白皮书：电子认证服务3.0时代的进化.pdf

《白皮书：电子认证服务3.0时代的进化.pdf》由会员分享，可在线阅读，更多相关《白皮书：电子认证服务3.0时代的进化.pdf（22页珍藏版）》请在三个皮匠报告上搜索。

1、二十多年从无到有，电子认证服务经历两个发展阶段 1997年，中国电信认证中心（中国电信认证中心（CTCACTCA）成立是中国电子认证服务的起点 1998年-2001年，上海上海CACA、CFCACFCA、北京、北京CACA（数字认证）（数字认证）等第三方CA机构相继成立 2005年电子签名法的发布使第三方电子认证服务进入了快速发展期 截至2025年，工信部批准设立的电子认证服务机构 59 家 第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力。第十六条电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。电子认证服务1.0时代：以数字证书为中心，解决可用性和安全性问题

2、USBKey为介质的数字证书，解决身份认证的安全问题 易用性需要应对众多的身份认证技术：用户名/口令、动态一次性口令、短信口令.安全性需要不断升级：一代USBKey、二代Key、音频Key、蓝牙Key.电子认证服务1.0时代：电子认证作为技术服务，较少遇到签名合规挑战 金融领域电子认证服务更多作为技术服务，对易用性的妥协减少了合规考量 电子认证机构位于证书应用机构（金融机构）背后，不直接面对证书用户 1.0时代的数字证书签名应用场景受限，虽然有众多技术和流程的Bug，并没有面临法律合规挑战 第二十一条电子认证服务提供者签发的电子签名认证证书应当电子签名认证证书应当准确无误，并应当载明下列内容载

3、明下列内容：（一）电子认证服务提供者名称；（二）证书持有人名称二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务提供者的电子签名；（七）国务院信息产业主管部门规定的其他内容。网银预置证书匿名数字证书匿名数字证书+后台绑定实名后台绑定实名电子签名法电子认证服务2.0时代：电子签名成为数字化创新的引擎 从2012年开始，无纸化、在线化、移动化是数字化转型创新发展的驱动力 电子签名成为业务创新的核心引擎，可能触发业务革命性创新 第三方电子认证服务成为具有法律效力电子文书的使能条件20122012年，太平洋保险签出第一张电子投保单年，太平洋保

4、险签出第一张电子投保单将承保周期从将承保周期从5-75-7天缩短至天缩短至3030分钟分钟“推广后每年可减少75007500万万张纸质单证印制、运输与档案保管等社会资源消耗”电子认证服务2.0时代：电子认证的核心从数字证书变为电子签名电子认证 1.0以数字证书为核心电子认证2.0证书服务证书更新证书吊销CRLOCSPLDAP证书申请签名服务时间戳服务签名验证服务司法举证电子证照证据保全电子合同以电子签名为核心电子认证服务2.0时代：伴随业务快速发展的电子认证服务“后台模式”CA机构“隐藏”在业务背后，签发证书认证业务合同的电子签名行为；对签名人的身份核实，由业务方负责，CA机构信任业务方的核实

5、结果；移动化、免终端介质等应用需求，CA机构创新协同签名、云签名服务等技术方案；事后纠纷时，CA机构出具电子签名验证报告帮助业务方司法证明金融交易客户（签名人）金融机构（应用方+另一签名人）CA机构（第三方）金融业务系统金融业务系统身份核实业务受理合同生成签名/签章密钥处理文件保存受理证书申请签发证书司法证明电子认证服务2.0时代：电子认证服务成为电子合同的重要证据支撑裁判文书网检索，涉“电子签名/数字签名的验证报告”合同纠纷判决累计70000+70000+件件 近3年半的判决比例就占了近50%；法院一般根据CA认证的法律地位，在无反证时下直接采信；部分法院甚至要求电子合同案件必须提供CA的报

6、告证明，验证报告成为证据标配。在电子合同业务中，电子认证服务提供保护合同效力的“盾盾”在电子合同诉讼中，CA机构走到台前，在法庭上以报告形式，提供第三方认证 法官对电子认证机构认知越来越清晰，被认为是类似公证或司法鉴定的证据提供者电子认证服务2.0时代：己盾彼矛，后台服务模式面临法律合规的挑战 经过十多年的发展，在后疫情时代，电子认证2.0的服务模式开始遭遇合规挑战 在合同争议案件中，原本是保护合同效力的“盾盾”，遭遇当事人质疑电子认证服务不合规 当事人通过投诉、起诉CA机构，将电子认证合规性作为“矛矛”，攻击电子合同效力 在各方放大镜的审视下，“可靠电子签名”证明需要新时代的电子认证服务20

7、21年以来，向监管机关信访和举报CA机构接近30003000起，信访举报衍生的告监管机关的行政诉讼29件、直接起诉CA机构民事诉讼24件电子签名人以信访和起诉形式挑战电子认证合法性，主张电子签名、电子合同无效 质疑未取得本人同意，违反CA应告知有关事项并与订户签订协议的法律规定；质疑CA机构未查验真实身份，非本人办理；质疑证书（密钥）未交付给本人，电子签名不是本人制作电子认证服务的新拐点出现，行业正进入3.0的新时代 后疫情时代，各行各业的数字化转型按下加速键 各种新场景，对电子认证服务需求层出不穷 各种新技术促使电子认证迭代发展 行业监管越来越严，电子认证合规门槛越来越高 司法等对电子认证的

8、价值形成共识分分布式数字身份自主身份区块链后量子密码迁移自动化证书管理车联网电子认证服务3.0时代：电子认证转变为以数字信任为中心“信任”是社会秩序的基石、经济交换的润滑剂，没有信任的数字空间无法运转。非现场、非接触式业务交互非现场、非接触式业务交互 交互过程中各主体能充分表达意愿充分表达意愿，在授权范围内授权范围内访问资源或进行操作 主体行为可追溯定责可追溯定责 应用和服务按照预期运行按照预期运行.业务流程价值链商业模式数字化转型中，需要构建全新的数字化交互数字化转型中，需要构建全新的数字化交互灵活、便捷、高效智能互联平台化、数据化数字信任构建全业务、全场景、全流程可靠交互数字信任构建全业务

9、、全场景、全流程可靠交互电子认证服务3.0时代：电子认证成为数字空间不可或缺的基础设施基础设施基础设施新兴技术新兴技术数据驱动数据驱动管理变革管理变革业务创新业务创新身份可信身份可信可信身份标识/凭证、身份核验、身份鉴别数据可信数据可信保障真实性、完整性、机密性、可用性行为可信行为可信充分的意愿表达、行为授权、溯源定责数字信任构成要素数字信任构成要素数字化转型的数字化转型的不同切入点不同切入点可信基础设施可信基础设施合规、安全、可靠运行数字信任的构成要素：数字信任的构成要素：身份可信、数据可信、行为可信、可信基础设施身份可信、数据可信、行为可信、可信基础设施电子认证服务3.0时代：具有法律效力

10、的完整数字化交付成为创新焦点 监管新规及司法攻防实战双重压力下，全流程合规、完整的电子认证服务交付成为3.0时代的创新焦点 3.0时代，电子认证服务的每个环节都需要合规改变，同时整合形成坚固的证据链，保障2.0时代数字化转型的成果1 1、身份核验、身份核验5 5、存证保全、存证保全6 6、司法举证、司法举证4 4、签名控制、签名控制2 2、受理与告知、受理与告知3 3、证书交付、证书交付电子认证服务各交付环节进化：（一）身份核验监管新规监管新规司法实践司法实践 身份真实性是纠纷中最主要的争议焦点 监管/法院认为核验身份是电子认证的核心，委托核验影响了电子认证的权威性、可靠性工信部电子认证服务管

11、理办法（征求意见稿）工信部电子认证服务管理办法（征求意见稿）第20条 电子认证服务机构应当履行下列义务：（一）对申请人进行身份查验第22条 电子认证服务机构不得就证书申请的受理和查验，证书的签发和交付向外部机构或个人进行委托。变化及带来的挑战变化及带来的挑战 业务模式与流程改变，CA机构须独立核验用户身份，保存核验记录；与金融行业监管的身份核验，重复核验对业务体验、成本的影响；可能的对策：CA提供统一的身份查验、手机密码模块+长效证书避免每次签署的重复核验电子认证服务各交付环节进化：（二）受理与告知监管新规监管新规司法实践司法实践 监管机关对用户选择电子认证服务知情与同意权利 的保护 纠纷中大

12、量用户抵赖申请过证书（违背其意愿），主张证书违法工信部电子认证服务管理办法（征求意见稿）工信部电子认证服务管理办法（征求意见稿）第20条 电子认证服务机构应当履行下列义务：（一）清晰完整记录申请人申请、更新、变更、撤销电子签名认证证书等环节的意愿以及证书办理、接受过程；第23条 电子认证服务机构在受理电子签名认证证书申请前，应当向申请人告知下列事项（使用条件、责任范围等）第24条 电子认证服务机构受理电子签名认证证书申请后，应当与证书申请人签订电子认证服务协议，明确双方的权利义务。变化及带来的挑战变化及带来的挑战 证书服务需要从电子签名的背后走到前台，向用户充分告知签订协议并留存证明；证书与合

13、同电子签名，流程设计合理衔接，减少对用户体验的影响 流程与交互的优化升级，生成并用户保存申请/接受证书的电子记录与协议凭证电子认证服务各交付环节进化：（三）证书交付与签名控制监管新规监管新规司法实践司法实践 国密局证书密码技术要求，“可靠的电子签名”专控性要求 纠纷用户普遍质疑“证书和私钥没有交给我”、“金融机构掌握私钥，所以签名是伪造的”电子签名法电子签名法第13条电子签名同时符合下列条件的，视为可靠的电子签名：（二）签署时电子签名制作数据仅由电子签名人控制；商用密码管理条例（商用密码管理条例（20232023）第23条电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规

14、则，使用密码提供电子认证服务。变化及带来的挑战变化及带来的挑战 目前CA证书相关密码技术标准主要是针对USBKey等证书介质，对于新兴的移动证书、云签名等新技术场景没有涉及 云签名私钥托管在金融机构、未交付用户，可能违反商密条例和技术规范，被认定电子签名不可靠 事件/场景证书密钥方案，也可能不符合交付用户要求，被认定违规 未来，需要等待明确的相关密码标准，使手机终端的协同签名、密钥托管的云签名方案通过合规安审电子认证服务各交付环节进化：（四）存证与司法举证监管新规监管新规司法实践司法实践 电子认证需要事后追溯证明合规 纸质合同到电子合同的变化，给存管与举证带来挑战（前者本身能直接证明，电子合同

15、须证据链支撑）工信部电子认证服务管理办法（征求意见稿）工信部电子认证服务管理办法（征求意见稿）第28条 电子认证服务机构应当确保电子签名认证证书及认证相关信息可追溯民事诉讼法司法解释民事诉讼法司法解释第90条 当事人未能提供证据或者证据不足以证明其事实主张的，由负有举证证明责任的当事人承担不利的后果。民事诉讼证据若干规定民事诉讼证据若干规定第94条 电子数据存在下列情形的，人民法院可以确认其真实性，但有足以反驳的相反证据的除外：（二）由记录和保存电子数据的中立第三方平台提供或者确认的；变化及带来的挑战变化及带来的挑战 法院对电子签名、电子数据形态的证据审查认定愈发细致 需要事前设计，能覆盖全链

16、条、可回溯证明（关联性）、防篡改（真实性）的证据生成与保管的方案 CA电子签名验证证明（权威）+存证保全服务（中立）+密码技术保护（保真）在合规监管和司法实战双重作用下，很多问题亟需探索研究电子认证服务与价值链重塑电子认证服务与价值链重塑 数字证书服务 数字信任服务 与业务分离 与业务有机融合 被动式调用服务提供可被司法采信的证据服务电子认证服务能力与模式的新探索电子认证服务能力与模式的新探索 可信身份提供 可靠证书交付 密钥的拥有和控制 长期存证支持 业务连续性保障 新技术新场景的应对数字证书服务-电子签名服务-数字信任服务合规和实战重新定义了电子认证服务3.0具有法律效力的完整数字化交付将驱动价值创新的未来实战实战新技术新业务新模式合规合规