신뢰할 수 있는 서비스 공급자

Trust service provider

신뢰할 수 있는 서비스 제공자(TSP)는 전자 서명을 작성·검증하고 서명자 및 웹사이트를 일반적으로 인증하기 위해 디지털 인증서를 제공하고 보존하는 개인 또는 법인이다.[1][2]신탁서비스 제공자는 유럽연합과 스위스에서 규정된 전자서명 절차의 맥락에서 요구되는 자격을 갖춘 인증기관이다.[3]

역사

신탁서비스 제공업체라는 용어는 유럽의회유럽의회가 규제 전자서명 절차에 대한 거부권을 제공하지 않는 중요하고 관련 있는 기관으로 만들었다.그것은 전자 서명 지침 1999/93/EC에서 처음 제기되었고, 처음에 인증 서비스 제공업체로 명명되었다.이 지시는 2016년 7월 1일 공식화된 eIDAS 규정에 의해 폐지되었다.[2][4]규제는 모든 EU 회원국이 따라야 하는 구속력 있는 입법행위다.[5]

설명

신탁서비스 제공자는 강력한 인증 메커니즘, 전자 서명, 디지털 인증 을 통해 서명자 및 서비스에 대한 전자 식별의 무결성을 보장할 책임이 있다.eIDAS는 신뢰 서비스 제공업체가 인증 및 거부 이외의 서비스를 수행하는 방법에 대한 표준을 정의한다.이 규정은 EU 회원국에 신탁서비스 제공자가 어떻게 규제되고 인정될지에 대한 지침을 제공한다.

신탁 서비스는 세 가지 조치 중 하나를 수반하는 전자 서비스로 정의된다.첫째로, 전자서명의 작성, 확인 또는 검증, 그리고 이러한 서비스에 필요한 타임 스탬프 또는 씰, 전자 등록 배달 서비스 및 인증과 관련될 수 있다.두 번째 조치에는 웹 사이트 인증에 사용되는 인증서의 생성, 검증 및 유효성 검사가 수반된다.세 번째 조치는 이러한 전자서명, 도장 또는 관련 증명서의 보존이다.

자격을 갖춘 신탁서비스 수준으로 끌어올리려면, 해당 서비스가 eIDAS 규정에서 정한 요건을 충족해야 한다.신탁 서비스는 참여 EU 회원국과 단체 간에 이루어지는 전자적 거래에 대해 지속적인 관계를 촉진하는 신뢰 프레임워크를 제공한다.[1][6]

공인 신뢰 서비스 제공업체의 역할

적격 신탁 서비스 제공자는 적격 전자 서명 과정에서 중요한 역할을 한다.수탁 서비스 제공업체는 전자서명을 작성하는 데 사용할 수 있는 적격 디지털 인증서를 제공할 수 있도록 감독 정부 기관에 대해 적격 상태와 허가를 받아야 한다.eIDAS는 EU가 적격 지위를 받은 제공자와 서비스를 나열하는 EU 신뢰 목록을 유지할 것을 요구한다.신뢰 서비스 제공자는 EU 신뢰 목록에 없는 경우 적격 신뢰 서비스를 제공할 자격이 없다.[1][7]

EU 신뢰 목록에 있는 신뢰 서비스 제공업체는 eIDAS에 따라 수립된 엄격한 지침을 따라야 한다.그들은 인증서를 만들 때 시간과 날짜에 유효한 스탬프를 제공해야 한다.인증서가 만료된 서명은 즉시 취소할 필요가 있다.EU는 신탁서비스 제공자들이 신탁서비스 제공자에 의해 고용된 모든 인력에 대해 적절한 교육을 실시하도록 의무화한다.또한 신뢰할 수 있고 생산된 인증서의 위조를 방지할 수 있는 소프트웨어 및 하드웨어와 같은 도구를 제공해야 한다.[1][2]

비전

eIDAS의 주요 개념 중 하나는 공공 서비스와 비즈니스 서비스, 특히 EU 회원국의 국경을 넘어 당사자 간에 이루어지는 서비스를 모두 촉진하는 것이었다.이제 이러한 거래는 전자서명 방식과 그러한 서명의 무결성 확보와 관련하여 신뢰 서비스 제공 업체들에 의해 제공되는 서비스를 통해 안전하게 촉진될 수 있다.

EU 회원국들은 eIDAS를 통해 국경을 넘어 의료정보의 교환 및 접속을 포함한 교차보드 공공 부문 거래에 전자 ID 체계가 이용될 수 있도록 하는 신뢰 서비스에 대해 "단일 접촉점"(PSC)을 확립해야 한다.[2][8][9]

트러스트 서비스 제공업체가 작성한 전자서명에 대한 법적 관점

고급 전자서명은 eIDAS에 따라 법적 구속력이 있는 반면, 적격 신탁서비스 제공자가 작성한 적격 전자서명은 법정에서 증거로 사용할 경우 입증가치가 더 높다.서명의 저자는 부인할 수 없는 것으로 간주되기 때문에 서명의 진위 여부는 쉽게 이의를 제기할 수 없다.EU 회원국은 다른 회원국의 인증서로 만들어진 인증된 전자 서명을 유효한 것으로 받아들일 의무가 있다.eIDAS 규정(즉, eIDAS 규정)에 따라.제24조제2항, 자격증을 소지한 채 작성된 서명은 법정에서 손으로 작성한 서명과 동일한 법적 가치를 가진다.[2][3][10]

표준이 진화하고 있다.신뢰 서비스 제공자에 대한 정책 정의를 포함한 추가 표준은 유럽 전기 통신 표준 연구소 ETSI에 의해 개발 중에 있다.[11]

글로벌 관점

스위스 디지털 서명 표준 ZertES는 인증 서비스 제공업체의 유사한 개념을 정의했다.인증 서비스 제공업체는 Schweizerische Akkkreditierungsstelle[de][12]가 임명한 적합성 평가 기관의 감사를 받아야 한다.미국에서는 현재 출시된 NIST 디지털 서명 표준(DSS)이 서명자의 자격증을 통해 거부감을 높일 수 있는 적격 신탁 서비스 제공자와 비교할 만한 것을 알지 못한다.그러나 향후 검토의 저자와 의견제출자들은 신뢰할 수 있는 서비스 제공의 eIDAS 및 ZertES 접근법과 유사한 개정을 공개적으로 논의하고 있다.[13][14]엄격하고 반박할 수 없는 글로벌 거래와 법적 관련성을 허용하려면 국제적인 조화가 필요할 것이다.

논란

여러 연구기관과 협회는 디지털 거래를 인증하는 국가별 소규모 중앙집중식 신탁서비스 제공업체 설립에 대해 우려를 표명했다.그들은 이 구조가 사생활에 부정적인 영향을 미칠 수 있다고 말한다.많은 거래에서 신뢰서비스 제공자의 중심적 역할을 감안할 때 유럽전문정보학회(CESPI)는 신뢰서비스 제공자들이 인증 대상인 시민의 구별되는 속성에 대한 정보를 얻고 수집할 것을 우려하고 있다.데이터를 보존해야 하는 요구사항과 부정확한 ID에 대한 잠재적 책임 요청에 대한 증거를 유지하기 위한 예상 노력과 관련하여, CESPI는 신뢰 서비스 제공자가 모든 인증 프로세스의 로그 항목을 생성하고 저장할 수 있는 위험을 본다.획득한 정보는 모니터링과 관련 시민의 프로파일링을 가능하게 한다.거래상대방도 자신을 식별할 경우, 사용자 이익과 이들의 의사소통 행동은 추가로 획득한 프로필을 날카롭게 할 것이다.빅데이터 분석을 통해 시민들의 사생활과 관계에 대한 광범위한 통찰력을 얻을 수 있을 것이다.자격을 갖춘 정부 기관과 직접 연결하면 획득한 데이터와 프로필에 접근할 수 있다.[15]

안전하고 원활한 국경 간 전자거래, 보증 수준, 정의 및 기술 배치를 진정으로 이용하기 위해서는 보다 정밀하게 명시해야 한다는 또 다른 간행물의 주장이 있다.[16]

2021년에 eIDAS에 대한 비교적 모호한 제안 업데이트는 브라우저가 TSP로부터 사용자들에게 보장을 전달해야 할 것이다.이것은 명백히 정부가 지정한 TSP를 브라우저가 인증 기관에 대한 신뢰를 확립하기 위해 사용하는 기존의 복수 이해당사자 프로세스와 병렬로 통합하는 것을 포함한다.인터넷 소사이어티모질라는 그 제안들에 대해 다양한 이슈들을 주장했다.[17][18]

참조

  1. ^ a b c d Turner, Dawn M. "Trust Service Providers according to eIDAS". Cryptomathic. Retrieved 22 June 2016.
  2. ^ a b c d e "REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC". EUR-Lex. THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION. Retrieved 18 March 2016.
  3. ^ a b Turner, Dawn. "Understanding eIDAS". Cryptomathic. Retrieved 12 April 2016.
  4. ^ "Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures". Official Journal of the European Parliament. Retrieved 22 June 2016.
  5. ^ Turner, Dawn M. "eIDAS from Directive to Regulation". Cryptomathic. Retrieved 29 June 2016.
  6. ^ Bender, Jens. "eIDAS Regulation: EID - Opportunities and Risks" (PDF). Bunde.de. Fraunhofer-Gesellschaft. Retrieved 18 March 2016.
  7. ^ "Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers" (PDF). European Telecommunications Standards Institute. Retrieved 22 June 2016.
  8. ^ Turner, Dawn M. "Advanced Electronic Signatures for eIDAS". Cryptomathic. Retrieved 22 June 2016.
  9. ^ Kerikmäe, Tanel; Rull, Addi (2016). The Future of Law and eTechnologies. Springer. pp. 63–64. ISBN 978-3-319-26894-1.
  10. ^ "Regulations, Directives and other acts". Europa.eu. The European Union. Archived from the original on 12 December 2013. Retrieved 18 March 2016.
  11. ^ "Certification Authorities and other Trust Service Providers". European Telecommunication Standards Institute. Retrieved 22 June 2016.
  12. ^ Der Schweizerische Bundesrat. "Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES)". Retrieved 12 May 2016.
  13. ^ "FIPS PUB 186-4 - FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION: Digital Signature Standard (DSS)" (PDF). National Institute of Standards and Technology. Retrieved 22 June 2016.
  14. ^ Turner, Dawn. "Is the NIST Digital Signature Standard DSS Legally Binding?". Cryptomathic. Retrieved 22 June 2016.
  15. ^ Hölbl, Marko. "Position on the Electronic identification and trust services (eIDAS)" (PDF). Council of European Professional Informatics Societies (CEPIS). Retrieved 24 June 2016.
  16. ^ van Zijp, Jacques. "Is the EU ready for eIDAS?". Secure Identity Alliance. Archived from the original on 22 November 2016. Retrieved 24 June 2016.
  17. ^ "Internet Impact Brief: Mandated Browser Root Certificates in the European Union's eIDAS Regulation on the Internet". Internet Society. 2021-11-08. Retrieved 2022-03-06.
  18. ^ "Experts urge EU not to force insecure certificates in web browsers". BleepingComputer. Retrieved 2022-03-06.