“理论上讲,网络上但凡需要进行身份认证、交易、签名的地方,都需要电子认证与签名服务。”工业和信息化部信息安全协调司副司长欧阳武在多个不同场合都曾经这样表示。
为什么会这样说?这是因为,互联网迅猛发展,网络经济已经成为一种新兴的经济形态。在这一新的经济环境下,如何让网络具有可信度,是保证网络经济时代经济信息安全所面临的重要挑战。“事实上,这已经成为了互联网信息安全的一个突出问题。”欧阳武认为。
“国家正在积极倡导的网络实名制,就是要打造一个可信任的网络机制,在这其中,使用电子认证和签名技术xx能实现可信任网络机制的目标。”北京数字证书认证中心有限公司总经理詹榜华说,采用数字证书技术,对网上个人身份、机构的身份、服务器身份进行认证和签名,通过第三方中立的电子认证服务机构对数字证书进行认证,是建立互联网上信任机制的一种好办法。
毫无疑问,电子签名认证服务市场巨大,前景喜人。
不过回到现实,情况却不乐观。从工业和信息化部了解到的数据,截至到2010年5月31日,中国市场总共发放的数字证书只有区区1000多万张,其中机构数字证书6066257张、个人数字证书5347239张、设备证书9986张。再看另一组工信部的数据,截止到2010年4月22日,中国的上网人数达到4.04亿人。易观国际{zx1}的数据,截止到2010年3月底,中国网银用户数达到2.11亿!另据2010年4月份在Gizmodo上公布的一份由INTAC绘制的全球专用服务器数量图上看,全球服务器数量粗略估计已经达到了5000万台以上。
数字不比不知道,一比吓一跳!《电子签名法》实施5周年来,中国的数字证书发放量比较起网民数、网银用户数和服务器数量,连1/20都不到,实在太微不足道了。这当然一方面说明,中国的电子认证服务市场大有可为; 另一方面也不得不令人产生疑问,是什么原因阻碍了数字证书在中国的快速应用?
《计算机世界》报社记者经过多方调查采访,总结出目前电子认证服务市场的四大纠结所在。
纠结一:数字证书不为人所知
很多人不了解数字证书——这是阻碍电子认证服务市场的{dy}大拦路虎。
为了了解究竟有多少业内人士了解数字证书(CA)和数字证书服务机构(CA机构),记者曾经在计世网的用户中心发起一份调查: 你了解电子签名和认证技术吗?结果只有18.9%的人xx了解; 45.67%的人了解一些; 35.43%的人xx不了解。网友对调查的评论中有人说,“{dy}次听到CA,还以为是数字电视的条件接收呢”; 还有人问,“这个CA机构与CA公司是什么关系?”调查结果非常令人失望,这还是在专业IT人士中的一次调查。在普通老百姓中呢?有多少人了解电子签名和认证呢?结果更不敢想象。
记者身边的很多朋友,经常使用网银,其中不少使用了诸如U盾等各大商业银行发行的USB Key。当记者询问他们为什么要用时,他们的回答往往很模糊,认为这是银行推荐的,也不知道为什么有了“用户名和密码”或者“刮刮卡”,还要用USB Key?
“这就是普通百姓对数字证书的{zd0}认识误区,很多人只将电子认证作为身份认证的手段,等同于用户名/密码、动态口令等技术,这是对电子认证作用的片面理解。”詹榜华告诉记者,“电子认证服务除了对身份进行认证外,最重要的是实现电子签名。电子签名能保证信息的完整性和签名人对数据电文的认可,这是用户名/密码、动态口令等技术无法实现的,这才是电子认证最重要的价值,丢掉这一点,无异于‘自贬身价’、‘丢了西瓜,捡了芝麻’。”
现实中,包括银行在内的一些数字认证服务机构,对自己的员工并没有进行专业的数字认证服务培训,员工可能自己都不懂,就更不具备对普通用户进行告之、解释和宣传的能力了。
北京市东城区是实施电子签名与认证技术应用相对比较早的地区,他们在区内电子政务应用平台上使用了数字证书,让每个公务员都必须实名登录进入电子政务网。另据东城区信息化工作办公室倪东副主任介绍,因为了解了电子认证服务的好处,东城区在全区范围内向社区全科医生也推广了电子签名和数字证书。回想当初在开始推行这套系统时,倪东坦言难度不小。“大家刚开始用的时候很多人对数字证书都不了解,也不知道怎么用,所以我们当时是到全区几十个社区医疗卫生服务点去逐一培训,教会一个再教下一个。”
虽然一方面政府职能部门和电子认证服务机构在大力倡导、积极推进电子签名的应用。但是另一方面,作为用户机构,很多人还是不了解新兴的电子签名认证服务。比如,虽然电子病历的热潮将电子签名推向前台,但是很多医疗机构的CIO对于电子签名的需求目前都还处于认识模糊阶段。
“首先对于电子签名的应用场景不甚明了,电子签名是用于环节与环节之间(譬如: 医生与护士之间、医生与执行科室之间)的确认? 用于医院向有关机构举证的确认?用于对完成或者未完成病历的确认?还是对完成或者未完成医疗记录的确认?这些问题目前都还不清楚。其次,对于电子签名的适用性也比较模糊,譬如: 基础设施条件、签名时机、对系统性能的影响、对数据库中的数据如何签名等。”解放军总医院计算机室主任薛万国自称,他本人对于上述这些问题都是很模糊的,因此,在考虑是否采用数字证书及电子认证服务时,也还处于摸索阶段。
此外,对于其他一些新兴的行业,比如电子商务、网络游戏领域,数字证书能为他们带来什么?目前各方对此都比较谨慎。以网游行业为例,网游行业最令人头疼的问题应该是对玩家的虚拟财产、虚拟武器、游戏账号的安全保护问题。凭想象,电子签名技术应该是能应用在这其中的,但实际情况上,网游领域是数字证书尚未开垦的一片处女地,需要认证服务机构和网游技术开发者共同探讨,寻找到数字证书与应用合作的契合点,才可能真正将数字证书应用到网游领域,那时,市场就真正打开了。
总之,人们不了解数字证书,一方面是因为数字证书确实还是个新兴的市场领域,还需要政府管理部门、CA机构不断反复地向用户宣传、讲解; 另一方面,也需要CA机构与应用单位密切合作,找到真正的应用点,才能在一个又一个新领域不断开花结果。
纠结二:证书使用体验差
当下,越来越多的IT产品和IT服务都在强调要给用户提供{zj0}的使用体验。就例如苹果的手机、平板电脑,自从上市之后,即使是要从自己腰包中掏出不少银子,它们还是受到了各类用户的热捧,究其原因,很重要的一个原因就是这些产品给用户带来了{jj0}的使用体验。
用户所理解的电子认证服务的产品,往往就是存储了用户数字证书的USB Key,虽然它插上电脑就可以使用,但是对于很多不太熟悉电脑使用的人来说,使用起来还是有些麻烦。
首先是安装的复杂性导致用户的担心。记者在安装某商业银行网上银行数字证书的时候,就曾经遇到系统不兼容的问题,记者的电脑安装了微软Windows7操作系统,数字证书安装中提示要求使用低版本的操作系统。为此,记者向该银行客服人员咨询,对方表示这是属于技术问题,用户只能按照要求降低系统版本。试想,谁愿意仅仅为了使用数字证书而重新安装操作系统呢?
其次是与其他流行通用软件不能相互认证性,导致使用体验差。广州市信息安全测评中心副主任周晓斌对记者说: “在中国,使用数字证书的人群中,至少90%不是专业IT人员,对于数字证书的使用或多或少都会遇到各种问题。例如,数字证书的驱动程序,很多对浏览器有很高的要求。比如现在很多网银使用的数字证书不支持微软{zx1}的IE8浏览器、不支持Firefox浏览器,这给消费者使用会带来很xxx烦。”同时,不被流行的浏览器认证,将导致用户经常面临“我的数字证书是否安全”的困惑,由此制约数字证书的发放。以服务器数字证书为例,国内很多电子认证服务机构提供的服务器数字证书没有经过微软浏览器的安全认证,这会导致普通用户在访问基于微软浏览器的数字证书时,系统会反复提示: “你遇到了不安全的数字证书,是否还要继续。”试想,遇到这样的提示,哪个用户敢不掂量一下安全的风险就继续使用?即使有人还继续愿意使用,接下来还需要安装各种控件,这就给很多用户带来某种心理阴影——认为自己安装的证书不一定安全。这种阴影成为了国内设备数字证书发放量到目前为止还不超过1万张的根本原因。
第三,各种CA机构颁发的数字证书不能相互认证,也是制约数字证书发放的原因之一。记者手头就曾经有3家网银的USB Key,但各自无法通用,使用起来非常不方便。过去有专家曾经提议建立“根CA”或“桥CA”,目的是希望通过一个USB Key保存多个数字证书,来访问多个应用。但由于技术和商业模式的原因,这两种方式最终流产,而各个CA机构依然在条块分割的市场各自为战,这样,带来的最终结果是增加了用户的使用难度。
纠结三:自建CA隐患大
根据工业和信息化部网站披露的信息,截至2010年5月31日,全中国有效电子认证证书持有量合计11,423,482张。
但是有业内专家估计,全中国实际使用的数字证书的数量是这个数字的好几倍。那这些证书从何而来的呢?“都是从那些没有经过国家主管部门审批许可的电子认证服务机构发出来的。”该专家一语点破了这个“公开的秘密”。
目前,中国对电子认证服务行业实行的是行政许可和市场准入制度,2005年实施的《电子签名法》及《电子认证服务管理办法》确立了合法电子认证服务机构的认定程序和法律责任: 由国务院信息产业主管部门依法对电子认证服务机构实施监督管理。这意味着,依照《电子签名法》成立的获得了工信部市场许可的CA机构,其签发的数字证书以及使用有效数字证书进行的可靠电子签名,均具法律效力。而那些没有获得工业和信息化部等xx部门许可的非第三方CA机构,根据《电子签名法》的规定,它们在未取得电子认证服务许可证前,其涉及的电子签名的法律效力有待鉴别。目前,没有获得国家主管部门批准建立的非第三方电子认证服务机构主要集中在金融行业。
记者曾经通过银行柜台和客户服务热线了解到,工、农、建、中四大银行都推出了各自的网银业务,其中前三家可以给网银用户提供数字证书服务。但据记者目前掌握的资料,为这些数字证书提供电子认证服务的,大都是这些银行自建的CA; 而根据来自主管部门的资料,这些CA机构都没有获得工业和信息化部颁发的电子认证服务许可证。
于是现在就存在着这样一个现实,银行的自建CA在没有得到行业主管部门的行政许可下,“无证”地进行着电子签名的认证服务。“无证”服务会给用户带了什么样的问题和风险呢?《计算机世界》报在2009年曾专门针对网上银行安全问题进行过专门的调查报道,我们发现,使用银行自建CA提供的数字证书,会带来以下两方面的风险:
首先,没有获得工业和信息化部等xx部门许可的银行自建CA,是自己发放数字证书,然后又自己验证发放的数字证书是否可靠,相当于又当“运动员又当裁判”,因此其签发的数字证书的法律效力有待鉴别; 其次,由于银行自建CA,造成用户处于一个不平等的弱势地位,一旦发生纠纷,需要进行司法解决时,用户往往会取证困难,容易使自己的合法权益得不到有效保护。
可见,金融机构这样的重量级用户没有采用依法建立的电子认证服务,不但增加了自身在部署和运营数字证书中存在的风险,更是浪费了电子认证服务机构的优势资源,不能形成合力推广电子认证服务,阻碍了电子认证服务安全、稳定、健康地发展。
纠结四:服务有待深化
电子认证服务机构从名称和定义来说,都应该是一个服务机构,但现实情况是,由于许多CA机构都具有官方背景,还没有从管理者的角色中转变出来,因此,往往错误地将自己定位为管理机构而非服务机构,这就造成了很多CA机构光顾了赚钱而忽略了自身的服务质量。
张先生在一家电子商务公司工作,他对电子认证行业服务质量就有很大的意见。他告诉记者: “我曾经去一个电子认证服务机构申请数字证书,一开始我以为很简单,结果xx不是那么回事。申请USB Key存储介质很复杂,申请的过程就像当初申办xxx一样,不可能几分钟就能办好,让我等了将近半天时间,听说有人还等上好几天的。”张先生还向记者抱怨,申请了数字证书后,每年除了催缴服务费和数字证书更新费用时,平时根本见不到CA的工作人员,就是在使用USB Key的过程中出现问题了,都是与对方技术人员电话沟通,从来没有见到过上门服务的情况。
作为业内人士,詹榜华表示,现在全国几十家电子认证服务机构的服务支撑能力良莠不齐,很多CA机构的服务水平达不到用户的需求,这才产生了用户的抱怨。“我们目前的几十家CA机构,{zd0}的问题就是服务支撑能力。就是说电子认证服务能提供什么样的服务?目前绝大多数CA机构能做的就是发证书。用户来了,CA机构给发一个证书,然后什么都没有了。第二年证书需要更新了,让用户再来,还是交钱走人,再给发一个证书,这根本就不是服务。”
詹榜华认为,CA机构应该打造以下四方面的服务能力: 首先是要让用户相信你; 其次让用户很方便得到CA机构的服务; 第三要让用户能很方便地使用这些服务; 第四让这些服务能够给用户创造更多的价值。因此,北京数字证书认证中心有限公司很早就开始建立了以客户为中心的新型电子认证服务体系建设,并打造了这样一个技术平台,以便更好地为用户服务。
“目前很多CA机构的电子签名服务中,仅有身份认证和证书服务,没有签名应用服务,更没有针对电子签名的司法鉴定和诉讼代理服务,因此,用户在使用电子签名时不放心,还有顾虑。而且在过去,我们关注更多的是电子签名中的证书发放,对证书发放者的身份进行了认定,而缺乏对证书发放之后的作用、使用中的问题进行关注,也缺少相关的配套措施。”欧阳武说。
对于未来如何加强推进电子认证服务,欧阳武希望能建立一种“傻瓜式”的便利服务体系。这就意味着,不但要完善技术体系,还需要形成服务的体系化; 不仅要完善电子认证服务机构的服务,还需要完善更多的后续配套的服务。
“目前全国有30家电子认证服务机构,有的业务就开展得很好,既有呼叫中心的服务,也有上门服务。所以,业界正在探讨,是否可以建立一个电子认证服务联盟。以xxx的服务形式,确保用户在电子签名、电子认证、电子取证、司法诉讼中的任何一个环节,都有相关的机构可以提供优质可靠的服务。”欧阳武说。
周晓斌也希望未来能形成类似“银联”这样的电子认证服务联盟组织,可解决不同CA机构发放的数字证书之间互相认证的问题,这样,可极大解决数字证书的易用性问题。“希望能有这样一个‘桥梁’,连接起运用电子签名及数字证书的机构、个人和提供证书认证服务的机构,以及提供相关技术服务的厂商。”
这样的“桥梁”一旦建好,对电子认证服务行业会有怎样的好处呢?周晓斌表示,如果有了这样一座桥梁,不但可以把各个应用都联接起来,同时促使各家CA的证书,以及底层提供密码支撑的厂家形成统一的技术规划和要求。这样在未来,条块化的电子认证服务市场就可以被打破,促使各家电子认证服务机构成为真正的全国性服务机构,而不是只局限于某一地,从而让电子认证服务市场得到进一步发展大。