|
2006年6月20日,天威诚信副总裁李延昭师长教师做客赛迪网,与网友们就电子认证及电子签名等热点话题进行交换和互动。以下为访谈摘录: 程鸿:可能对很多通俗用户来说数字证书毕竟是看不见摸不着的器械。我们讲电子签名签在什么处所,对他来说是一个很模糊的概念。除了我们讲的电子付出,其他的场合里头是不是数字证书早就有所应用了? 李延昭:证书在国外其实用的很广。包含如今我们天天发的邮件,如OUT LOOK、foxmail里都集成了PKI的技巧,包含我们如今应用的防火墙,或者是收集办事器,也都内置了PKI的技巧。举一个简单的例子,我们发邮件的时刻很多用户可能在邮件体系里面放一些很敏感的信息,比如财务报表,一个公司关键研发的图纸,安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,有些时刻会认为公司的邮箱或者内部的办事器存储不敷好,不敷年夜便放到一个年夜的公共邮箱里面去,比如GMAIL。很多信息对技巧人员来讲都是透明的,因为所有的邮件在互联网上发的时刻就是一个明信片,所有的技巧人员都可以看到,传输的中转过程的人员都也是可以看到。我们就是要用邮件证书的方法将你发的邮件加密,也可以作签名,加密是最根本的感化,就是把贴一个数字信封,只有接邮件的人才能打开,其他中转的人都是看不到的。这是一个很广泛的应用,如今国内因为很多人意识不到这点,并没有真正的应用。我们在国内做办事的时刻也是如许,安然邮件市场其实异常年夜,然则国内如今用户量异常少。 程鸿:您提到了一个新的范畴,如今包含企业用户有时刻也会愿意花一些钱做企业邮箱,就是说可以防垃圾邮件,由中国互联网协会反垃圾信息中心和中国反垃圾邮件联盟共同开发的垃圾邮件预警与处置系统于2012年6月12日正式上线,并对外开展服务,防止邮箱被人入侵等等,然则他们不会推敲到实际邮件传输过程中的信息安然? 李延昭:他们更多的照样从技巧角度推敲体系本身的安然、病毒的进击等等。一个模型是不是安然要从多个方面推敲。起首是什么样的人运能接收这个市场,然后才是逻辑安然。逻辑安然就是防火墙、防病毒监测等一系列的。物理安然就是如许的体系毕竟有什么样的物理情况,再一个是通信的安然。其实从整体推敲立场把全部体系做成一个安然的体系。 网友:我是做共享软件的代码签名证书能帮我解决什么问题? 李延昭:一般代码签名证书根本是确认这段代码的所属者的信息。我们如今在网上看到很多共享软件,包含收费和不收费的,我们进入新浪或者进入年夜众的百度会让你下载一个控件,这个控件是不是原发厂商放在那儿的,是不是别人放的木马都不清楚。这段代码到底谁开辟的?你也不清楚。所以下载到你的软件里的时刻可能会带来一些病毒安装在体系里。代码签名实际上是为了确认这个代码的原发性,包管这个代码公开在办事器的没有被别人修改,你下载到IE浏览器的时刻体系也会做认证。假如说共享软件有意绑缚木马,下载到你的机械里对你造成伤害。代码签名本身可以帮你追查发送者,你将拥有追诉权力。我如今一般下载软件的时刻可以看一下这个签名是不是完全的,别的这个签名是不是国度或者国际认证的签名证书,年夜的机构审查对申请代码签名的机构认证很严格,追诉签名人会加倍便利。如今有很多共享软件的开辟者本身做一个证书在上面做签名,追溯便没有包管。 网友:天威诚信的可以实现时光戳办事吗? 李延昭:实际上标准时光和认证是分开的。很多器械都是技巧幻想化,市场上并没有被广泛应用,这套设备我们也有,然则真正应用的异常异常少,并且这种标准时光也有很多种取得的方法。所以有很多低廉的成本即可以做到,没有须要真的花很多钱。 程鸿:数字证书做邮件加密会不会很麻烦?特别对于企业年夜范围应用的话? 李延昭:在申请和初次安装的时刻切实其实比安装一个通俗的邮件客户端麻烦,因为要申请,要确认身份。然则一般企业有本身的IT人员,垃圾邮件过滤设置怎么设置:现在一般的邮件服务提供商的WEB邮件系统中都有“过滤垃圾邮件”设置的功能,对IT人员来说不麻烦。对用户来说一旦安装好了今后,初次安装的时刻可能稍微费点力量,然则后面做的时刻因为证书每年是更新的,你在一年的应用过程中不会感到到有什么特别麻烦的,除非你的体系完全须要重装。假如你的身份证损掉了会不会很简单的从公安局再拿一个身份证?不会的,肯定走一个很复杂的流程。证书是一样的,因为如今很多时刻都在讲因为认证体系太难于应用,所以使得很多人不肯意用。但其实认证体系是你收集上的身份证,假如你很轻易拿到一个身份证会困惑这个器械能不克不及包管安然?假如你在网上提交就能拿到的话就轻易变成儿戏,本身也不是很安然。然则易用性本身是一个障碍,我们从03年、04年就开端在易用性上做一些改进,从安然、易用性上要有一个匹配。做技巧的人员不推敲用户的实际感触感染,要把这个器械做到安然的极致,成果发明用户一向的在用各类各样的器械,实际上用户已经崩溃了,甚至装了也不消。 我们对于易用性的研发,使证书易用性获得年夜幅度进步。 程鸿:我看到咱们网站上有一个邮件加密的数字产品,对于小我用户来说,比如软件须要一些更安然的加密保护,这对于接收方来说有什么请求呢? 李延昭:我们今朝在网站上做的宣传,我们比来有一个促销活动是一年,可以经由过程网上付出购买电子邮件证书。对于小我我们还有证书易用性的对象(天威诚信数字证书助手),我们得免费软件可以让用户很便利的备份证书,应用证书,设备证书。如今很多人因为在网上都邑用腾讯、QQ,我们当时设计这个软件产品的目标是所有会应用QQ的人就可以应用数字证书的所有功能。应当说我们这个软件今朝还没有达到我们想象的程度,但一些根本功能已经没问题了,我们点击一次按键就可以完成设备OE的电子邮件的环节。我们固然在技巧上做了很长时光,但终于有了冲破。 程鸿:以前是不显山不露水? 李延昭:如今是为年夜众用户解决一些易用性的问题。证书对每一小我来说都是安然包管,都可以包管通俗的IT体系的安然。包含邮件,可能今后用到的及时聊天体系,比如我们如今用MSN和QQ,在上面聊天的时刻不是所有的话都是公开、开放的,有些是很私密的聊天,要想做到私密的聊天可能就须要证书的加密。 程鸿:如今聊天的IE传输过程本身也是很年夜的风险? 李延昭:实际上你跟别人聊天的时刻所有人都能看到的,尤其公司内部对你公司的技巧人员都是公开的。他就是想看不想看的问题,他真的想去分析的话必定会找到你跟谁讲什么内容。这点其实很恐怖的,对年夜众来讲应用这种办事的时刻还未意识到安然风险。 程鸿:数字证书助手是不是能辨认出所有的证书来? 李延昭:照办国际标准签发的都可以。 网友:今朝CA证书是无法通用的? 程鸿:可能很多人有很多CA证书,我看咱们供给的是数字助手。这种会不会也异常复杂?因为跟着应用越来越多,我拥有的数字证书可能有7、8个? 李延昭:很多机构已经留意到这个问题,并且02年、03年的时刻有一些国度就做互插认证、互联互通的工作。我对证书互信是持不合不雅点的,如今的证书应用需求没有急切到交叉认证这个层次。就跟我们在几年以前用银行卡的时刻,那个时刻没有银联,会发明牡丹卡只能在工商行应用。那个时刻因为发卡量小,跟如今认证证书是一样的。如今各个认证机构发证量都不年夜,并且发出的证书应用是异常集中的,比如就用在OA办公体系里,又没有须要在情况之外跟别人进行交叉认证呢。所以我的看法是,这个工作是要做但不是如今,假如需求急切的真的来了,每一小我真的有两、三张证书那时刻才须要做交叉认证。如今做了很多交叉认证的工程或者项目都是掉败的,因为需求不在,年夜家是从技巧幻想的方法思虑这个问题是应当走到那一步,然则我认为可能是在5年、10年今后。 程鸿:技巧规范有没有成为我们国标? 李延昭:国标也在建立,但还没有实现。交叉认证我们如今也在做别的一个工作,就是应用端的交叉认证。就像如今到年夜厂商里面看到很多POSS机,比如说我们在付出宝来做可以做交叉认证,它不须要所有的CA之上做更多的互联,其实应用里就可以做互联。你只要承认这19家机构,把所有的证书都放在平台上,我们做证书助手的时刻提出一个概念是我们助手要从应用级做起。就是说你的证书助手将来就是一个综合的POSS机。 程鸿:是在办事器端的? 李延昭:在应用软件里面,下载到客户端,客户端笔记本上就可以完成。其实完全没有要在各个用户之间搞一个什么认证,在应用端的认证不消花任何钱就可以完成,年夜家只是一个协定。 网友:全国能发证的CA挺多的,招行有招行的证书,民生银行有民生银行的证书,很麻烦。 李延昭:因为各个银行的证书,包含招行、工行他们都是本身应用CA证书,他们发给你的证书是调换掉落了你上岸收集银行的用户名,你想想本身有若干用户名可用?那麻烦不麻烦?其实无非就是用证书的方法做上岸。我们如今做小产品只是跟一些厂家谈合作并没有真正的推广。就是进所有的上岸都用一个证书口令,我们如今推一个小插件就是用上岸证书绑缚所有的用户名口令,如今是用一个证书,到任何处所出示一个身份证就可以上岸到所有的体系。 程鸿:李总今天深刻浅出地与年夜家商量了对数字认证市场和技巧的不雅点,也谈到了应用中碰到的一些麻烦和司法的问题。因为时光的关系,访谈很快就要停止了,访谈的内容在整顿之后我们会以专题的情势再次宣布,便利年夜家浏览、思虑。假如年夜家想对数字认证懂得更多,也可以直接拜访天威诚信的网站,有一些案例介绍异常很具体,还包含数字证书申请的流程。异常感激李总抽空参加我们的访谈,与年夜家做面对面的沟通,也感激各位网友的积极介入。 李延昭:感谢程鸿,也感谢赛迪网的各位网友。 |
友情赞助: