3000字长文说透电子签章技术原理(全)
为什么需要可靠电子签章
第一:可靠电子签名才受法律认可,与纸质签署具备同等法律效力;
第二:企业引入电子签名服务也有明确的要求;
比如,某企业采购需求,会存在类似的得分项:
符合此类要求的后即可拿到对应评级的分数。
那么什么是具有法律效应的可靠电子签章?
《电子签名法》是2005年4月1日起施行的法律,2019年4月23日完成的修订最新版,在第十三条对可靠电子签名做了明确的定义:
第十三条
电子签名制作数据用于电子签名时,属于电子签名人专有;
签署时电子签名制作数据仅由电子签名人控制;
签署后对电子签名的任何改动能够被发现:
签署后对数据电文内容和形式的任何改动能够被发现;
俗称 《电子签名法 》四要素:真实身份 真实意愿 签名未改 原文未改
好,那么一个可靠的电子签章产品如何按照法律要求去实现?
接下来,我们根据电子签名法的4要素,手把手教大家如何构建可靠电子签名服务
要素1构建: 真实身份
电子签名制作数据用于电子签名时,属于电子签名人专有
真实用户的实名认证信息,可以作为一个用户的真实身份的载体。对于产品软件来说核心是确认当前的登录用户背后是一个真实的自然人(在部分情况下也可以是对应机构的代表人,如企业的法定代表人,或者是获得企业授权的经办人)。
对应功能:
个人实名认证——身份证二要素、手机号三要素、刷脸认证、人工实名
企业实名认证——企业四要素实名认证、银行打款认证、法定代表人授权认证等
对于数字证书的申请来说,真实身份的审核是证书发放机构的义务,需要确认对应用户信息后方可制发对应身份的数字证书。
要素2构建:真实意愿
签署时电子签名制作数据仅由电子签名人控制
签名过程中如何确认是仅电子签名人控制,目前行业内比较常见的方案是意愿认证。就好比你只是有网银账号是不够的,当需要你付款时你需要进行指纹、刷脸、短信或密码的验证方可执行支付动作。
电子签名中同理,但是依据实际的运用场合,也有类似用户登录状态代替每次签署意愿的情况,不过现实过程中会存在被他人盗用的风险。
对应功能:
密码认证/指纹认证/刷脸认证/短信认证/Ukey认证/双录认证
要素3构建:签名未改
签署后对电子签名的任何改动能够被发现
合理运用电子签名技术规范,可以实现上述效果。依据最新的GB/T 38540《安全电子签章密码技术规范》,电子签章数据的具体格式如下:
其中TBS_Sign签章信息结构如下
签名值是针对TBS_Sign的具体签名结果,通过非对称密码算法,可以对比签名值与TBS_Sign是否为对应关系。确认电子签章结构体是否被篡改的问题。
要素4构建:原文未改
签署后对数据电文内容的任何改动能够被发现
合理运用电子签章技术规范,可以实现上述效果。按照上述结构描述,也可进一步验证dataHash的具体内容与依据properyInfo对原文进行重新摘要后获得的摘要值进行对比后获得原文是否被篡改的结论。
至此,电子签章服务满足以上4要素,即为可靠的电子签名服务,受法律认可!
如果说,真实身份、真实意愿、签名未改、原文未改是可靠电子签名的四要素,
那么秘钥、数字证书、时间戳就是可靠电子签名的三大基设。
密钥在电子签章中的作用
密钥是非对称密码算法的关键要素,分为公钥和私钥,私钥由签署人专属控制,公钥用于申请数字证书对外证明个人身份。目前国密局对于密钥存储与使用有较多安全要求,如GB/T 17901.1-2020《信息技术 安全技术 密钥管理》中会要求密钥必须安全的存储与保护,具体要求如下:
GB/T 37092-2018《 信息安全技术密码模块安全要求》则针对存储密钥的密码模块进行了四级的等级划分
对于密码设备,我国同时也进行相应的产品认证证书颁发,用于证明当前密码产品是否通过了密码检测机构的合规性检测。
2019年10月26日,十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》,自2020年1月1日起实施。密码法第二十五条对商用密码检测认证体系进行了如下描述“国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
数字证书在电子签章中的作用
从密码设备中生成的密钥,将公钥与证书申请信息组装发送至CA进行签名后,即可获得数字证书。数字证书在电子签名中主要用于证明当前签署人的身份。CA证书的有效性非联网下仅可依据有效期判断有效性,联网情况下可通过CA机构得知数字证书的有效性。
例如,此PDF的签章结构体中包含证书信息,此证书颁发机构为ZHCA,为中环CA,一般来说可以通过证书信息判定签署人信息,但是证书制发链路如果不完整则存在证据链缺失。
时间戳在电子签章中的作用
时间戳的加签与验证并不是电子签名中的必选项,只能说加盖了时间戳的电子签名在签署时间上具有不可否认性。可以用于判断签署时间
时间戳的主要规范为GB/T 20520-2006 《信息安全技术 公钥基础设施 时间戳规范》,同时依据商用产品认证规则,商用密码局也会针对已经通过的时间戳服务颁发认证证书。
e签宝电子签章服务采用的技术规范
e签宝签署目前主要参考GM/T 0109-2021 基于云计算的电子签名服务技术要求,如采用e签宝的本地化签章产品,则主要参考GB/T 38540《安全电子签章密码技术规范》。
电子签章安全吗?原理是什么?
电子办公业务在推进,一些朋友还在观望,心中有不少疑惑,这电子章我用PS设计一个也行吧?电子签章安全吗?打官司我能作为证据吗?它是咋确认对方就是对方呢?
随着企业数字化时代的到来,电子合同行业发展迅速,而在商务活动中合同纠纷时有发生,法院受理涉及电子合同的案件数量逐渐增多。
缔约双方签署电子合同需要在电子合同签署平台签订才能保障其过程的公平性以及结果的有效性。
而电子合同签署平台在提供存储技术服务的同时,也通过提供身份认证,电子签名,意愿认证,时间戳等服务,首先保障了签约双方的身份是真实有效的,其电子签名具备识别签名人的身份以及签署不可抵赖。
其次,时间戳技术服务配合着区块链技术对电子数据进行加密上链,并精确记录时间,防止篡改,保证了电子数据的安全有效。
用印追溯
每一个用印操作都留下详细日志,符合安全审计。
文件验签
通过长安签盖章的文件加了数字证书,可以通过证书查验签章人的主体真实身份和签署时间,查看文件验签结果,如果文件被篡改,文件则会出现提醒印章失效。
签章权限
通过角色权限,赋予使用者签章权限,有权限者才可以使用印章。
身份验证
合同签署时,签署方可通过实名验证、短信验证,确认签署者的真实身份。
CA数字证书
陕西CA支持RSA国际和SM2国密双重标准。保密性:文件在收发过程中,只有指定接收人才有阅读文件的权限。不可抵赖性:对于发送者来讲,不可否认已发信息。完整性:文件在传递过程中,信息不会被篡改。
电子签章是电子签名技术的一项应用,利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果。利用电子签名技术,保障电子文件的真实性和完整性,以及签名人的不可否认性。
电子签名是基于非对称密钥加密技术与数字摘要技术的应用,是一个包含电子文件信息以及使用者身份,并能够鉴别使用者身份以及发送文字是否被篡改的一段数字串。一段数字签名数字串包含了电子文件经过Hash编码后产生的数字摘要,即一个Hash函数值以及发送者的公钥和私钥三部分内容,发送方通过私钥加密后发送接收方,接收方使用公钥解密,通过对比解密后的Hash函数值确定数据电文是否被篡改。
由于具有法律效力的电子签章,需要使用CA数字证书进行对文件签名,并把CA数字证书存放在签名后的文件中。
电子签章系统除了提供电子合同签署、电子印章发放的管理功能,还具备签章、验章、统计审计的功能,一般是由签章服务器和客户端两部分组成。一般地,电子签章系统具备业务系统集成(有丰富的API接口,支持定制化改造)、文件不出本地(独立部署在客户内网环境中)的部署优势,具备更高的灵活性、扩展性和安全性。
如何选择可信平台?
第三方电子合同签署平台从事电子合同行业的有关资质证书,包括但不限于
营业执照、
国家密码管理局颁发的从事商用密码的行业资质证书《商用密码产品认证证书》、
国家保密局颁发的《涉密信息系统产品检测证书》、
公安部颁发的《公安等保三级认证》
《计算机信息系统安全专用产品销售许可证》、
电子认证服务机构从事电子认证服务的《电子认证服务许可证》
《电子认证服务使用密码许可证》等;
相关问答
什么是 电子签章 ?电子签章是电子签名的一种表现形式,它既保留物理印章的视觉效果(即印鉴外观),同时包含数字证书用于保障使用电子签章后的电子合同具备签署身份可识别、内容不...
什么是 电子签章 ?电子签章是电子签名的一种表现形式,主要是利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子信息的真实性...
奶茶 电子 盖章什么 原理 ?奶茶电子盖章的原理是利用电子技术和数字签名技术来实现。具体原理如下:1.数字签名技术:数字签名是一种验证文件或数据完整性和真实性的技术。它使用一对密...
电子签章 是什么?有什么作用?电子签章是电子签名的一种表现形式,利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子信息的真实性和完...
电子签章 为什么会有法律效力?因为电子签章是电子签名的一种表现形式,它既保留物理印章的视觉效果(即印鉴外观),同时包含数字证书用于保障使用电子签章后的电子合同具备签署身份可识别、内...
企业管理用 电子签章 会考虑哪些因素?企业启用电子签章通常会从以下几方面综合考虑:因素1:成本与传统的物理印章与纸质合同签署管理模式相比较,电子签章可以节约流程确认带来的时间成本、免去往...
什么是 电子签章 ?电子签章是电子签名的一种表现形式,主要是利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子信息的真实...
电子签章 如何使用? - 懂得电加密与CA身术为核心技现电子文件也能直接在线签字,且经过电子签章签字后的电子文件具备纸与纸质合同同等的法律有效性。一方面,电子签章保留印章...
电子签章 如何使用? - Jane_Shiwen 的回答 - 懂得电加密与CA身术为核心技现电子文件也能直接在线签字,且经过电子签章签字后的电子文件具备纸与纸质合同同等的法律有效性。一方面,电子签章保留印章...
老师,河北 电子 税务局新出了一个 电子签章 ,这个是干什么用的...这个是电子发票用的,同学
