1.电子签名定义
电子签名,是现代认证技术的泛称,美国《统一电子交易法》规定,“电子签名”泛指“与电子记录相联的或在逻辑上相联的电子声音、符合或程序,而该电子声音、符合或程序是某人为签署电子记录的目的而签订或采用的”;联合国《电子商务示范法》中规定,电子签名是包含、附加在某一数据电文内,或逻辑上与某一数据电文相联系的电子形式的数据,它能被用来证实与此数据电文有关的签名人的身份,并表明该签名人认可该数据电文所载信息;欧盟的《电子签名指令》规定,“电子签名”泛指“与其他电子记录相连的或在逻辑上相连并以此作为认证方法的电子形式数据。”
从上述定义来看,凡是能在电子通讯中,起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段,都可被称为电子签名,电子签名即现代认证技术的一般性概念,它是电子商务安全的重要保障手段。
电子交易的安全依赖于技术上采用适当的安全措施,如电子签名技术,以确认使用人的身份,确保信息保密及完整无缺,和保障已进行的交易不被推翻。但是,电子签名技术在法律上的地位却不明确。随着电子商务的发展,电子签名的使用越来越多,其法律问题就显得日益突出。如果电子签名法律问题不解决,交易安全就最终得不到保障,实际上电子商务就不具有实际意义。这也正是电子签名问题成为电子商务中的重要的技术与法律问题的原因之所在。
因此,电子签名就需要人们对其的“签名”功能赋予合法的法律地位。联合国《电子商务示范法》对电子记录的法律问题提出了一揽子解决方案,分别就数据电文的法律承认、书面性、签名、原件、证据性、留存等做出了原则性的规定。该法还提出了许多有先见性的法律原则,例如,不歧视原则、功能等同原则、当事人自治原则等,使人们能够接受电子签名与传统的手书签名具有同样的合法性。
当然,传统签名与电子签名之间存在差异是不可避免的,但这并不意味着二者之间有不可逾越的鸿沟。只要电子签名能够实现与传统签名相同的一些基本功能,就可能替代后者而得到广泛应用。电子签名与签名的相通性也就在于都能完成一些共同的功能。
(1)身份认证:收方通过发方的电子签名才能够确认发方的确切身份,但无法伪造。
(2)保密:双方的通信内容高度保密,第三方无从知晓。
(3)完整性:通信的内容无法被篡改。
(4)不可抵赖:发方一旦将电子签字的信息发出,就不能再否认。
目前,美国使用的电子签名主要有三种模式:
(1)智慧卡式。使用者拥有一个像信用卡一样的的磁卡,储存有关于自己的数字信息。使用时只需在电脑扫描器上扫描,然后输入自己设定的密码便可。上面克林顿“表演”用的就是属于这一种类型。
(2)密码式。它是由使用者设定一个密码(由数字或字符组合而成),通过特定的硬件,使用者利用电子笔在电子板上签名后将信息存入电脑。电子板不仅记录下签名的形状,而且对使用者签名时使用的力度、定字的速度都有记载,以防他人盗用签名。
(3)生物测定式。它是以使用者的身体特征为基础,通过特定的设备对使用者的指纹、面部、视网膜或眼球进行数字识别,从而确定对象是否与原使用者相同。许多公司的电脑程序实际运用的大都是将两种或三种技术结合在一起,这样可以大大提高电子签名的安全可靠性。
基于数字证书的电子认证技术已经可以成功解决用户身份识别、数据安全、数据完整和历史行为不可抵赖行等安全问题。电子认证采用PKI(公开密钥基础设施)技术,为用户收发电子邮件、访问Web站点的访问、网上公文传递等应用简单提供了安全保障。
为了加强信息系统的安全性,利用基于数字证书的用户身份认证技术对日常管理工作中的文档数据进行数字签名,可以确保文档数据信息的完整性,确认文档数据的真实来源,防止出现抵赖行为或他人冒充伪造篡改数据;利用基于数字证书的数据加密技术对在网络上传输的机密文档进行加密,可以防止商业机密或其他敏感信息泄漏。
电子签名技术的实现需要使用到非对称加密(RSA算法)和报文摘要(HASH算法)。非对称加密是指用户拥有两个密钥,一个是公钥,一个是私钥。公钥是公开的,任何人可以使用,私钥是保密的,只有用户自己可以使用。该用户可以用私钥加密信息,并传送给对方,对方可以用该用户的公钥将密文解开,对方应答时可以用该用户的公钥加密,该用户收到后可以用自己的私钥解密。公私钥是互相解密的,而且绝对不会有第三者能插进来。
报文摘要利用HASH算法对任何要传输的信息进行运算,生成128位的报文摘要,而不同内容的信息一定会生成不同的报文摘要,因此报文摘要就成了电子信息的“指纹”。
有了非对称加密技术和报文摘要技术,就可以实现对电子信息的电子签名了。电子签名的软件应该做到:
鉴于文档电子签名软件是一种电子盖章和文档安全系统,它应该实现电子盖章、文档加密、签名者身份验证等多项功能,对于签名者的身份确认、文档内容的完整性和签名不可抵赖性等问题的解决具有重要作用。
软件还应支持多人多次签名,每个签名可以在文档中的任意位置生成,完全由签名者控制。
软件避免采用宏技术,从而避免因用户禁用宏而导致软件失效。
电子签名使用的数字证书可以存储在智能卡和USB电子令牌之类的硬件设备中,这些存储介质自身有安全性高、携带方便等特点,进一步提高了系统的安全性。
1.什么是证书?
在一个电子商务系统中,所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份(每份证书都是经“相对权威的机构”签名的),另一方面由于每份证书都携带着证书持有者的公钥(签名证书携带的是签名公钥,密钥加密证书携带的是密钥加密公钥),所以,证书也可以向接收者证实某人或某个机构对公开密钥的拥有,同时也起着公钥分发的作用。
2. 什么是CA?CA是CertificateAuthority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心既CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。
3. 什么是SSL?安全套接层协议(SSL,SecuritySocketLayer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性,主要采用公开密钥体制和X.509数字证书技术来提供安全性保证。对于电子商务应用来说,SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator4.04版开始的所有浏览器中引入了一种被称作"表单签名(FormSigning)"的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。
4. 什么是RA?RA即证书发放审核部门,它是CA系统的一个功能组件。它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任。
5. 什么是CP?CP即证书发放的操作部门,它是CA系统的一个功能组件,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
6. 什么是CRL?CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。
7. 什么是OCSP?OCSP即在线证书状态查询(Online Certificate Status Protocol),使用户可以实时查询证书的作废状态。
8. 什么是密钥对,怎样使用它,怎样获得密钥对?
像有的加密技术中采用相同的密钥加密、解密数据,公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理,每把的功能恰恰与另一把相反,一把用于加密时,则另一把就用于解密。
公共密钥是由其主人加以公开的,而私人密钥必须保密存放。为发送一份保密报文,发送者必须使用接收者的公共密钥对数据进行加密,一旦加密,只有接收方用其私人密钥才能加以解密。
相反地,用户也能用自己私人密钥对数据加以处理。换句话说,密钥对的工作是可以任选方向的。这提供了"数字签名"的基础,如果要一个用户用自己的私人密钥对数据进行了处理,别人可以用他提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥,这种被处理过的报文就形成了一种电子签名----一种别人无法产生的文件。
数字证书中包含了公共密钥信息,从而确认了拥有密钥对的用户的身份。
大多数情况下,当你申请数字证书时,会为你产生密钥对。出于安全性考虑,密钥对应当在您的机器产生并且私人密钥不会在网上传输。
一旦产生,就应在认证中心上登记自己的公共密钥,随后认证中心将发送给用户数字证书,以证实你的公共密钥及其他一些信息。
1. 什么是USB Key
要想了解USB Key,需要先了解什么是智能卡。智能卡被认为是目前安全存放数字证书及密钥的方式之一。它是一个带有微处理器和存储器等微型集成电路芯片的、具有标准规格的卡片。由于智能卡结合了更先进的集成电路芯片,因此具有快速运算、存储量大、安全性高以及难以破译和伪造等特点,是未来卡片的发展趋势。
传统的智能卡被USB Key代替。微型处理器与USB控制器及连接器被嵌入一个小壳中,USB Key是卡片功能的扩充,不再需要读卡器。USB Key的用途十分广泛,网络银行、电子政务和电子商务等领域均已成功的引入USB Key的概念。
PKI技术和USB Key之间的关系在于私有密钥的存储和第三方认证机构所颁发的数字证书的存储可以在USB Key内极为安全的智能芯片上实现。虽然现在有很多人都把私有密钥和数字证书存储在计算机的硬盘或软盘当中,但出于安全的考虑,自动生成私有密钥和安全存储数字证书的USB Key则会更好、更安全。这样可以防止黑客通过植入病毒程序盗取合法用户的私有密钥,伪装成为合法用户的身份在网络上数字签名,进行诈骗和非法交易。另外,从易用性的角度来讲,使用USB Key也便于携带,这样人们可以在办公室、在家里和路上随时使用。