2005年我國頒布《電子簽名法》,明確了電子簽名的法律效力。但是隨之而來的一些有關電子簽名的詞匯,卻叫人一時搞不明白,比如:數字簽名就是《電子簽名法》中的電子簽名嗎?數字簽名與電子簽名有什么區別?
電子簽名
要理解什么是電子簽名,需要從傳統手工簽名或蓋印章談起。在傳統商務活動中,為了保證交易的安全與真實,一份書面合同或公文要由當事人或其負責人簽字、蓋章,以便讓交易雙方識別是誰簽的合同,保證簽字或蓋章的人認可合同的內容,在法律上才能承認這份合同是有效的。
而在互聯網虛擬世界中,合同或文件是以電子文件的形式表現和傳遞的。在電子文件上,傳統的手寫簽名和蓋章是無法進行的,這就必須依靠技術手段來替代,能夠在電子文件中識別雙方交易人的真實身份,保證交易的安全性和真實性以及不可抵懶性,這種電子技術手段稱之為電子簽名。
《電子簽名法》對電子簽名的定義是指數據電文中以電子形式所含、所附用於識別簽名人身份並表明簽名人認可其中內容的數據。實現電子簽名的技術手段有很多種,常見的電子簽名形式有:手寫簽名或印章的數字化圖像、采用生物識別數據(如虹膜、指紋)、基於公鑰密碼技術的數字簽名等。
數字簽名
很多人認為“電子簽名=數字簽名”,這是錯誤的!數字簽名是電子簽名技術的一種,也是目前比較成熟且全球應用最為普遍的電子簽名技術。大多數應用場景提到的電子簽名,實際指的就是數字簽名。由於保持技術中立性是制訂法律的一個基本原則,基於公鑰密碼理論的數字簽名技術未必是可靠電子簽名的唯一技術,因此法律上會使用更廣義的概念以適應今后的技術發展。
數字簽名最符合可靠電子簽名要求
我國《電子簽名法》要求,電子簽名同時符合下列條件的,視為可靠的電子簽名:
(一)電子簽名制作數據用於電子簽名時,屬於電子簽名人專有;
(二)簽署時電子簽名制作數據僅由電子簽名人控制;
(三)簽署后對電子簽名的任何改動能夠被發現;
(四)簽署后對數據電文內容和形式的任何改動能夠被發現。
簡單地說,就是實現簽名人身份真實、簽署后的文檔不可修改、簽署行為不可抵賴。數字簽名技術是目前最符合可靠電子簽名要求、應用最普遍、可操作性最強的技術之一。
數字簽名是公鑰加密技術(也稱為非對稱加密)與數字摘要技術(也稱為散列算法或哈希算法)相結合的應用。基於公鑰加密技術,每個證書持有人都有一對公鑰和私鑰,這兩把密鑰可以互為加解密。公鑰是公開的,不需要保密,而私鑰是由證書持人自己持有,並且必須妥善保管和注意保密。結合使用公鑰技術與散列算法來創建數字簽名,可用作數據完整性檢查並提供擁有私鑰的憑據。
數字簽名和驗證的步驟如下:
1) 發件人將散列算法應用於數據,並生成一個散列值。
2) 發件人使用私鑰將散列值轉換為數字簽名。
3) 發件人將數據、簽名及發件人的證書發給收件人。
4) 收件人將該散列算法應用於接收到的數據,並生成一個散列值。
5) 收件人使用發件人的公鑰和新生成的散列值驗證簽名。
對用戶而言這一過程是透明的。
簽名人的數字證書是由證書頒發機構(CA)驗證申請者真實身份后頒發,證書綁定申請者真實身份信息,可驗證簽名者身份真實性;數字簽名后,數據一旦被修改,數字簽名立即失效,接受方即可發現簽署后的數據已經被修改,無法在不被發現的情況下修改數據;證書私鑰由證書持有者在自己本地生成的,由證書持有者自己負責保管,可確定為簽名人專有,簽署行為不可抵賴。
此外,《電子簽名法》第16條規定,電子簽名需要第三方認證的,由依法設立的電子認證服務提供者提供認證服務。
我簽文件(WoSignDoc)電子簽名平台
沃通CA是我國工信部許可的合法電子認證服務機構,提供的可靠電子簽名受我國《電子簽名法》保護,與手寫簽名和蓋章具有同等法律效力;沃通遵循工業標准數字簽名技術,簽發的數字證書符合國際標准;沃通CA根證書已列入Adobe可信任的CA列表中,簽發的數字證書受Adobe信任,可通過Adobe文檔查看程序自動驗證數字簽名的有效性。
我簽文件(WoSignDoc)電子簽名平台是沃通CA提供的電子簽名雲服務平台,用戶可直接在平台上簽署文檔,或使用API接口將在線電子簽名方案無縫集成到現有的業務平台中,快捷安全地實施可靠電子簽名。