[ 程林 ]——(2007-10-5) / 已閱26384次
一、電子簽名技術
什么是電子簽名,理解它需要從傳統手工簽名或蓋印章談起。在傳統商務交易中,為了保證交易的安全與真實,一份書面合同或公文需要由當事人或負責人簽字或蓋章,以便讓交易雙方識別是誰簽的合同,保證簽字或蓋章的人認可合同或文件的內容,在法律上才能承認這份合同是有效的。而在電子商務的虛擬世界中,合同或文件是以電子文件的形式表現和傳遞的,而在電子文件上,傳統的手寫簽名和蓋章是無法進行的,這就必須依靠技術手段來替代。從法律上講,簽名有兩個功能:即標識簽名人和表示簽名人對文件內容的認可。因此聯合國貿發會的《電子簽名示范法》中對電子簽名作如下定義:“指在數據電文中以電子形式所含、所附或在邏輯上與數據電文有聯系的數據它可用于鑒別與數據電文相關的簽名人和表明簽名人認可數據電文所含信息。”;而在歐盟的《電子簽名共同框架指令》中對電子簽名的定義是:“以電子形式所附或在邏輯上與其他電子數據相關的數據,作為一種判別的方法”。2004年8月28日第十屆全國人民代表大會常務委員會第十一次會議通過的《中華人民共和國電子簽名法》,對電子簽名定義為:“電子簽名,是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。”
雖然不同的法律對電子簽名的定義可能有所不同,但其實質是一樣的。因此,能夠在電子文件中識別雙方交易人的真實身份,保證交易的安全性和真實性以及不可抵賴性,起到與手寫簽名或者蓋章同等作用的電子技術手段,即可稱之為電子簽名。
實現電子簽名的技術手段目前有多種,比如基于公鑰密碼技術的數字簽名;或用一個獨一無二的以生物特征統計學為基礎的識別標識,例如手印、聲音印記或視網膜掃描的識別;手書簽名和圖章的電子圖像的模式識別;表明身份的密碼代號(對稱算法);基于量子力學的計算機等等。由于制定法律的技術中立性原則,目前電子簽名法中所提到的簽名,一般指的就是“數字簽名”。它是電子簽名的一種特定形式。
所謂數字簽名就是利用通過某種密碼運算生成的一系列符號及代碼組成電子密碼進行“簽名”,來代替書寫簽名或印章,對于這種電子式的簽名在技術上還可進行算法驗證,其驗證的準確度是在物理世界中與手工簽名和圖章的驗證是無法相比的。數字簽名在ISO7498-2標準中定義為:附加在數據單元上的一些數據,或是對數據單元所作的密碼變換,這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性,并保護數據,防止被人(例如接收者)進行偽造。美國電子簽名標準(DSS,FIPS186-2)對數字簽名作了如下解釋:利用一套規則和一個參數對數據計算所得的結果,用此結果能夠確認簽名者的身份和數據的完整性。根據這些定義,數字簽名已成為目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。它是采用了規范化的程序和科學化的方法,用于鑒定簽名人的身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動,確保傳輸數據的完整性、真實性和不可抵賴性。
由此可見,電子簽名主要有三個作用:一是證明文件的來源,即識別簽名人;二是表明簽名人對文件內容的確認;三是構成簽名人對文件內容正確性和完整性負責的根據。與傳統商務活動中的簽名蓋章作用相同,具有同樣的法律效力。
二、電子簽名在電子文件管理中的作用
隨著計算機及現代化管理技術的發展和普及,越來越多的社會和科技生產活動記錄形成了大量的電子文件,如何確保網絡時代電子文件的安全已成為目前各級司法部門管理司法的首要問題。在沒有電子簽名的時候,電子文件因缺少電子簽名這一關鍵要件,難以發揮相應的法律效力,處于一種“萬事俱備,只欠東風”的狀態,而有了電子簽名,電子文件的安全就有了保障,就能發揮積極的法律效力,電子簽名對電子文件的管理起著“畫龍點睛”的作用。具體來說電子簽名在電子文件管理中起著以下幾方面的作用:
(一)確立了電子文件的各種標準
1、電子文件的原始性標準
電子文件作為一種新的司法類別,也應當具有司法的本質屬性----原始性。《電子簽名法》對此有著明確的要求,只有符合了以下兩個條件,電子文件才具有原始性。①能有效地表現所載的內容并可供隨時調取查用。②能保證自最終形成時起,內容保持完整,未被更改。只有同時符合了這兩項要求,才能確保電子文件的原始性,否則將不具有原始性。
2、電子文件的真實性標準
電子文件的內容是不能進行刪改和變動的,從產生到形成電子文件要有一致性,不能有任何變動。如果有內容和形式上的變化,那么將很難保證電子文件的真實性。《電子簽名法》規定:①生成、儲存或傳遞文件的方法是可靠的。②保持內容完整性方法的可靠。只有采取了上述措施后,才能保證電子文件的真實性符合要求。
3、電子文件的保存標準
電子文件作為新的司法,不同于傳統的紙質司法,紙質司法的保存只要控制溫度和濕度的變化,采取防火、防盜等措施后就能達到一般的保存要求。電子文件的保存卻與此有別,還有另外的標準:①能有效地表現所載的內容并可供隨時調取查用;②電子文件的格式與其生成、發送或者接收時的格式相同,或者格式不同但是能夠準確表現原來生成、發送或者接收的內容。③能識別電子文件的移交人、接收人以及移交、接收的時間。根據這些要求對電子文件的保管不僅要保存電子文件本身而且還要保存相應的軟件及運行環境。
4、電子文件的移交和接收標準
一般紙質司法的接收、移交都是在接收單位或移交單位面對面的進行的,雙方同時進行清點、核對,共同辦理移交手續完成交接。而在網絡時代,電子文件的移交和接收可以在不同的城市、不同的單位之間進行,無需面對面的進行,且電子文件的移交和接收的時間和地點是可以相分離的,不需要同步進行。凡是開通了網絡的單位和個人都可以在網上進行電子文件的移交和接收。這是電子文件與傳統紙質司法的最大不同,反映了信息時代的特點。在《電子簽名法》中進行了特別的規定,移交人的移送即發件人的發送,必須具備下列條件之一的視為移交人的移交:①經移交人授權發送的;②移交人的信息系統自動發送的;③接收人按照移交人認可的方法對電子文件進行驗證后符合設定結果的。
同樣,對接收也有明確具體的規定:①接收人應當確認接收;②移交人收到接收人的接收確認的,電子文件視為已經移交。
在電子文件的移交和接收上往往涉及到另外一個重要問題,即移交和接收的時間、地點問題。《電子簽名法》對移交和接收分別做了明確規定:一般是指電子文件進入移交人控制之外的某個信息系統的時間,認為是電子文件的發送時間。對于司法部門指定特定系統接收電子文件的,電子文件進入該特定系統的時間,視為電子文件的接收時間。未指定特定系統的,電子文件進入接收人的任何系統的首次時間,視為該電子文件的接收時間。對于移交和接收的地點,以移交人的工作場所為電子文件的移交地點,接收人的工作場所作為電子文件的接收地點。
(二)電子簽名是電子文件的安全核心
1、傳統的紙質司法必須要有負責人的簽字蓋章才能發生效力,也就能保證安全可靠。對于電子文件只有負責人的簽字蓋章并不能解決問題,使用計算機的人都知道,對于一份電子文件,一個人制作出來后,其他人也可以制作出相同的內容和格式,制作者的身份和效力就難以得到保證,有時究竟是誰制作的都將產生疑問。只有采取了特殊的手段即電子簽名才能保證對電子文件的安全。
《電子簽名法》對電子簽名做出了重要的規定,只有電子簽名同時符合下列條件的,才能視為可靠的電子簽名:①電子簽名制作數據用于電子簽名時,屬于電子簽名人專有;②簽署時電子簽名制作數據僅由電子簽名人控制;③簽署后對電子簽名的任何改動能夠被發現;④簽署后對電子文件的內容和形式作任何改動能夠被發現。從中可以得出,電子簽名是指在電子文件中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。即能夠在電子文件中識別當事人的身份,保證安全、起到與手寫簽名或者蓋章同等作用的電子技術手段。一旦具備上述條件的電子簽名,能起到兩方面的作用:一方面能識別簽名人的身份,另一方面表明簽名人認可電子文件的內容。有效的電子簽名具有與手寫簽名或者蓋章同等的法律效力。
2、需要明確的是電子簽名或蓋章(電子簽章)決不是將普通的印章變為電子的就算電子簽名,也絕不是在電子文件上放一個紅紅的印章圖片就算完事,它不是數字證書與印章圖像的簡單組合。實際上電子簽名是一個非常先進的,非常復雜的技術,目前的電子簽名技術已經達到了成熟階段。電子簽名中心可以根據“刻”章者的要求,為印章加上水印、隱形編碼等防偽標識,并可以記錄每次使用的時間、用途等信息。只要使用專業儀器,就可以馬上辨別出印章的真偽。電子簽名也可以被保存在移動介質里,攜帶方便,使用時需要輸入密碼才能“蓋印”。如果密碼不慎丟失,只要立刻掛失,私自使用者即使破解了密碼,也只能看到電腦顯示:“此印章無效”。這正如前所述。
3、為了使加蓋了電子印章后的電子文件與紙質司法有相同的外觀特性,必須采用數字紙張技術,用以保證傳輸前后的電子文件的版面一致、內容和形式不被篡改、不被分割。例如,Word盡管功能十分強大,但是仍然不能保證內容的同一性,發送一個100頁的Word文檔,接收時變成了101頁,雖然內容沒有變,可是文字、圖形等排版的位置改變了,出現了版面的前后不一致。采用了電子簽名中的數字紙張技術,則能保證電子文件在傳送的前后的版面保持一致,內容不會被篡改,也能保證任何人都不能從蓋章后的電子文件中將印章與文件相分離,把印章再蓋到別的文件上。這樣就能保證電子文件內容和形式的安全。
4、使用電子簽名之前必須進行實時的驗證,以確保只有合法的電子簽名才能夠進行簽章。電子文件的傳輸雙方由于不一定相識,缺乏信任,所以在使用電子簽名時,往往需要由第三方對電子簽名人的身份進行認證,并為其發放證書,向交易對方提供信譽保證,這個第三方稱為認證機構。認證機構起著擔保作用。
5、為了防止不具備條件的人擅自提供認證服務,《電子簽名法》對電子認證服務設立了市場準入制度。同時,為了確保電子簽名人身份的真實可靠,要求認證機構為電子簽名發放證書前,必須對簽名人申請發放證書的有關材料進行形式審查,也必須對申請人的身份進行實質性檢驗。并對提供電子認證服務機構應具備的條件、申請設立的程序、業務規則、暫停或者終止服務時的業務承接等作了具體規定。
6、電子簽名的各方都有法定的義務。要求電子簽名人履行的義務是:①要求其妥善保管電子簽名制作數據。當知悉制作數據已經失密或者可能已經失密時,應當及時告知有關各方,并終止使用;②要求其向認證服務機構申請電子簽名認證證書時,提供的有關信息必須是真實、完整和準確的。認證服務機構一方應當履行的義務是:①要求其制定、公布包括責任范圍、作業操作規范、信息安全保障措施等事項在內的電子認證業務規則,并向國務院信息產業主管部門備案;②要求其必須保證所發放認證證書內容在有效期內完整、準確,并使電子簽名信賴方能夠從證書中證實或者了解有關事項;③要求其妥善保存與認證相關的信息,期限至少為電子簽名認證證書失效后五年。
(三)電子簽名對電子文件管理的影響
1、《電子簽名法》是社會進入信息時代的標志。一切信息表達、信息記載均可數字化,信息生成、傳輸、修改、再現等都可以通過計算機和網絡得以實現,數字形式愈來愈多地替代紙張形式,成為社會活動和意思表示的載體。在倡導無紙化辦公和無紙化交易的今天,這部法律的實施正是反映了時代的需求,為電子文件的法制化管理提供了法律基礎。
2、電子文件的管理者對電子文件進行管理時,需要了解電子文件的內容,審查提供者所提供的電子文件是否符合《電子簽名法》的要求,有無進行電子簽名。自己在接收電子文件時,也要求自己能夠按照《電子簽名法》的標準來接收,也使用電子簽名。不能說別人使用了電子簽名,自己就不需要使用電子簽名。對電子文件管理者不能例外。這樣做就符合了法的普遍性的要求。如果按照這樣的要求對電子文件進行管理,才能真正實現了對電子文件的法制化管理。
3、《電子簽名法》所體現的“功能等同”、“技術中立”、“意思自治”等標準是管理電子文件時重要依據,例如在電子文件管理中,只有電子文件,沒有紙質司法,那么按照“功能等同”的標準,電子文件將視為同紙質司法一樣,起著同樣的作用,也符合被視為“原件”、“書面形式”的要求。這些標準的確立能夠解決電子文件管理中所遇到的日益紛繁復雜的問題,并為此類問題提供了最高效力的法律依據,為電子文件管理指明了方向,必將對電子文件的管理產生深遠的影響。
《電子簽名法》對電子簽名的運用,起到了有效的支撐。而電子簽名軟件的開發利用,則落實了《電子簽名法》中的“意思自治”、“技術中立”、“效力等同”等法律原則的實現。
電子簽名在電子文件中的運用,具體地解決了電子文件的收集、整理、保管、利用等一系列問題。在以往的電子文件管理中,都要求一份電子文件同時配備一份紙質司法,有了電子簽名技術后,根據“效力等同”原則,電子文件同紙質司法具有同等的效力,電子文件就可以單獨存在,不再需要歸檔紙質司法作為備份。這樣就司法的信息化管理提供了有力的保障,真正實現了無紙化辦公,開創了信息時代司法管理的新局面。
三、電子簽名系統的選擇標準
《電子簽名法》頒布實施后,許多軟件公司都開發了電子簽名軟件,比較常見的有優泰電子簽名、欣正網信電子簽名、天印電子簽名、iWebSignature電子簽名、REXO OFFICE電子簽名等諸多電子簽名軟件。而究竟應當采用哪一種電子簽名軟件,根據什么標準來選用電子簽名軟件,則是擺在課題組面前的首要問題。
根據《電子簽名法》的規定,只需檢查其是否按照國務院信息產業主管部門的要求在互聯網上公布了其名稱、有無許可證號等信息。下面僅就認證方面做一說明:
1、電子簽名認證證書
電子簽名認證證書是課題組審查的重點和核心。對于電子簽名認證證書應著重注意認證證書是否準確無誤、真實,并應當載明下列內容:
電子認證服務提供者名稱;
證書持有人名稱;
證書序列號;
證書的有效期;
證書持有人的電子簽名驗證數據;
電子認證服務提供者的電子簽名;
國務院信息產業主管部門規定的其他內容;
審查后只要具備了上述幾項要求后,任何一家公司的電子簽名軟件都可以選用,這也是《電子簽名法》意思自治的要求。
2、證書的審查
課題組以市場上較有影響的江西金格網絡科技有限責任公司的ISigature 電子簽名系統為例,審查其相關證書。
查閱簽署者的信息,可查看證書信息中是否包含以下內容:
總共5頁 [1] 2 [3] [4] [5]
上一頁 下一頁
