第六章 电子认证法律制度
9 W' x# u* O' G9 r( k/ A6 I1.简述电子认证的意义和含义。
. V1 [/ s. v; v( q2 q电子签名的基本功能是将电子文件与其签署人紧密地联系在一起,较好地解决了身份辨别及文件归属问题,但是它并没有在陌生的商事主体之间建立起交易所需的起码的信用度。问题的解决方案是通过一个或几个值得信赖的第三方将被认定的签名或签名者的姓名与特定的公共密码联系起来。可信赖的第三方一般被称作为“认证机构”,在许多国家里,这样的认证机构按不同的层次构建起来,常被称作是公钥基础设施。, H1 {. {! o" p
认证,是指特定认证机构对电子签名及其签署者的真实性所做的认证。* a5 s# i( `& {$ P9 m: A4 J
这里所说的认证是针对数字签名及其签署者的认证。认证机构通过向其用户提供可靠的在线证书状态查询,满足用户实时证书验证的要求,从而解决了可能被欺骗的问题。电子认证的最终目的就是为了在电子商务交易的当事人之间发生纠纷的情况下,提供有效的认证解决方法。信息发送人难以否认电子认证程序与规则,为交易当事人提供了大量的预防性的保护,避免一方当事人试图抵赖曾发送或收到某一数据信息而欺骗另一方当事人的行为发生。( K" U$ ~* ^$ _& i$ K
当多个认证机构存在的时候,很难肯定公钥密码使用者所使用的认证证书是其信赖的认证机构所发放的认证证书。因此,为了获得该认证机构的公钥密码,该公钥使用者又需获得另一认证机构签发的证明该公钥密码的认证证书。通过这种方式,每一数字证书都与上一级的签名证书相关联,最终通过安全认证链,追溯到一个已知的可信赖的机构。
; p: f6 h# R- y这里所说的认证就是针对数字签名及其签署者的认证。但是,这绝不意味着本书所述的电子签名就是数字签名。在现实生活以及未来发展中,电子签名所采用的技术手段和方案呈多样性特点,与之相应,电子认证所采用的技术手段和方案也是多样性的。正如电子签名不限于数字签名一样,电子认证也并非限于仅对数字签名进行认证。
2 J% I. ?; P$ ]8 U) k/ V. k2.什么是公钥基础设施?" L0 x5 I0 f/ q5 E5 [
电子认证就是通过一个或几个值得信赖的第三方将被认定的签名或签名者的姓名与特定的公共密码联系起来。可信赖的第三方就是认证机构。这样的认证机构按不同的层次构建起来,形成公钥基础设施。在公钥基础设施的构成中,认证机构(CA)及相关的证书管理设施居于核心地位。
5 B, m4 Q S8 ~. ~/ x近年来,公钥基础设施在信息化的发达国家中,已成为一个普遍认可的信息安全解决方案。它不仅包含加密解密算法、密钥管理,还包括各种安全策略、安全服务和其他安全服务。这其中,公开密钥密码算法居于中心的地位,所以称之为公开密钥基础设施。2 F) \+ r0 _3 i
3.简述认证机构的主要职责。. j+ k" g2 F/ s+ C7 o
关于认证机构的主要职责,可以借鉴国际组织和各国电子商务法中的相关规定,具体主要有:/ u' _+ V1 O1 T* I$ H: X, Q) T) c
(1)认证机构有责任使用可信赖的系统以行使其职责,并披露相关信息,以确保认证机构的权威性和公正性。. E& `. U) T$ ~9 A1 X
(2)认证机构应依照认证业务操作规范颁发证书。
/ m6 V: x8 k( g/ Z+ k(3)认证机构有责任在收到申请人或其代表人的申请后暂停证书;同时,有责任在证书中存在重要虚假陈述或认证机构的认证系统存在严重影响其可靠性或有证据证明签名者死亡或消失或不复存在等情况下撤销证书。0 y( N; L4 _8 o/ A$ x- A
4.简述认证机构的义务。4 A1 s8 _. ]8 S; e4 j b" U" f. g
(1)可信赖系统的义务。认证机构在提供证书服务时应保证其使用可信赖系统。4 l$ V" ^5 ~8 f4 M5 S
(2)担保义务。在签发证书过程中,认证机构需向用户及信赖的相对方作出种种陈述,与之相应,认证机构应对其所作的陈述承担相应的保证义务。* M+ `# y& d! S2 g1 B
(3)持续义务。认证机构还应向用户承担持续的义务。除非用户人与认证机构另有约定外,认证机构因发放证书而向用户保证:
$ h" h2 c C y5 p2 b, t3 V第一,如有本法规定的情形,则应立即中止或撤消证书;3 A' h' C6 e8 ?4 } T' i
第二,一旦证书发放以后,如认证机构知悉任何严重影响证书有效性或可靠性的事件,应在合理的时间内及时通知用户。, J& I) M# ^$ i5 Z8 n9 t, M) d, X+ ~
(4)忠信义务。如果认证机构持有与其颁布证书中公共密码相对应的私人密码,则该机构应如证书中指定的用户的信托人一样,负谨慎勤勉的义务;除非用户与认证机构之间,就私人密码的使用另有明确的书面形式的约定,否则,如果没有用户事先的书面同意,认证机构不得使用该私人密码。' C; F1 x1 N+ N" x( x7 y r
5.认证法律关系中有哪些当事人? ! I& W; U1 J! P9 b. ? l7 ?
在开放型的电子商务环境下,电子认证机构一般是以中立的、可靠的第三方当事人出现,为交易双方或多方提供服务的。因而,在认证法律关系中至少有买卖双方以及认证机构参与。换言之,认证法律关系一般涉及三方当事人:认证机构、证书持有人(或称证书用户)和证书信赖人(或称相对方)。在有些复杂的交易或服务关系中,交易当事人可能会更多些。如在以信用卡在线电子支付的交易中,即以安全电子交易协议进行的交易中,认证机构不仅要向买卖双方相互间提供身份认证,而且还要对发卡银行、收付机构四方当事人之间提供认证服务。 |
发表于 2012-3-18 16:43:48
