簡介
電子簽名並非是書面簽名的數字圖像化。它其實是一種電子代碼,利用它,收件人便能在網上輕鬆驗證發件人的身份和簽名。它還能驗證出檔案的原文在傳輸過程中有無變動。
如果有人想通過網路把一份重要檔案傳送給外地的人,收件人和發件人都需要首先向一個許可證授權機構(CA)申請一份電子許可證。這份加密的證書包括了申請者在網上的公共鑰匙即“公共電腦密碼”,用於檔案驗證。
在收到加密的電子檔案後,收件人使用CA發布的公共鑰匙把檔案解密並閱讀。
電子簽名是現代認證技術的泛稱,美國《統一電子交易法》規定,“電子簽名”泛指“與電子記錄相聯的或在邏輯上相聯的電子聲音、符合或程式,而該電子聲音、符合或程式是某人為簽署電子記錄的目的而簽訂或採用的”;聯合國《電子商務示範法》中規定,電子簽名是包含、附加在某一數據電文內,或邏輯上與某一數據電文相聯繫的電子形式的數據,它能被用來證實與此數據電文有關的簽名人的身份,並表明該簽名人認可該數據電文所載信息;歐盟的《電子簽名指令》規定,“電子簽名”泛指“與其他電子記錄相連的或在邏輯上相連並以此作為認證方法的電子形式數據。”從上述定義來看,凡是能在電子通訊中,起到證明當事人的身份、證明當事人對檔案內容的認可的電子技術手段,都可被稱為電子簽名,電子簽名即現代認證技術的一般性概念,它是電子商務安全的重要保障手段。
總之,所謂電子簽名,是指數據電文中以電子形式所含、所附用於識別簽名人身份並表明簽名人認可其中內容的數據。通俗點說,電子簽名就是通過密碼技術對電子文檔的電子形式的簽名,並非是書面簽名的數字圖像化,它類似於手寫簽名或印章,也可以說它就是電子印章。
套用系統
·獨特核心技術、鎖定文檔安全
自主智慧財產權核心智慧型識別簽認技術,確保文檔安全可靠
套用PKI數字安全認證體系,將數字證書與電子簽章困綁,簽章時可自動加數字證書,對檔案進行簽名蓋章,確保檔案來源真實、可信遵循《中華人民共和國電子簽名法》關於電子簽名的規範,同時支持RSA算法和國密辦SSF33算法,符合國家安全標準
配備簽章伺服器軟體平台,確保簽章安全、管理集中
增強對簽章檔案列印管理,支持高清晰簽章
提供文檔簽章脫密功能,確保簽章的文檔分發安全可靠
套用數字水印技術,簽章水印包括文字、圖片兩種,保證簽章閱讀安全
·權威安全認證,業內同盟廣泛
嚴格遵循《電子簽名法》規範,最早研發套用,用戶超過七百家
同時支持RSA算法和SSF33國密算法
唯一列入政府正版軟體採購目錄
唯一通過公安部和國家保密局雙重認證,並獲得計算機信息系統安全專用產品銷售許可證
與權威的加密硬體提供商戰略聯盟,設備穩定可靠
與多家權威CA機構全面戰略聯盟,實現了底層技術整合、共同開拓市場
·多重功能擴展、滿足隨需套用
產品線(WORD/EXCEL/HTML/PDF/WPS/GDF)豐富,滿足用戶更多業務需求擴展和實現
提供二維條形碼公文管理規範功能
支持多國、多民族語言套用(簡體中文、繁體中文、英文、各少數民族語系、其它語言)
二次開發接口豐富,滿足用戶系統擴展需求
·人性化操作享受、一切輕鬆把握
印章、簽名雙重功能,滿足各種套用需求
支持聯合簽章功能,全部清晰可辨
支持單密鑰盤存儲多印章,節省成本
操作界面簡明易懂、安裝使用輕鬆快捷
基本功能
從電子簽名的定義中,可以看出電子簽名的兩個基本功能:(1)識別簽名人
(2)表明簽名人對內容的認可
法律上在定義電子簽名時充分考慮了技術中立性,關於電子簽名的規定是根據簽名的基本功能析取出來的,認為凡是滿足簽名基本功能的電子技術手段,均可認為是電子簽名。由電子簽名和數字簽名的定義可以看出,二者是不同的:電子簽名是從法律的角度提出的,是技術中立的,任何滿足簽名基本功能的電子技術手段,都可稱為電子簽名;數字簽名是從技術的角度提出的,是需要使用密碼技術的,主要目的是確認數據單元來源和數據單元的完整性。
電子簽名是一種泛化的概念,數字簽名可認為是電子簽名的一種實現方式,數字簽名提供了比電子簽名基本要求更高的功能。
立法
美國總統柯林頓於2000年6月30日正式簽署的《電子簽名法案》是網路時代的重大立法,它使電子簽名和傳統方式的親筆簽名具有同等法律效力,被看作是美國邁向電子商務時代的一個重要標誌。6月30日,柯林頓使用一個電子卡片在電腦螢屏上籤署這項法令,而密碼就是他愛犬的名字。不過,為了避免引起不必要的法律效力問題,他又按傳統習慣用鋼筆在法律文書上籤下了自己的名字。
柯林頓在簽署這項法律時說:“不久以後,美國人民就可以使用帶有數字簽名的電子卡片做他們想要做的事情了,電子簽名將會套用在各個領域之中,從聘請律師到抵押貸款,無所不能。在這項具有劃時代意義的法律正式生效後,人們將可以使用電子簽名簽訂線上契約和進行電子商務,這對於新經濟的發展無疑具有巨大的推動作用。”
2000年-2001年,愛爾蘭、德國、日本、波蘭等國政府也先後通過各自的電子簽名法案。
模式
電子簽名法並沒有具體限定未來網上籤名使用何種模式。目前美國使用的電子簽名主要有三種模式。智慧卡式。使用者擁有一個像信用卡一樣的的磁卡,內儲有關自己的數字信息,使用時只要在電腦掃描器上一掃,然後加入自己設定的密碼即成。上面柯林頓“表演”用的就是這一種。
密碼式。就是使用者設定一個密碼,由數字或字元組合而成。有的公司提供硬體,讓使用者利用電子筆在電子板上籤名後存入電腦。電子板不僅記錄下了簽名的形狀,而且對使用者簽名時用的力度、定字的速度都有記載。如有人想盜用簽名,肯定會露出馬腳。
生物測定式。就是以使用者的身體特徵為基礎,通過某種設備對使用者的指紋、面部、視網膜或眼球進行數字識別,從而確定對象是否與原使用者相同。許多公司的電腦程式實際運用的大都是將兩種或三種技術結合在一起,這樣可以大大提高電子簽名的安全可靠性。
加密技術
電子簽名和加密技術,電子簽名技術的實現需要使用到非對稱加密(RSA算法)和報文摘要(HASH算法)。非對稱加密是指用戶有兩個密鑰,一個是公鑰,一個是私鑰,公鑰是公開的,任何人可以使用,私鑰是保密的,只有用戶自己可以使用。該用戶可以用私鑰加密信息,並傳送給對方,對方可以用該用戶的公鑰將密文解開,對方應答時可以用該用戶的公鑰加密,該用戶收到後可以用自己的私鑰解密。公私鑰是互相解密的,而且絕對不會有第三者能插進來。
報文摘要利用HASH算法對任何要傳輸的信息進行運算,生成128位的報文摘要,而不同內容的信息一定會生成不同的報文摘要,因此報文摘要就成了電子信息的“指紋”。
有了非對稱加密技術和報文摘要技術,就可以實現對電子信息的電子簽名了。
電子簽名的軟體應實現的功能
文檔電子簽名軟體是一種電子蓋章和文檔安全系統,可以實現電子蓋章(即數字簽名)、文檔加密、簽名者身份驗證等多項功能。對於簽名者的身份確認、文檔內容的完整性和簽名不可抵賴性等問題的解決具有重要作用。
使用數字證書對Word文檔進行數字簽名,保證簽名者的簽名信息和被簽名的文檔不被非法篡改。簽名者可以在簽名時對文檔簽署意見,數字簽名同樣可以保證此意見不被篡改。
軟體應嵌入Word環境,集成為套用組件,使用簡便,界面友善。操作生成的數字簽名和意見以對象方式嵌入Word文檔,直觀明了。軟體還應支持多人多次簽名,每個簽名可以在文檔中的任意位置生成,完全由簽名者控制。
軟體避免採用宏技術,從而避免因用戶禁用宏而導致軟體失效。
數字簽名使用的數字證書可以存儲在智慧卡和USB電子令牌之類的硬體設備中,這些存儲介質自身有安全性高、攜帶方便等特點,進一步提高了系統的安全性。
在企業中,對於往來的需審批的重要文檔,必須保持其安全、有效,並要求留下審批者的意見及簽名,如果採用傳統的方法如傳真,勢必造成大量的掃描檔案需要存儲,且不好管理,而電子簽名在安全體系的保證下,將為文檔管理的效率帶來顯著的提高。由此看來,採用先進的IT技術,能推動我們的辦公無紙化進一步的向前發展。
《電子簽名法》
《電子簽名法》中明確規定:電子簽名是指數據電文中以電子形式所含、所附用於識別簽名人身份並表明簽名人認可其中內容的數據。而數據電文是指以電子、光學、磁或者類似手段生成、傳送、接收或者儲存的信息。這部法律規定、可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力,屆時消費者可用手寫簽名、公章的“電子版”、秘密代號、密碼或指紋、聲音、視網膜結構等安全地在網上“付錢”、“交易”及“轉帳”。
二、《電子簽名法》立法的目的。
《電子簽名法》立法的直接目的是為了規範電子簽名行為,確立電子簽名的法律效力,維護各方合法權益;立法的最終目的是為了促進電子商務和電子政務的發展,增強交易的安全性。
三、電子簽名法的主要內容。
《電子簽名法》重點解決了五個方面的問題。一是確立了電子簽名的法律效力;二是規範了電子簽名的行為;三是明確了認證機構的法律地位及認證程式,並給認證機構設定了市場準入條件和行政許可的程式;四是規定了電子簽名的安全保障措施;五是明確了認證機構行政許可的實施主體是國務院信息產業主管部門。
名詞理解
要理解什麼是電子簽名,需要從傳統手工簽名或蓋印章談起。在傳統商務交易中,為了保證交易的安全與真實,一份書面契約或公文需要由當事人或負責人簽字或蓋章,以便讓交易雙方識別是誰簽的契約,並能保證簽字或蓋章的人認可契約的內容,在法律上才能承認這份契約是有效的。而在電子商務的虛擬世界中,契約或檔案是以電子檔案的形式表現和傳遞的,在電子檔案上,傳統的手寫簽名和蓋章是無法進行的,這就必須依靠技術手段來替代。從法律上講,簽名有兩個功能:即標識簽名人和表示簽名人對檔案內容的認可。因此聯合國貿發會的《電子簽名示範法》中對電子簽名作如下定義:"指在數據電文中以電子形式所含、所附或在邏輯上與數據電文有聯繫的數據它可用於鑑別與數據電文相關的簽名人和表明簽名人認可數據電文所含信息。";而在歐盟的《電子簽名共同框架指令》中對電子簽名的定義是:"以電子形式所附或在邏輯上與其他電子數據相關的數據,作為一種判別的方法"。不同的法律對電子簽名的定義可能有所不同,但其實質是一樣的。因此,能夠在電子檔案中識別雙方交易人的真實身份,保證交易的安全性和真實性以及不可抵賴性,起到與手寫簽名或者蓋章同等作用的電子技術手段,即可稱之為電子簽名。
實現電子簽名的技術手段目前有多種,比如基於公鑰密碼技術的數字簽名;或用一個獨一無二的以生物特徵統計學為基礎的識別標識,例如手印、聲音印記或視網膜掃描的識別;手書籤名和圖章的電子圖象的模式識別;表明身份的密碼代號(對稱算法);基於量子力學的計算機等等。但比較成熟的,世界先進國家目前普遍使用的電子簽名技術還是基於PKI的數字簽名技術。由於制定法律的技術中立性原則,目前電子簽名法中所提到的簽名,一般指的就是“數字簽名”。它是電子簽名的一種特定形式。
密匙信息
“電子簽名”是廣義的提法,是以保障基於網路交易平台下交易各方的合法權益為目的,滿足和替代傳統簽名功能的各種電子技術手段,並不是手工簽字或印章的圖像化,其中“交易”是指個人信息交換、電子商務和電子政務等基於網路平台的活動;“交易各方”指從事這些活動的各方“數字簽名”是通過密碼技術實現電子交易安全的形象說法,是電子簽名的主要實現形式。它力圖解決網際網路交易面臨的幾個根本問題:數據保密;數據不被篡改;交易方能互相驗證身份;交易發起方對自己的數據不能否認。在密碼學中,密碼的本質是某種算法,由密碼算法算出一把密匙(Key),然後使用該密匙對交易雙方傳送的數據加密。該數據通稱“報文”,加密前叫“明文報文”,即明文;加密後叫“密文報文”,即密文,密文沒有密匙是不可讀的。所有加密算法本身都是公開的,屬於純數學的范籌,本文不作過多討論;密碼學只關注密匙管理的問題,因為加密通信的安全性只與密匙有關,這是本文關注的重點。
加密通信方式主要有對稱加密和非對稱加密兩種。
在開始討論之前,我們假定:在不安全的網路中(比如網際網路),Alice是通信發起人;Bob是通信接收人;Alice與Bob相互信任;而Eve監聽通信並伺機破壞:這是JohnWiley和Sons在經典教程《AppliedCryptography》(《套用密碼學》)中提出的部分人物,這些人物和環境屬性現已成為描述密碼學技術的標準。
對稱加密——解決數據本身加密問題
顧名思義,對稱加密就是“一把鎖對應一把匙匙”,加鎖開鎖都是它。有傳統和現代的區別,以下用古老的替換加密法為例作一簡單說明。
明文:HiIamAlice密文:ZEECGCFEIP
密匙(密碼):
ABCDEFGHIJKLMNOPQRSTUVWXYZ
CHIMPANZEBDFGJKLOQRSTXYWUV
現代的對稱加密方式多用繁複的數學算法進行,當前優秀的對稱加密算法有DES、3DES、DEA、IDEA等,它們的運算速度快,加密性能優異。其通信過程大致如下:
1、由Alice通過某種對稱加密算法算出一把密匙並傳送給Bob;2、Alice用該密匙加密明文,得到密文;3、Alice將該密文傳送給Bob;4、Bob用該密匙解密密文,得到明文。
Eve如果只在第3步截獲密文,由於不知道密匙,將一無所獲。但當Eve監聽到第1步,他和Bob得到的信息就一樣多,到第4步,Eve的工作就是解密。並且Eve還能在第3步開始之前中斷Alice與Bob的通信線路,然後冒充Bob接受Alice的信息,解密、修改後再冒充Alice加密傳送給Bob,Alice和Bob始終蒙在鼓中。如果Bob受到利益損害,則Alice可以指責說這是Bob自已泄露密匙導致。
可見對稱加密的問題在於:1、必須事先傳遞密匙,造成密匙傳遞過程中(叫帶內傳輸)極易被竊。常規手段無法解決這種高風險。2、密匙管理困難:假設有n方兩兩通信,如採用一把密匙,則密匙一旦被盜,整個加密系統崩潰;如採用不同密匙,則密匙數等於n*(n-1)/2,意味著100個人兩兩通信,則每人要保管4950把密匙!密匙管理成為不可能。3、由於密匙共享,無法實現不可否認。
雖然對稱加密對數據本身的加密能力足夠強大,而且已經在政府機關和商業機構內部得到了廣泛套用,但不解決上述問題,面向網際網路的電子商務和電子政務就無從談起。
公匙加密——解決密匙帶內傳輸問題
1975年下半年,斯坦福大學的教授狄菲和赫爾曼向全美計算機會議提交了名為《多用戶加密技術》的論文,總結了正在探索中的公匙加密技術,但沒有提出新的解決方案。1976年5月,兩人在全美計算機會議上又公布了離散指數密碼算法,並在IEEE發表了著名的《密碼學研究新方向》論文,提出了基於離散指數加密算法的新方案:交易雙方仍然需要協商密匙,但離散指數算法的妙處在於:雙方可以公開提交某些用於運算的數據,而密匙卻在各自計算機上產生,並不在網上傳遞。EVE如果只監聽而不參加運算,他是不可能從竊得的信息推導出密匙的。從而保證了密匙的安全。這是公匙加密的雛形。遺憾的是,這一類似於打電話狀態的加密方法,要求交易方必須同時線上,且同樣以相互信任為前提,所以仍然無法滿足現代電子交易的需要。
1978年,麻省理工學院的三名教授瑞斯特(Rivest)、沙米爾(Shamir)和艾德曼(Adleman)人從這篇論文得到啟發,開發了非對稱RSA公共密匙算法。由於這一算法既解決了密匙的帶內傳輸問題,又不必交易雙方同時線上,也不要求交易方必須信任,終於為現代電子商務的蓬勃發展鋪平了道路。
非對稱加密是對稱加密“逆向思維”的結果,即“一把鎖對應兩把鑰匙”,任意一把加鎖,但必須由另一把開鎖。
公匙加密體制的通信過程大致如下:
1、Bob公開發布他的公匙;2、Alice用Bob的公匙加密明文得到密文並傳送給Bob;3、Bob用它從不公開的私匙對該密文解密。
儘管這次Eve可以合法得到Bob的公匙,卻無法對第2步截獲的密文加以解密,因為他沒有Bob的私匙。
Bob的公匙和私匙從何而來?為什麼公匙加密的檔案只有私匙才能解密?要搞清這兩個問題,必須回過頭來認識公匙加密的數學基礎:大數不可能質因數分解假說。