证书策略 确保电子交易安全

电子认证行业目前正在积极探讨建立证书策略的必要性和方法。很多人会问:什么是证书策略?为什么要建立证书策略?如何建立证书策略?这些问题不仅为众多的电子认证机构(CA公司)所关注,也必将引起那些经常进行电子交易的普通网民的高度关注。

最近,360公司与深圳沃通公司在网上就“带着身份证的木马”相互指责对方,事件不断在升级。360指责沃通没有管理好发放的代码签名证书,让木马披着合法的外衣到处流窜;而深圳沃通公司则认为,代码签名证书只能证明软件开发单位的数字身份,而不能证明其开发的是否是木马程序,并且,用户应该管理好自己的证书,证书如果丢失,可以立刻吊销证书,但如果证书丢失后不吊销,被木马利用了,不能将责任归咎于证书发放机构。微软等国际公司也持有同样的观点。双方就电子认证的可靠性形成了激烈的交锋。

“这说明了两件事情,一方面,对证书的使用和管理不当,可能造成用户的损失;另一方面,认证机构不同,对同一事件的认证差异也较大,对证书缺乏标准的认证,会造成用户的不信任。而解决的办法,就是推广和使用证书策略。”信息安全国家重点实验室副主任、中国科学院DCS中心常务副主任兼亚洲PKI联盟秘书长荆继武教授说。

什么是证书策略

那么,什么是证书策略呢?推广和使用它有什么现实意义呢?

1月21日,信息安全国家重点实验室在工信部信息安全协调司的支持下,召开了“电子认证证书策略与信任保障专家研讨会”,来自清华大学、中国人民大学、中国PKI联盟、香港PKI论坛以及多家CA公司的专家学者参加了研讨会。

积极推动证书策略的工信部信息安全协调司副司长欧阳武介绍,简单来讲,证书策略就是根据网上应用安全级别的不同,对不同的应用提供不同的证书,以保障交易的安全性。但由于应用的多样性,不可能对每种应用都发一种证书,因此,可以给具有共同安全要求的应用定义一类证书策略,遵守同样证书策略的认证机构(也称为CA公司)按照同样的安全要求签发证书。这样做的目的有三个:一是可以统一规范CA机构对同样安全需求和类别的应用的认证过程,这是实现CA机构之间互认证的基础;二是方便用户的使用,采用证书策略后,最终用户不需要了解认证的技术和细节,只需要知道“采用的是哪种认证策略的证书”就可以了,而对证书依赖方(也就是采用证书的企业,比如银行等)来说,只需要知道“依赖哪种认证策略的证书”就可以了;第三,证书策略对于监管机构来讲,是对认证市场进行规范的监管工具,是规范CA机构服务标准的一种政策工具,具有重要的现实意义。

之所以提出了证书策略的概念,是因为,虽然在信息安全领域我们已经有了惟一的一部电子签名法,但是在目前的电子商务和电子政务环境中,人们使用各种CA机构签发的数字证书后,依然面临着许多困惑,依然不断出现各种安全威胁。由于证书签发的质量各不相同,不同的证书安全强度也不一样,按照测试流程发放的证书应该不能用于正式的电子交易。由于我国目前缺乏对数字证书的分级,人们无法从证书中获知证书的安全等级。也正因为如此,当使用证书遭受损失的时候,人们难以求助相关的法律保障自己的权益,以致于人们开始怀疑数字证书的可靠性,甚至怀疑整个电子签名技术和市场的可靠性。

例如,曾经发生过这样的事情,一位网银用户在领取了银行发放的数字证书后,由于没有及时激活数字证书,自己账户中的百万元资金不翼而飞。专家在仔细分析后发现,主要原因在于用户没有及时激活USB Key,因此在Key中就没有产生相应的私钥和数字证书,也就达不到证书的效力(这一过程必须由用户完成,是为了防止银行工作人员作假)。与此同时,其他人冒用他的身份证重新申请了一个新的USB Key并激活,冒领了资金。银行的责任在于没有将相关的步骤和风险详细告之用户。对不懂技术的普通用户来说,了解一大堆专业术语和实现过程实在太为难了。这一结果,不仅对该用户是个巨大打击,相信他从此之后也不会再相信数字证书了,对整个数字证书产业而言,何尝不是个重大信任灾难呢?

此外,很多人都有过这样的经历:当登录某个网站时,微软浏览器上方常常显示“证书错误:导航已阻止”字样。这是因为,为了保证用户输入信息传输和存储的安全,许多网站都采用了服务器证书。但由于发放服务器证书的CA机构,有许多并没有通过微软浏览器的认证,因此,微软浏览器将这些证书都当成是非法证书。结果造成了最终用户的困惑和网站管理者的担忧,他们很难再相信那些CA机构发放的证书了。

“还有很多例子可以证明,目前我国CA机构良莠不齐,发放的证书存在许多差异;电子认证对最终用户的使用要求高,使用稍微不注意,就可能造成用户的损失,这造成了证书广泛应用的困难,也造成了人们对电子认证的不信任,影响了电子认证行业的发展。”荆继武教授说。

对于证书策略的提出,专家们一致认为是非常有意义、也非常及时的。

“在我国推行证书策略最大的创新在于,国内首次提出了对电子认证进行分级的概念。”北京天威诚信电子商务有限公司总经理殷文钢说。“以往各种CA机构都在按照自己的理解和用户需求发放证书,这些证书之间不能互认证,不具有可比性。一些技术和管理不过关的CA机构发放的证书给用户造成了损失,导致了用户对整个电子认证行业不信任,这是非常不好的现象。现在有了证书策略,至少给CA机构提出了一个新的底线,CA机构必须达到这个标准才能获得更高级别的经营许可,这对技术先进、管理到位的正规经营电子认证服务的公司是一个最大的利好消息。”他说。

证书策略

面临的挑战

然而,概念虽好,要真正实现有效的证书策略并非是一件简单的事情,而是一个复杂的系统工程。

首先面临的第一大难题是,如何在海量的应用中提炼出共性的安全需求?这是证书策略的基础,也是保证证书策略有效实施的关键。

“在目前的环境下,由于网上应用类型的千差万别和应用数量的庞大,不可能对所有的应用颁发不同的数字证书。因此,对应用安全进行科学的分类是面临的重要挑战。”荆继武教授说。

中国PKI联盟杜链主任认为,证书的分类原则和方法从总体上看一定是个性化的,同时要兼顾全局性、完整性和长远性。具体要重视三件事情:一是重视初始体系的建设,尽量考虑完整;二是需要政府出面刺激应用的动力;三是要有开放性滚动发展的思路,争取在短期内将工作推开。

目前,工信部专门委托信息安全国家重点实验室对证书策略进行重点研究。为此,信息安全国家重点实验室专门成立了一个证书策略研究小组,广泛调研了国际上证书策略制定的方法,正在积极探索适合中国国情的证书策略。

经过对国外证书策略的广泛调研,该实验室发现,各国划分证书策略等级的标准各不相同,但总体而言,是根据证书应用的范围进行划分的。信息安全国家重点实验室高能副教授和王展博士介绍,欧美许多国家和地区的证书策略是按照公众、组织和设备三个领域进行证书策略划分的。“比如,美国隶属于联邦首席信息官理事会的联邦PKI策略权威机构(FPKIPA),主要任务是制定证书策略和信任保障,并检查CA机构是否满足证书策略的要求。他们根据证书策略的四种应用范围分别制定了四套证书策略体系:居民和商业公共证书策略、美国联邦PKI公共策略框架、电子政务CA策略、联邦桥CA策略。

因此,我国在制定证书策略时,基本思路也是按照证书应用的范围,如是用于个人之间、政府机构之间,还是个人与政府之间等,制定不同的证书策略。