电子签名是什么,如何保证安全保密?
电子签名制作数据和电子签名验证数据是与电子签名有着密切联系的两个概念。电子签名制作数据,就是用于生成电子签名并将电子签名与电子签名人可靠地联系起来的字符、编码等数据。电子签名验证数据,就是用于验证电子签名的数据,包括代码、口令、算法或者公钥等。
这里以国内领先的第三方电子签约云平台上上签为例。
所有在上上签平台签署的合同,每个签名都会带上自己的数字证书,是可以验证的,用来表明是这个签名的主体。在所有人都签完之后,还会对这个合同打上一个总的数字签名,这个数字签名包含了时间戳等信息,一旦文件内容被修改,就会导致数字签名失效,从而确保合同是防篡改的。
签署后的合同都存在云上,采用业界最高级别的加密算法对合同进行加密,同时还会对用来加密的密钥再次加密。加密过的合同文件分散存储,进一步降低了一次性丢失合同的可能性。哪怕合同被黑客窃取,没有对应的密钥也无法解密。
而作为第三方平台,严格遵守职业道德,有义务对客户的数据严格保密。
其次,上上签还有完善的权限控制机制,保存在上上签的合同,连内部人员都无法查看。
《电子签名法》里对电子签名是这样定义的:是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
电子签名要具有法律效力,还得符合:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
所以需要一定的技术手段来确保电子签名的安全有效。
目前很多电子签名平台都有它们保证安全有效的技术,上面的友商上上签也说了,我也补充两句法大大具体是怎么做的。
我们法大大电子签名平台做到了这三点,有效保证了电子合同的法律效力:① 权威认证系统:采用国家机构认证技术,确保法大大电子合同签署主体真实身份;② 防篡改技术:采用国际通用哈希值技术固化原始电子文件数据,轻松识别文件是否被篡改;③ 第三方取时技术:精确记录签约时间。采用法大大电子合同,能有效保证电子合同的法律效力。
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。
独特核心技术:
自主知识产权核心智能识别签认技术,确保文档安全可靠
应用PKI数字安全认证体系,将数字证书与电子签章捆绑,签章时可自动加数字证书,对文件进行签名盖章,确保文件来源真实、可信;
遵循《中华人民共和国电子签名法》关于电子签名的规范,同时支持RSA算法和国密办SSF33算法,符合国家安全标准,配备签章服务器软件平台,确保签章安全、管理集中。
电子签名增强对签章文件打印管理,支持高清晰签章;提供文档签章脱密功能,确保签章的文档分发安全可靠;应用数字水印技术,签章水印包括文字、图片两种,保证签章阅读安全。
此外,众签电子合同还具备多重数据安全保护措施:
l 通过了ISO27001信息安全管理体系认证和计算机信息系统安全等保三级测评,达到银行级别数据安全保护要求。
l 采用SSL传输协议,在电子合同数据传输环节采取加密保护措施,保障传输过程的保密性和完整性。
l 采用国密算法和硬件加密机制对电子合同数据进行加密存储,保证电子合同数据安全。
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。电子签名的用途: 在电子版的中秋贺卡,结婚请帖, 建筑合同上签名。
电子签名并非是书面签名的数字图像化。它其实是一种电子代码,利用它,收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。如果有人想通过网络把一份重要文件发送给外地的人,收件人和发件人都需要首先向一个许可证授权机构CA(GlobalSign)申请一份电子许可证。这份加密的证书包括了申请者在网上的公共钥匙即“公共电脑密码”,用于文件验证。
发件人使用CA发布的收件人的公钥对文件加密,并用自己的密钥对文件进行签名。当收件人收到文件后,先用发件人的公钥对解析签名,证明此文件确为发件人发的。接着用自己的私钥对文件解密并阅读。
电子签名是现代认证技术的泛称,美国《统一电子交易法》规定,“电子签名”泛指“与电子记录相联的或在逻辑上相联的电子声音、符号或程序,而该电子声音、符号或程序是某人为签署电子记录的目的而签订或采用的”;联合国《电子商务示范法》中规定,电子签名是包含、附加在某一数据电文内,或逻辑上与某一数据电文相联系的电子形式的数据,它能被用来证实与此数据电文有关的签名人的身份,并表明该签名人认可该数据电文所载信息;欧盟的《电子签名指令》规定,“电子签名”泛指“与其他电子记录相连的或在逻辑上相连并以此作为认证方法的电子形式数据。”
从上述定义来看,凡是能在电子通讯中,起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段,都可被称为电子签名,电子签名即现代认证技术的一般性概念,它是电子商务安全的重要保障手段。
随着互联网的发展,电子文件的应用场景越来越广泛,对于电子文件的接受程度也越来越高。但是在使用电子文件的过程中,我们不可避免会遇到一个问题,有些接收方为了保障电子文件的效应,会要求你在发送电子文件之前在电子文件中添加电子签名以表明此份电子文件是由你本人发出,且文件内容也是你本人真实意愿的反映。在这种情况下,很多人就会遇到一个问题,电子签名怎么上传?
目前使用较多的有2种方式:一是直接将电子文件打印出来,签名之后再通过扫描或拍照等方式形成电子文件;二是直接通过第三方软件或平台直接在电子文件中添加签名。以上两种方式都可以实现电子签名的上传,但是在法律效应上确有很大的差别。
根据《电子签名法》第十三条规定:电子签名同时符合下列条件的,视为可靠的电子签名: (一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。
由此可见,通过第一种方式上传的电子签名较难满足以上可靠电子签名要求的第(一)(二)条,因此这种方式只能满足一些对于文件法律效应要求不高的场景;而通过第二种方式上传的电子签名是否能够满足可靠电子签名的要求,则需要视使用的软件和平台而定。
目前主流电子签名平台大多通过数字签名、数字证书、时间戳等技术实现了电子签名的可靠性,因此在选择电子签名平台时也可根据以上几点要素衡量其是否满足要求。当然如果是作为长期使用平台,除了考虑能满足可靠电子签名要求外,也需要考虑平台的综合实力是否满足企业及个人的需求。
电子签名与纸质的签名同样具有法律效力,根据《中华人民共和国电子签名法》第13、14条认可了可靠电子签名的合法效力;《中华人民共和国合同法》第10、11条认可以数据电文作为合同书面形式的合法载体;《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第116条认可电子数据作为法定证据种类的合法地位。
然而,并非任何机构提供的电子签名都受法律保护,只有依法成立、获得工信部《电子认证服务许可证》的CA机构提供的可靠电子签名才受《电子签名法》保护。只有采用可靠电子签名签署的电子合同才能“与手写签名或盖章具有相同的法律效力”,在司法诉讼中具备书证的法律效力,取证和鉴定流程也可参照书证证据,方便快捷。也就是说,需要通过第三方电子合同平台,采用可靠电子签名签署的电子合同才具有和纸质合同同等法律效力。
合同是关于双方当事人权利义务的约定,双方当事人如果要约定合同的,可以以纸质方式,也可以电子方式。合同要生效的话是需要满足一定条件的,那么,电子合同的生效要件有哪些?今天,云合同小编就给大家普及一下电子合同的生效条件:
为合同特殊形式的电子合同代签名的生效需具备以下几个生效条件:
1、订约主体是双方或多方当事人。
订约主体是指实际订立合同的人,他们既可以是未来的合同当事人,亦可是合同当事人的代理人。对于不具备相应民事行为能力的自然人订立的电子合同的效力,有人从保护无过错方当事人利益的角度考虑,认为应将使用电信的无行为能力人或限制行为能力人视为有行为能力人。但是,这样无疑会鼓励网络上不负责任行为的产生及泛滥,非但保护无过错方当事人的初衷不会实现,反而会损害双方当事人的利益,而且这样也与无民事行为能力、限制民事行为能力制度的主旨不符。因此,一方当事人缺乏相应的民事行为能力的电子合同也应当确定为无效或效力待定的合同。
2、电子意思表示真实。
即利用资讯处理系统或者电脑为真实意思表示的情形。意思表示由两个因素构成:一是内心意思之主观要件,二是此意识外部表示之客观要件。但随着科技的进步,当事人可能运用机械的或自动化的方式来为要约或承诺作出意思表示。在网络发达的今日,计算机程序或主机在其程序设计的范围内自行“意思表示”,而当事人则完全不介入意思表示的过程,此为“电子代理人”,电子代理人应独立代表个人的意思表示或接受意思表示,其所代表的个人应该承担相应的法律责任。
3、合同的成立应具备要约和承诺两个阶段。
我国合同的缔结方式必须经过要约、承诺两个阶段,并达成一致的意思表示。电子合同的要约是指表意人通过网络发出希望与他人订立合同的意思表示。通过网络作出承诺,一般都是针对网络上发出的要约而作出的。承诺人既可以电子邮件的形式,也可以点击的方式作出承诺。如果仅仅只是在网上进行谈判,而在网下通过面对面的签约或以电话电报等方式作出承诺,则仍然属于一般合同订立中的承诺,而不是在订立电子合同中所作出的承诺。
简单来说,电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性,使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。
但是,通过上述技术名词解释并不能直观、易懂的说明电子签名的原理,以下是通过还原电子签名签署的过程简介电子签名是如何保证安全保密的:
场景:由于业务需要,你和我需要签署一份合作协议。为方便起见,你将拟好的电子版合同文本在线发送给我签署。
怎样确保合同只有我可查看且不被他人恶意窃取?我又怎样才能确定文件的发送人就是你呢?
关键点1:公钥私钥登场
为了满足电子合同内容保密性和发送人认证的要求,我们了解到非对称加密的加密方式。
非对称加密:具有唯一对应的一对秘钥,一个公钥一个私钥,公钥所有人可见,而私钥仅自己可见。
非对称加密具有这样的特性:用公钥加密的文件只能用私钥解密,而私钥加密的文件只能用公钥解密。
发送合同时,你将拟好的电子合同使用自己的私钥加密后发送;接收合同时,如果能够使用你的公钥解密,则说明这份文件就是你发送的。
但是,我怎么才能知道你的公钥呢?
关键点2:政府出了个CA来帮忙
我了解到,政府授权了一个权威机构叫CA,可以提供网络身份认证的服务。
CA (Certificate Authority) :全称证书管理机构,即数字证书的申请、签发及管理机关。其主要功能为: 产生密钥对、生成数字证书、分发密钥、密钥管理等。
数字证书:是由CA机构颁发的证明,它包含公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息,可以通俗为理解个人或企业在“网络身份证”。
我向CA机构申请获取你的公钥,使用它对电子合同解密,解密成功则说明发送人就是你。文件发送人的身份确认了,那怎么保障电子合同传输过程中未被篡改呢?
关键点3:哈希兄弟出场
有技术人员推荐了哈希算法(摘要算法),可以证明电子合同传输过程中是否被篡改。
哈希算法:通过加密算法将文本内容生成为一段代码,即信息摘要,其主要特征是加密过程不需要密钥,经加密的数据无法被反向还原。也就是说,只有两份完全相同的合同经过相同的哈希算法才能得到相同的摘要。
发送合同时,你将电子合同原文和经哈希运算的摘要一起发送给我接收合同时,通过对合同原文进行同样的哈希运算得到新的摘要,对比两组摘要是否一致即可证明我接收的文件是否被篡改
但是,如果传输过程中文件原文与摘要同时被替换了怎么办?
关键点4:对称加密来帮忙
除了上述的哈希算法、非对称加密、CA,为确保合同由发送到接收满足三个要求,即:由你发送、只能发给我、不能被篡改,我们还需要应用新的加密方式:对称加密。
对称加密:采用单钥密码系统的加密方法,信息的加密和解密只能使用同一个密码。
发送文件时:
1、你通过哈希运算得到原文摘要并使用私钥对其加密,得到你的数字签名,再将数字签名和合同原文进行对称加密,得到密文A——对原文加密
2、再通过CA获得我的公钥,对上述步骤中对称加密的秘钥进行非对称加密,即我的“数字信封”——对秘钥加密
3、将密文A和我的数字信封一起发送给我
数字签名:用哈希算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。
数字信封:用接收方的公钥加密对称秘钥”,这就叫“给乙的数字信封。
接收文件时:
1、我使用自己的私钥解密数字信封得到对称秘钥——能解开,说明是发给我的
2、再使用对称秘钥解密密文A,得到带有你的数字签名的原文
3、使用你的公钥解密你的数字签名,得到签名中的原文摘要——能解开,说明发送者是你
4、使用相同的摘要算法获取原文摘要并与解密签名中的摘要对比——摘要一致,则说明原文没有被篡改
除了文件内容不可篡改,精确记录签署时间固定合同生效期限也十分重要,网络环境中怎样怎么确保合同签署时间不可篡改呢?
关键点5:时间戳来证明
我又请教了专家,原来我们国家还有专门确定时间的法定授时中心,它可以在我们签署的文件上加盖“时间印迹”,即时间戳。
时间戳(time-stamp):书面签署文件的时间是由签署人自己写上,而数字时间戳则由第三方认证单位(DTS)添加,以DTS收到文件的时间为依据,更精准、更有公信力。
至此,我们签合同的时间精准记录、合同内容不可篡改、双方身份也真实有效,这下没问题了!但是,签署完的电子合同怎么存储呢?不管是哪一方签署,日后产生纠纷都难免对合同存储期间的安全性产生质疑。
关键点6:找个权威第三方来存证
听说有专门的第三方电子数据存证机构,可以保存已签署的电子合同数据,当用户双方对合同内容产生争议时可申请出具具有公信力的证明。
合同签署的最后一个问题:存储问题也解决了!但唯一不足之处就是:签署过程太麻烦!为保障电子合同有效性,我们用到了非对称加密、哈希运算、时间戳等技术,还要CA机构、公证处等机构协助;
怎样更简单快捷地签一份有效的电子合同呢?
关键点7:选择可靠的第三方电子合同平台
根据《电子签名法》规定,使用可靠的电子签名签署的电子合同具备与手写签字或盖章的纸质合同同等的法律效力。
根据《电子签名法》规定,符合下列条件的,视为可靠的电子签名:
1)电子签名制作数据用于电子签名时,属于电子签名人专有
2)签署时电子签名制作数据仅由电子签名人控制
3)签署后对电子签名的任何改动能够被发现
4)签署后对数据电文内容和形式的任何改动能够被发现
结合上述电子合同签署过程,我们可归纳总结有效的电子合同应关注以下几个核心点:内容保密性、内容防篡改、明确签订身份、明确签订时间。
同时,为保障电子合同作为书面形式的证据能力,合同签署全程还应当由权威第三方机构存储公证。
商务部在《电子合同在线订立流程规范》指出:“通过第三方(电子合同服务提供商)的电子合同订立系统中订立电子合同,才能保证其过程的公正性和结果的有效性”。
合法的电子签名都是具备一定安全性的密码产品:
在《电子签名法》中规定,电子签名需满足以下条件:
① 电子签名制作数据用于电子签名时,属于电子签名人专有;
② 签署时电子签名制作数据仅由电子签名人控制;
③ 签署后对电子签名的任何改动能够被发现;
④ 签署后对数据电文内容和形式的任何改动能够被发现。
而对于商用电子签名,需要满足的条件则更多:
- 需要受国家密码管理局、工信部等主管单位管理;
- 需要具备国家密码管理局颁发的《商用密码产品型号证书》、《商用密码生产定点单位证书》、《商用密码产品销售许可证》,以及采用工信部颁发牌照的CA机构数字证书认证用户身份信息唯一性。
所以,电子签名产品只要符合法律规定,那就已经符合了基础安全要求。具备越多的资质,则安全性越高。
目前国内资质最全的是e签宝,是业内独家国密三证齐全、国内首家拥有CA牌照资质的互联网电子签名平台,另外像国家信息安全等级保护3级的安全证书,ISO27001信息安全管理系统认证,可信云认证均早已完成。
接下来,我们要判断它是否是一个可靠的电子签名产品,这就需要更为强劲的安全技术。核心是要做到以下四点:真实身份、真实意愿、签名未改、原文未改。要做到这些,主要依靠以下两项技术。
核心技术一:实名认证
这能帮助电子签名实现真实身份与真实意愿两点。
以e签宝实名认证技术为例,每位用户来使用e签宝都是需要严格实名认证的,确保线上线下主体一致,非本人操作是没办法完成认证的。同时每一账号都是有独立的用户名、登入密码以及签署密码,只有本人登陆才能完成签字盖章。
(e签宝严密的实名认证服务)
核心技术二:签署服务
这让电子签名可以防篡改、防抵赖。
e签宝签署服务提供多种方案:一种是不接触原文的哈希摘要签署,即通过接口以保密性极好的基于沙箱技术实现原文隐私保护的电子签名方法,可以在保障用户隐私的情况下为用户完成签署服务。另一种是基于e签宝专业第三方API接口来完成签署,整个签署过程由我们来见证,并对全过程数据进行加密固化存证,三地容灾,后续发生纠纷可在线第一时间申请出具法律证明。
最后,可以通过电子签名企业的平台实力、客户合作情况及业内影响力,来做外部参考。e签宝是国家电子签名标准制定参与者、浙江省政府电子签章唯一供应商,目前华为、阿里、丰田、索尼、吉利汽车、海康威视、网易、360等都在使用e签宝的电子签名服务。
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据,电子签名并非书面签名的数字图像化,而是一种代表个人或企业真实身份的电子代码。《电子签名法》第十四条规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。
可靠的电子签名是电子合同具备法律效力的必要条件,也是签合同时应注意的重要环节之一。
《电子签名法》对“可靠的电子签名”要求:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。
因此大家在签电子合同时,要注意其否进行符合上述要求,是否具有可靠的电子签名技术,在这一点上,众信签采用以下方式来保障:
▌签署主体身份
众信签用户完成注册登录后首先要进行实名认证,针对个人和企业分别有不同的认证方式。个人用户实名认证的方式为:用户输入姓名、身份证号、银行卡号、手机号及短信验证码信息,并上传个人身份证正反面及手持身份证照片进行加强认证,或二要素加人脸识别;企业用户实名认证的流程为提交企业工商信息,进行对公账号打款验证。企业认证部分还需要提供法人身份信息进行法人实名认证。
数字证书认证是在互联网环境下证明签署者身份的重要保障,也是构成可靠电子签名的必要条件。数字证书只能由权威的第三方CA机构提供,众信签合作的CA机构为CFCA(中国金融认证中心)和深圳CA(深圳市电子商务安全证书管理有限公司)。
可靠电子签名还需要能够验证签名所有人的签署意愿,即通过必要的验证方式保障合同签署时电子签名为签名人所控制,众信签目前主要通过短信验证码的方式进行验证签署,目前,平台已着手开发基于人脸识别的验证方式。
▌防篡改技术
防篡改是数字签名技术的基本属性,也是电子合同平台的核心技术,众信签使用了RSA2048双向加密技术进行数据加密,以确保文件的任何修改均能被发现。可信时间戳用于保障电子合同签署时间防篡改,众信签接入了由中科院授时中心同步的时间源以及CFCA颁发的时间戳证书,为电子签名添加时间属性,从而确保电子合同签署的时间不可篡改。此外,众信签在电子存证上采用区块链存证技术,由中国工信部"电子认证+区块链"实验项目提供技术支持,电子合同数据存在可信电子存证固证服务平台的区块链数据节点上。
2. 合同数据安全
众信签电子合同平台基于电子商务交易技术国家工程实验室搭建,电子商务交易技术国家工程实验室是我国电子商务领域第一个国家级网络化、国际化、开放型电子商务关键技术研究开发机构及公共服务基地,属于国家工信部实验项目(工信软函【2018】789 号),由国家发展和改革委员会批准建设。
在数据传输安全方面,众信签安装了网站数字证书,所有文档通过AES标准的256位SSL加密文件传输,有效防止文件被窃取。众信签的网站数字证书为OV SSL证书(由WoSign认证颁发),能够实现数据加密传输和网站所属单位验证。就数据存储来看,众信签属于自建服务器,通过双重备份的方式提高数据存储安全性。
告别纸质合同烦恼,选择众信签,让签约更高效,众信签官网(http://www.ebssign.com),h5地址:(https://h5.ebssign.com),咨询电话:0755-82790214。
