電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。通俗點說,電子簽名就是通過密碼技術(shù)對電子文檔的電子形式的簽名,并非是書面簽名的數(shù)字圖像化,它類似于手寫簽名或印章,也可以說它就是電子印章。電子簽名的用途: 在電子版的中秋賀卡,結(jié)婚請?zhí)ㄖ贤虾灻?/p>
簡介
電子簽名并非是書面簽名的數(shù)字圖像化。它其實是一種電子代碼,利用它,收件人便能在網(wǎng)上輕松驗證發(fā)件人的身份和簽名。它還能驗證出文件的原文在傳輸過程中有無變動。如果有人想通過網(wǎng)絡(luò)把一份重要文件發(fā)送給外地的人,收件人和發(fā)件人都需要首先向一個許可證授權(quán)機(jī)構(gòu)CA(GlobalSign)申請一份電子許可證。這份加密的證書包括了申請者在網(wǎng)上的公共鑰匙即“公共電腦密碼”,用于文件驗證。
發(fā)件人使用CA發(fā)布的收件人的公鑰對文件加密,并用自己的密鑰對文件進(jìn)行簽名。當(dāng)收件人收到文件后,先用發(fā)件人的公鑰對解析簽名,證明此文件確為發(fā)件人發(fā)的。接著用自己的私鑰對文件解密并閱讀。
電子簽名是現(xiàn)代認(rèn)證技術(shù)的泛稱,美國《統(tǒng)一電子交易法》規(guī)定,“電子簽名”泛指“與電子記錄相聯(lián)的或在邏輯上相聯(lián)的電子聲音、符號或程序,而該電子聲音、符號或程序是某人為簽署電子記錄的目的而簽訂或采用的”;聯(lián)合國《電子商務(wù)示范法》中規(guī)定,電子簽名是包含、附加在某一數(shù)據(jù)電文內(nèi),或邏輯上與某一數(shù)據(jù)電文相聯(lián)系的電子形式的數(shù)據(jù),它能被用來證實與此數(shù)據(jù)電文有關(guān)的簽名人的身份,并表明該簽名人認(rèn)可該數(shù)據(jù)電文所載信息;歐盟的《電子簽名指令》規(guī)定,“電子簽名”泛指“與其他電子記錄相連的或在邏輯上相連并以此作為認(rèn)證方法的電子形式數(shù)據(jù)。”
從上述定義來看,凡是能在電子通訊中,起到證明當(dāng)事人的身份、證明當(dāng)事人對文件內(nèi)容的認(rèn)可的電子技術(shù)手段,都可被稱為電子簽名,電子簽名即現(xiàn)代認(rèn)證技術(shù)的一般性概念,它是電子商務(wù)安全的重要保障手段。
基本功能
從電子簽名的定義中,可以看出電子簽名的兩個基本功能:
(1)識別簽名人
(2)表明簽名人對內(nèi)容的認(rèn)可
法律上在定義電子簽名時充分考慮了技術(shù)中立性,關(guān)于電子簽名的規(guī)定是根據(jù)簽名的基本功能析取出來的,認(rèn)為凡是滿足簽名基本功能的電子技術(shù)手段,均可認(rèn)為是電子簽名。由電子簽名和數(shù)字簽名的定義可以看出,二者是不同的:電子簽名是從法律的角度提出的,是技術(shù)中立的,任何滿足簽名基本功能的電子技術(shù)手段,都可稱為電子簽名;數(shù)字簽名是從技術(shù)的角度提出的,是需要使用密碼技術(shù)的,主要目的是確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性。
電子簽名是一種泛化的概念,數(shù)字簽名可認(rèn)為是電子簽名的一種實現(xiàn)方式,數(shù)字簽名提供了比電子簽名基本要求更高的功能。
加密技術(shù)
簽名和加密技術(shù)
電子簽名和加密技術(shù),電子簽名技術(shù)的實現(xiàn)需要使用到非對稱加密(RSA算法)和報文摘要(HASH算法)。
非對稱加密是指用戶有兩個密鑰,一個是公鑰,一個是私鑰,公鑰是公開的,任何人可以使用,私鑰是保密的,只有用戶自己可以使用,公鑰和私鑰是對應(yīng)關(guān)系。用戶可以用對方的公鑰加密信息,并傳送給對方,對方使用自己的私鑰將密文解開。公私鑰是互相解密的,而且絕對不會有第三者能插進(jìn)來。
報文摘要利用HASH算法對任何要傳輸?shù)男畔⑦M(jìn)行運算,生成128位的報文摘要,而不同內(nèi)容的信息一定會生成不同的報文摘要,因此報文摘要就成了電子信息的“指紋”。
有了非對稱加密技術(shù)和報文摘要技術(shù),就可以實現(xiàn)對電子信息的電子簽名了。
簽名的軟件
文檔電子簽名軟件是一種電子蓋章和文檔安全系統(tǒng),可以實現(xiàn)電子蓋章(即數(shù)字簽名)、文檔加密、簽名者身份驗證等多項功能。對于簽名者的身份確認(rèn)、文檔內(nèi)容的完整性和簽名不可抵賴性等問題的解決具有重要作用。
使用數(shù)字證書對Word文檔進(jìn)行數(shù)字簽名,保證簽名者的簽名信息和被簽名的文檔不被非法篡改。簽名者可以在簽名時對文檔簽署意見,數(shù)字簽名同樣可以保證此意見不被篡改。
軟件應(yīng)嵌入Word環(huán)境,集成為應(yīng)用組件,使用簡便,界面友善。操作生成的數(shù)字簽名和意見以對象方式嵌入Word文檔,直觀明了。
軟件還應(yīng)支持多人多次簽名,每個簽名可以在文檔中的任意位置生成,完全由簽名者控制。
軟件避免采用宏技術(shù),從而避免因用戶禁用宏而導(dǎo)致軟件失效。
數(shù)字簽名使用的數(shù)字證書可以存儲在SIM卡和USB電子令牌之類的硬件設(shè)備中,這些存儲介質(zhì)自身有安全性高、攜帶方便等特點,進(jìn)一步提高了系統(tǒng)的安全性。
在企業(yè)中,對于往來的需審批的重要文檔,必須保持其安全、有效,并要求留下審批者的意見及簽名,如果采用傳統(tǒng)的方法如FAX,勢必造成大量的掃描文件需要存儲,且不好管理,而電子簽名在安全體系的保證下,將為文檔管理的效率帶來顯著的提高。由此看來,采用先進(jìn)的IT技術(shù),能推動我們的辦公無紙化進(jìn)一步的向前發(fā)展。
密匙
電子簽名與密匙
“電子簽名”是廣義的提法,是以保障基于網(wǎng)絡(luò)交易平臺下交易各方的合法權(quán)益為目的,滿足和替代傳統(tǒng)簽名功能的各種電子技術(shù)手段,并不是手工簽字或印章的圖像化,其中“交易”是指個人信息交換、電子商務(wù)和電子政務(wù)等基于網(wǎng)絡(luò)平臺的活動;“交易各方”指從事這些活動的各方“數(shù)字簽名”是通過密碼技術(shù)實現(xiàn)電子交易安全的形象說法,是電子簽名的主要實現(xiàn)形式。它力圖解決互聯(lián)網(wǎng)交易面臨的幾個根本問題:數(shù)據(jù)保密;數(shù)據(jù)不被篡改;交易方能互相驗證身份;交易發(fā)起方對自己的數(shù)據(jù)不能否認(rèn)。
在密碼學(xué)中,密碼的本質(zhì)是某種算法,由密碼算法算出一把密匙(Key),然后使用該密匙對交易雙方傳送的數(shù)據(jù)加密。該數(shù)據(jù)通稱“報文”,加密前叫“明文報文”,即明文;加密后叫“密文報文”,即密文,密文沒有密匙是不可讀的。所有加密算法本身都是公開的,屬于純粹數(shù)學(xué)的范籌,本文不作過多討論;密碼學(xué)只關(guān)注密匙管理的問題,因為加密通信的安全性只與密匙有關(guān),這是本文關(guān)注的重點。加密通信方式主要有對稱加密和非對稱加密兩種。
在開始討論之前,我們假定:在不安全的網(wǎng)絡(luò)中(比如互聯(lián)網(wǎng)),Alice是通信發(fā)起人;Bob是通信接收人;Alice與Bob相互信任;而Eve監(jiān)聽通信并伺機(jī)破壞:這是JohnWiley和Sons在經(jīng)典教程《AppliedCryptography》(《應(yīng)用密碼學(xué)》)中提出的部分人物,這些人物和環(huán)境屬性現(xiàn)已成為描述密碼學(xué)技術(shù)的標(biāo)準(zhǔn)。
對稱加密
對稱加密——解決數(shù)據(jù)本身加密問題
顧名思義,對稱加密就是“一把鎖對應(yīng)一把鑰匙”,加鎖開鎖都是它。有傳統(tǒng)和現(xiàn)代的區(qū)別,以下用古老的替換加密法為例作一簡單說明。
明文:HiIamAlice密文:ZEECGCFEIP
密匙(密碼):
ABCDEFGHIJKLMNOPQRSTUVWXYZ
CHIMPANZEBDFGJKLOQRSTXYWUV
密匙第一排是常規(guī)26個字母,而第二排則是約定的字母順序,用來替換對應(yīng)的字母。除了字母,還可用其它約定符號起到同樣的作用,都是異曲同工。
現(xiàn)代對稱加密方式
現(xiàn)代的對稱加密方式多用繁復(fù)的數(shù)學(xué)算法進(jìn)行,當(dāng)前優(yōu)秀的對稱加密算法有DES、3DES、DEA、IDEA等,它們的運算速度快,加密性能優(yōu)異。其通信過程大致如下:
1.由Alice通過某種對稱加密算法算出一把密匙并傳送給Bob;2、Alice用該密匙加密明文,得到密文;3、Alice將該密文傳送給Bob;4、Bob用該密匙解密密文,得到明文。
Eve如果只在第3步截獲密文,由于不知道密匙,將一無所獲。但當(dāng)Eve監(jiān)聽到第1步,他和Bob得到的信息就一樣多,到第4步,Eve的工作就是解密。并且Eve還能在第3步開始之前中斷Alice與Bob的通信線路,然后冒充Bob接受Alice的信息,解密、修改后再冒充Alice加密發(fā)送給Bob,Alice和Bob始終蒙在鼓中。如果Bob受到利益損害,則Alice可以指責(zé)說這是Bob自已泄露密匙導(dǎo)致。
可見對稱加密的問題在于:1、必須事先傳遞密匙,造成密匙傳遞過程中(叫帶內(nèi)傳輸)極易被竊。常規(guī)手段無法解決這種高風(fēng)險。2、密匙管理困難:假設(shè)有n方兩兩通信,如采用一把密匙,則密匙一旦被盜,整個加密系統(tǒng)崩潰;如采用不同密匙,則密匙數(shù)等于n*(n-1)/2,意味著100個人兩兩通信,則每人要保管4950把密匙!密匙管理成為不可能。3、由于密匙共享,無法實現(xiàn)不可否認(rèn)。
雖然對稱加密對數(shù)據(jù)本身的加密能力足夠強(qiáng)大,而且已經(jīng)在政府機(jī)關(guān)和商業(yè)機(jī)構(gòu)內(nèi)部得到了廣泛應(yīng)用,但不解決上述問題,面向互聯(lián)網(wǎng)的電子商務(wù)和電子政務(wù)就無從談起。
公匙加密
1975年下半年,斯坦福大學(xué)的教授狄菲和赫爾曼向全美計算機(jī)會議提交了名為《多用戶加密技術(shù)》的論文,總結(jié)了正在探索中的公匙加密技術(shù),但沒有提出新的解決方案。
1976年5月,兩人在全美計算機(jī)會議上又公布了離散指數(shù)密碼算法,并在IEEE發(fā)表了著名的《密碼學(xué)研究新方向》論文,提出了基于離散指數(shù)加密算法的新方案:交易雙方仍然需要協(xié)商密匙,但離散指數(shù)算法的妙處在于:雙方可以公開提交某些用于運算的數(shù)據(jù),而密匙卻在各自計算機(jī)上產(chǎn)生,并不在網(wǎng)上傳遞。EVE如果只監(jiān)聽而不參加運算,他是不可能從竊得的信息推導(dǎo)出密匙的。從而保證了密匙的安全。這是公匙加密的雛形。遺憾的是,這一類似于打電話狀態(tài)的加密方法,要求交易方必須同時在線,且同樣以相互信任為前提,所以仍然無法滿足現(xiàn)代電子交易的需要。1978年,麻省理工學(xué)院的三名教授瑞斯特(Rivest)、沙米爾(Shamir)和艾德曼(Adleman)人從這篇論文得到啟發(fā),開發(fā)了非對稱RSA公共密匙算法。由于這一算法既解決了密匙的帶內(nèi)傳輸問題,又不必交易雙方同時在線,也不要求交易方必須信任,終于為現(xiàn)代電子商務(wù)的蓬勃發(fā)展鋪平了道路。
非對稱加密是對稱加密“逆向思維”的結(jié)果,即“一把鎖對應(yīng)兩把鑰匙”,任意一把加鎖,但必須由另一把開鎖。
公匙加密體制的通信過程大致如下:
1.Bob公開發(fā)布他的公匙;2、Alice用Bob的公匙加密明文得到密文并傳送給Bob;3、Bob用它從不公開的私匙對該密文解密。
盡管這次Eve可以合法得到Bob的公匙,卻無法對第2步截獲的密文加以解密,因為他沒有Bob的私匙。
Bob的公匙和私匙從何而來?為什么公匙加密的文件只有私匙才能解密?要搞清這兩個問題,必須回過頭來認(rèn)識公匙加密的數(shù)學(xué)基礎(chǔ):大數(shù)不可能質(zhì)因數(shù)分解假說。
原則
由于電子簽名的形式具有多樣性,因采取的技術(shù)方案不同,其可靠性、真確性、穩(wěn)定性可能會有較大的不同,因此導(dǎo)致了其法律效力也不應(yīng)在同一水平上。而“功能等同原則”可以較好地解決這一問題,其基本模式有三個:第一,只有符合一定條件的電子簽名才具有與傳統(tǒng)簽名同等的法律效力;第二,不同模式和特性的電子簽名以其穩(wěn)定性、可靠性、真確性為標(biāo)準(zhǔn)對應(yīng)不同的法律效力;第三,達(dá)到相應(yīng)要求的電子簽名即可具備與傳統(tǒng)簽名等同的法律效力,而不管具體的技術(shù)解決方案是什么。以此作為判斷電子簽名是否具有法律效力的依據(jù),減少了電子技術(shù)的多樣性對電子簽名效力造成的不穩(wěn)定影響。
應(yīng)用
電子簽名從2005年電子簽名法頒布實施以來,很多領(lǐng)域都開始廣泛使用。網(wǎng)上銀行、實體銀行、電子政務(wù)、電子合同的簽署以及電信、銀行營業(yè)廳等場所。特別是隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)上銀行采用基于電子簽名身份認(rèn)證,應(yīng)用十分廣泛。
參考資料 >