《签名法》在安全认证领域卷起一场风暴　[业内动态]

	《签名法》在安全认证领域卷起一场风暴	出处：互联网周刊责任编辑：changhonglei
[04-9-24 16:48]	作者：郑重	出处：互联网周刊责任编辑：changhonglei

　　刚刚出台的《电子签名法》正在安全认证领域卷起一场风暴

　　从1999年CA机构铺天盖地开张以来，由于国内IT发展的滞后，加上政府监管的不足、法律环境的缺失，CA们一直在亏损中艰难度日。直到去年，几家大型的CA机构才勉强达到收支平衡，逐渐看到希望。8月28日《电子签名法》的出台无疑给CA行业带来一场风暴，制约CA机构发展的最大瓶颈——电子签名的法律问题终于被打破，大批中小CA公司将被清理出局，存活下来的CA们将分享市场规模的一次飞跃。

　　新法带来行业大清盘

　　《电子签名法》旨在赋予电子签名法律效力，从而解决电子商务和电子政务中身份确认和交易安全问题。电子签名虽然在法律上并不限定为某一种技术，但目前国内通行的是PKI（public-key infrastructure），PKI是公共密钥加密，包括数字签名和加密，前者可以保证所传输信息的完整性；后一种技术使得用户在使用公开密钥法对信息加密后，在解密时使用的密钥无须在Internet上传输，避免了密钥被人窃取后造成信息的暴露。但PKI无法保证用户身份的确认，于是出现了CA（Certificate Authority），也就是身份认证技术。PKI和CA结合起来就能保证电子签名及其内容的安全，这就是CA机构所做的事情。

　　中国政法大学知识产权法研究所所长张楚教授说，此次出台的《电子签名法》核心是提高CA行业进入门槛，明确CA机构的法律责任。只有CA机构本身安全，其签发的电子签名才是安全的，从而保证电子商务和电子政务的安全性。

　　CA概念1996年被引进到中国，1999年进入疯狂发展的泡沫时代，其时在中国大地的各省、市乃至县城的各级政府部门，各行业纷纷建立自己的CA认证中心。对于CA机构总数，现在没有一个准确的统计数据，通常认为有80多家。而在一些内部会议上，有人认为已经达到了200多家，其中很多CA机构没有任何国家认证资质，只是在行业和政府部门内部使用。而在发达国家，CA机构的数量只有几家而已。

　　1999年到2002年正是国外CA机构飞速发展的阶段，CA机构有着稳定的盈利和现金流，在股市上每年业绩翻一番。于是，国内的行业和政府主管部门纷纷头脑发热，认为建CA就能立马带动电子商务和电子政务发展，就能坐地收钱。然而当时中国企业的IT水平极低，甚至连防火墙、防病毒的基础设施都不完备，更谈何使用CA的保护。因此有的CA机构在建成后没有发过一张证书，建立之日就是其死亡之时；有的CA机构第一年还能依靠行政力量，摊派下属企业使用，后来因为不能提供有效的服务，客户也逐渐流失殆尽；只有像上海、北京这种IT和金融业发达地区的几家CA机构做大，占据相对稳定的市场。其实有的政府部门建CA的初衷就是搞政绩工程，垄断电子印章、证书签发的权力。

　　这些匆匆搭起来的CA草台班子无论从技术人员的数量、基础设施条件还是管理流程上，都不能保证签发证书的安全性。有的CA网站连CP（证书政策）、CPS（认证业务说明）都没有，证书使用各方的关系、法律责任都没有说明。还有的CA机构把制作数据就放在服务器里，而没有专门的介质保存，数据被窃取的也是大有人在。

[1] [2] [3] [下一页]

本栏今日更新

相关文章

·Novell 和华为签约建立Linux联合实验室
·艾克斯特网络安全解决方案
·HopeCKM知识管理系统解决方案
·广州医学院第二附属医院125台电脑招标
·IT快速采购供应商确认公告
·广东省公安厅打印机招标
·中学信息化工程项目招标
·广州警用集群通信系统招标

文章搜索


高级搜索

ad_right

本栏今日焦点