CA认证的信任危机

CA认证的信任危机CA认证历来就被认为是决定电子商务发展进程的关键环节之一，然而事实却表明，作为第三方认证机构的CA中心也开始面临信任危机。问题在于，CA中心在认证别人的时候又被谁来认证呢？ 本刊记者 刘杰 前不久，北京、广东两地发生多起股民股票被盗卖盗买事件，一些股民帐户上的绩优股被换成了垃圾股“银广夏”，涉及金额100多万元。事情发生后，舆论一片哗然，证券机构中究竟是哪里出了问题？ 发生如此事件的原因是多方面的，但基于信息安全的问题主要有两点：一、基于用户名+密码这种身份验证方式的脆弱性；二、证券公司业务系统和内部管理中存在安全漏洞。 证券行业的网上交易，尽管已发展得如火如荼，但存在的隐患还很多：如传统的基于单一密码的身份验证方式，其用户名和密码本身就容易泄露；委托信息容易被篡改；对于交易造成的责任，由于无法确认用户身份，用户可以拒绝承担；无法保证委托信息确实发送到券商服务器；用户的交易信息传输于网上，极易被他人窃取. 包括网上证券交易在内的电子商务和电子政务运行，如何才能保证信息传输的机密性、真实性、完整性、不可抵赖性呢？目前普遍采用的方法是基于PKI体系的身份认证（CA）。例如在网上证券交易过程中，券商与用户通过Internet互相交换从CA申请到的数字证书，并验证其真实性（包括验证数字签名、证书有效性等）。如任何一方发现对方数字证书有误，则立刻停止交易。 可以说，CA应用的序幕已经拉开，作为信息基础设施的有利保障，CA认证历来被认为是决定电子商务发展进程的关键环节之一，此文的初衷也是希望在采访几家CA中心和做CA系统集成的厂商后，进一步挖掘出CA在网上证券、网上银行和电子政务中不断深化的应用和存在的问题。然而事实却表明，一直沿用国外技术标准的PKI /CA体系已经开始不堪重负，国内的CA认证机构的运营、保障还存在诸多缺失。蓦然回首，发现新的身份技术已登堂入室，并且在当前的市场条件下，这些简单、快速、价廉的身份认证系统将会有越来越多的需求并得到迅速发展。 尴尬的CA 随着电子商务的不断发展，如何在目前尚缺乏信任的网络活动中确保公平快捷的网上交易，建立一个权威的第三方认证机构来实现身份确认显得尤为重要。CA中心本是作为能够颁发、管理和认证数字证书的第三方机构，但现在的情况则是CA机构建设过剩。自1998年第一家CA认证中心（CTCA）成立以来，全国已经有超过30家CA中心，目前规模较大的包括上海CA中心（SHECA）、中国金融认证中心（CFCA）、国际电子商务认证中心、中国电信在长沙启动的电信CA以及包括其他部委和地方性的CA中心，甚至还包括德达创新和天威诚信等纯粹的民间CA中心。CA中心虽多，但发出的证书却寥寥。在尚未建立服务于电子政务的国家级PKI体系结构的情况下，各行业、各区域的CA中心打乱了原来严谨、有序的层次关系。而且，CA中心建设的管理缺位也助长了CA数量的膨胀。公安部、保密局、国家机要局和国家安全部，好象谁都能管，好象谁又都说了不算，应用却因此而进展缓慢。 同时，作为第三方认证机构的权威性、公正性、广泛性也大打折扣。中国工程院院士沈昌祥在提到信任体系的建立时，指出了存在的两大问题：一是目前我国还没有关于电子签名之类的法规、条例，造成对CA的信任缺乏基础。二是很多CA建设基本上是一种企业行为，多以赢利为目的。政府没有一个明确的部门对已建的CA进行评测、认证、监管，况且怎么管还不清楚。目前，国际认证市场的三巨头Baltimore、Entrust、Verisign也早已把触角伸进了中国，通过代理体系在国内建立了机构，其中在上海安家的TrustAsia是VeriSign在中国的联盟伙伴。TrustAsia的中国区总经理林祖宁谈到，目前国内CA中心大多是各个政府部门主办，真正进入市场化运作且能赢利的极少，这将为国外一些“第三方信誉服务商”如TrustAsia提供商机。目前，TrustAsia主要是通过生产、制造和销售网络安全产品以及提供完美的服务来赚钱。他还透露，将慎重地选择一些有政府背景的企业实施合作，以此来渗透、占有信息安全认证市场。 在还无力迎击国外CA的挑战之时，国内CA就已开始了窝里斗。当前建立的众多CA中心除了在采用509证书标准上一致外，其它的共同标准和规范很少。更为糟糕的是，中国各CA认证中心发放的证书甚至不能相互兼容。比如消费者去8848购物，由于8848使用的是CFCA证书，那么某些人手中的SHECA证书就根本派不上用场。而CFCA作为中国金融业的统一认证中心，其证书甚至不能与国际权威的CA认证接轨，而随着WTO的临近，具有全球性交易特征的国外金融CA机构将在市场上通行无阻。 然而，国内CA的尴尬还远不止这些。尽管上海CA市场策略经理何先生说，目前上海CA是国内证书发放最多的认证中心，已达到30多万。但中心自1999年以来的总运营收入不超过300万元，而其投入已经超过了2000万元，且还在不断的增加之中。据悉CFCA的初期投入也已达5200万元，连投资方也一致认为要获得如此高额的投资回报，周期将极为漫长。 有一点不能否认，就是CA中心要有用武之地，就必须有更多的网民和企业加入到电子商务的队伍中。受意识制约，法律法规、电子支付和物流配送系统还不完全成熟，包括网络安全等方面因素的影响，当前绝大多数有消费能力的网民或有意电子商务的企事业单位还不敢完全将“交易放到网上”，因此，大力发展电子商务对平台的扩充有着十分重要的意义。 认证缺失公证 现在的CA认证有很多都是由纯商业企业来授权认证的，这一点本身就使得CA中心在公正性方面“先天不足”。而我国企业加入市场化竞争的时间不长，资产规模小、信用度普遍不高，况且我国一些CA机构本身是构成电子商务合同的一方，在纠纷处理时，从法律意义上讲是有失公允的。长此以往，会造成“信任危机”。另外，在电子商务中只加强了身份认证，但商务过程无法保障，当事人一方得到的最多只是纠纷发生后知道对方是谁，这对于解决纠纷起不到实质性的作用。 北京邮电大学信息法律研究中心主任张楚博士极力倡导网上公证与CA认证融合。简单地说，网络公证就是依托计算机和网络技术，对网络世界中的电子身份、电子交易行为、数据文件等提供增强的认证和证明以及证据保全、法律监督等公证行为的一个系统，是真正“公正的第三方”。他指出，CA认证在办理电子证书过程中除去技术环节，最关键的是RA（Registration Authority）审核程序审验证书的持证主体与现实身份是否一致。网络公证的RA审核依托遍布全国的几千家公证处构成的中国公证网，由具有国家证明权的公证员完成。这种做法更适合中国的国情，也具操作性。 互通互连的努力 当然，网络公证体系的建立，无异于在虚拟商务世界和现实法律之间搭起了一座桥梁。网络公证的目标是将全国几千家CA认证机构全部互联互通，通过网上消息传递加上当地“面对面”核实相结合的手段，来提高网络公证的审核效率和审核质量。但是，CA机构之间搭桥架路的工作决非易事。就在不久前，为推动粤港两地电子商务的发展，由广东省信息产业厅、中国香港邮政、广东省电子商务认证中心联合进行的“粤港双向认证合作”在广州开始了，粤港两地将以双向认证的方式实现两地CA认证的互连互通和资源共享。可以说，这种认证合作打破了区域限制，可以免去在交叉认证中所带来的复杂法律纠纷和技术问题，提高交易的效率。而上海CA也早在2000年2月起，在PKI体系标准基础上，就提出并建设了全国性认证机构协卡认证体系（United CA），从而实现跨区域、跨行业的认证，满足证书的互相信任，在整个认证体系内标准统一、规范统一、服务互通、应用互通，成为一个全国性的Internet信任和安全服务提供商联合体。 目前，PKI系统集成商吉大正元正积极推进另一种互通互连的机制。据技术总监刘远航介绍，美国联邦政府在研究各联邦政府已建成的PKI体系的基础之上，为解决各种不同认证系统之间的交叉认证问题，于1998年提出了桥接CA的概念。联邦桥接CA（FBCA）由联邦策略管理机构（FPMA）控制，其目的是在联邦PKI中不同的可信域之间提供可信路径。经FPMA认可的可信域可以指定一个主CA，该CA负责与桥接CA进行交叉认证。目前，我国也在研究和试点。由于我国PKI体系采用层次结构和分布式信任结构合并的混合模型，要解决不同PKI/CA体系之间的互操作问题，道路还很曲折。 不可回避的局限性 证券公司是最早大面积采用CA认证的机构，也最早体验到了CA认证的难题。股民通常获取数字证书用于炒股，需要经过CA认证中心的离线审核和在线发放、网民在线下载等过程，而对于不熟悉互联网的人来说，这一系列过程太烦琐。传统的PKI/ CA体系在实际的使用中越来越多地暴露出种种弊端，例如有相当部分的证券公司反映在证书的管理方面比较麻烦，同时有券商表示使用PKI /CA系统将影响交易的速度。实则，证券交易过程是相当复杂的，每次数据通讯都需要身份认证，进行加、解密或数字签名，这就需要先读取数字证书及密钥。要求用户首先输入正确的PIN码，PIN码被验证正确之后，方可利用储存的证书或密钥进行多种操作。 在应用层面，CA认证只是PKI的一种形式，如果把PKI比作是电力行业的话，那么CA就只能代表一台发电机和若干电线。如果当前网络系统不安全，PKI也难以提供安全服务。例如，PKI没有提供一种机制来保护私钥，人们难以判断私钥是否安全。虽然是当私钥泄露时，应该撤销对应的证书，但有时私钥泄露，拥有者并不知道。由于用户面对的是一个不安全的网络环境，在这种环境中使用私钥很容易受到各种恶意代码的攻击。私钥的存储也是一个问题，有时使用口令保护存储在智能卡或其它载体中的私钥，但口令本身的安全值得怀疑。更进一步，由于难以保证数字证书的验证装置或系统是安全的，在这些不安全的装置中，一个非法的证书有可能冒充合法证书，当然，合法证书也可能被拒绝。 在技术方面，CA赖以生存的PKI将会面临安全性的挑战，PKI以公钥技术为基础，公钥体制建立在一些难解的数学问题上，如大数分解、离散对数、椭圆曲线等，而随着计算能力的持续提高和数学的发展，新的理论不断地被提出，击破公钥体制也会成为现实。 新技术登堂入室 中国电子商务的倡导者们对PKI /CA体系寄予了殷切的希望，但事实证明，单单靠PKI/CA体系并不能解决所有的问题。在面临网络安全威胁时，用户非常需要有一个相对简单、快速、价廉的身份认证系统，做到可以用非常小的投入来满足电子商务的安全性要求。这正是新型网络身份认证系统的市场契机之所在。 当前的身份认证技术，除传统的静态密码认证技术以外，还有动态密码认证技术、IC卡技术、数字证书、指纹识别认证技术、虹膜识别技术等。由上表可见，静态密码认证技术存在着诸多问题：系统的不安全性、易被破译，而我们现在许多的重要信息都是靠静态密码来掌管，它的危害性可想而知。可是像数字证书、指纹识别、虹膜识别技术，虽然具有着最大限度的安全性和唯一性，但是系统使用的终端物理设备相对就十分昂贵，对于当前的社会经济现状，就显得不太适合。 目前，双因素身份认证系统成为了网络信息