電子認證服務 四大糾結

《電子簽名法》頒布實施5周年來，共有30家認證機構獲得了工業和信息化部頒發的服務許可證。截至到2010年5月31日，市場上有效電子認證證書持有量達到11，423，482張，并且每年還在以50%以上的速度增長。毫無疑問，中國電子認證服務市場前景喜人。然而，比較起目前幾億的網民以及網銀用戶，目前發放的證書數還是太少了。

“理論上講，網絡上但凡需要進行身份認證、交易、簽名的地方，都需要電子認證與簽名服務。”工業和信息化部信息安全協調司副司長歐陽武在多個不同場合都曾經這樣表示。

為什么會這樣說?這是因為，互聯網迅猛發展，網絡經濟已經成為一種新興的經濟形態。在這一新的經濟環境下，如何讓網絡具有可信度，是保證網絡經濟時代經濟信息安全所面臨的重要挑戰?！笆聦嵣?，這已經成為了互聯網信息安全的一個突出問題?！睔W陽武認為。

“國家正在積極倡導的網絡實名制，就是要打造一個可信任的網絡機制，在這其中，使用電子認證和簽名技術完全能實現可信任網絡機制的目標?！北本底肿C書認證中心有限公司總經理詹榜華說，采用數字證書技術，對網上個人身份、機構的身份、服務器身份進行認證和簽名，通過第三方中立的電子認證服務機構對數字證書進行認證，是建立互聯網上信任機制的一種好辦法。

毫無疑問，電子簽名認證服務市場巨大，前景喜人。

不過回到現實，情況卻不樂觀。從工業和信息化部了解到的數據，截至到2010年5月31日，中國市場總共發放的數字證書只有區區1000多萬張，其中機構數字證書6066257張、個人數字證書5347239張、設備證書9986張。再看另一組工信部的數據，截止到2010年4月22日，中國的上網人數達到4.04億人。易觀國際最新的數據，截止到2010年3月底，中國網銀用戶數達到2.11億!另據2010年4月份在Gizmodo上公布的一份由INTAC繪制的全球專用服務器數量圖上看，全球服務器數量粗略估計已經達到了5000萬臺以上。

數字不比不知道，一比嚇一跳!《電子簽名法》實施5周年來，中國的數字證書發放量比較起網民數、網銀用戶數和服務器數量，連1/20都不到，實在太微不足道了。這當然一方面說明，中國的電子認證服務市場大有可為; 另一方面也不得不令人產生疑問，是什么原因阻礙了數字證書在中國的快速應用?

《計算機世界》報社記者經過多方調查采訪，總結出目前電子認證服務市場的四大糾結所在。

糾結一:

數字證書不為人所知

很多人不了解數字證書——這是阻礙電子認證服務市場的第一大攔路虎。

為了了解究竟有多少業內人士了解數字證書(CA)和數字證書服務機構(CA機構)，記者曾經在計世網的用戶中心發起一份調查: 你了解電子簽名和認證技術嗎?結果只有18.9%的人完全了解; 45.67%的人了解一些; 35.43%的人完全不了解。網友對調查的評論中有人說，“第一次聽到CA，還以為是數字電視的條件接收呢”; 還有人問，“這個CA機構與CA公司是什么關系?”調查結果非常令人失望，這還是在專業IT人士中的一次調查。在普通老百姓中呢?有多少人了解電子簽名和認證呢?結果更不敢想象。

記者身邊的很多朋友，經常使用網銀，其中不少使用了諸如U盾等各大商業銀行發行的USB Key。當記者詢問他們為什么要用時，他們的回答往往很模糊，認為這是銀行推薦的，也不知道為什么有了“用戶名和密碼”或者“刮刮卡”，還要用USB Key?

“這就是普通百姓對數字證書的最大認識誤區，很多人只將電子認證作為身份認證的手段，等同于用戶名/密碼、動態口令等技術，這是對電子認證作用的片面理解?！闭舶袢A告訴記者，“電子認證服務除了對身份進行認證外，最重要的是實現電子簽名。電子簽名能保證信息的完整性和簽名人對數據電文的認可，這是用戶名/密碼、動態口令等技術無法實現的，這才是電子認證最重要的價值，丟掉這一點，無異于‘自貶身價’、‘丟了西瓜，撿了芝麻’?！?/p>

現實中，包括銀行在內的一些數字認證服務機構，對自己的員工并沒有進行專業的數字認證服務培訓，員工可能自己都不懂，就更不具備對普通用戶進行告之、解釋和宣傳的能力了。

北京市東城區是實施電子簽名與認證技術應用相對比較早的地區，他們在區內電子政務應用平臺上使用了數字證書，讓每個公務員都必須實名登錄進入電子政務網。另據東城區信息化工作辦公室倪東副主任介紹，因為了解了電子認證服務的好處，東城區在全區范圍內向社區全科醫生也推廣了電子簽名和數字證書?；叵氘敵踉陂_始推行這套系統時，倪東坦言難度不小?！按蠹覄傞_始用的時候很多人對數字證書都不了解，也不知道怎么用，所以我們當時是到全區幾十個社區醫療衛生服務點去逐一培訓，教會一個再教下一個?！?/p>

雖然一方面政府職能部門和電子認證服務機構在大力倡導、積極推進電子簽名的應用。但是另一方面，作為用戶機構，很多人還是不了解新興的電子簽名認證服務。比如，雖然電子病歷的熱潮將電子簽名推向前臺，但是很多醫療機構的CIO對于電子簽名的需求目前都還處于認識模糊階段。

“首先對于電子簽名的應用場景不甚明了，電子簽名是用于環節與環節之間(譬如: 醫生與護士之間、醫生與執行科室之間)的確認? 用于醫院向有關機構舉證的確認?用于對完成或者未完成病歷的確認?還是對完成或者未完成醫療記錄的確認?這些問題目前都還不清楚。其次，對于電子簽名的適用性也比較模糊，譬如: 基礎設施條件、簽名時機、對系統性能的影響、對數據庫中的數據如何簽名等。”解放軍總醫院計算機室主任薛萬國自稱，他本人對于上述這些問題都是很模糊的，因此，在考慮是否采用數字證書及電子認證服務時，也還處于摸索階段。

此外，對于其他一些新興的行業，比如電子商務、網絡游戲領域，數字證書能為他們帶來什么?目前各方對此都比較謹慎。以網游行業為例，網游行業最令人頭疼的問題應該是對玩家的虛擬財產、虛擬武器、游戲賬號的安全保護問題。憑想象，電子簽名技術應該是能應用在這其中的，但實際情況上，網游領域是數字證書尚未開墾的一片處女地，需要認證服務機構和網游技術開發者共同探討，尋找到數字證書與應用合作的契合點，才可能真正將數字證書應用到網游領域，那時，市場就真正打開了。

總之，人們不了解數字證書，一方面是因為數字證書確實還是個新興的市場領域，還需要政府管理部門、CA機構不斷反復地向用戶宣傳、講解; 另一方面，也需要CA機構與應用單位密切合作，找到真正的應用點，才能在一個又一個新領域不斷開花結果。

糾結二:

證書使用體驗差

當下，越來越多的IT產品和IT服務都在強調要給用戶提供最佳的使用體驗。就例如蘋果的手機、平板電腦，自從上市之后，即使是要從自己腰包中掏出不少銀子，它們還是受到了各類用戶的熱捧，究其原因，很重要的一個原因就是這些產品給用戶帶來了極佳的使用體驗。

用戶所理解的電子認證服務的產品，往往就是存儲了用戶數字證書的USB Key，雖然它插上電腦就可以使用，但是對于很多不太熟悉電腦使用的人來說，使用起來還是有些麻煩。

首先是安裝的復雜性導致用戶的擔心。記者在安裝某商業銀行網上銀行數字證書的時候，就曾經遇到系統不兼容的問題，記者的電腦安裝了微軟Windows7操作系統，數字證書安裝中提示要求使用低版本的操作系統。為此，記者向該銀行客服人員咨詢，對方表示這是屬于技術問題，用戶只能按照要求降低系統版本。試想，誰愿意僅僅為了使用數字證書而重新安裝操作系統呢?

其次是與其他流行通用軟件不能相互認證性，導致使用體驗差。廣州市信息安全測評中心副主任周曉斌對記者說: “在中國，使用數字證書的人群中，至少90%不是專業IT人員，對于數字證書的使用或多或少都會遇到各種問題。例如，數字證書的驅動程序，很多對瀏覽器有很高的要求。比如現在很多網銀使用的數字證書不支持微軟最新的IE8瀏覽器、不支持Firefox瀏覽器，這給消費者使用會帶來很大的麻煩。”同時，不被流行的瀏覽器認證，將導致用戶經常面臨“我的數字證書是否安全”的困惑，由此制約數字證書的發放。以服務器數字證書為例，國內很多電子認證服務機構提供的服務器數字證書沒有經過微軟瀏覽器的安全認證，這會導致普通用戶在訪問基于微軟瀏覽器的數字證書時，系統會反復提示: “你遇到了不安全的數字證書，是否還要繼續?！痹囅?，遇到這樣的提示，哪個用戶敢不掂量一下安全的風險就繼續使用?即使有人還繼續愿意使用，接下來還需要安裝各種控件，這就給很多用戶帶來某種心理陰影——認為自己安裝的證書不一定安全。這種陰影成為了國內設備數字證書發放量到目前為止還不超過1萬張的根本原因。

第三，各種CA機構頒發的數字證書不能相互認證，也是制約數字證書發放的原因之一。記者手頭就曾經有3家網銀的USB Key，但各自無法通用，使用起來非常不方便。過去有專家曾經提議建立“根CA”或“橋CA”，目的是希望通過一個USB Key保存多個數字證書，來訪問多個應用。但由于技術和商業模式的原因，這兩種方式最終流產，而各個CA機構依然在條塊分割的市場各自為戰，這樣，帶來的最終結果是增加了用戶的使用難度。

糾結三:

自建CA隱患大

根據工業和信息化部網站披露的信息，截至2010年5月31日，全中國有效電子認證證書持有量合計11，423，482張。

但是有業內專家估計，全中國實際使用的數字證書的數量是這個數字的好幾倍。那這些證書從何而來的呢?“都是從那些沒有經過國家主管部門審批許可的電子認證服務機構發出來的?！痹搶＜乙徽Z點破了這個“公開的秘密”。

目前，中國對電子認證服務行業實行的是行政許可和市場準入制度，2005年實施的《電子簽名法》及《電子認證服務管理辦法》確立了合法電子認證服務機構的認定程序和法律責任: 由國務院信息產業主管部門依法對電子認證服務機構實施監督管理。這意味著，依照《電子簽名法》成立的獲得了工信部市場許可的CA機構，其簽發的數字證書以及使用有效數字證書進行的可靠電子簽名，均具法律效力。而那些沒有獲得工業和信息化部等權威部門許可的非第三方CA機構，根據《電子簽名法》的規定，它們在未取得電子認證服務許可證前，其涉及的電子簽名的法律效力有待鑒別。目前，沒有獲得國家主管部門批準建立的非第三方電子認證服務機構主要集中在金融行業。

記者曾經通過銀行柜臺和客戶服務熱線了解到，工、農、建、中四大銀行都推出了各自的網銀業務，其中前三家可以給網銀用戶提供數字證書服務。但據記者目前掌握的資料，為這些數字證書提供電子認證服務的，大都是這些銀行自建的CA; 而根據來自主管部門的資料，這些CA機構都沒有獲得工業和信息化部頒發的電子認證服務許可證。

于是現在就存在著這樣一個現實，銀行的自建CA在沒有得到行業主管部門的行政許可下，“無證”地進行著電子簽名的認證服務?！盁o證”服務會給用戶帶了什么樣的問題和風險呢?《計算機世界》報在2009年曾專門針對網上銀行安全問題進行過專門的調查報道，我們發現，使用銀行自建CA提供的數字證書，會帶來以下兩方面的風險:

首先，沒有獲得工業和信息化部等權威部門許可的銀行自建CA，是自己發放數字證書，然后又自己驗證發放的數字證書是否可靠，相當于又當“運動員又當裁判”，因此其簽發的數字證書的法律效力有待鑒別; 其次，由于銀行自建CA，造成用戶處于一個不平等的弱勢地位，一旦發生糾紛，需要進行司法解決時，用戶往往會取證困難，容易使自己的合法權益得不到有效保護。

可見，金融機構這樣的重量級用戶沒有采用依法建立的電子認證服務，不但增加了自身在部署和運營數字證書中存在的風險，更是浪費了電子認證服務機構的優勢資源，不能形成合力推廣電子認證服務，阻礙了電子認證服務安全、穩定、健康地發展。

糾結四:

服務有待深化

電子認證服務機構從名稱和定義來說，都應該是一個服務機構，但現實情況是，由于許多CA機構都具有官方背景，還沒有從管理者的角色中轉變出來，因此，往往錯誤地將自己定位為管理機構而非服務機構，這就造成了很多CA機構光顧了賺錢而忽略了自身的服務質量。

張先生在一家電子商務公司工作，他對電子認證行業服務質量就有很大的意見。他告訴記者: “我曾經去一個電子認證服務機構申請數字證書，一開始我以為很簡單，結果完全不是那么回事。申請USB Key存儲介質很復雜，申請的過程就像當初申辦銀行卡一樣，不可能幾分鐘就能辦好，讓我等了將近半天時間，聽說有人還等上好幾天的?！睆埾壬€向記者抱怨，申請了數字證書后，每年除了催繳服務費和數字證書更新費用時，平時根本見不到CA的工作人員，就是在使用USB Key的過程中出現問題了，都是與對方技術人員電話溝通，從來沒有見到過上門服務的情況。

作為業內人士，詹榜華表示，現在全國幾十家電子認證服務機構的服務支撐能力良莠不齊，很多CA機構的服務水平達不到用戶的需求，這才產生了用戶的抱怨。“我們目前的幾十家CA機構，最大的問題就是服務支撐能力。就是說電子認證服務能提供什么樣的服務?目前絕大多數CA機構能做的就是發證書。用戶來了，CA機構給發一個證書，然后什么都沒有了。第二年證書需要更新了，讓用戶再來，還是交錢走人，再給發一個證書，這根本就不是服務?！?/p>

詹榜華認為，CA機構應該打造以下四方面的服務能力: 首先是要讓用戶相信你; 其次讓用戶很方便得到CA機構的服務; 第三要讓用戶能很方便地使用這些服務; 第四讓這些服務能夠給用戶創造更多的價值。因此，北京數字證書認證中心有限公司很早就開始建立了以客戶為中心的新型電子認證服務體系建設，并打造了這樣一個技術平臺，以便更好地為用戶服務。

“目前很多CA機構的電子簽名服務中，僅有身份認證和證書服務，沒有簽名應用服務，更沒有針對電子簽名的司法鑒定和訴訟代理服務，因此，用戶在使用電子簽名時不放心，還有顧慮。而且在過去，我們關注更多的是電子簽名中的證書發放，對證書發放者的身份進行了認定，而缺乏對證書發放之后的作用、使用中的問題進行關注，也缺少相關的配套措施?！睔W陽武說。

對于未來如何加強推進電子認證服務，歐陽武希望能建立一種“傻瓜式”的便利服務體系。這就意味著，不但要完善技術體系，還需要形成服務的體系化; 不僅要完善電子認證服務機構的服務，還需要完善更多的后續配套的服務。

“目前全國有30家電子認證服務機構，有的業務就開展得很好，既有呼叫中心的服務，也有上門服務。所以，業界正在探討，是否可以建立一個電子認證服務聯盟。以一條龍的服務形式，確保用戶在電子簽名、電子認證、電子取證、司法訴訟中的任何一個環節，都有相關的機構可以提供優質可靠的服務?！睔W陽武說。

周曉斌也希望未來能形成類似“銀聯”這樣的電子認證服務聯盟組織，可解決不同CA機構發放的數字證書之間互相認證的問題，這樣，可極大解決數字證書的易用性問題。“希望能有這樣一個‘橋梁’，連接起運用電子簽名及數字證書的機構、個人和提供證書認證服務的機構，以及提供相關技術服務的廠商。”

這樣的“橋梁”一旦建好，對電子認證服務行業會有怎樣的好處呢?周曉斌表示，如果有了這樣一座橋梁，不但可以把各個應用都聯接起來，同時促使各家CA的證書，以及底層提供密碼支撐的廠家形成統一的技術規劃和要求。這樣在未來，條塊化的電子認證服務市場就可以被打破，促使各家電子認證服務機構成為真正的全國性服務機構，而不是只局限于某一地，從而讓電子認證服務市場得到進一步發展大。(本期CSO欄目同時刊登了《中國“證聯”是否可行?》敬請關注)