Dostawca usług zaufania
Dostawca usług zaufania ( TSP ) to osoba lub podmiot prawny dostarczający i przechowujący certyfikaty cyfrowe w celu tworzenia i weryfikowania podpisów elektronicznych oraz uwierzytelniania ich sygnatariuszy, a także ogólnie stron internetowych. Dostawcy usług zaufania to kwalifikowane urzędy certyfikacji wymagane w Unii Europejskiej i Szwajcarii w kontekście regulowanych procedur podpisu elektronicznego .
Historia
Termin dostawca usług zaufania został ukuty przez Parlament Europejski i Radę Europejską jako ważny i właściwy organ zapewniający niezaprzeczalność regulowanej procedurze podpisu elektronicznego . Po raz pierwszy pojawił się w dyrektywie w sprawie podpisów elektronicznych 1999/93/WE i początkowo nosił nazwę dostawca usług certyfikacyjnych. Dyrektywa została uchylona rozporządzeniem eIDAS , które weszło w życie 1 lipca 2016 r. Rozporządzenie jest wiążącym aktem prawnym, którego przestrzegania wymagają wszystkie państwa członkowskie UE .
Opis
Dostawca usług zaufania jest odpowiedzialny za zapewnienie integralności elektronicznej identyfikacji sygnatariuszy i usług poprzez silne mechanizmy uwierzytelniania , podpisy elektroniczne i certyfikaty cyfrowe . eIDAS określa standardy dotyczące sposobu, w jaki dostawcy usług zaufania mają świadczyć swoje usługi uwierzytelniania i niezaprzeczalności . Rozporządzenie zawiera wytyczne dla państw członkowskich UE, w jaki sposób dostawcy usług zaufania powinni być regulowani i uznawani.
Usługa zaufania jest zdefiniowana jako usługa elektroniczna, która obejmuje jedno z trzech możliwych działań. Po pierwsze, może dotyczyć tworzenia, weryfikacji lub walidacji podpisów elektronicznych, a także znaczników czasu lub pieczęci , usług doręczeń rejestrowanych elektronicznie oraz certyfikatów wymaganych przy tych usługach. Drugie działanie obejmuje tworzenie, weryfikację oraz walidację certyfikatów, które służą do uwierzytelniania stron internetowych. Trzecim działaniem jest zachowanie tych podpisów elektronicznych, pieczęci lub związanych z nimi certyfikatów.
Aby zostać podniesionym do poziomu kwalifikowanej usługi zaufania, usługa musi spełniać wymagania określone w Rozporządzeniu eIDAS. Usługi zaufania zapewniają ramy zaufania, które ułatwiają stałe relacje w zakresie transakcji elektronicznych przeprowadzanych między uczestniczącymi państwami członkowskimi i organizacjami UE.
Rola kwalifikowanego dostawcy usług zaufania
Kwalifikowany dostawca usług zaufania odgrywa ważną rolę w procesie kwalifikowanego podpisu elektronicznego. Dostawcy usług zaufania muszą uzyskać kwalifikowany status i zezwolenie organu nadzorczego państwa na wydawanie kwalifikowanych certyfikatów cyfrowych , które mogą być wykorzystywane do składania kwalifikowanych podpisów elektronicznych. eIDAS wymaga, aby UE prowadziła unijną listę powierniczą zawierającą listę dostawców i usług, które otrzymały kwalifikowany status. Dostawca usług zaufania nie jest uprawniony do świadczenia kwalifikowanych usług zaufania, jeśli nie figuruje na unijnej liście powierniczej.
Dostawcy usług zaufania, którzy znajdują się na unijnej liście powierniczej, są zobowiązani do przestrzegania ścisłych wytycznych ustanowionych w ramach eIDAS. Tworząc certyfikaty, muszą podać stemple ważne w czasie i dacie. Podpisy, których certyfikaty wygasły, należy natychmiast unieważnić. UE zobowiązuje dostawców usług zaufania do zapewnienia odpowiednich szkoleń dla całego personelu zatrudnionego przez dostawcę usług zaufania. Ponadto dostarczają narzędzia, takie jak oprogramowanie i sprzęt, które są godne zaufania i mogą zapobiegać fałszerstwom produkowanych certyfikatów.
Wizja
Jednym z głównych zamierzeń eIDAS było ułatwienie usług zarówno publicznych, jak i biznesowych, zwłaszcza tych, które są prowadzone między stronami ponad granicami państw członkowskich UE. Transakcje te można teraz bezpiecznie przyspieszyć za pomocą środków podpisu elektronicznego i usług świadczonych przez dostawców usług zaufania w zakresie zapewnienia integralności tych podpisów.
Państwa członkowskie UE są zobowiązane za pośrednictwem eIDAS do ustanowienia „pojedynczych punktów kontaktowych” (PSC) dla usług zaufania, które zapewniają, że schematy identyfikacji elektronicznej mogą być wykorzystywane w transgranicznych transakcjach sektora publicznego, w tym w transgranicznej wymianie i dostępie do informacji dotyczących opieki zdrowotnej.
Perspektywa prawna podpisów elektronicznych składanych przez dostawców usług zaufania
Podczas gdy zaawansowany podpis elektroniczny jest prawnie wiążący w ramach eIDAS, kwalifikowany podpis elektroniczny , który został złożony przez kwalifikowanego dostawcę usług zaufania, ma wyższą wartość dowodową , gdy jest używany jako dowód w sądzie. Ponieważ autorstwo podpisu jest uważane za niezaprzeczalne autentyczności podpisu nie można łatwo zakwestionować. Państwa członkowskie UE są zobowiązane do uznawania za ważne kwalifikowanych podpisów elektronicznych, które zostały złożone za pomocą kwalifikowanego certyfikatu z innych państw członkowskich. Zgodnie z Rozporządzeniem eIDAS, tj. art. 24 ust. 2, podpis złożony kwalifikowanym certyfikatem ma taką samą moc prawną jak podpis odręczny w sądzie.
Standardy ewoluują. Europejski Instytut Norm Telekomunikacyjnych ETSI opracowuje dodatkowe standardy, w tym definicje zasad dla dostawców usług zaufania .
Globalna perspektywa
Szwajcarski standard podpisu cyfrowego ZertES zdefiniował porównywalną koncepcję dostawców usług certyfikacyjnych. Dostawcy usług certyfikacyjnych muszą być kontrolowani przez jednostki oceniające zgodność wyznaczone przez Schweizerische Akkreditierungsstelle . W Stanach Zjednoczonych NIST Digital Signature Standard (DSS) w obecnej wersji nie zna niczego porównywalnego z kwalifikowanym dostawcą usług zaufania, co pozwoliłoby na zwiększenie niezaprzeczalności poprzez kwalifikowany certyfikat sygnatariusza. Jednak autorzy nadchodzącej recenzji i komentatorzy publicznie omawiają poprawkę podobną do podejścia eIDAS i ZertES do świadczenia usług zaufanych. Aby umożliwić rygorystyczne i niezaprzeczalne transakcje globalne oraz znaczenie prawne , wymagana byłaby międzynarodowa harmonizacja.
Spór
Kilka instytutów badawczych i stowarzyszeń wyraziło zaniepokojenie w związku z utworzeniem małej grupy scentralizowanych dostawców usług zaufania w każdym kraju, którzy uwierzytelniają transakcje cyfrowe. Twierdzą, że ten konstrukt może mieć negatywny wpływ na prywatność. Biorąc pod uwagę centralną rolę dostawców usług zaufania w wielu transakcjach, Rada Europejskich Towarzystw Informatyki Zawodowej (CEPIS) obawia się, że dostawcy usług zaufania będą zdobywać i gromadzić informacje o cechach wyróżniających obywateli, które podlegają uwierzytelnieniu. W odniesieniu do ich wymogu zachowania danych i wynikających z tego oczekiwanych wysiłków w celu przechowywania dowodów na potencjalne żądania odpowiedzialności za niedokładny identyfikator, CEPIS dostrzega ryzyko, że dostawcy usług zaufania mogliby tworzyć i przechowywać wpisy dziennika wszystkich procesów uwierzytelniania. Uzyskane informacje pozwalają na monitorowanie i profilowanie zaangażowanych obywateli. Jeśli kontrahent transakcji również się zidentyfikuje, zainteresowania użytkowników i ich zachowania komunikacyjne dodatkowo wyostrzą uzyskane profile. dużych zbiorów danych umożliwiłaby dalekosiężny wgląd w prywatność i relacje obywateli. Bezpośrednie połączenie z kwalifikującymi się organami rządowymi mogłoby umożliwić im uzyskanie dostępu do uzyskanych danych i profili.
W innej publikacji twierdzi się, że aby naprawdę skorzystać z bezpiecznych i bezproblemowych transgranicznych transakcji elektronicznych, należy bardziej precyzyjnie określić poziomy pewności, definicje i wdrożenie techniczne.
W 2021 r. stosunkowo niejasne proponowane aktualizacje eIDAS wymagałyby od przeglądarek przekazywania zapewnień od dostawców usług internetowych swoim użytkownikom. Najwyraźniej wymagałoby to włączenia określonych przez rząd TSP równolegle z istniejącymi wielostronnymi procesami używanymi przez przeglądarki w celu ustanowienia zaufania do urzędów certyfikacji . Internet Society i Mozilla zgłosiły różne problemy z propozycjami.