eIDAS电子身份认证和信任服务条例[1](英语:electronic IDentification, Authentication and trust Services)的缩写,是为管理电子交易所用电子身份信任服务英语trust service provider而制定的一项欧盟规章英语regulation (European Union)。该规章2014年获得通过,规定于2016年至2018年间逐步生效。[2][3]

对“合格信任服务”的欧盟信任标志
数码化的欧洲单一市场和跨境公共服务便利化

在2023年,拟定的修改准许任何欧盟内的政府进行中间人攻击深入监视加密通信在内的互联网资讯。[4]网络安全研究人员、非政府组织和民间社会团体谴责该提案,指其侵害人权隐私尊严[5][6][7]

介绍

eIDAS监管欧盟内部市场的电子交易的电子识别和信任服务。其规范了电子签名、电子交易、当事机构及嵌入过程,从而为用户提供安全的线上业务,例如电子金融转账公共服务交易,使签名人和接收人更加便利和安全。用户得以通过一键式英语1-Click技术实现跨境交易,而无需依赖邮件、传真等传统方法或亲自提交纸质文件。[3][8]

eIDAS制定了相关标准,使电子签名、合格数码证书英语qualified digital certificate电子印章英语electronic seal时间戳和其他身份验证机制促成电子交易的证明,使其具有与纸质交易同等的法律地位。[9]

该规章于2015年7月生效,以促进欧盟内部安全、无缝的电子交易。成员国必须认可符合eIDAS标准的电子签名。[3][10]

时间线

该规定2014年7月23日由关于电子识别的欧盟规章910/2014所制定,并废止了1999年12月13日的1999/93/EC。[2][3]

规章在2014年9月17日生效,2016年7月1日起适用,除非符合第52条中列出的特定豁免条款。[11]2018年9月29日起,在任一欧盟成员国提供公共数字服务的组织都须认可所有欧盟成员国的电子身份。这适用于欧洲单一市场的所有国家。[12][13]

预见

eIDAS是欧盟委员会着眼欧洲数字议程英语Europe 2020的成果,在委员会的监督下实现eIDAS以刺激欧盟内的数字增长。[14]

eIDAS的主旨是推动创新。遵守eIDAS中为技术制定的准则是为推动组织采用更高水平的资讯安全创新成果。除此之外,eIDAS重点关注如下方面:[10][15]

  • 互操作性:成员国需创建一个通用框架,以识别其他成员国的eID(数码身份)并确保其真实性和安全性。这使用户可以轻松开展跨境业务。
  • 透明度英语Transparency (behavior):eIDAS提供一个清晰易得的适合用于集中式签名框架的可信服务列表,促使安全利益相关者就保护数码签名的最佳技术和工具开展对话。

电子交易监管

规定为与电子交易相关的下列重要方面提供监管环境:[3]

演变和法律影响

eIDAS规章源自欧盟指令1999/93/EC,其中定义了欧盟成员国在电子签名方面应实现的目标。欧洲小国较早开始采用数码签名和身份识别,例如爱沙尼亚于2002年就提供首个数码签名,拉脱维亚于2006年提供首个数码签名。这些国家的经验现在被用来制定覆盖全欧盟的规章,该规章自2016年7月1日起在全欧盟范围内成为有约束力的法律[18]。1999/93/EC指令要求欧盟成员国负责制定法律,以实现在欧盟内部创建一个电子签名系统的目标。该指令还允许每个成员国解释法律并施加限制,这阻碍了实际场景中的互操作性并导致碎片化局面。[19]与1999年的指令相比,eIDAS确保成员国间对eID身份验证有相互认可,[20]以实现数码单一市场的目标。

eIDAS提供一个具法律价值的分层举措。它要求任何电子签名都不能仅因不是高级或合格的电子签名而被否认法庭上的法律效力或可受理性。[21]合格的电子签名必须有与手写签名同等的法律效力。[22]

法人的电子印章签名的证明价值英语relevance (law)也获解决,印章享有未受损害、所附数据来源正当的假定。[23]

2021年6月,委员会提出一项修正案并发布一份建议。[24][25][26]

中间人攻击和大规模监视

2023年,对eIDAS的一项更改提案将允许任何欧盟政府监听加密通信在内的所有互联网通信[6][4]该提案的机制与2019年哈萨克斯坦尝试过的大规模监控相同。

该提案将强制浏览器供应商在网络浏览器中置入“后门”,以利执行中间人攻击,用户会认为正在与所请求的伺服器进行通信,但实际上的对方可能为政府伺服器,而政府伺服器可以窃听与篡改传输的消息,并将消息传回原定的接收者。[27]

若该提案通过,欧盟各国政府原则上可以拦截这些浏览器以加密方式传输的任何资讯,读取敏感的加密内容和随意修改资讯,而用户不会感到异样。[28][29]法制化较弱的国家中这尤为令人担心,国家或相关人士可以利用法律监视本国公民以实现政治镇压和个人利益,且有人担心与国家相关的私人可滥用大规模监控权力实现个人目的。[5][7]

提案的主要内容在最终草案中被保留,但也已做出规定,允许浏览器提供商在某些情形下继续实施安全准则,降低此类隐蔽攻击的可能性。[30]其中指出:

By way of derogation to paragraph 1 and only in case of substantiated concerns related to breaches of security or loss of integrity of an identified certificate or set of certificates, web-browsers may take precautionary measures in relation to that certificate or set of certificates.

中译:

作为对第1款的豁免,仅当对一份或一套证书的安全性或完整性有确凿担忧时,网络浏览器可对这些证书采取预防措施。

有解读认为,这允许浏览器厂商继续使用证书透明度等机制来保障浏览器安全。[30][来源可靠?]

身份号码

数据库资讯须与某种身份号码相关联。要证明一个人对某些个人资讯的访问权,有几个步骤。[重要吗?]

  • 关联一个人与一个号码,这可通过一个国家开发的例如数码证书体系来完成。
  • 特定资讯关联一个号码。
  • 对eIDAS,拥有资讯的国家所用的号码与颁发数码证书的国家所用的号码需要关联。

eIDAS中最小的身份概念是姓名和出生日期。但访问更敏感的资讯时,需要证明两个不同国家颁发的身份号码指向同一个人。[31]

安全漏洞

2019年10月,安全研究人员在eIDAS-Node(欧盟委员会提供的eID eIDAS Profile的一个示例实现[32])中发现两个安全漏洞。eIDAS-Node 2.3.1版本中进行了修复。[33]

欧洲自治身份框架

欧盟已开始创建兼容eIDAS的欧洲自主主权身份框架(ESSIF)[来源请求]。但在许多国家,使用eIDAS服务需为Google苹果公司的客户。[来源请求]

欧盟可信列表(EUTL)

欧盟可信列表(European Union Trusted Lists,EUTL)是一份公开列表,包含200多家活跃的、传统的信任服务提供商(TSP),它们经过专门认证,能提供遵守欧盟eIDAS电子签名规章的最高水平的合规性。[34]

参见

参考资料

  1. ^ 全球法人识别编码和《电子身份认证和信任服务条例》. 全国金融标准化技术委员会. 2020-11-02 [2023-12-02]. (原始内容存档于2023-12-02). 
  2. ^ 2.0 2.1 Turner, Dawn. Understanding eIDAS. Cryptomathic. [12 April 2016]. (原始内容存档于2016-04-20). 
  3. ^ 3.0 3.1 3.2 3.3 3.4 Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. EUR-Lex. The European Parliament and the Council of the European Union. [18 March 2016]. (原始内容存档于2018-01-15). 
  4. ^ 4.0 4.1 存档副本 (PDF). [2023-12-02]. (原始内容存档 (PDF)于2024-01-12). 
  5. ^ 5.0 5.1 存档副本. [2023-12-02]. (原始内容存档于2023-12-30). 
  6. ^ 6.0 6.1 存档副本. [2023-12-02]. (原始内容存档于2024-02-26). 
  7. ^ 7.0 7.1 存档副本. [2023-12-02]. (原始内容存档于2024-05-09). 
  8. ^ van Zijp, Jacques. Is the EU ready for eIDAS?. Secure Identity Alliance. [18 March 2016]. (原始内容存档于22 November 2016). 
  9. ^ Turner, Dawn M. eIDAS from Directive to Regulation - Legal Aspects. Cryptomathic. [18 March 2016]. (原始内容存档于2016-03-10). 
  10. ^ 10.0 10.1 Bender, Jens. eIDAS Regulation: EID - Opportunities and Risks (PDF). Bunde.de. Fraunhofer-Gesellschaft. [18 March 2016]. (原始内容存档 (PDF)于2015-09-10). 
  11. ^ eIDAS in force, applies and exceptions on Europa.eu. [2023-12-02]. (原始内容存档于2021-03-06). 
  12. ^ Info on eIDAS页面存档备份,存于互联网档案馆), Connectis.
  13. ^ Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014. [2023-12-02]. (原始内容存档于2020-06-04). 
  14. ^ A Digital Agenda For Europe. EUR-Lex. The European Commission. [18 March 2016]. (原始内容存档于2016-04-23). 
  15. ^ J.A., Ashiq. The eIDAS Agenda: Innovation, Interoperability and Transparency. Cryptomathic. [18 March 2016]. (原始内容存档于2016-04-24). 
  16. ^ Towards principles and guidance for eID interoperability on online platforms (PDF). Europa.eu. European Commission. [29 August 2021]. (原始内容存档 (PDF)于24 June 2019). 
  17. ^ Turner, Dawn M. The Difference Between an Electronic Signature and a Digital Signature. Cryptomathic. [21 April 2016]. (原始内容存档于2016-05-08). 
  18. ^ Regulations, Directives and other acts. Europa.eu. The European Union. [18 March 2016]. (原始内容存档于12 December 2013). 
  19. ^ Understanding eIDAS – All you ever wanted to know about the new EU Electronic Signature Regulation. Legal Technology. [1 March 2016]. (原始内容存档于2018-01-17). 
  20. ^ A Big Step Toward the European Digital Single Market (PDF). Inside Magazine. [27 March 2019]. (原始内容 (PDF)存档于2019-03-27). 
  21. ^ Articles 25 (1) and definitions in article 3 (10) to 3 (12)
  22. ^ Article 25 (2)
  23. ^ Article 35 (2)
  24. ^ Commission proposes a trusted and secure Digital Identity for all Europeans (新闻稿). European Commission. 3 June 2021 [2023-12-02]. (原始内容存档于2024-05-18). 
  25. ^ Procedure 2021/0136/COD页面存档备份,存于互联网档案馆) on EUR-Lex英语EUR-Lex, Procedure 2021/0136(COD)页面存档备份,存于互联网档案馆) on the ŒIL英语ŒIL
  26. ^ Commission Recommendation (EU) 2021/946 of 3 June 2021 on a common Union Toolbox for a coordinated approach towards a European Digital Identity Framework on EUR-Lex英语EUR-Lex
  27. ^ 存档副本. [2023-12-02]. (原始内容存档于2024-04-07). 
  28. ^ 存档副本. [2023-12-02]. (原始内容存档于2024-02-25). 
  29. ^ 存档副本. [2023-12-02]. (原始内容存档于2023-11-29). 
  30. ^ 30.0 30.1 Hoepman, Jaap-Henk. Some observations on the final text of the European Digital Identity framework (eIDAS).. blog.xot.nl. 2023-11-20 [2023-11-25]. (原始内容存档于2024-02-25). 
  31. ^ Hur skapar du en koppling mellan svenska och utländska eID:n?页面存档备份,存于互联网档案馆) (in Swedish. Title translation: How to connect Swedish and foreign eID?)
  32. ^ eIDAS-Node integration package. European Commission. [2019-10-29]. (原始内容存档于2019-06-10). The eIDAS-Node software contains the necessary modules to help Member States to communicate with other eIDAS-compliant counterparts in a centralised or distributed fashion. 
  33. ^ Cimpanu, Catalin. Major vulnerability patched in the EU's eIDAS authentication system. ZDNet. 2019-10-29 [2019-10-29]. (原始内容存档于2019-10-29). Vulnerability would have allowed attackers to pose as any EU citizen or business. 
  34. ^ 存档副本. [2023-12-02]. (原始内容存档于2023-11-29). 

外部链接