PKI體系中RA合規問題探析

趙改俠 李達 謝宗曉（中國金融認證中心）

0 引言

注冊機構（RegistrationAuthority，RA）是對用戶證書申請者建立注冊過程的實體，負責對證書申請者進行標識和鑒別，向認證機構（CertificationAuthority，CA）發起和傳遞證書申請、更新、吊銷等請求。RA是銜接用戶與CA的重要橋梁，在整個PKI閉環中具有舉足輕重的作用。當然，引入RA也增加了風險，比如CA需要對RA本身進行認證及可靠性管理，RA自身的風險會傳導至CA。

《中華人民共和國電子簽名法》（以下簡稱：《電子簽名法》）、《電子認證服務管理辦法》和《電子認證服務使用密碼管理辦法》等法律法規的相關要求主要針對CA來規范，沒有專門針對RA的專項管理辦法。因此，針對RA的合規要求，要結合對CA的合規要求來分析。鑒于PKI體系中RA承擔的重要角色，以及在實踐中的一些典型問題，本文重點分析RA的合規問題以及解決思路。

1 RA類型

當前，我國具有電子認證服務許可證的CA有50多家，其大多通過授權RA的模式開展業務。通常授權協議約定RA承擔數字證書告知、審核、資料保管，以及CA與數字證書協議的簽署等事項，并由RA代理數字證書服務費用。RA有以下幾種類型。

（1）傳統型RA

傳統型RA出于自身業務安全，需要使用證書，因此證書受理流程通常被嵌入其業務流程中。這類RA一般具有業務受理窗口，合規及風控把控能力較強。比如，電子政務、銀行等領域用戶辦理業務時，通常在辦理事項選項中增加證書選項，用戶選擇證書選項后，則可在納稅、政府招標投標、銀行轉賬、貸款等業務場景中使用數字證書。這類業務場景通常將數字證書私鑰保存在智能密碼鑰匙（U盾）中或手機等移動設備中。這類數字證書處于用戶絕對控制下，電子簽名具有較強的不可否認性；數字證書告知、用戶審核、數據存儲等合規性風險較低。

（2）在線型RA

隨著移動互聯網的發展，一些機構尤其是互聯網金融機構，出于便捷性、用戶體驗及成本考慮，將其業務全部采用在線方式。通過在線方式審核用戶身份，對用戶的告知及協議以勾選項或者強制閱讀等方式實現，采用短信驗證碼等方式獲取用戶授權，將用戶簽名私鑰保存在平臺上。這種類型RA，增加了數字證書用戶抵賴風險，存在一定的數字證書告知、用戶審核、數據存儲等合規性風險。

（3）專業平臺型RA

隨著無紙化業務需求的增加，出現了一些專業的互聯網電子簽約平臺。其業務模式是對接各類需要電子簽署的客戶，不參與客戶業務，不直接面對最終用戶，通過平臺接受客戶方申請代替數字證書用戶申請、保管、調用數字證書。這類RA無法接觸最終的數字證書用戶，對證書用戶的告知、審核、資料保管等無法控制。這種類型的RA，增加了數字證書用戶的抵賴風險，同時也給CA帶來極大的合規性風險。

2 RA合規現狀及存在問題

目前，尚沒有專門針對RA的專項管理辦法，RA合規主要依據《電子認證服務管理辦法》第二十一條、第三十條、第十八條第三款。

告知、審核、資料保管是RA、CA面臨的最大困難及合規性風險。受業務模式、管控政策以及新冠肺炎疫情的影響，近年來出現P2P平臺暴雷、機構倒閉、消費貸用戶還款意愿降低等現象，這暴露出RA存在的一些問題。

（1）對用戶告知不完善

數字證書主要用于保護業務安全，提供交易傳輸過程中的完整性以及交易的抗抵賴性服務。由于PKI體系的專業性，廣大用戶對數字證書及電子簽名認知較少，因此《電子認證服務管理辦法》提出CA須對用戶的告知事項。而在現實在線業務中，需要向用戶告知以及需要用戶同意的事項較多，用戶往往未全部理解即選擇同意。另一方面，業務方對數字證書的理解不夠嚴謹，告知事項比較隱晦，甚至不提數字證書以及私鑰托管授權等。這些情況，導致用戶事后以不知情提出抵賴，增加了CA的合規性風險。

（2）在線身份審核標準欠缺

《電子簽名法》及《電子認證服務管理辦法》要求CA對數字證書用戶進行身份審核。CA在其業務規則中描述的身份審核方式是否能達到身份審核真實性、準確性、意愿性等效果，沒有統一的標準。比如，一些RA使用二要素、三要素、四要素、五要素，一些使用生物識別、短信驗證碼、小額打款驗證，或者使用第三方已驗證的結果等。這就造成在真實性、準確性、意愿性效果方面存在差異，給后續的證書使用造成潛在的抵賴風險。

（3）RA數據存儲不規范

《電子簽名法》要求對與認證相關的信息保存期限至少為電子簽名認證證書失效后五年，這就要求由RA負責處理的信息也同樣需要保存。通常情況下，RA基于信息保護或者客戶控制的因素，不愿意或不能提供給CA保管。RA保存哪些信息、如何保存、如何提取，以及RA停止服務后如何處理等，行業無詳細的標準規范。一些RA使用云服務，自身并無機房、主機、信息存儲管理規則規范等，一旦出現糾紛需要提取數字證書有關記錄時，甚至不知如何提取、是否可以提取等。一旦RA倒閉、停止服務，CA很難獲得RA存儲的數據，這將給日后的糾紛埋下隱患。

（4）用戶授權不清

在線電子簽約平臺或者互聯網金融平臺的業務模式，通常是在獲取用戶授權后，代替用戶申請、保存數字證書，在某種指令下調用數字證書執行簽名操作等。這種業務模式，在獲取用戶授權時，對數字證書的使用權限、使用范圍、使用時效等比較模糊。比如，用戶A通過B平臺授權申請數字證書用于處理B1貸款業務，但A不了解證書效期多長，如A需要處理B2消費貸款時，未再次進行授權，B平臺直接使用了B1業務時申請的數字證書，這就存在A用戶授權范圍、時效不明確的問題。

3 RA存在問題解決思路

在監管機構對RA無監管依據的情況下，CA出于降低風險的考慮，應加強對RA的管理。

（1）對RA的授權準入要求

CA應對RA的基本資信進行調研，確保RA有能力履行身份審核、信息告知、數據存儲以及RA系統的安全運營。CA可對RA的注冊年限、注冊資本、技術實力及合規人員情況、經營狀況、監管處罰情況、信用情況、業務發展模式、合規體系建設等進行評價。從推動發展互聯網業務的角度考慮，可對RA進行動態分類分級管理，對評價特別差的機構，比如嚴重失信的機構、多次受到監管合規處罰的機構，CA應放棄與其合作。對評價較差的機構，CA應控制對其的授權，比如僅開放一個類型的數字證書，且控制數字證書有效期等措施，并加大對該類機構的合規指導頻率。

（2）CA應具有與RA的協議履行監督機制

CA與RA簽署協議，約定雙方的權利義務。通常約定由RA面向用戶，審核用戶的申請信息、告知用戶使用事項、保存與認證相關的信息等，但RA是否履行了約定義務，CA很難掌握。因此，CA可在協議中約定對RA的合規審計機制，以及違反協議約定后的處置措施。比如，RA機構未按照協議約定，對數字證書用戶進行充分告知、身份審核，如用戶有歧異的，CA核實情況后，可按照規則吊銷用戶數字證書，必要時CA可聲明該數字證書無效。

（3）按場景制定審核標準

數字證書的使用范圍及場景比較廣，不同的業務場景對安全需求不同，因此可針對數字證書使用場景提出審核標準。

RA采取在線審核信息時，應選取信源可靠的權威機構作為供應商。比如對個人用戶的審核認證可采取如下方式：1）通過公安部數據聯網認證。RA可通過與合法擁有公安部數據的供應商合作，對用戶的證件種類、證件號碼、姓名、出生日期、戶口所在地、證件有效期等進行個人用戶身份認證。2）通過電信運營商進行認證。RA可通過證件類型、證件有效期、證件號碼、姓名、手機號碼等對個人用戶進行身份認證。3）通過銀行卡信息進行實名認證。RA可通過銀行卡號碼、開戶行、開戶人姓名、開戶人證件號碼等對個人用戶進行實名認證。4）針對政府職員、公職人員等低風險主體以及簽署勞動合同、快遞簽收等低風險業務的意愿性認證，可以采取郵件確認、短信驗證、業務顯式告知、業務連續性控制等任何一種方式實現意愿性確認。針對涉及金額支付（自動扣款）、財產抵押、貸款、保險的業務，除業務顯式告知、業務連續性控制等方式外，還必須增加活體人臉識別、現場照片、錄音、視頻等任何一種或者多種方式進行意愿性認證。

RA對機構(企業)用戶的身份認證和意愿性認證可采用以下方式：1）通過工商信息進行企業身份認證。RA應對企業名稱、企業統一信用代碼、法定代表人姓名、法定代表人身份證號碼等信息進行認證。2）通過有效的法律文件進行企業身份認證。RA可通過股東決議書、授權委托書、律師函、公證書等有效的法律文件進行企業身份認證。3）對政府機構的意愿性確認，可以通過機構（企業）郵件、經辦人手機短信驗證碼等方式確認；對其他機構可以通過法人短信驗證碼、經辦人人臉識別、經辦人短信驗證碼、對公賬號小額打款等方式確認。4）任何使用第三方CA簽發的且存儲在智能密碼鑰匙里的數字證書，進行其他業務所需要的身份認證，可以達到實名認證及意愿性確認效果。

（4）RA數據保管要求

RA保存數據應便于CA提取。RA應當按照安全、準確、完整、保密的原則，妥善保存用戶資料和交易記錄，確保能重現交易場景，在CA需要時可以方便提供用戶身份驗證、意愿性驗證、告知記錄等相關信息，保存期限不低于證書失效后5年。RA應保證與數字證書相關的信息不被篡改、隱私信息不被泄露，且只有被授權者才能接觸RA相關敏感數據及設備。RA的訪問記錄、授權記錄、門禁記錄、監控記錄、系統日志等應至少保留1年，以便CA及其他監管機構的審計或者安全評估。

4 結語

CA授權的RA在PKI體系中承擔著重要的角色，RA的質量直接決定了PKI體系的整體質量，因此有必要對RA的運營從監管及標準層面進行規范。同時，也應加強社會公眾對PKI體系的認識，正確理解數字證書及電子認證服務的作用及機制，共同促進互聯網業務健康發展。