eIDAS電子身份認證和信任服務條例[1](英語:electronic IDentification, Authentication and trust Services)的縮寫,是為管理電子交易所用電子身份信任服務英語trust service provider而制定的一項歐盟規章英語regulation (European Union)。該規章2014年獲得通過,規定於2016年至2018年間逐步生效。[2][3]

對「合格信任服務」的歐盟信任標誌
數字化的歐洲單一市場和跨境公共服務便利化

在2023年,擬定的修改准許任何歐盟內的政府進行中間人攻擊深入監視加密通信在內的互聯網信息。[4]網絡安全研究人員、非政府組織和民間社會團體譴責該提案,指其侵害人權隱私尊嚴[5][6][7]

介紹

編輯

eIDAS監管歐盟內部市場的電子交易的電子識別和信任服務。其規範了電子簽名、電子交易、當事機構及嵌入過程,從而為用戶提供安全的線上業務,例如電子金融轉帳公共服務交易,使簽名人和接收人更加便利和安全。用戶得以通過一鍵式英語1-Click技術實現跨境交易,而無需依賴郵件、傳真等傳統方法或親自提交紙質文件。[3][8]

eIDAS制定了相關標準,使電子簽名、合格數字證書英語qualified digital certificate電子印章英語electronic seal時間戳和其他身份驗證機制促成電子交易的證明,使其具有與紙質交易同等的法律地位。[9]

該規章於2015年7月生效,以促進歐盟內部安全、無縫的電子交易。成員國必須認可符合eIDAS標準的電子簽名。[3][10]

時間線

編輯

該規定2014年7月23日由關於電子識別的歐盟規章910/2014所制定,並廢止了1999年12月13日的1999/93/EC。[2][3]

規章在2014年9月17日生效,2016年7月1日起適用,除非符合第52條中列出的特定豁免條款。[11]2018年9月29日起,在任一歐盟成員國提供公共數字服務的組織都須認可所有歐盟成員國的電子身份。這適用於歐洲單一市場的所有國家。[12][13]

預見

編輯

eIDAS是歐盟委員會着眼歐洲數字議程英語Europe 2020的成果,在委員會的監督下實現eIDAS以刺激歐盟內的數字增長。[14]

eIDAS的主旨是推動創新。遵守eIDAS中為技術制定的準則是為推動組織採用更高水平的信息安全創新成果。除此之外,eIDAS重點關注如下方面:[10][15]

  • 互操作性:成員國需創建一個通用框架,以識別其他成員國的eID(數字身份)並確保其真實性和安全性。這使用戶可以輕鬆開展跨境業務。
  • 透明度英語Transparency (behavior):eIDAS提供一個清晰易得的適合用於集中式簽名框架的可信服務列表,促使安全利益相關者就保護數字簽名的最佳技術和工具開展對話。

電子交易監管

編輯

規定為與電子交易相關的下列重要方面提供監管環境:[3]

演變和法律影響

編輯

eIDAS規章源自歐盟指令1999/93/EC,其中定義了歐盟成員國在電子簽名方面應實現的目標。歐洲小國較早開始採用數字簽名和身份識別,例如愛沙尼亞於2002年就提供首個數字簽名,拉脫維亞於2006年提供首個數字簽名。這些國家的經驗現在被用來制定覆蓋全歐盟的規章,該規章自2016年7月1日起在全歐盟範圍內成為有約束力的法律[18]。1999/93/EC指令要求歐盟成員國負責制定法律,以實現在歐盟內部創建一個電子簽名系統的目標。該指令還允許每個成員國解釋法律並施加限制,這阻礙了實際場景中的互操作性並導致碎片化局面。[19]與1999年的指令相比,eIDAS確保成員國間對eID身份驗證有相互認可,[20]以實現數位單一市場的目標。

eIDAS提供一個具法律價值的分層舉措。它要求任何電子簽名都不能僅因不是高級或合格的電子簽名而被否認法庭上的法律效力或可受理性。[21]合格的電子簽名必須有與手寫簽名同等的法律效力。[22]

法人的電子印章簽名的證明價值英語relevance (law)也獲解決,印章享有未受損害、所附數據來源正當的假定。[23]

2021年6月,委員會提出一項修正案並發布一份建議。[24][25][26]

中間人攻擊和大規模監視

編輯

2023年,對eIDAS的一項更改提案將允許任何歐盟政府監聽加密通信在內的所有互聯網通信[6][4]該提案的機制與2019年哈薩克斯坦嘗試過的大規模監控相同。

該提案將強制瀏覽器供應商在網絡瀏覽器中置入「後門」,以利執行中間人攻擊,用戶會認為正在與所請求的服務器進行通信,但實際上的對方可能為政府服務器,而政府服務器可以竊聽與篡改傳輸的消息,並將消息傳回原定的接收者。[27]

若該提案通過,歐盟各國政府原則上可以攔截這些瀏覽器以加密方式傳輸的任何信息,讀取敏感的加密內容和隨意修改信息,而用戶不會感到異樣。[28][29]法制化較弱的國家中這尤為令人擔心,國家或相關人士可以利用法律監視本國公民以實現政治鎮壓和個人利益,且有人擔心與國家相關的私人可濫用大規模監控權力實現個人目的。[5][7]

提案的主要內容在最終草案中被保留,但也已做出規定,允許瀏覽器提供商在某些情形下繼續實施安全準則,降低此類隱蔽攻擊的可能性。[30]其中指出:

By way of derogation to paragraph 1 and only in case of substantiated concerns related to breaches of security or loss of integrity of an identified certificate or set of certificates, web-browsers may take precautionary measures in relation to that certificate or set of certificates.

中譯:

作為對第1款的豁免,僅當對一份或一套證書的安全性或完整性有確鑿擔憂時,網絡瀏覽器可對這些證書採取預防措施。

有解讀認為,這允許瀏覽器廠商繼續使用證書透明度等機制來保障瀏覽器安全。[30][來源可靠?]

身份號碼

編輯

數據庫信息須與某種身份號碼相關聯。要證明一個人對某些個人信息的訪問權,有幾個步驟。[重要嗎?]

  • 關聯一個人與一個號碼,這可通過一個國家開發的例如數字證書體系來完成。
  • 特定信息關聯一個號碼。
  • 對eIDAS,擁有信息的國家所用的號碼與頒發數字證書的國家所用的號碼需要關聯。

eIDAS中最小的身份概念是姓名和出生日期。但訪問更敏感的信息時,需要證明兩個不同國家頒發的身份號碼指向同一個人。[31]

安全漏洞

編輯

2019年10月,安全研究人員在eIDAS-Node(歐盟委員會提供的eID eIDAS Profile的一個示例實現[32])中發現兩個安全漏洞。eIDAS-Node 2.3.1版本中進行了修復。[33]

歐洲自治身份框架

編輯

歐盟已開始創建兼容eIDAS的歐洲自主主權身份框架(ESSIF)[來源請求]。但在許多國家,使用eIDAS服務需為Google蘋果公司的客戶。[來源請求]

歐盟可信列表(EUTL)

編輯

歐盟可信列表(European Union Trusted Lists,EUTL)是一份公開列表,包含200多家活躍的、傳統的信任服務提供商(TSP),它們經過專門認證,能提供遵守歐盟eIDAS電子簽名規章的最高水平的合規性。[34]

參見

編輯

參考資料

編輯
  1. ^ 全球法人识别编码和《电子身份认证和信任服务条例》. 全國金融標準化技術委員會. 2020-11-02 [2023-12-02]. (原始內容存檔於2023-12-02). 
  2. ^ 2.0 2.1 Turner, Dawn. Understanding eIDAS. Cryptomathic. [12 April 2016]. (原始內容存檔於2016-04-20). 
  3. ^ 3.0 3.1 3.2 3.3 3.4 Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. EUR-Lex. The European Parliament and the Council of the European Union. [18 March 2016]. (原始內容存檔於2018-01-15). 
  4. ^ 4.0 4.1 存档副本 (PDF). [2023-12-02]. (原始內容存檔 (PDF)於2024-01-12). 
  5. ^ 5.0 5.1 存档副本. [2023-12-02]. (原始內容存檔於2023-12-30). 
  6. ^ 6.0 6.1 存档副本. [2023-12-02]. (原始內容存檔於2024-02-26). 
  7. ^ 7.0 7.1 存档副本. [2023-12-02]. (原始內容存檔於2024-05-09). 
  8. ^ van Zijp, Jacques. Is the EU ready for eIDAS?. Secure Identity Alliance. [18 March 2016]. (原始內容存檔於22 November 2016). 
  9. ^ Turner, Dawn M. eIDAS from Directive to Regulation - Legal Aspects. Cryptomathic. [18 March 2016]. (原始內容存檔於2016-03-10). 
  10. ^ 10.0 10.1 Bender, Jens. eIDAS Regulation: EID - Opportunities and Risks (PDF). Bunde.de. Fraunhofer-Gesellschaft. [18 March 2016]. (原始內容存檔 (PDF)於2015-09-10). 
  11. ^ eIDAS in force, applies and exceptions on Europa.eu. [2023-12-02]. (原始內容存檔於2021-03-06). 
  12. ^ Info on eIDAS頁面存檔備份,存於網際網路檔案館), Connectis.
  13. ^ Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014. [2023-12-02]. (原始內容存檔於2020-06-04). 
  14. ^ A Digital Agenda For Europe. EUR-Lex. The European Commission. [18 March 2016]. (原始內容存檔於2016-04-23). 
  15. ^ J.A., Ashiq. The eIDAS Agenda: Innovation, Interoperability and Transparency. Cryptomathic. [18 March 2016]. (原始內容存檔於2016-04-24). 
  16. ^ Towards principles and guidance for eID interoperability on online platforms (PDF). Europa.eu. European Commission. [29 August 2021]. (原始內容存檔 (PDF)於24 June 2019). 
  17. ^ Turner, Dawn M. The Difference Between an Electronic Signature and a Digital Signature. Cryptomathic. [21 April 2016]. (原始內容存檔於2016-05-08). 
  18. ^ Regulations, Directives and other acts. Europa.eu. The European Union. [18 March 2016]. (原始內容存檔於12 December 2013). 
  19. ^ Understanding eIDAS – All you ever wanted to know about the new EU Electronic Signature Regulation. Legal Technology. [1 March 2016]. (原始內容存檔於2018-01-17). 
  20. ^ A Big Step Toward the European Digital Single Market (PDF). Inside Magazine. [27 March 2019]. (原始內容 (PDF)存檔於2019-03-27). 
  21. ^ Articles 25 (1) and definitions in article 3 (10) to 3 (12)
  22. ^ Article 25 (2)
  23. ^ Article 35 (2)
  24. ^ Commission proposes a trusted and secure Digital Identity for all Europeans (新聞稿). European Commission. 3 June 2021 [2023-12-02]. (原始內容存檔於2024-05-18). 
  25. ^ Procedure 2021/0136/COD頁面存檔備份,存於網際網路檔案館) on EUR-Lex英語EUR-Lex, Procedure 2021/0136(COD)頁面存檔備份,存於網際網路檔案館) on the ŒIL英語ŒIL
  26. ^ Commission Recommendation (EU) 2021/946 of 3 June 2021 on a common Union Toolbox for a coordinated approach towards a European Digital Identity Framework on EUR-Lex英語EUR-Lex
  27. ^ 存档副本. [2023-12-02]. (原始內容存檔於2024-04-07). 
  28. ^ 存档副本. [2023-12-02]. (原始內容存檔於2024-02-25). 
  29. ^ 存档副本. [2023-12-02]. (原始內容存檔於2023-11-29). 
  30. ^ 30.0 30.1 Hoepman, Jaap-Henk. Some observations on the final text of the European Digital Identity framework (eIDAS).. blog.xot.nl. 2023-11-20 [2023-11-25]. (原始內容存檔於2024-02-25). 
  31. ^ Hur skapar du en koppling mellan svenska och utländska eID:n?頁面存檔備份,存於網際網路檔案館) (in Swedish. Title translation: How to connect Swedish and foreign eID?)
  32. ^ eIDAS-Node integration package. European Commission. [2019-10-29]. (原始內容存檔於2019-06-10). The eIDAS-Node software contains the necessary modules to help Member States to communicate with other eIDAS-compliant counterparts in a centralised or distributed fashion. 
  33. ^ Cimpanu, Catalin. Major vulnerability patched in the EU's eIDAS authentication system. ZDNet. 2019-10-29 [2019-10-29]. (原始內容存檔於2019-10-29). Vulnerability would have allowed attackers to pose as any EU citizen or business. 
  34. ^ 存档副本. [2023-12-02]. (原始內容存檔於2023-11-29). 

外部連結

編輯