电子认证：证书策略路在何方？

文章来源：泛普软件

电子认证产业需要新动力

自2005年《电子签名法》发布之后，经过5年的时间，我国电子认证产业逐步从初期阶段进入技术成熟期。但是，电子认证产业作为信息领域重要的基础设施，其发展规模、用户规模、市场规模、应用规模等方面尚未形成集团优势，区域化、行业化、政府化造成了电子认证产业的服务职能未能充分体现和被广大用户普遍接受，使得我国电子认证产业的发展进入平台期，即用户数量和应用模式不能持续快速增长和扩展，市场没有得到充分挖掘。

究其原因，我国电子认证产业发展在服务职能上还仅仅局限于提供身份认证的电子认证初级阶段。作为一个电子认证的用户，仅知道某人的公钥是什么还很不够，因为该公钥可能是仅用于测试的，也可能仅用于访问网络，也可能用于电子交易并有10万元担保。一个完整的电子认证基础设施是网络信任体系的重要组成部分，它不仅应该证明公钥是什么，还应该将该公钥的安全属性告诉用户（包括法律担保等信用信息），指导应用程序的开发商和证书用户正确地使用证书。

目前，我国的电子认证企业都没有在证书中提供证书策略的说明，即在证书中不说明该公钥可以在什么场景下、适用于什么样的安全需求。同时，各电子认证企业发放证书的安全措施，包括系统、管理、发放流程等也存在一定差距。缺乏统一策略、安全程度的不一致，导致了证书应用单位的许多困惑，也阻扰了电子证书的跨区域、跨行业应用。由于电子认证企业（CA）所证明的密钥安全等级不一致，用户在使用证书的时候就很难规范化，应用程序也没有办法获得相关安全信息，无法自动地进行证书选择。