazný?“. Kryptomatická. Citováno 22. června 2016.
  15. ^ Hölbl, Marko. „Pozice v oblasti služeb elektronické identifikace a důvěryhodnosti (eIDAS)“ (PDF). Rada evropských společností profesionální informatiky (CEPIS). Citováno 24. června 2016.
  16. ^ van Zijp, Jacques. „Je EU připravena na eIDAS?“. Zabezpečená aliance identity. Archivovány od originál dne 22. listopadu 2016. Citováno 24. června 2016.