證書透明化CT技術原理及對我國電子認證服務的信任增強
引言
近年來,基于PKI數字證書的電子認證服務在政務、金融、商貿、醫療等領域得到廣泛應用。但部分電子認證服務機構服務不規范等問題引發社會關注,影響人民群眾切身利益。為進一步規范電子認證服務,切實維護群眾合法權益,近期工信部組織開展電子認證服務合規性專項整治工作(參見:《工業和信息化部辦公廳關于開展電子認證服務合規性專項整治工作的通知》,點擊閱讀原文查看原公告)。本次專項整治工作主要面向工信部許可的55家電子認證服務機構自2017年7月起提供的電子認證服務。
2015年,證書透明化(Certificate Transparency,CT)機制被提出,用于實現及時發現虛假證書和提高對CA機構的問責能力。基本思想是將所有CA簽發的證書記錄在公開可訪問的日志中,客戶端(如瀏覽器)只接受公開發布的證書。其目的是使CA簽發的所有TLS服務器證書開放可見,能夠被公開監視、審計;虛假證書一旦公開發布,就可以被域名所有者發現。CT強化了證書的可信度及HTTPS網站的安全性,增強了PKI提供的信任。
近年來,在PKI體系中引入CT機制,已成為業界共識。同樣,透明化思想可以很好地引入到電子認證服務系統中,實現電子認證服務機構簽發證書的透明性。一方面,可以幫助合法用戶發現“可疑”或“未知”證書,及時采取措施規避這類證書為其帶來的安全風險。另一方面,還可助力主管部門加強對CA機構的監管手段,增強對CA機構的問責能力,實現對電子認證服務的信任增強。本文從證書透明化技術原理、透明化在互聯網中的應用與擴展,以及電子認證服務的合規性及其與透明化思想相結合的可行性探析等三個角度給出分析。
一、證書透明化技術原理
(一)提出背景
傳統PKI信任體系建立在對CA機構的信任上。但近年來,國內外各大主流CA機構,包括TURKTRUST、ANSSI、Symantec、中國互聯網絡信息中心(CNNIC)、StartCom等,都發生過由于CA簽發虛假證書造成的數字證書安全事件。其原因包括黑客入侵、弱密碼算法、誤操作、審核不嚴格及行政命令等。攻擊者通過虛假證書將其掌握的密鑰對與不屬于他的主體身份標識綁定;從而可以在主流網站、國家核心設備或用戶網絡等目標沒有任何告警的情況下,發起惡意網站、中間人或身份冒用等攻擊。
傳統PKI系統缺乏發現虛假證書的機制。一個虛假證書往往需要經很長時間才可能被發現(數周到數月)。此外,客戶端對CA機構的信任是無差別的,任何一個CA出現問題,都可能危害整個互聯網生態系統。因此,虛假證書對網絡的攻擊面是廣泛的。在上述極端惡意攻擊場景下,PKI體系提供的信任會被層出不窮的虛假證書所削弱,對PKI應用與推廣造成一定的威脅。
另一方面,隨著密碼技術的應用越來越廣泛,作為互聯網安全基礎設施之一的PKI證書服務體系更應該得到最大程度的安全提升與保障,確保有能力對外提供安全基礎服務。
(二)證書透明化簡介與技術原理
由于CA的權利過于集中且難以被有效監管,權利的濫用和誤用幾乎是不可避免的。因此,針對虛假證書產生的安全威脅,國際研究人員于2015年正式提出證書透明化(Certificate Transparency,CT)方案,用于實現及時發現虛假證書,限制CA機構的權利,提高對CA機構的問責能力等功能。CT作為一個開放的審計和監視系統,其基本思想是將所有CA簽發的證書記錄在公開可訪問的日志服務器(以下簡稱“日志”)中,客戶端(例如,瀏覽器)只接受公開發布的證書。其目的是使CA簽發的所有TLS服務器證書開放可見,能夠被公開監視、審計;虛假證書一旦公開發布,就可以被域名所有者發現。近年來,在PKI信任體系中引入透明化機制,已成為業界共識。
如圖1所示,相比傳統PKI系統,CT引入以下三個新組件:分別是日志服務器(Log Server)、監視器(Monitor)和審計器(Auditor)。
圖1 證書透明化(CT)框架
(1)日志服務器(Log Server)
公開日志服務器,負責公開記錄CA簽發的所有證書,并簽發“憑證”(signed certificate timestamp, SCT)用于承諾將在最大合并延遲(maximal merge delay,MMD)時間內將證書信息添加到日志中。CA機構、域名所有者或任意第三方都可以向日志服務器提交證書信息,且可以根據情況向多個日志提交來獲取多個SCT,增強安全性與冗余性,用以滿足啟用CT的相關方的CT驗證策略。
日志采用默克爾樹(Merkle Tree)數據結構記錄證書,保證數據的一致性、僅可添加性和不可篡改特性。日志定期合并一批新進證書信息到Merkle樹當中,并生成一個新的簽名樹根(signed tree head,STH)。Merkle樹結構決定了日志有能力提供兩組中間節點,用于分別證明①存在性:特定證書已經記錄在Merkle樹中;②一致性:新的STH是由舊的Merkle樹添加新的節點所產生。
(2)監視器(Monitor)
監視器負責持續周期獲取、解析并緩存日志中的每個證書信息,對外提供證書查詢和監視服務,幫助發現可疑(虛假)證書。利益相關方可以通過監視器查詢所感興趣的域名的所有相關證書,來發現可疑證書。任何個人(例如,域名所有者)和公共第三方(例如,CA機構、谷歌、臉書等大型互聯網公司組織)都可以擔任監視器角色來監視日志發現自己感興趣的證書,并進一步檢查其是否為一個CA簽發的欺詐性證書,實現證書查詢和監視服務。
(3)審計器(Auditor)
審計器作為CT中的輕量級組件,負責確保日志服務器的正確運行。它可以是獨立的服務,也可以是TLS客戶端或集成為監視器的一個組件。審計器可進行四個方面的驗證,①驗證審核路徑(Merkle樹中用于計算特定節點到根節點的最短列表)來驗證每個SCT對應于日志中的一條記錄,確保對應的證書已經被記錄在日志中;②驗證證書是否在簽發SCT后的MMD時間內被合并到Merkle樹中;③比較STH,驗證日志的任何特定版本都是之前任何版本的超集;④通過多個審計器、監視器之間交換STH執行Gossip協議,驗證日志服務器是否向不同的實體發送不同的STH,用于防止拆分視圖(Split Views)攻擊。
引入CT技術后,傳統PKI組件在功能和職責方面也發生了一定的改變,主要涉及證書簽發流程、SCT傳遞方式、以及證書驗證流程,如圖2所示。
圖2:證書透明化工作流程
(1)證書簽發流程與SCT傳遞方式
CA簽署證書后,將其提交給一個或多個日志以獲取SCT。CA將這些SCT連同簽發的證書一起發送給域名所有者。然后在TLS握手階段,SCT被網站服務器連同證書(鏈)一起發送給瀏覽器。
SCT傳遞方式主要包括以下兩種:①采用X.509證書擴展,CA在為申請者簽發證書之前,首先創建一個預證書(pre-certificate),預證書與最終證書(final certificate,即常見的普通常規證書)綁定相同的數據信息,但在證書擴展中添加特殊的標識,表示這是一個預證書。然后,CA將預證書提交給日志,用于獲取SCT。最后,CA將SCT內嵌到證書的SCT擴展(OID為1.3.6.1.4.1.11129.2.4.3)之中后,再簽發獲得最終證書;②作為TLS擴展,CA機構簽發證書以后,將其提交給日志服務器,獲取SCT,然后將SCT作為TLS或OCSP擴展,在TLS握手階段傳遞給瀏覽器。因此,在實際應用中,日志服務器可以記錄一個證書或其相應的預證書,有時兩者兼而有之。
(2)證書驗證流程
在根據自身業務需求對互聯網中部署的日志服務器進行審查之后,支持CT的瀏覽器等客戶端會批準此日志服務器(又稱許可日志)并將其公鑰信息預裝到本地,用于來驗證該日志簽發的SCT。同時,瀏覽器廠商基于安全需求制定其相應的CT策略,指定滿足合規性的證書所需滿足的SCT來源與數量。此時,支持CT的瀏覽器,收到一個證書(鏈)后,除了嚴格執行原有的證書基礎驗證、擴展驗證外,還需要對證書的(多個)SCT進行驗證。首先驗證SCT是否由其許可日志簽發,之后驗證SCT簽名是否正確,并且驗證所提供的SCT是否滿足瀏覽器的CT策略,全部驗證通過的證書才會被接受。
相比于傳統PKI系統,CT框架不依賴于單一可信方;而是作為一個去中心化、分布式系統,將信任分布到眾多CA、日志服務器、監視器和審計器中。其中,日志只負責記錄CA等提交的有效證書,而不檢查該證書是否由域名所有者授權簽發。瀏覽器在同網站建立HTTPS鏈接時,將對SCT進行檢查;只有同時滿足CT策略、且被可信CA簽發的有效證書才會被接受。
需要注意的是,可信CA簽發的虛假證書在提交給日志獲得SCT后,同樣可以被瀏覽器驗證通過。因此,CT本身不能防止CA簽發虛假證書,而是依賴監視器檢查日志記錄的證書,幫助發現虛假證書;依賴審計器檢查日志服務器行為,幫助發現內部作惡。不同組件之間通過相互冗余備份、監視與審計,共同協作來實現系統的預期目標。
CT機制實現了及時地檢測問題CA、被錯誤或惡意頒發的證書,促進了漏洞的快速修復,更好地監督整個TLS/SSL系統生態。因此,CT強化了TLS證書的可信度及HTTPS網站的安全性,增強了PKI提供的信任。
(三)透明化思想
透明化機制的基本設計原則是:①任何的集中信任節點都是不可信的,需要被監督和審計;②監督和審計是任何利益相關方都可以做的。也就是說,透明化機制將集中的信任分散到每一個利益相關方手中,任何相關實體都有權利和能力監管集中信任節點的行為。透明化思想不僅限于TLS證書,對于任意集中信任節點都可以結合實際情況使用透明化的方法來進行監管。
二、透明化在互聯網中的應用與擴展
(一)證書透明化應用
目前,CT已實現了廣泛部署與大規模應用。如圖3所示,在CT系統部署方面,當前所有主流CA機構(例如,DigiCert,Comodo,GlobalSign,GoDaddy,Let’s Encrypt,以及國內CA機構亞洲誠信TrustAsia和360公司等)都已經支持CT機制。谷歌聯合各大CA機構在全球范圍內部署了近百個公共日志服務器用于CA機構或任何利益相關方提交證書信息,當前累計已記錄超百億條證書信息。以國內CA機構亞洲誠信部署的TrustAsia系列日志服務器為例,截止2022年8月,該日志已記錄了超過150萬條證書信息。
圖3 證書透明化應用及部署現狀
在CT應用方面,眾多瀏覽器、TLS軟件以及網站服務器開始應用或支持CT技術,包括Chrome瀏覽器,Apple平臺,Mozilla Firefox瀏覽器,OpenSSL庫,Nginx,微軟活動目錄證書服務及Azure關鍵庫等。以Chrome和Safari瀏覽器為例,自2018年6月起開始陸續強制執行CT檢查:所有TLS/SSL證書必須記錄在公開可訪問的日志中,任何不滿足瀏覽器CT策略的TLS/SSL證書,將會導致TLS連接失敗。考慮到Chrome和Safari瀏覽器在全球的影響力,以上舉措顯著地推動了CT系統的快速部署與應用。最新數據顯示,域名排名網站Alexa排名前一百萬的域名中,有約80%的域名支持CT方案。
此外,互聯網上已有眾多成熟部署的監視器,它們從日志中獲取記錄,解碼證書,為用戶提供證書查詢及監視服務,包括:crt.sh,SSLMate,Censys,Google Monitor,Facebook Monitor等。一些審計器也處于運行中,如Edgecombe和Merkle Town。它們通過驗證STH和SCT來審計日志服務器的運行狀態。SSLMate也實現了部分監視器功能,并同Edgecombe一起對STH執行Gossip驗證。CToverDNS方案幫助瀏覽器實現CT審計功能,而不會泄露它們的個人瀏覽歷史,該方案已經在Chrome實現,但尚未默認啟用。
這些公開可用的監視器、審計器使得任何感興趣的用戶可通過自定義的證書查詢服務和日志監控面板,實時獲知證書有關信息及日志服務器的工作狀態。
目前,CT仍處于熱門研究和推廣部署階段,國際上出臺了IETF RFC 6962等多項CT標準、可自定義是否強制驗證CT策略的HTTP頭擴展— Expect-CT,明確了日志服務器運行規則的基準政策、檢查日志行為的Gossip協議以及討論CT威脅模型的IETF草案等。總體來看,證書透明化在互聯網中的整體運行生態環境已經較為成熟。
(二)證書透明化成效
CT系統自部署以來,已經在PKI基礎設施的眾多方面發揮了安全作用。2016年4月,CT幫助Facebook檢測到內部一起違規安全政策申請簽發證書的事件。具體來說,Facebook運行的監視器服務發現了全球最大的免費CA機構Let’s Encrypt為多個“fb.com”的子域名簽發了違規的TLS證書,這些證書①不是由Facebook的主要CA供應商發布;②由其托管運行商申請簽發,沒有得到Facebook安全小組的授權;③與非Facebook控制的域名共享。此后,Facebook主張不僅EV證書需要支持CT,所有類型的證書都應支持CT。
2017年7月,研究人員通過CT發現我國某CA機構采用了倒填日期的手段來簽發SHA-1證書。出于安全考慮,自2016年1月1日起,CA機構被要求不能使用SHA-1算法簽發證書。而該CA機構卻將2016年1月1日后簽發的部分證書的簽發日期標記為2015年12月,以此規避SHA-1算法的停用策略,受影響的證書約有67個。這些證書的簽發日期均為2015年12月,但是它們嵌入的SCT的簽發日期均為2016年1月1日之后,由于SCT是嵌入式的,其證書的簽發時間應在SCT的簽發時間之后,由此發現了該CA篡改日期的問題。此后該CA在一段時間不再被主流瀏覽器廠商(如Chrome等)信任。
2017年9月,研究人員通過CT日志中記錄的證書發現美國CA機構Symantec錯誤簽發了大量的證書;進一步調查發現,在幾年內至少有3萬個錯誤簽發的證書,并找出來錯誤簽發的實例。這使得所有主流平臺都不再信任Symantec。
2019年5月,研究人員通過CT發現法國CA機構Certinomis屢次違反證書簽發規則,錯誤地頒發了大量不可信的證書。研究人員表示,當Certinomis錯誤簽發了“test.com”的證書后,他的監視器在16分鐘后便發出了警示,隨后兩個小時內他向Mozilla提交了報告,Mozilla在證書簽發后的三個半小時內作出了回應,最終Certinomis被Mozilla移出信任列表。由此可見,正確運行的CT能夠幫助我們快速有效地發現錯誤簽發的證書。
(三)證書透明化擴展
除了在常規的TLS服務器證書領域的應用外,CT技術的透明化、分布式思想也可以很好地擴展并應用于其他領域。例如,為基于透明化策略的軟件供應鏈管理—Sigstore方案,可以為軟件供應鏈提供安全保障。
近年來眾多已發生的安全事件表明(例如SolarWinds事件 ),由于缺乏對開源軟件的真實性和完整性進行校驗的良好機制,針對軟件供應鏈的安全漏洞逐漸成為黑客的主要攻擊對象。在此背景下,Sigstore項目應運而生。Sigstore項目是由Linux基金會管理的一個致力于改善軟件供應鏈安全的開源項目。Sigstore項目致力于改善軟件供應鏈安全,使軟件開發者能夠高效便捷地對預發布軟件進行簽名,且軟件供應鏈下游的用戶能夠方便地對其進行驗證。
基于透明化思想,Sigstore通過部署公開可訪問、僅可添加、不可篡改的透明化日志,以記錄代碼簽名證書,任何感興趣的第三方實體均可對日志中的所有證書進行審計,從源頭上確保軟件供應鏈的安全可靠。Sigstore項目是一系列開發工具的集合,它整合了包括Cosign、Fulcio、Rekor等開源工具,可用于數字簽名、驗證和軟件代碼的來源檢查,保障開源軟件的安全分發和使用。
Sigstore憑借其簡單、開源、良好的兼容性等特征,吸引了越多越多的開源項目組的應用。截止2022年8月,基于Sigstore的簽名服務已應用于Google發布的所有Distroless基礎鏡像、GitHub Actions Starter Workflow項目庫以及Kubernetes 1.24以上版本。通過容器鏡像簽名,使用以上項目庫的用戶即可判斷所獲取的項目是否由開發者正確構建和發布的可信軟件。
三、電子認證服務合規性與證書透明化
電子認證是以電子簽名認證證書(又稱“數字證書”,簡稱為“證書”)為核心技術的加密技術,它以PKI技術為基礎,對網絡上傳輸的信息進行加密、解密、數字簽名和數字驗證。電子認證是電子政務和電子商務中的核心環節,可以確保網上傳遞信息的真實性、機密性、完整性和不可否認性,確保網絡應用的安全。近年來,電子認證服務在政務、金融、商貿、醫療等領域得到廣泛應用。例如,電子合同、電子簽名、電子簽章、電子病例、電子保單等。
2004年8月28日,《中華人民共和國電子簽名法》(以下簡稱“電子簽名法”)經由中華人民共和國第十屆全國人民代表大會常務委員會第十一次會議審議通過,自2005年4月1日起施行。當前版本為2019年4月23日第十三屆全國人民代表大會常務委員會第十次會議修正。《電子簽名法》是為了規范電子簽名行為,確立電子簽名的法律效力,維護有關各方的合法權益而制定的法律。
在此基礎上,為了規范電子認證服務行為,對電子認證服務提供者實施監督管理,中華人民共和國工業和信息化部(以下簡稱“工業和信息化部”)依照《電子簽名法》和其他法律、行政法規的規定,制定了《電子認證服務管理辦法》,并于2009年2月4日中華人民共和國工業和信息化部第6次部務會議審議通過和發布,自2009年3月31日起施行。(注:原中華人民共和國信息產業部2005年2月8日發布的《電子認證服務管理辦法》(中華人民共和國信息產業部令第35號)同時廢止。)
(一)合法電子簽名具有法律效力
《電子簽名法》第十三條規定,電子簽名同時符合下列條件的,視為可靠的電子簽名:
(1)電子簽名制作數據用于電子簽名時,屬于電子簽名人專有;
(2)簽署時電子簽名制作數據僅由電子簽名人控制;
(3)簽署后對電子簽名的任何改動能夠被發現;
(4)簽署后對數據電文內容和形式的任何改動能夠被發現。
第十四條規定,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。
此外,《中華人民共和國合同法》第十條規定,當事人訂立合同,有書面形式、口頭形式和其他形式。第十一條規定,書面形式是指合同書、信件和數據電文(包括電報、電傳、傳真、電子數據交換和電子郵件)等可以有形地表現所載內容的形式。
按照上述規定,電子簽名制作數據(例如,公鑰密碼體制中的私鑰信息)應僅由電子簽名人擁有且對外不可見,一旦使用其對數據內容簽名后,將與手寫簽名或者蓋章具有同等的法律效力。因此,電子簽名制作數據應妥善安全保管,一旦被泄露或由非授權第三方持有,使用其簽署的電子簽名的可靠性將無法得到保障,進而可能給各相關方(例如,電子簽名人、電子簽名依賴方等)造成損失。
(二)電子簽名人身份應嚴格查驗審核
《電子簽名法》第二十條規定,電子簽名人向電子認證服務提供者申請電子簽名認證證書,應當提供真實、完整和準確的信息。電子認證服務提供者收到電子簽名認證證書申請后,應當對申請人的身份進行查驗,并對有關材料進行審查。
此外,《電子認證服務管理辦法》第三十條規定,有下列情況之一的,電子認證服務機構應當對申請人提供的證明身份的有關材料進行查驗,并對有關材料進行審查:
(1)申請人申請電子簽名認證證書;
(2)證書持有人申請更新證書;
(3)證書持有人申請撤銷證書。
按照上述規定,電子認證服務機構在簽發電子簽名認證證書時,不應該存在以下行為:
(1)對申請人的身份查驗流程不規范;
(2)收到電子簽名認證證書申請后,未對有關材料進行審查;
(3)在簽發數字證書過程中,存在申請主體、接受主體和證書載明主體不一致的情形;
(4)電子簽名認證證書內容沒有完整、準確載明;
(5)未妥善保存與認證相關的信息。
(三)電子簽名人權利與責任應知盡知
《電子認證服務管理辦法》第三十條規定電子認證服務機構在受理電子簽名認證證書申請前,應當向申請人(電子簽名人)告知下列事項:
(1)電子簽名認證證書和電子簽名的使用條件;
(2)服務收費的項目和標準;
(3)保存和使用證書持有人信息的權限和責任;
(4)電子認證服務機構的責任范圍;
(5)證書持有人的責任范圍;
(6)其他需要事先告知的事項。
此外,《電子認證服務管理辦法》第二十二條規定,電子認證服務機構受理電子簽名認證申請后,應當與證書申請人簽訂合同,明確雙方的權利義務。第三十條規定,電子認證服務機構更新或者撤銷電子簽名認證證書時,應當予以公告。
按照上述規定,電子認證服務機構在簽發電子簽名認證證書時,不應該存在以下行為:
(1)未與證書申請人簽訂合同;
(2)未就電子簽名認證與電子簽名認證證書申請人明確雙方的權利義務;
(3)電子認證服務機構與電子簽名認證證書申請人約定的合同內容中,存在違反其公布的電子認證業務規則的內容。
(四)電子認證服務合規性專項整治
工業和信息化部2022年7月22日印發通知,組織開展電子認證服務合規性專項整治工作。通知指出:部分電子認證服務機構(以下簡稱CA機構)服務不規范等問題引發社會關注,影響人民群眾切身利益。為進一步規范電子認證服務,切實維護群眾合法權益,依據《中華人民共和國電子簽名法》《電子認證服務管理辦法》,現組織開展電子認證服務合規性專項整治工作。
本次專項整治工作主要面向經工業和信息化部許可的55家電子認證服務機構自2017年7月起提供的電子認證服務,開展時間為通知印發之日起至今年10月30日。將重點整治三類問題:
(1)證書申請流程不規范問題;
(2)在受理證書申請前,向申請人告知有關事項不充分的問題;
(3)受理認證申請后,未與證書申請人簽訂合同明確雙方權利義務的問題。
查驗審核申請人身份、明確提前告知申請人電子簽名認證證書和電子簽名使用等相關事項。并按規定簽訂合同明確雙方權利義務,是《電子簽名法》與《電子認證服務管理辦法》中明確規定的電子認證服務中的重要事項,應該得到嚴格實施。
如果未能嚴格實施,一方面可能導致存在惡意第三方冒充合法用戶身份向電子認證服務機構申請電子簽名認證證書,進行惡意非法的電子認證行為,給電子簽名人或者電子簽名依賴方造成損失。
另一方面,可能存在非專業申請人在開展政務、金融、商貿等涉及電子認證服務活動時,基于必要流程申請了電子簽名認證證書,但并未了解或被告知這種行為產生的安全影響。甚至可能并未意識到由于涉及電子簽名等操作,會讓自己授權以本人身份向電子認證服務機構申請電子簽名認證證書。這種無意識、不清晰、未被明確告知的行為,可能導致此類證書不能得到申請人的妥善安全管理與維護。進而可能導致密鑰泄露等事件發生,給電子簽名人或者電子簽名依賴方造成損失。
從用戶角度來看,上述兩類問題存在的根本原因在于合法用戶缺少必要的方法來清晰掌握與其身份綁定、且處于使用期的“有效”電子簽名認證證書有哪些?是否存在他未知授權簽發的?同樣,主管部門也缺乏對電子認證服務機構開展高效監管的技術手段,導致無法及時有效地發現違規操作行為。
針對上述問題,工信部對經工業和信息化部許可的55家電子認證服務機構做出如下整治工作安排:
(1)開展自查自糾。各CA機構對照需整治的問題,按照應用領域開展合規性專項自查,針對發現的問題研究制定整改方案,完善投訴處理機制,加強合規體系建設。
(2)督促監督檢查。有關省(區、市)工業和信息化主管部門對轄區內CA機構的自查自糾情況進行監督檢查。
(3)隨機執法抽查。工業和信息化部在CA機構自查、地方工業和信息化主管部門監督檢查基礎上,結合本年度“雙隨機、一公開”執法檢查工作,對部分地區專項整治工作成效開展抽查,并對專項整治工作進行總結。
此外,工信部還要求:
(1)各單位要高度重視本次專項整治工作,切實加強組織領導,指定專人牽頭負責,結合實際制定實施方案,明確任務分工和進度,細化整治措施,確保整治工作取得實效。
(2)各CA機構要切實落實主體責任,不斷規范電子認證服務流程,提高運營管理水平,建立完善的安全管理和內部審計制度,維護有關各方合法權益,并及時報送整改落實情況。
(3)對于整改不力或拒不整改的CA機構,各省(區、市)工業和信息化主管部門要及時上報相關情況,工業和信息化部將依法依規進行處理。
從上述整治安排和工作要求中可以看出,當前工作重點更多的還是從法律法規與管理規定條例角度出發,要求各CA機構開展合規性專項自查、規范流程、嚴格管理、完善管理和審計制度。而主管部門則需通過完善投訴處理機制、督促監督檢查、隨機執法抽查等方式實施監管。
(五)證書透明化可實現電子認證服務信任增強
近年來,在PKI信任體系中引入透明化機制,已成為業界共識。如前所述,CT系統自部署以來,已經在PKI基礎設施的眾多方面發揮了安全作用。CT已經幫助發現了多起企業內部或CA機構違規(申請)簽發證書的行為。
隨著電子認證應用日趨復雜、證書規模增長迅速,基于PKI數字證書的電子認證服務信任體系安全治理同樣面臨著諸多挑戰。而從技術角度出發,透明化思想完全適用于電子認證系統,且具有良好的兼容性,能夠從技術上實現對電子認證服務機構簽發證書行為的有效監管,實現對電子認證服務的信任增強。
一方面,通過在電子認證服務系統中引入CT機制,可以實現簽發證書的透明性。任何合法用戶都可以通過CT系統掌握與其相關的所有證書,發現“可疑”或“未知”證書,及時采取措施規避這類證書為其帶來的安全風險。另一方面,通過CT機制,主管部門可以加強對CA機構的監管手段,通過技術手段對CA機構開展第三方獨立的合規性審計,增強對CA機構的問責能力。
四、建議和展望
當前我國電子認證服務在政務、金融、商貿、醫療等領域得到廣泛應用。但在實際應用中,電子認證服務仍存在許多問題與挑戰。通過引入透明化機制能夠在技術上實現對電子認證服務中證書簽發行為的高效監管,可有效解決上述提到的諸多問題,實現電子認證服務信任增強。在實際應用中,為實現這一目標,可以從行業標準政策與技術手段等方面完善與加強。
完善行業標準與管理政策。現有電子認證服務及PKI數字證書相關技術標準與管理政策,在對數字證書監管與異常檢測方面存在缺失。引入透明化機制后,需針對此部分,制定相應的適用于我國的行業標準,修訂完善現有管理制度。進一步規范確定電子認證服務行業各參與方的證書申請、審核、簽發、驗證、記錄、審計、監管等流程,以促進電子認證服務的良性健康發展。
強化透明化監管技術手段建設。逐步部署透明化日志服務器、監視器和審計器等電子認證服務信任增強組件,加強技術聯動性,實現部署效果最優化:①在部署日志服務器過程中,可以結合云計算、數據庫等技術方法,實現安全、可靠與高效的海量證書信息存儲。確保數據的一致性、僅可添加性和不可篡改特性,同時能夠對外提供安全可靠的服務接口,滿足高并發和長期實時響應要求。②在部署監視器過程中,可以通過人工智能、大數據、社會工程學等方法,構建可靠健全、對用戶友好的智能化證書查詢與監視服務。確保能夠為利益相關方及時完整地提供所查詢或監視的證書的可疑信息。③在部署審計器過程中,可通過建立共享情報庫等方式,及時全面地獲取證書相關SCT信息,通過對比來自不同渠道的信息來確保日志服務器行為正確性,同時結合多方安全計算等隱私保護技術確保參與各方的隱私安全。
綜上所述,通過引入透明化思想,結合我國電子認證服務法規、管理政策與技術體系,構建適用于我國電子認證服務的透明化機制,能夠有效解決由于缺乏監管手段導致電子認證服務過程中存在的證書簽發難以安全高效可靠監管等問題,實現電子認證服務的信任增強,強化信息系統安全性,并有助于推動電子認證服務監管與應急體系建設。
來源:密碼工程實驗室
