百万巨款一夜消失,“数字证书”还能信任吗?
发布时间:2008-03-05

电子商务月刊2008年第01期在《“中国制造”的“数字证书”安全吗?》一文中特别报道了长沙一个交通银行数字证书用户的100万巨款在几个小时内不翼而飞的消息,引发了对“中国制造”的数字证书的大讨论。

 

案件回顾——融资的故事

杨俊文是湖南长沙某房地产公司的法人代表。当时,先生的公司正在寻求融资,第三方以香港某集团负责人的身份表示可以融资,但是要求先生先存款100万元,以证明其经济实力,存款由双方控制。

为了保障资金的绝对安全,先生称将双控的情况告诉了交行潇湘支行。“当时我反复咨询工作人员如何在该笔资金绝对安全的前提下与第三方进行双控。” 先生介绍,潇湘支行的工作人员竭力推荐智能电子钥匙(USB Key),并承诺说,办理USB Key后没有USB Key和密码,太平洋卡在网上是不可能转款的。

经多方咨询,2007 516日,先生在交通银行长沙潇湘支行柜台,办理了太平洋借记卡,存入了100万元现金,并开通了网上银行业务(下简称网银”)。双方按照约定,由杨掌握着存单、身份证、银行卡,还有银行推荐买的一套电子钥匙”(USBKey);密码则由对方单独设定和掌握。

 

案件回顾——巨款被转移

先生将交行太平洋借记卡、未下载认证证书的空白USB Key、交通银行个人网上银行业务申请表等文件资料,以及自己的身份证等都封存进保险柜中。但是,先生对于融资的热切憧憬仅仅只保留了一个晚上。517日上午,杨拨打第三方电话,可是一直联系不上,情知不妙的他立即前往交行潇湘支行,询问100万元资金的情况,工作人员查询后发现:存有100万元的账户内仅剩余额4950元。

 

案件回顾——状告长沙潇湘支行

65,经过对第三方艰难而无望的多日搜寻后,杨先生最终选择起诉交行潇湘支行,称由于该行的一系列行为导致其蒙受巨大的经济损失,请求法院判令该行赔偿100万元。

长沙市芙蓉区人民法院受理后,于82829日对此案进行了公开开庭审理。庭审的焦点是:交通银行网上银行系统的安全性、电子钥匙的作用,以及泄密责任等。

原告坚持认为,是由于被告一再承诺,在网银环境中一方持有银行借记卡和电子钥匙,另一方持有借记卡密码,可以实现资金双控,原告才向被告办理了存款和网上银行业务。

交行潇湘支行则认为,经技术人员鉴定,存款被转走是一笔有效的交易。 同时向法庭提供的实时监控录像显示:原告办理存款和网银业务时,原告借记卡的交易密码、查询密码均由第三人在柜台设置。

 

案件回顾——结果

先生索赔100万元的诉讼请求被驳回,法院还判令其负担本案受理费13800元。先生的委托代理人、湖南潇湘律师事务所律师全黎明告诉记者,他们已决定就本案向长沙市中院提出上诉。二审结果还在等待中......

 

案件引发的思考

目前,随着互联网的广泛应用,传统的交易模式慢慢的被网上电子数据交换交易模式所代替,大量的文件也被电子文件所取代。人们通过网络通信传递数据公文或文件,谈判交易各方互不见面,如何来确定身份的真实性、信息的机密性、数据的完整性和对已进行活动的不可否认性。

使用数字证书、实施电子认证,是可以在电子商务的业务信息交换中确定身份、控制权限、认定责任,保证信息真实性、完整性和信息发送不可抵赖性的重要技术手段。

既然数字证书在网上交易中能起到这么举足轻重的作用,为何还会发生“百万巨款一夜消失”的事件?笔者从以下几个方面来阐述:

一、“智能电子钥匙”不等于“数字证书”

据了解,该事件中的先生领到的是空的USB-KEY,在智能电子钥匙里面根本就不存在证书。利用数字证书进行网上办事,真实起作用的是数字证书,而不是数字证书的载体?D?D智能电子钥匙。

因此,如果因为申领数字证书载体?D?D智能电子钥匙,而没有真正把数字证书装载在载体里面,使用数字证书进行网上办事,数字证书根本没有发挥其作用的情况下,就此断定数字证书的不可信任力,未免太过冠冕堂皇。

二、交通银行提供的数字证书是不符合国家相关规定的。

我们先看看交通银行办理数字证书的流程:

首先,用户在银行柜台申请办理数字证书业务,由用户设置查询密码,银行前台给用户一个空的USBKEY,以及申请数字证书的协议书(上面有银行卡号和协议号)

然后,用户在交通银行网上“证书下载”页面上输入“银行卡号”、“查询密码”、“ 协议号”,插入USBKEY;点击“下载”,即可将数字证书用户的公钥证书、私钥下载到USBKEY中。

从上面的流程,业内人士马上可以看出:交通银行的数字证书生产过程是存在严重的安全隐患的,违反了国家关于电子签名认证的相关规定:

第一,根据国家《证书认证系统密码及其相关安全技术规范》要求,私钥应该不以明的形式出现在密码设备之外,而交通银行给客户提供的只是空USBKey ,数字证书和私钥需要用户从网上下载存储到证书介质USBKEY中,私钥以明的形式出现在密码设备之外。

第二,根据《中华人民共和国电子签名法》的相关规定,提供电子认证服务,应当具有符合国家安全标准的技术和设备;必须具有国家密码管理机构同意使用密码的证明文件;同时整个电子认证业务规则(责任范围、作业操作规范、信息安全保障措施等)必须符合国家有关规定。交通银行是否具有国家密码管理机构同意使用的证明文件,在运作过程中更没有按照国家标准来操作有待进一步调查。

第三,根据国家规定,合法的数字证书认证机构除通过国家密码管理局的安全性审查,获得国家密码管理局的《电子认证服务使用密码许可证》之外,还必须获得信息产业部的《电子认证服务许可证》。根据《中华人民共和国电子签名法》以及相关法规提供电子认证服务和承担相关法律责任。交通银行是否采用了获得《电子认证服务许可证》的数字证书也有待调查了解。

因此,百万巨款一夜消失,问题不在数字证书,而在于交行数字证书系统违规建设和数字证书使用过程中出现纰漏:(1)交通银行的系统将私钥暴露在USBKEY之外,违反了国家相关规定;(2先生保管了空的USBKEY,没有将公钥证书和私钥下载到USBKEY中;(3先生让第三方设定了查询密码和交易密码,让第三方有机可趁。

三、“数字证书”不能单独扛起安全大任

数字证书能在网上交易中实现身份认证、控制权限、认定责任,保证信息真实性、完整性和信息发送不可抵赖性的作用,其前提是要结合安全、可靠、可信、权威的认证平台,通过该平台提供安全认证服务。

因此,只有通过合法权威的认证机构利用数字证书提供的电子认证服务才能得到法律的保障,同时结合用户的正确使用,单独的“数字证书”并不能独扛安全认证大任。所以,在该事件中,实现财产的双控,并不是“数字证书”单独能解决的问题。

四、数字证书社会认知度低

近几年来,媒体对网上银行和数字证书进行了广泛的报道,但是,有调查表明,公众对于数字证书还是很陌生,使用者占网上银行用户量比重很小,使用者对数字证书的不了解也导致一些网上资金被盗事件发生。

公众对数字证书不了解,对如何正确使用数字证书的知识更加缺乏。因此,加大数字证书宣传力度,向公众普及数字证书相关工作,任重道远。

五、缺少优质的服务和管理

计算机技术是一门不断更新发展的技术,使用基于数字证书的电子认证技术来代替简单用户名密码的认证方式,是身份识别安全中的一个重大发展过程,其认证的安全性得到很大的提高,但是俗话说“三分技术,七分管理”。

我们在提供数字证书认证服务的同时,要注重服务质量,提高管理水平。在该案件中,银行在提供数字证书业务的时候,若有较专业、较详细的数字证书业务服务指导,先生也就不会把空白的USBKEY放入保险柜中还以为万无一失。事情也就不会发生。

因此,加强行业管理、完善行业服务、提高服务队伍的专业素质也是保障安全使用数字证书的重要举措。

使用数字证书的几个注意事项

1.          到合法的机构申请办理数字证书。合法的机构必须同时具备《电子认证服务许可证》、《电子认证服务使用密码许可证》资质,缺一不可。

2.          电子智能钥匙不等于数字证书,USBKEY更不等于数字证书。

3.          申请数字证书后,所有涉及数字证书的应用,(如资金对外转移的网银操作,)除输入密码外,还必须同时使用数字证书才能完成,两者缺一不可。因此,装有数字证书和私钥的USBKEY要自己保管好,不要轻易给别人,同时保管好USBKEY的密码(也称“PIN码”),并经常更新;

4.          忘记PIN码的数字证书用户,需要本人携带身份证到申请办理数字证书的CA机构进行重新设置PIN码。

 

结束语

事件已经发生了,所引出的问题给我们带来很多很多的思考。“中国制造”的“数字证书”是否出现了“信任危机”?我们应该客观的看待该问题,不要以偏概全,一叶而知秋。数字证书认证技术仍然是网上交易的主流安全保障技术之一,该事件并不是因为数字认证技术本身出现问题而造成的,更多地是因为管理和服务不到位所造成的,使用数字证书的用户务必先了解清楚数字证书,颁发数字证书的机构也须对用户负责,对“数字证书”负责,真正地去推广应用数字证书。我们也将继续关注本事件的后续发展。