电子签名
目录
签名,一般是指一个人用手亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号,以确定签名人的身份,并确定签名人对文件内容予以认可。传统的签名必须依附于某种有报的介质,而在电子交易过程,文件是通过数据电文的发送、交换、传输、储存来形成的,没有有形介质,这就需要通过一种技术手段来识别交易当事人、保证交易安全,以达到与传统的手写签名相同的功能。这种能够达到与手写签名相同功能的技术手段,一般就称为电子签名。
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章
电子签名,指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。
电子签名,即以电子形式所附或在逻辑上与其它电子数据相关的数据,作为一种鉴别的方法。这个定义与《示范法》的不同在于:这里没有强调签名人对数据的认可。依此定义,任何一种电子鉴别方法都可认为是电子签名,而签名人的认可则需要其他方式来完成,如特定的签名策略。
电子签名是指电子形式的任何有显著性的标志、性能、声音,可以代表某人的身份并且附着于某人所设置或采用的电子数据电文、电子文件或任何方法或程序,一或与其有逻辑上的联系,且由该人作出或采用,旨在鉴别或者批准一份电子数据电文或电子文件。
日本《电子签名与认证服务法》、美国的《全球及全国电子签名法》等也都对电子签名做了相类似的定义。
《中华人民共和国电子签名法》中规定:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”从该法定定义中可以看出,我国电子签名法也借鉴了各国立法的经验,从电子签名的功能角度进行定义,其界定范围是十分广泛的。另外,在《电子签名法》中还进一步定义了可靠的电子签名 (即指
后文中提到的数字签名 ):“电子签名同时符合下列条件的,视为可靠的电子签名:电子签名制作数据用于电子签名时,属于电子签名人专有;签署时电子签名制作数据仅由电子签名人控制;签署后对电子签名的任何改动能够被发现;签署后对数据电文内容和形式的任何改动能够被发现。”
目前国际上通用的电子签名主要有三种模式:
使用者拥有一个像信用卡一样的磁卡内储有关自己的数字信息,使用时只要在电脑扫描器上一扫,然后加上自己设定的密码即成。
使用者自己设定一个密码,由数字或字符组合而成。有的公司提供硬件,让使用者利用电子笔在电子板上签名后存人电脑,电子板不仅记录下了签字的形状,而且对签名者签名时使用的力度、定字的速度都有记载。如有人想盗用签名,肯定会露出马脚。
以使用者的身体特征为基础,通过某种设备对使用者的指纹、面部、视网膜或跟球进行数字识别,从而确定对象是否与原使用者相同。在众多模式之中,密码式“数字签名”的技术较为成熟,得到了广泛的应用,也被誉为“可靠的电子签名”。
发送方A将要传送的明文通过一种函数运算 (Hash)转换成报文摘要,报文摘要“密钥”加密后与明文一起传送给接收方B,接收方 B将接收的明文产生新的报文摘要与发送方 A发来的报文摘要用“密钥”解密比较,结果一致表示明文未被改动,不一致表示明文已被篡改。A向 B发送消息时,K为对称密钥,K为电子签名所用的密钥。加密和电子签名都使用对称加密算法 AES,电子签名和密钥 K。K 的打包使用椭圆加密算法对其进行椭圆签名,而对电子签名和密钥K、z的解包使用椭圆解密算法对其进行椭圆签名认证。增强型电子签名原理是在以上基本原理的基础上进行改进:发送方将电子签名与加解密明文的对称密钥以及电子签名的密钥打包,用接收方的私钥进行加密,再连同加密的明文发送给接收者,接收方利用其公钥解密打包的数据,利用加解密明文的对称密钥以及电子签名的密钥验证数据。
从电子签名的定义中,可以看出电子签名的两个基本功能:
(1)识别签名人
(2)表明签名人对内容的认可
法律上在定义电子签名时充分考虑了技术中立性,关于电子签名的规定是根据签名的基本功能析取出来的,认为凡是满足签名基本功能的电子技术手段,均可认为是电子签名。由电子签名和数字签名的定义可以看出,二者是不同的:电子签名是从法律的角度提出的,是技术中立的,任何满足签名基本功能的电子技术手段,都可称为电子签名;数字签名是从技术的角度提出的,是需要使用密码技术的,主要目的是确认数据单元来源和数据单元的完整性。
使用对称密码系统和仲裁者对文件签名必须在仲裁者帮助下进行。每个通信者和仲裁者共享一个密钥,仲裁者解密,并重新加密每一个通信。
使用公钥密码学对文件签名
使用公开密钥密码学和单向散列函数对文件签名
电子签名的形式具有多样性,因此采取的技术方案不同,其可靠性、真确性、稳定性可能会有较大的不同,因此导致了其法律效力也不应在同一水平上。而“功能等同原则”可以较好地解决这一问题,其基本模式有三个:第一,只有符合一定条件的电子签名才具有与传统签名同等的法律效力;第二,不同模式和特性的电子签名以其稳定性、可靠性、真确性为标准对应不同的法律效力;第三,达到相应要求的电子签名即可具备与传统签名等同的法律效力,而不管具体的技术解决方案是什么。以此作为判断电子签名是否具有法律效力的依据,减少了电子技术的多样性对电子签名效力造成的不稳定影响。
中华人民共和国电子签名法
(2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过)
目录
第一章总则
第二章数据电文
第三章电子签名与认证
第四章法律责任
第五章附则
- 第一章总则
第一条为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。
第二条本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
第三条民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。
当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
前款规定不适用下列文书:
(一)涉及婚姻、收养、继承等人身关系的;
(二)涉及土地、房屋等不动产权益转让的;
(三)涉及停止供水、供热、供气、供电等公用事业服务的;
(四)法律、行政法规规定的不适用电子文书的其他情形。
第二章数据电文
第四条能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。
第五条符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。
第六条符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;
(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。
第七条数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。
第八条审查数据电文作为证据的真实性,应当考虑以下因素:
(一)生成、储存或者传递数据电文方法的可靠性;
(二)保持内容完整性方法的可靠性;
(三)用以鉴别发件人方法的可靠性;
(四)其他相关因素。
第九条数据电文有下列情形之一的,视为发件人发送:
(一)经发件人授权发送的;
(二)发件人的信息系统自动发送的;
(三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。
当事人对前款规定的事项另有约定的,从其约定。
第十条法律、行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。
第十一条数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。
收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;未指定特定系统的,数据电文进入收件人的任何系统的首次时间,视为该数据电文的接收时间。
当事人对数据电文的发送时间、接收时间另有约定的,从其约定。
第十二条发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点。没有主营业地的,其经常居住地为发送或者接收地点。
当事人对数据电文的发送地点、接收地点另有约定的,从其约定。
第三章电子签名与认证
第十三条电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力。
第十五条电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。
第十六条电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。
第十七条提供电子认证服务,应当具备下列条件:
(一)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(二)具有与提供电子认证服务相适应的资金和经营场所;
(三)具有符合国家安全标准的技术和设备;
(四)具有国家密码管理机构同意使用密码的证明文件;
(五)法律、行政法规规定的其他条件。
第十八条从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。
申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。
取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。
第十九条电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。
电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
第二十条电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。
第二十一条电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
(一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
第二十二条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
第二十三条电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。
电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。
电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
第二十四条电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。
第二十五条国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。
第二十六条经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。
第四章法律责任
第二十七条电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
第二十八条电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
第二十九条未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。
第三十条电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。
第三十一条电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。
第三十二条伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。
第三十三条依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第五章附则
第三十四条本法中下列用语的含义:
(一)电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人;
(二)电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人;
(三)电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录;
(四)电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据;
(五)电子签名验证数据,是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。
第三十五条国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。
第三十六条本法自2005年4月1日起施行。
电子签名,电子签章系统是应用类信息安全系统,什么样的应用决议就应该采用什么样的电子签章系统,用户在选择电子签章时,就应该留意以下几点:
应该明白当前采购电子签名,电子印章的目的是什么,需求理解对哪些内容进行电子签名,业务信息系统的完成方式等等,只有明白需求,才更加准确的明白需要采购什么样的签名系统;
除了明白当前需求之外,还应该剖析本单位以后可能的需求,以免采购的电子印章系统固然满足当前需求,却不可以满足以后其它需求,到时分还得购置其它的电子印章系统,不只形成投资糜费,管理运用上也很不便当;
在详细选择产品时,应该首先对被调查的电子印章系统的整体架构进行理解。电子印章系统是一个基于PKI技术的应用类信息平安系统,就系统架构上必需遵照CA认证的平安体系架构,同时作为实物印章的替代产品,还必需遵照传统实物印章的管理标准。用户能够从这两个方面来调查,首先看看系统的认证原理与流程能否契合CA认证的原理和流程,由于CA系统必需有效劳器软件作为对客户端认证恳求进行认证,另一方面,传统实物印章都是集中制造、管理,对用章的过程进行严厉审批,同时具备细致的用章记载,因而,一个安全的电子印章系统必需是包括客户端签章应用软件和效劳器端管理和认证软件两大局部。后台效劳器软件除了提供对印章的认证之外,还包括了对电子印章的制造、发放、受权、挂失、销毁等电子印章停止全程管理,对电子印章的运用停止全程监控——保存完好的用章日志。
在根本确认平安性请求之后,就是要调查客户端的功用了。首先需求理解被调查的软件支持的哪些类型的签章,比方能否支持MS Word、MS Excel、WPS、PDF、AutoCAD等等,另外关于数据库表单内容的维护能否有中间件产品来支持。由于支持的文件格式越多,满足需求的才能就越强,最好可以经过一套电子印章就能够支持本单位一切的电子签名需求。
任何一个产品只要经过大量用户的应用才可能得到完善,特别是电子印章系统,作为一个新的行业性产品,并没有统一的请求,只要经过若干用户的实践运用不时完善才可能更好地满足用户的需求。另一方面,由于大部分电子签章客户端软件都是在各类Office软件中运用,软件系统的可靠性只要经过大量用户的应用才可以得到考验。因而,选型时,应该剖析该产品的用户群以及应用方式,有可能也能够调查实践的用户运用状况,只有真正在用的软件才能够归入选型的范围。
电子印章系统是一个基于PKI技术信息安全系统,用户在调查这类系统时,还能够更进一步调查系统的拓展型,看看所选的系统能否能够与基于PKI技术的身份认证系统集成在一同,能否能够扩展构成单点登录系统,以便于架构统一的高度集成的PKI安全应用体系。
总之,电子签名,电子签章系统与其它应用信息系统一样,是一套计算机软件,而不是仅仅提供添加印章图片的小工具,随意选一个就可以的,并不是那么简单的事。用户在选型时,必需慎重、科学地调查,以免糜费了投资,影响了工作的顺利推进。
附件列表
故事内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。