在这个充满挑战的时期,“欧洲在线交易的欧盟数字身份计划”(EU digital ID scheme for online transactions across Europe)倡议将推动eIDAS的修订,并将为所有欧洲人推广数字身份。为了支持委员会,欧盟网络安全局(ENISA)开展了一系列活动,以探索对信任服务提供商和远程身份证明的安全性问题。
自2013年以来,欧盟网络安全局(ENISA)一直走在eIDAS发展的前沿。该局一直以多种方式在信托服务领域支持欧洲委员会和各成员国,包括但不限于以下方面:
• 实施信托服务的安全建议;
• 绘制技术和法规要求;
• 促进在欧洲各地部署合格的信托服务;
• 提高对依赖方和最终用户的认识。
2019年的《欧盟网络安全法》加强了该机构在支持eIDAS实施方面的作用。
近日,欧洲联盟网络安全局(ENISA)完成了一套五份报告,以推动eIDAS法规的实施,并促进电子识别和信托服务的使用。这项工作属于欧盟数字十年网络安全战略的范围。
前四份关于信托服务的报告构成了ENISA对合格信托服务提供者的指导方针的更新。旨在帮助那些信任服务提供商遵守eIDAS。具体地说,它们包括:
• 有关合格信托服务提供商(QTSP)和非合格信托服务提供商的安全框架的技术指南;
• 基于标准的合格信托服务提供商的安全建议;
• 信托服务提供者的合格评定指南。
第五份报告分析了远程身份验证的方法,并探讨了安全问题。远程识别允许客户收集和验证其身份信息,而无需实际出现在操作员所在地。在COVID-19大流行期间,这一点变得至关重要,因为它允许访问会员国提供的跨境在线服务。
欧盟网络安全机构执行主任Juhan Lepassaar表示:“今天我们的生活越来越依赖于在线服务。因此,在改善和扩大这些服务的同时,确保整个欧盟电子身份识别服务的互操作性和安全性至关重要。进一步建立一个安全的欧洲数字身份,将使数字市场的企业和消费者都受益。”
信托服务技术指南
ENISA发布这些报告是为了更新2017年发布的关于合格信托服务的现有建议和指南。因此,这些报告集中讨论了eIDAS条例所规定的要求以及新标准和新TSP服务。
新准则根据下列主题在四份不同的报告中提出:
• 信托服务提供商(无论是否合格)都在寻求有关如何满足eIDAS法规要求的指南;
• 试图根据eIDAS法规中的规定澄清他们是否有资格成为信托服务提供商的服务提供商;
• 寻求评估其信任服务提供商在多大程度上符合eIDAS要求的依赖方。
因此,这套建议包括:
• 安全框架——为合格的信托服务供应商,以及不合格的信托服务供应商。这些指导方针考虑了非合格信托服务提供者所遇到的更大的潜在多样性;
• 根据标准为合格信托服务提供者提供的安全建议,以及信托服务提供者合格评估指引。
这些准则已与来自各个部门的eIDAS领域的专家进行了协商并得到了验证。
远程执行身份验证的方法分析
eIDAS下的电子身份识别是一种数字解决方案,旨在为公民或组织提供身份证明,以便访问在线服务或进行在线交易。
具体地说,在颁发合格证书的情况下,可以预见除了物理在场进行身份验证以外的其他办法,并为远程身份验证铺平道路。其他鉴定方法也可以使用,只要它们在国家一级得到认可。为此目的,国家主管部门应在可靠性方面提供同等的保证,而等效保证应由合格评定机构(CAB)确认。
报告强调,需要统一采用和跨境识别远程身份验证方法,因为这些是扩大数字服务使用和内部市场跨界交易的关键因素。
27个欧洲监督机构中有11个表示,它们已经接受了远程身份验证的方法。eIDAS法规使信托服务和电子识别系统使用远程身份验证成为可能,使第五反洗钱指令(AMLD5)也将这种技术引入了金融领域。
本报告概述了最常见的身份证明方法,这些方法由不同利益相关者收到的实际示例说明。它还介绍了国际和欧盟层面当前的法律/法规环境和支持标准。
此外,它概述了欧盟成员国的远程身份认证法律、法规和实践的现状。该报告还分析了通过使用、提供或评估身份证明解决方案的不同利益相关者通过问卷调查返回的信息。特别是,80个不同的利益相关者的贡献表明了该主题的重要性,这也是ETSI特遣部队(STF)588当前正在进行的一项研究的目标。
附:报告原文下载网址-远程执行身份证明的方法分析
https://www.enisa.europa.eu/publications/enisa-report-remote-id-proofing
ENISA将与欧盟委员会一起在2021年9月21日举办信托服务论坛。该版本于2015年推出,并于2021年举办了第七届。与2021年9月22日的D-TRUST/TUVIT CA日一起,该活动将在德国柏林举行,前提是当前行驶和采集的限制届时将被解除。(本文出自SCA安全通信联盟,转载请注明出处。)