ในเดือนธันวาคม 2567 สถาบันการสื่อสารโทรคมนาคมของยุโรป (ETSI) ได้ตีพิมพ์มาตรฐาน TS 119 431 ที่ได้รับการปรับปรุงซึ่งไม่จำเป็นต้องใช้รหัสผ่านครั้งเดียว (OTP) อย่างมีประสิทธิภาพในกระบวนการเซ็นสัญญาระยะไกลที่ผ่านการรับรอง ที่นี่ Sebastian Elfors สถาปนิกอาวุโสที่idnowและ CSO ที่Idnow Trust Services ABให้ข้อมูลสรุปเชิงลึกของมาตรฐานวิเคราะห์การเปลี่ยนแปลงและประโยชน์ของพวกเขาสำหรับกระบวนการที่ใช้งานง่ายมากขึ้น
เบื้องต้นเกี่ยวกับบริการลงนามระยะไกล
แนวคิดของการลงนามระยะไกลหมายความว่าคีย์ส่วนตัวของผู้ใช้และใบรับรองที่ผ่านการรับรองนั้นถูกสร้างและป้องกันในอุปกรณ์สร้างลายเซ็นระยะไกล (RQSCD) RQCSD จะดำเนินการโดยผู้ให้บริการ Trust ที่ผ่านการรับรอง (QTSP) ผู้ใช้สามารถเข้าถึงคีย์ส่วนตัวและใบรับรองที่ผ่านการรับรองได้โดยการตรวจสอบความถูกต้องของโมดูลการรับรองความถูกต้องลายเซ็น (SAM) ซึ่งกระตุ้นให้เกิดการสร้างลายเซ็นอิเล็กทรอนิกส์ที่ผ่านการรับรองใน RQSCD QTSP ที่ทำงาน SAM และ RQSCD นั้นเรียกว่าบริการลงนามระยะไกล
กล่าวอีกนัยหนึ่ง: ผู้ใช้สามารถมอบหมายการใช้คีย์ส่วนตัวและใบรับรองที่ผ่านการรับรองไปยังบริการลงนามระยะไกลซึ่งสามารถสร้างลายเซ็นอิเล็กทรอนิกส์ที่ผ่านการรับรอง“ ในคลาวด์” ในนามของผู้ใช้ มีประโยชน์หลายประการกับวิธีการนี้: ที่สำคัญที่สุดคือผู้ใช้สามารถเข้าถึงบริการการลงนามระยะไกลจากอุปกรณ์ใด ๆ ที่รองรับระดับการตรวจสอบความถูกต้องที่ต้องการ นี่เป็นโซลูชันที่ใช้งานง่ายกว่าสมาร์ทการ์ด (QSCD ในท้องถิ่น) ที่จำเป็นต้องแนบกับอุปกรณ์ของผู้ใช้ผ่าน USB หรือ NFC (ใกล้กับการสื่อสารภาคสนาม)
กฎระเบียบและมาตรฐานที่เกี่ยวข้อง
ภายใต้ EIDAS1 (ระเบียบ (EU) NO 910/2014) การดำเนินการ RQSCD สามารถดำเนินการเป็นโมดูลเนื่องจาก QTSP ได้รับการรับรองสำหรับบริการความน่าเชื่อถือที่ผ่านการรับรองอื่นเช่นหน่วยงานรับรอง ภายใต้ EIDAS2 (ระเบียบ (EU) 2024/1183) การดำเนินการ RQSCD นั้นถูกกำหนดอย่างถูกกฎหมายว่าเป็นบริการความน่าเชื่อถือที่ผ่านการรับรอง ดังนั้นจึงมีความจำเป็นสำหรับมาตรฐานที่กำหนดทางเทคนิคว่าบริการการลงนามระยะไกลควรใช้ RQSCD อย่างไร
คณะกรรมการมาตรฐานยุโรป (CEN) ได้ตีพิมพ์สามมาตรฐานเกี่ยวกับบริการลงนามระยะไกล:
- CEN EN 419241-1: ระบบที่น่าเชื่อถือรองรับการลงนามเซิร์ฟเวอร์ส่วนที่ 1-ข้อกำหนดของระบบทั่วไป
- CEN EN 419241-2: ระบบที่น่าเชื่อถือรองรับการลงนามเซิร์ฟเวอร์ส่วนที่ 2-โปรไฟล์การป้องกันสำหรับ QSCD สำหรับการลงนามเซิร์ฟเวอร์
- CEN EN 419221-5: โปรไฟล์การป้องกันสำหรับโมดูลการเข้ารหัส TSP ตอนที่ 5-โมดูลการเข้ารหัสสำหรับบริการที่เชื่อถือได้
นอกเหนือจากมาตรฐาน CEN แล้วสถาบันการสื่อสารโทรคมนาคมของยุโรป (ETSI) ได้ตีพิมพ์สามมาตรฐานเสริมเกี่ยวกับบริการลงนามระยะไกล:
- Etsi TS 119 431-1: ข้อกำหนดด้านนโยบายและความปลอดภัยสำหรับผู้ให้บริการที่เชื่อถือได้; ส่วนที่ 1: ส่วนประกอบของบริการ TSP ดำเนินการ QSCD / SCDEV ระยะไกล
- Etsi TS 119 432: ลายเซ็นอิเล็กทรอนิกส์และโครงสร้างพื้นฐาน (ESI); โปรโตคอลสำหรับการสร้างลายเซ็นดิจิตอลระยะไกล
- Etsi TS 119 431-2: ข้อกำหนดด้านนโยบายและความปลอดภัยสำหรับผู้ให้บริการที่ไว้วางใจ; ส่วนที่ 2: ส่วนประกอบของบริการ TSP ที่รองรับการสร้างลายเซ็นดิจิตอล Ades
ภาพรวมของบริการลงนามระยะไกลตาม CEN EN 419241-1 แสดงไว้ในภาพด้านล่าง (ดัดแปลงจาก CEN EN 419 241-1)
ใบรับรองระยะยาวกับครั้งเดียว
มาตรฐาน CEN และ ETSI เหล่านี้เป็นสิ่งสำคัญสำหรับการดำเนินงานที่สอดคล้องกับ EIDAS1/EIDAS2 ของบริการลงนามระยะไกล
อย่างไรก็ตามมาตรฐาน CEN และ ETSI ได้รับการกำหนดขอบเขตเพื่อใช้กับใบรับรองที่ผ่านการรับรองระยะยาว ซึ่งหมายความว่าใบรับรองจะถูกต้องเป็นเวลา 2-3 ปีใน RQSCD และผู้ใช้จะกลับมาหลายครั้งเพื่อใช้ใบรับรองซ้ำ ๆ ดังนั้นมาตรฐาน CEN จึงระบุกรอบการตรวจสอบความถูกต้องที่ประกอบด้วย SAP (โปรโตคอลการเปิดใช้งานลายเซ็น) ที่มี SAD (ข้อมูลการเปิดใช้งานลายเซ็น) ที่ SCAL2 (ระดับการเข้าถึงการควบคุมเพียงระดับ 2) โซลูชันนี้มีประโยชน์สำหรับผู้ใช้ที่ต้องเซ็นเอกสารอิเล็กทรอนิกส์หลายฉบับ - ตัวอย่างเช่นกรรมการผู้จัดการที่ลงนามในสัญญาหลายฉบับแบบดิจิทัลเป็นประจำทุกสัปดาห์
อย่างไรก็ตามมีอีกสถานการณ์หนึ่งที่ใบรับรองที่ผ่านการรับรองครั้งเดียว (หรืออายุสั้น) เหมาะสมกว่า ตัวอย่างเช่นนี่เป็นกรณีที่บุคคลเอกชนต้องการลงนามในข้อตกลงกับธนาคารหรือผู้ให้บริการโทรคมนาคมแบบดิจิทัล นี่เป็นกระบวนการครั้งเดียว: ผู้ใช้จะถูกระบุโดยธนาคารหรือผู้ให้บริการ telco หนึ่งครั้งแล้วลงนามในข้อตกลง PDF โดยทั่วไปไม่จำเป็นต้องให้ผู้ใช้ส่งคืนและลงนามข้อตกลงอื่นกับผู้ให้บริการธนาคารหรือ Telco
เพื่อให้เป็นไปตามมาตรฐาน CEN และ ETSI QTSP จะต้องระบุผู้ใช้เพื่อออกใบรับรองและประการที่สองต้องตรวจสอบสิทธิ์ผู้ใช้เพื่อสร้างลายเซ็นด้วย RQSCD สิ่งนี้เหมาะสมอย่างยิ่งหากใบรับรองเป็นระยะยาวและผู้ใช้ได้รับการรับรองความถูกต้องหลายครั้งเพื่อสร้างลายเซ็นหลายครั้ง
อย่างไรก็ตามในกรณีของใบรับรองครั้งเดียวขั้นตอนการตรวจสอบความถูกต้องที่สองนั้นซ้ำซ้อนเนื่องจากผู้ใช้ได้รับการระบุไว้ในกระบวนการเดียวกันแล้ว
การเปลี่ยนแปลงมาตรฐาน ETSI TS 119 431
ด้วยพื้นหลังนี้ Idnow เสนอให้ CEN TC224 WG17 และ ETSI ESI ว่ามาตรฐานที่เกี่ยวข้องจะได้รับการปรับปรุงเพื่ออนุญาตให้มีการเซ็นสัญญาระยะไกลพร้อมบัตรประจำตัวเฉพาะเมื่อใช้ใบรับรองครั้งเดียว Etsi ESI ยอมรับข้อเสนอและอัปเดต ETSI TS 119 431-1 ถึง V1.3.1 ในเดือนธันวาคม 2567 ในการแก้ไขใหม่ของ Etsi TS 119 431-1 แนวคิดของใบรับรองครั้งเดียวจะถูกกำหนดไว้อย่างชัดเจน มันเพียงพอที่จะระบุผู้ใช้สำหรับ (1) การออกใบรับรองและ (2) การสร้างลายเซ็นใน RQSCD โดยมีเงื่อนไขว่าการดำเนินการทั้งสองนี้จะดำเนินการภายในเซสชั่นเดียวกันในช่วงระยะเวลาที่ จำกัด
การใช้งานและมาตรฐานเพิ่มเติม
ด้วยการแก้ไข ETSI TS 119 431-1 v1.3.1 ตอนนี้เป็นไปได้สำหรับ QTSPS รอบสหภาพยุโรปในการออกแบบกระแสการลงนามระยะไกลของพวกเขาด้วยใบรับรองครั้งเดียวตามการระบุตัวตนเท่านั้น สิ่งนี้จะเหมาะกับกระบวนการที่ใช้งานง่ายมากขึ้นโดยไม่ต้องใช้รหัสผ่านครั้งเดียวเนื่องจากผู้ใช้จำเป็นต้องระบุเพียงครั้งเดียว
ข้อกำหนดเฉพาะของ Cloud Signature Consortium CSC API สามารถปรับได้เพื่อให้ขั้นตอนการลงนามระยะไกลดังกล่าวซึ่งแสดงในภาพด้านล่าง
การเปลี่ยนแปลงนี้เป็น ETSI TS 119 431-1 จะส่งผลให้เกิดการลงนามในระยะไกลที่ใช้งานง่ายมากขึ้น
เกี่ยวกับผู้แต่ง
Sebastian Elfors เป็นสถาปนิกอาวุโสที่-
หัวข้อบทความ
-------
