English  简体中文
   

欧盟信任列表(TLs)机制介绍

2019-01-06       撰稿人:北京数字认证股份有限公司 张妍


欧盟“信任列表”(Trusted lists)是提供信任服务当前状况及历史记录信息的信任服务状态列表,这些状态信息来源于信任服务提供商(TSP)是否遵守了电子交易签署及信任服务法规的有关条文。欧盟规定其信任列表(TLs)由以下四个方面组成,a)列表发布规则,即对于信任列表提供者来说,发布和维护TL的相关计划;b)符合TL规则要求的信任服务提供者(TSP);c)有关这些TSP所提供的服务及服务的现况;d)每个服务的状态历史记录。

一、通过维护信任列表实现对信任服务提供商(TSP)的监管

下图1描述了欧盟网络安全局对信任服务提供商(TSP)的监管机制:信任服务提供者(TSP)向测评机构(Assessment Body)提出测评请求,同时通报监管机构(Supervisory Body),测评机构在接收到请求后根据评估标准进行测评,出具测评报告给到监管机构,最后监管机构基于测评报告,将TSP的状态信息同步到信任列表(TLs)中。国家认证机构负责根据泛欧洲认证计划检查认定合格测评机构,并于欧盟协调认可委员会EA对接。

 

图1 欧盟信任服务提供者(TSP)监管评估框架图

其中对于QTSP(qualified TSP,即由监管部门授权合格的开展信任服务的提供商)的监管措施有:

1. QTSP应至少每两年自费委托测评机构开展一次合格测评。目的是确保QTSP符合本法规要求。并在收到评估报告3个工作日之内,报送本国监管机构。

2. 监管机构可随时对QTSP进行专门审计或指定合格测评机构对QTSP进行合格测评,费用由QTSP自行承担。

3. 对限期整改不力的QTSP,监管机构可吊销其资质。

4. 欧盟委员会需制定相关实施细则或标准,包括测评规则等。

5. 合格的QTSP,可允许使用欧盟可信标识EU-Mark。

二、欧盟eIDAS法规中关于信任列表(TLs)的规定

欧盟eIDAS法规中关于信任列表(TLs)的规定如下:

条款1:各成员国应建立、维护和公布受信任列表,包括其负责的合格信任服务提供者的相关信息,以及其提供的合格信任服务的相关信息。

条款2:各成员国应以一种安全的方式建立、维护和公布条款1所述的经过电子签名或密封的受信任列表,其形式应适于自动化处理。

条款3:.各成员国应及时地向委员会通报负责建立、维护和公布国家可信列表的机构的资料,以及公布信任列表的地点、用于签名或密封受信任列表的证书和任何更改的详情。

条款4:委员会应通过一个安全的渠道,将条款3所述的资料以电子签名或密封的形式提供给公众,以供自行处理。

条款5:.委员会应在2015年9月18日之前,通过实施法案,规定条款1所指的资料,并为条款1至条款4所适用的受信任列表确定技术规格和格式。

为了方便地访问所有成员国的受信任列表,欧洲委员会还发布了一份中央列表,其中载有各成员国所通报的受信任列表发布地点的链接。这个中心列表,称为可信列表的列表(LOTL/ the List of Trusted Lists),以人类可读的格式和适合于自动处理(XML)的格式提供。

更多有关欧盟信任列表的介绍,可参考网站:https://publications.europa.eu/en/publication-detail/-/publication/

 
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4