《电子签名法》的出台与实施，对用于互联网信息交互的电子签名来讲确是一大喜讯，但对于为其提供网络安全服务的CA们来说是福也是祸，因为此法的出台大大限定了CA的准入门槛，届时定会出现几家欢喜几家愁的局面文/本刊记者  刘萍利益之争，CA建设蜂拥而起。4月1日《电子签名法》正式实施，制约CA机构发展的法律问题终于被打破，据信产部相关人士透露，“新法实施后国内的70多家CA企业将只保留30家左右”这无疑给CA们带来一次巨大的冲击，存活下来的CA们将在政府管理下的市场经济中分享这块丰厚的市场。利益博弃下的混乱战场《电子签名法》旨在赋予电子签名以法律效力，提高建设的准入门槛。从而解决电子商务和电子政务中身份确认和交易安全问题。为了防范信息安全风险，国内通用的是PKI(Public-Key Infrastructure)，PKI是公共密钥加密，包括数字签名和加密，前者可以保证所传输信息的完整性；后一种技术使得用户在使用公开密钥法对信息加密后，在解密时使用的密钥无须在Internet上传输，避免了密钥被人窃取后所造成信息的暴露。但PKI无法保证用户身份的确认问题，于是出现了CA(Certificate Authority，是对数字证书的申请者发放、管理和取消数字证书的机构。CA的作用是检查证书持有者身份的合法性，在证书上签字，以防证书被伪造或篡改。)谈到数字证书，通俗一点解释就是每一个公民都有身份证，在单位有工作证，它们都是用来证明人的身份的，认证中心发放的CA证书就相当于网络社会中的“身份证”。由于利益的驱动和冲突，CA建设诸侯群起。据悉，从1999年到2002年正是国外CA机构飞速发展的阶段，他们逐渐形成了稳定的盈利和现金流，在股市上每年业绩翻一番。于是，国内的行业和政府主管部门纷纷头脑发热，认为建CA就能立马带动电子商务和电子政务发展，就能坐地收钱。然而当时中国企业的IT水平极低，甚至连防火墙、防病毒的基础设施都不完备，更何谈使用CA的保护。因此有的CA机构在建成后没有发过一张证书，建立之日就是其死亡之时；有的CA机构第一年还能依靠行政力量，摊派下属企业使用，后来因为不能提供有效的服务，客户也逐渐流失殆尽；只有像长三角、珠三角、北京这些IT和金融业发达的地区，几家CA机构才得以逐渐发展壮大，占据相对稳定的市场。当然从客观角度上讲，有的政府机构建CA，其初衷就是搞政绩工程，垄断电子印章和证书签发的权力，但依靠政府的背景和力量，他们还是在行业里得到了立足之地并发展成为相当规模的机构。由于前几年国内对CA行业管理上存在的一些问题，致使国内的PKI/CA机构管理水平良莠不齐，区域割据严重，服务质量低下。《电子签名法》的出台对国内CA机构发展也提出了更高的要求，会极大地促进CA认证市场的规范化管理，打破地方区域割据的局面，尤其会促进CA认证机构提高服务质量，为用户真正提供有价值的虚拟世界的身份认证服务。自1999年以来，国内CA机构如雨后春笋般涌现出来，由于国内IT领域的发展滞留于低谷，加上没有权威的监管部门来加以制约、相关的法律尚未健全，CA们一直在亏损中艰难度日，长期以来都处于干烧钱的状态。“PKI系统作为虚拟世界的可信技术设施，从技术平台的搭建到管理运营策略建设、专业运营人员的培训、安全环境的完善，再到提供7x24小时的服务，按照严格的规范运营管理，建设初期需要投入巨大的资金和较长的一段时间，因此收支不平衡是非常正常的现象。从国外的运营经验来看也是如此，CA服务机构必须投入巨资在完善技术平台的同时建立一套安全体系及管理流程才能够对外提供认证服务。”然而，国内一窝蜂搭起的CA草台班子无论从技术人员的数量、基础设施条件还是管理流程上，都不能保证签发证书的安全性。有的CA网站连CP(证书政策)、CPS(认证业务说明)都没有，证书使用各方的关系、法律责任都没有说明，也没有能力说明。还有的CA机构把制作数据就放在服务器里，并没有专用的加密机设备，也没有专门的介质保存相关数据，数据被窃取的也是时有发生。在这种运营状态下怎能在市场竞争中占领一席之地？用李延昭的话讲那就是,“信产部的CA门槛是非常严格的，不是谁都能随便就可以进来炒一票的。”新法实施部分CA难逃一劫有资料显示，目前国内CA公司大约70多家，从宏观分为行业CA、地方CA和商业CA三类。第一类是行业主管部门建立的CA中心，国内12家商业银行共同组建的中国金融CA认证中心(CFCA)，电信CA和海关CA等；第二类是地方政府部门建立的CA中心，像北京CA、上海CA等；第三类是民间资本建立的商业CA，像天威诚信等。而真正有客户，具有一定规模的CA机构在运营上能够作到收支平衡或盈利的则寥寥无几。在过去几年中对CA认证中心的监管并没有明确的部门，基本上采取多个部门分别就其所辖的部分分进行管理，各负其责。签名法规定从事电子认证服务的机构，应当向国务院信息产业主管部门提出申请，并提交相应的材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内做出许可或者不许可的决定。提供电子认证服务应当具备下列条件：具有与提供电子认证服务相适应的专业技术人员和管理人员；具有与提供电子认证服务相适应的资金和经营场所；具有符合国家安全标准的技术和设备；具有国家密码管理机构同意使用密码的证明文件；法律行政法规规定的其他条件。按照《电子签名法》的要求，现在市场上大多数CA公司都将无法通过审查，而且在这么短暂的时间内想弥补上企业软硬件的不足，达到《电子签名法》的要求也是不现实的。届时将有近40家CA难逃此劫。存活者面临市场大餐如何下口适者生存不适者淘汰这是大自然的生存法则，在当今的人类社会仍然适用。对于存活下来的CA们确实是件值得庆贺的事情，但这就让我们高枕无忧了吗？就可以分享盛夏的果实了吗？在我国不同的认证机构产生不同的认证机构的用户群体，形成了各自不同的封闭型的信任环境，这种状况无疑会对电子商务的发展造成较大的影响。由于传统利益的驱动和冲突，CA建设诸侯群起，地区行业借助各自优势互相争夺，CA认证无法互通，电子商务被传统的势力隔离化。因此，《电子签名法》实施以后，解决“信息孤岛”问题迫在眉睫。针对这一问题中国国际电子商务中心国富安电子商务安全认证有限公司副总赵海涛作了细致分析，“信息孤岛问题确实存在，由于证书的颁发机构不同和使用的范围不同就导致认证双方无法进行信息的互通，这就造成了广义的信息孤岛。对于如何加以解决，就个人认为需要两方面相互配合。第一从技术上要做到交叉认证，第二从行政管理上对证书的发行机构做一个重新的调整与整合，从政府角度有一个宏观的调控。”有两个解决的办法，一是建立一个国家级的桥CA，桥CA是多域PKI体系（连接多个信任域）中的核心组织，是不同信任域之间的桥梁CA，主要负责为不同信任域的主CA颁发交叉认证的证书，建立各个信任域的证书政策与桥CA的证书政策之间的一一映射关系，更新交叉认证证书，发布交叉认证证书黑名单；二是通过技术在应用系统上得到交叉认证，由于前者实施起来投入较大所以比较提倡后者。CA的建设缺乏有效的监管渠道，CA作为电子商务活动提供第三方的权威、公正认证的部门，是保障电子商务安全活动的一个重要组成部分。由于CA的职责包含着向社会提供个体的真实身份证明，在技术方面使用了高等级的加密技术，涉及到政府部门职能和网络安全问题。目前中国的CA建设还没有一套从申办到运营方面完整的管理体制，这些CA的公信力与运作能力如何，加密技术有没有达到必须的要求还是个问号。李延昭坦陈，包括天威诚信在内，现在所有的CA应用性可以说做的都不太好，但国外成熟的技术方案在中国应用时，语言是最大的障碍，如何顺利地实现转换是CA面临的共同问题。由于电子签名在电子商务领域里还属于一个新生事物，企业和个人对电子商务的应用还是停留在网上信息浏览的阶段，要通过网络的形式来传递重要的电子文件以及电子合同，他们一时还无法适应，很显然电子签名普及化将成为制约CA发展的另一个瓶颈。赵海涛说，“用户认识不到证书的重要性以及它为企业所带来的好处，他当然不会用，但随着 《电子签名法》的实施后，上升到法律的高度，人们在网上交易、支付出现问题，就不再是个人承担责任，还有可能第三方（CA）为你共同承担或者完全赔偿损失，当人们耳闻目睹到出现问题第三方礼赔了的话题越来越多时，自然会认识到证书存在的重要性。证书普及是一个不可阻挡的历史发展趋势，需要国家、证书发放方和证书使用方三方的共同推进才能得以顺利发展。”中国金融CA认证中心的关振胜说，现在CA技术真正得到应用的是工商、税务、网站、金融、海关、对外进出口、电信这几大领域和部门，个人应用的需求量极小。这是和我国互联网发展水平相对应的，也是国内外CA存在差距的根本原因。这正如阿里巴巴的副总裁金建杭用诙谐的语言表述的那样，也许有朝一日当所有人不再兴奋地谈起“电子商务”这个词，并视之为普通商务交易模式的时候，就是电子商务真正普及的时代，就像鱼在水中生活得自由自在，却不曾察觉周围是水的环境。同样道理，只有当人们在意识中把电子签名默认为自己在互联网上或者某系统中身份验证确认的工具时，才是电子签名真正走向普及的时候。我国目前有近9千万网民，其中2千万网上交易用户，随着网民数量的持续上升，和网上交易数量的增大，这将释放出巨大的需求。这些CA机构也想借机拿到更多的市场份额。但首要的问题是如何获取从事电子认证服务的“资格”