GlobalSign 博客

什么是eIDAS 2.0,数字身份验证如何发挥关键作用

最终的eIDAS 2.0提案于2021年6月3日发布,旨在修正各种缺点,并建立一种让欧洲公民以更高效率获得官方认可的数字身份的方法。

随着欧洲数字身份钱包(EUDI)的引入,eIDAS 2.0带来了巨大的机会——扩展了身份的概念,包括从全球任何位置可访问的物理服务和交易,同时允许用户对个人信息和数据进行单独控制。

在本文中,我们将研究数字身份验证如何发挥关键作用。

eIDAS 2.0的目的和优点

最初的eIDAS法规仅适用于电子交易的电子识别和信任服务,以及公民、组织和公共当局之间的安全电子互动的相互承认。其目的是并将继续是提高公共和私人在线服务的效力,强调电子服务(包括电子签名、印章和时间戳)安全的重要性。

eIDAS 2.0带来的最重要的修改之一是扩大了监管的范围,以拥抱新的电子信托服务类型。eIDAS 2.0扩大了范围,包括电子注册交付服务、电子认证证书和电子文件的电子印章。

“合格信托服务提供者”(QTSP)概念的发展是eIDAS 2.0法规带来的另一个关键转变。QTSP在更新法规中发挥着重要作用,因为他们将负责确保授权的数字身份与更新法规保持一致。eIDAS 2.0法规进一步定义了合格信任服务(QTS)和合格信任服务提供商(QTSP),以证明符合eIDAS高级别安全标准和义务。合格的信任服务只能由合格的信任服务提供商提供,如GlobalSign。

QTSP作为专业提供商,有义务满足一些安全先决条件,以确保安全的电子交易,如电子签名、数字证书或时间戳服务。这些先决条件包括健壮的密码算法、身份验证方法、单独的交易审计跟踪和安全的系统架构。

QTSP是被授予资格的信托服务提供者,并由其国家监督机构(SB)监督。

eIDAS 2.0旨在扩展身份的概念,使其包含可以从世界任何地方访问的物理服务。它将使每个欧洲人都拥有一套数字身份证书(如身份证、护照、专业证书和驾照),这些证书在整个欧盟都是公认的,也被称为欧洲数字身份(EUDI)钱包。这些“钱包”是收集和存储数字证书的移动应用程序或云服务,使它们能够被私人和安全地用于各种政府和非政府用例。

这种发展需要建立一个安全、可信和高效的身份识别过程,在购买或登记或使用服务时为客户提供无缝的体验。

确保公民、企业和公共当局之间的电子交互安全

eIDAS 2.0的目标是实现欧洲“数字十年之路”倡议的目标,该倡议旨在到2030年使80%的欧盟公民能够使用数字身份识别。

这包括跨国界认证他们的身份,对共享特定的个人信息提供明确的同意,以及对共享信息的接收者和目的有明确的了解。这次立法干预引入了EUDI钱包的概念,并带来了欧盟数字身份框架的转型。

到目前为止,围绕修订eIDAS框架的讨论主要集中在对公民和消费者的潜在风险和优势上。然而,为了使新的欧洲数字身份框架蓬勃发展,在实施时考虑到企业的不同身份需求也是至关重要的。

数字身份是一个宽泛的术语,包含各种身份解决方案。无论哪种特定类型的标识解决方案,在所有场景中都会涉及三方:

  • 发行人或身份提供者,
  • 用户(或身份持有人),
  • 信赖方(使用发行方提供的身份)。

拥有数字身份,例如数字身份证,使个人能够建立他们的身份,但它不能提供有关他们的资格或凭证的信息。然而,访问数字服务往往需要这些属性(自然人、法人或实体以电子形式存在的特征、特征或质量)。因此,与数字身份相关联并经合格信托服务提供商验证的其他属性,如医疗证书、专业资格或驾驶执照,现在已成为数字身份系统的重要组成部分。合格信托服务可提供与可信来源相关联的合格属性电子证明(附件五),进而可跨界执行。支持多个依赖于验证身份属性的需求的用例。

数字身份验证——在明确同意的情况下如何共享信息

eIDAS 2.0的一个关键方面是用户可以单独控制所有个人信息。开发EUDI钱包的目的是简化个人和企业访问在线服务、进行安全交易、跨境操作和旅行的流程。通过集中存储和管理电子身份标识以及电子签名、证书等信任服务,用户可以在需要时方便地访问和使用自己的数据和证书。

EUDI钱包生态系统的角色描述如下:

Picture1.jpg

资料来源:欧洲委员会

这种精简的方法提高了用户的可访问性,并促进了这些服务的有效利用。

数据隐私

EUDI钱包将确保收集到的任何有关其使用的信息严格限于提供钱包服务所必需的内容。除非用户明确要求,否则它不会将个人身份识别数据或与欧洲数字身份钱包相关的任何其他个人数据与从发行者提供的其他服务或不相关的第三方服务获得的个人数据合并。通过设计和选择性属性披露的隐私将在EUDI钱包中强制执行,优先考虑用户隐私和数据保护。

*提供电子属性认证服务的附加规则:

  1. 合格及非合格属性电子认证服务的提供者不得将与提供该等服务有关的个人资料与其提供的任何其他服务的个人资料相结合。
  2. 与提供属性电子核证服务有关的个人资料须与持有的其他资料在逻辑上分开。
  3. 与提供合格属性电子认证服务有关的个人资料,须与持有的任何其他资料在物理及逻辑上分开。
  4. 属性服务合格电子证明提供者应在独立法人单位下提供该等服务。

(*Article 45f)

结论

eIDAS 2.0规定了在内部市场提供电子身份(eID)和信托服务的标准化规则。这些规则不仅优先保护信任,而且强调用户对其个人数据的控制。这标志着在隐私、安全和用户自主权方面的重大进步,标志着在维护隐私权利和增强用户整体控制方面的重大飞跃。

要了解更多关于新eIDAS 2.0创新以及数字化如何推动欧盟和英国电子签名服务的采用,请阅读GlobalSign的电子书

Picture2.png

符合eIDAS规定的解决方案

我们明白跟上包括eIDAS在内的现行法规的重要性。我们有许多方法可以帮助组织遵守eIDAS法规,包括认证,时间戳,合格的签名和印章——今天就与我们的团队联系。

请联系

近期博客