很多人都使用过网银,同时也使用过诸如U盾等各大商业银行发行的USB Key,但并不太清楚为什么使用它。更有人疑惑,为什么有了“用户名和密码”或者“刮刮卡”,还要用USB Key?
由此延伸出另一个更为关键的问题:电子认证,我们在互联网信息世界里的身份证明。至于电子认证是什么,大家也不甚了了。
每日金融记者独家专访中国金融认证中心(CFCA)首席市场官赵宇,他表示:“我们经常使用的USB Key其实就是用于电子认证的工具,内置微型智能卡处理器,采用非对称密钥算法对网上数据进行加密、解密和数字签名。
针对大众最关心的问题,电子认证究竟是什么?赵宇向记者介绍,电子认证是以数字证书为核心的加密技术,可以对信息和数据进行加密和解密、数字签名和签名验证。
而数字证书(Digital Certificate)则是由国家信息化和密码主管部门许可的第三方电子认证机构(CA中心,Certificate Authority)签发的权威性电子文件,目前主流的数字证书使用非对称加密技术,集身份认证、数据加密、电子签名等安全技术于一体。由权威的第三方CA机构颁发的数字证书,可以代表持有者的真实身份,就如同人们日常生活中的身份证一样。
“它首先解决了网络世界你是谁的问题。”赵宇说。
电子认证究竟能起到什么作用?赵宇表示,未来假如你和银行发生交易纠纷,有人把你的钱转走了,你去找银行,银行说这就是你转的,你说不是。这个时候,你找权威的第三方CA机构,只要你使用数字证书签了电子合同,合同上就会有电子签名,调取出来我们通过专业化的工具验证一下,就可以确认真伪。而且,这里的验证不仅仅包括对于签名者身份的认证,还可以包括对签名时间的认证以及对合同签署后是否被修改过的认证。
一旦在网络上发生纠纷,就能够由第三方认证服务机构来保障你的安全。“这是解决你做了什么的问题。”
“普通老百姓对电子认证的最大认识误区,就是将其等同于用户名、密码、动态口令等技术,这是对电子认证作用的片面理解。”赵宇告诉记者,电子认证服务除了对身份进行认证外,最重要的是实现电子签名。电子签名能保证信息的完整性和签名人对数据电文的认可,这是用户名、密码、动态口令等技术无法实现的,这才是电子认证最重要的价值。
赵宇告诉每日金融记者,电子签名不等同于传统意义上的一个签名。
按照传统情况,签订合同时一般会面对面做下,用笔签字并加盖印章,或者按个手印。而在网络上互不见面的情况下就需要采用电子签名的形式了,但是谁来保证电子签名的真实性呢? 这就需要合法的第三方认证机构来进行认证,同时,电子签名本身是利用密码学技术对数据进行的运算,并不涉及图形化的显示,但是按照传统习惯,大家还是觉得应该有印章看起来才正式,这就引入了电子印章的概念,电子印章孤立的存在是没有任何价值的,本身也就是一个图片,就像水印一样,但是当它和电子认证技术结合时,使用这张图片的时候用对应的私钥一起对文件签了名,那才是有效的。
电子印章是随着互联网商务经济的日趋成熟发展的一个新生事物,之所以产生,赵宇告诉记者,在传统印章制作、管理的基础上,将PKI技术与可视电子印章有效结合,有助于确立数字盖章的法律效力,进而促进网上信任体系的建立。它的产生是实现无纸化电子办公的重要手段,同时也解决了无法在电子文档上面体现印章痕迹的问题。
据赵宇介绍,电子认证在中国发展已经有11年,2005年4月1号,我国颁布了《电子签名法》,明确了可靠的电子签名和手写签名具有同等法律效力。原来传统的交易行为,比如签个借条合同,签完字后续要通过笔迹识别这种方式来进行司法鉴定,企业机关则是通过加盖印章这种方式。电子认证则是适应整个互联网发展的趋势,使得相隔千里的交易双方,安全便捷的在网上完成交易。
“目前有效电子认证证书持有量合计三亿多张,其中个人证书已突破三亿张,而机构证书三千多万张,CFCA目前已几乎覆盖完国内所有企业单位。电子认证的国内市场正在向好发展,普及程度已经开始较大地提升。”赵宇分析了电子认证的市场趋势,认为电子认证,已经成为目前电子政务和电子商务中的核心环节,未来也将深入更多的应用场景,旨在确保网上传递信息的保密性、完整性和不可否认性,确保网络应用的安全。
随着移动手机端应用的发展,CFCA作为国内最大的电子认证服务机构,未来也将加大在移动设备上使用数字证书服务的开发力度。赵宇告诉记者,在移动支付领域,数字证书作为最安全的认证因素之一,不仅可以保证商业银行、非银行支付机构开展移动支付的交易安全,同时可以提高支付额度,大大提高了业务的适用范围,方便了客户。
目前,在移动端应用数字证书的技术手段也很多,也比较成熟,能够适用客户的不同层次的安全需求,比如与手机可分离的蓝牙Key、音频Key、IC卡等,以及和手机一体化的SIM盾、手机盾等应用方式。赵宇认为,合法的数字证书服务将助力互联网支付业务发展的更快、更稳。
