摘要:随着我国互联网的发展,中国网民数量越来越多,各色各样的网站充斥着中国互联网市场,中国的互联网一篇繁荣。这其中,电子商务发展尤快,自ebay退出中国市场以来,电子商务站如雨后春笋般冒出,电子商务站的安全,则成了一大问题。本文将围绕电子商务站的安全防范并结合CA认证体系进行系统的分析。
关键词:电子商务;CA认证;风险防范;数字身份 中图分类号:TP3
文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
随着互联网的发展,网上购物成了网民日常网络生活中的一部分,就如笔者,每个月都会在网络上购买一些物品,小到几元钱,大到几千元上万的东西。网络购物在很大程度上方面了网民,能让网民足不出户,买遍全国。并且卖家减少了店面租金装修等,节约了产品成本,让买家实际受益。然而,电子商务站带来的不仅仅是便捷,对于它的维护者来说,带来的更是挑战。
我们都知道,在网络上交易,就如同在现实交易,电子商务站内的钱,就等于人民币。假如服务器出现任何问题,或者能让人非法提交了数据,那就意味着,任何人可以在电脑上任意敲数字给自己银行卡存钱,这种致命的错误一但犯了,轻者损害网站名誉,让网民不敢放心网购,重者导致公司资金出现问题而倒闭,任何一种局面都是我们所不愿看到的,因此,如何做好电子商务网的安全是电子商务站的重中之重。
在应对电子商务站的安全与风险的众多措施下,有一种手段称为:CA认证。何谓CA认证?即:数字证书验证。英文称:Certificate
Authority(简称CA)。CA认证机构,又名证书授权中心。证书具有唯一性,授权机构负责证书不被非法修改,这样一来,使得不法分子无法修改或伪造电子证书。数字身份验证技术目前已被全球广泛使用,在电子交易上面有着无可取代的地位,担当着电子交易环节中的安全守护神的职责,是整个电子交易中的核心环节。有些读者或许不了解这种技术,但是很多人确确实实在交易中使用着这项技术,如在支付宝支付的时候相信很多人被要求过装证书。对于电子商务站,CA认证时最普遍的一种认证手段,能给支付系统带来更大的安全性。接下来,本文将围绕CA认证体系的工作方式与实行中将会碰到的各种风险进行分析与探讨。
CA认证是在2002年8月份开始在我国的武汉进行试点的,也是第一个经国家信息化产业部批准的CA认证机构,接下来2年,开始在我国主要的大中城市开始实行。
一、电子商务中交易流程的三个阶段,CA认证严格
在电子商务交易中,一共有三个阶段,五个交易参与方:买家、供货商、服务商、CA认证机构和银行。
第一阶段:认证中心证书的注册申请。交易各方通过认证中心获取各自的数字安全证书。这一个步骤是交易的前提,买家、供货商、银行等,首先要通过认证中心获取各自的安全证书,才能进行下一步的操作,就像在淘宝购物的时候,必须安装数字证书才能进行支付操作那样。交易各方都不能离开各自的数字证书
第二阶段:银行的支付中心对买家的数字安全证书进行验证,通过验证后,将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字安全证书的验证,通过验证后,可以履行交易内容进行发货。这个步骤实质上就类似于银行在充当交易的担保方,钱未进入发生交易的双方的任何一方,而是在第三方,换句话来说,假如交易发生任何意外,任何一方无法直接关闭交易不理睬对方,只能寻求第三方解决,为交易的人为性安全带来了保障。
第三阶段:买家确认收货无任何问题以后,银行验证服务商和供货商的安全数字证书以后,将买家冻结在银行的款项转到供货商和服务商头上,至此,一笔电子交易就完成了。
从三个阶段我们可以看出,CA认证充当着十分重要的作用,它一直贯穿着整个交易过程,整个交易过程中,数字证书几乎主宰着现金的流向,银行在专款的过程中,可以说是只认证书不认认,这也刚好充分体现了数字证书在电子交易中的角色地位,电子交易中,我们可能根本不认识与我们发生交易的人,不像现实中的交易,可以见人见货给钱。整个支付过程,数字证书就是收款人身份的一种标志,换句话说,一旦数字证书被非法修改,那么收款人即发生改变,就像现实中,你卖了点东西给别人,而别人利用了你的身份去收款,如果电子交易中发生这种情况,那整个电子交易市场将受到严重的冲击。
从三个阶段上看,CA数字证书的验证必须严格执行,要做到安全的电子交易,做好CA认证的严格执行是第一步。
二、我国关于CA认证的法律支持
为确保我国电子商务市场的稳定运行,国家在电子交易兴起前就发布了《电子商务CA认证机构试点管理办法》,第一个由国家信息化产业部通过的CA认证机构,率先在武汉试点运行,取得了良好的效果,填补了我国在这一方面的空白。
从《办法》中我们可以看出,国家法律保护并支持CA机构的建立和运营,注重CA机构的审核,严格要求CA机构具有相关技术水平和经济能力,以保证万一出现事故,有能力赔付。
除了《办法》外,我国还出台了一部相关的法律《电子签名法》,该法有如下重要几条,从如下几条,我们可以看出国家对待数字证书CA的态度。
根据《电子签名法》第三章第十三条规定:
1.电子签名制作数据用于电子签名时,属于电子签名人专有;
2.签署时电子签名制作数据仅由电子签名人控制;
3.签署后对电子签名的任何改动能够被发现;
4.签署后对数据电文内容和形式的任何改动能够被发现。
从上面四条可以看出,我国法律在对待认证机构对数字签名的要求十分严格,在法律上要求认证机构能及时发现数字证书是否被修改,并且严格要求一人一证,数字签名属个人专有,保证了使用者的合法权益,强大的法律后盾是CA体系能够一路走来的一大因素。
《电子签名法》第三章第二十一条还规定: 1.电子认证服务提供者名称;
2.证书持有人名称; 3.证书序列号; 4.证书有效期;
5.证书持有人的电子签名验证数据; 6.电子认证服务提供者的电子签名;
7.国务院信息产业主管部门规定的其他内容。
这表明认证机构颁发的证书,必须注明提供认证的提供者名称,证书持有人名称,证书序列号,证书有效期,以及验证数据和提供者的电子签名,其中,证书的有效期可以让该证书在一定时间以后,失去作用,必须重新申请,这加大了CA系统的安全性。
电子商务站在支付系统这方面,要降低交易风险,就要使用数字证书技术,它也是主流支付站点所普片使用的,在考虑CA体系的风险性的时候,不仅要考虑到电子上面上的,也要考虑到实际与认证机构的法律层面的,在和认证机构合作前一定要起草合约,按法律要求机构提供完整的服务,一旦发生事故,可以及时要求认证机构负责,如有必要,可以按照电子签名法将机构告上法庭,降低CA体系中的风险。
三、CA认证的实现和功能体系的设计步骤
电子商务的CA认证实现中,一共分为以下一些功能设计:RA,RS,CP,CRL
他们分别代表:证书发放审核部门,接受用户申请证书的受理者,证书发放的部门,以及记录证书作废的证书作废表
RA这个部门呢,是进行审核的,审核是否具有资格,因为,它必须要承担一些由审核不合格造成的一切损失。
CP为证书发放的操作部门,由上一个部门审核以后,就交给该部门来制作,该部门要负责证书的安全性,一切由证书被修改类造成的损失,均由该部门负责。
RS是领取证书的人,如果有人需要申请证书,则提交给改部门,然后再交给发放证书的部门发放。。
CRL我们都知道,证书存在过期时间,当证书过期以后,就需要一个证书过期的废表来保存这些过期的证书,crl即是起到这样的作用,它用来记录哪些证书是过期的,失效的,当验证证书的时候,可以与该表对比得出哪些证书是失效证书。
四、CA认证在我国面临的一些风险以及应对措施
在我们国家,目前CA认证主要的问题还是由于起步晚,技术不成熟,法律上有一些空子,导致了CA认证的安全级别没有西方一些发达国家那么安全,这些问题会随着时间的推移慢慢变小,而在此时期,我们主要的应对措施还是灵活应用,在实际操作中,尽量排除人为因素,可以自行签订条约对提供方提出约束,寻找信用良好的CA认证机构合作,拒绝不诚实的CA认证机构,国家需要完善法律法规,在法律上要有一致性。并且增加打击力度,对于不法分子予以严厉打击,以维护我国CA体系的稳健发展。
本文笔者从CA体系的建设和技术层面,并结合了法律法规,分析了存在于我国CA体系中的风险以及相关的应对措施,希望以此敲响警钟,为中国的电子商务事业添墙增瓦。
参考文献: [1]何莉.CA体系常见问题[J].黑龙江社会科学,2008,9:59-61
[2]张素娟,郑伟涛,余醒,陈新梅.《中华人民共和国电子签名法》开创中国电子商务新局面[J].中国电子商务,2004,9:10-16
[3]李一凡.电子商务及其安全技术[M].中国电子商务出版社,2005,1,6
[作者简介]庞瑞卿,男,籍贯:内蒙古卓资县,职称:助理工程师,学历:本科,工作领域:信息系统管理。

2017-10-18 梅臻 干货·合同 |
数字签名的证据效力

发文单位:广东省人大常委会

在互联网时代,在网上互相传递电子数据、文档、文件,成为非常普遍的现象,这类电子数据的法定名称被称为数据电文。数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。数据电文在互联网中有广泛的运用,很多合同、订单都在网上签署或下达,但与此同时,很多纠纷也在网络上产生。正因为网上传递、存储的文件以数字化形式存在,因此书面文件需要转化为二进制代码进行存储、传输,而后在接收端还原为书面文件的原始形式进行查看。在这个转换和传输过程中,数据电文如果不经过技术处理,很容易被计算机高手篡改,从而与原始的发送文件不符,容易产生争议。正因为如此,各国法律中传统的证据规则在互联网刚刚兴起的时候,并没有把数据电文纳入证据的范围,直到电子签名技术产生、推广和运用以后,各国通过立法的形式对经电子签名技术处理的数据电文赋予证据效力。

文  号:广东省人大常委会公告第153号

美国前总统克林顿于2000年6月30日正式签署的《电子签名法案》是网络时代的重大立法,它使电子签名和传统方式的亲笔签名具有同等法律效力,被看作是美国迈向电子商务时代的一个重要标志

发布日期:2002-12-6

克林顿使用一个电子卡片在电脑荧屏上签署了这项法令,而密码就是他爱犬的名字。不过,为了避免引起不必要的法律效力问题,他又按传统习惯用钢笔在法律文书上签下了自己的名字。克林顿在签署这项法律时说:

执行日期:2003-2-1

“不久以后,美国人民就可以使用带有数字签名的电子卡片做他们想要做的事情了,电子签名将会应用在各个领域之中,从聘请律师到抵押贷款,无所不能。在这项具有划时代意义的法律正式生效后,人们将可以使用电子签名签订在线合同和进行电子商务,这对于新经济的发展无疑具有巨大的推动作用。”

生效日期:1900-1-1

2000年至2001年期间,爱尔兰、德国、日本、波兰等国政府也先后通过各自的电子签名法案。我国也于2004年8月28日通过《中华人民共和国电子签名法》,自2005年4月1日起施行。但是该法实行后,电子签名技术并未广泛使用,仅局限于部分领域,公众对于电子签名技术比较陌生,在传输合同和电子商务过程中并未广泛使用电子签名技术,导致数据电文在传输和存储过程中存在易篡改的可能性,正因为如此,我国法院在审理案件过程中,对于诉讼各方提交的以数据电文形式形成的证据采信程度很低。

  第一章 总则

本文的目的在于阐明:

  第二章 电子签名与电子记录

  • 为什么数字签名属于可靠的电子签名技术?
  • 为什么经过可靠的电子签名技术处理过的数据电文具有等同于书面证据原件的法律效力?

  第三章 电子合同

一、手写签名能证明什么?

要理解什么是电子签名,需要从传统手写签名或盖印章谈起。

在传统的商务活动中,为了保证交易的安全与真实,一份书面合同或文件要由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的合同,保证签字或盖章的人认可合同的内容,属于签字或盖章方真实的意思表示,这样在法律上才能承认这份合同是有效的。

从法律上讲,签名(签章)有两个主要的证明功能:即标识签名人的身份和表示签名人对文件内容的认可。另外,随着司法鉴定技术的发展,可以基于褪色原理,对文件制成的时间、印章笔迹形成的时间做出鉴定,得知该文件大致的签署时间。同时,对书面文件进行改动会留下痕迹,容易被人察觉。以上就是采用书面签署文件的方式所能起到的证据作用。

  第四章 认证机构

二、电子签名如何能有效替代手写签名?

如上文所述,手写签名有两个主要证明功能和一个附加证明功能。如果电子签名技术要替代手写签名,就一定要具备下列三个功能:

  1. 标识签名人的身份;
  2. 在对有关数据电文进行电子签名以后,该数据电文无论是保存在存储器上还是在网络中传输,都必须具有防止他人篡改文件的功能;
  3. 可以证明电子签名的签署时间。只要通过技术手段能够替代手写签名的证明功能,电子签名技术就可以运用在数据电文的签署上,且能够被法律认可其证据效力。能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性以及不可抵赖性,起到与手写签名或者盖章同等作用的签名的电子技术手段,称之为电子签名。

  第五章 电子交易服务提供商

三、电子签名与数字签名的关系

联合国贸发会的《电子签名示范法》中对电子签名作了如下定义:

“指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”;

在欧盟的《电子签名共同框架指令》则规定:

“以电子形式所附或在逻辑上与其他电子数据相关的数据,作为一种判别的方法”称电子签名。

而我国的《电子签名法》将电子签名定义为

“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”。

实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是“数字签名”技术。由于保持技术中立性是各国制订法律的一个基本原则,目前还没有任何理由说明公钥密码理论是制作签名的唯一技术,因此有必要规定一个更一般化的概念以适应今后技术的发展,所以各国法律都采用“电子签名”的概念。

而“数字签名”是迄今为止最为成熟和公认最为可靠的电子签名技术。

  第六章 法律责任

四、数字签名技术

所谓”数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证无法比拟的。

“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。

  第七章 附则

(一) 数字签名的原理

在公钥密码学中,密钥是由公开密钥和私有密钥组成的密钥对。数字签名就是用私有密钥进行加密,接收方用公开密钥进行解密。由于公开密钥不能推算出私有密钥,所以公开密钥不会损坏私有密钥的安全,公开密钥无需保密可以公开传播,而私有密钥必须保密。因此,当某人用其私有密钥加密信息,能够用他的公开密钥正确解密就可以肯定该消息是经过某人签字的,因为其他人的公开密钥不可能正确解密该加密信息,其他人也不可能拥有该人的私有密钥而制造出该加密过的信息。

数字签名并非是书面签名的数字图像化,而是通过密码技术对电子文档进行的电子形式签名。实际上人们可以否认曾对一个文件签过名,且笔迹鉴定的准确率并非100%,但却难以否认一个数字签名。因为数字签名的生成需要使用私有密钥,其对应的公开密钥则用以验证签名,再加上目前已有一些方案,如数字证书,就是把一个实体(法律主体)的身份同一个私有密钥和公开密钥对绑定在一起,使得这个主体很难否认数字签名。

就其实质而言,数字签名是接收方能够向第三方证明接收到的消息及发送源的真实性而采取的一种安全措施,其使用可以保证发送方不能否认和伪造信息。数字签名的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。

  广东省第九届人民代表大会常务委员会第三十八次会议于2002年12月6日通过,现予公布,自2003年2月1日起施行。

(二)数字签名的作用

数字签名作为维护数据信息安全的重要方法之一,可以解决伪造、抵赖、冒充和篡改等问题,其主要作用体现在以下几个方面:

  • (1)防重放攻击。重放攻击(Replay
    Attacks),是计算机世界黑客常用的攻击方式,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。在数字签名中,如果采用了对签名报文加盖时戳等或添加流水号等技术,就可以有效防止重放攻击。
  • (2)防伪造。其他人不能伪造对消息的签名,因为私有密钥只有签名者自己知道,所以其他人不可以构造出正确的签名结果数据。
  • (3)防篡改。数字签名与原始文件或摘要一起发送给接收者,一旦信息被篡改,接收者可通过计算摘要和验证签名来判断该文件无效,从而保证了文件的完整性。
  • (4)防抵赖。数字签名即可以作为身份认证的依据,也可以作为签名者签名操作的证据。要防止接收者抵赖,可以在数字签名系统中要求接收者返回一个自己签名的表示收到的报文,给发送者或受信任第三方。如果接收者不返回任何消息,此次通信可终止或重新开始,签名方也没有任何损失,由此双方均不可抵赖。
  • (5)保密性。手写签字的文件一旦丢失,文件信息就极可能泄露,但数字签名可以加密要签名的消息,在网络传输中,可以将报文用接收方的公钥加密,以保证信息机密性。
  • (6)身份认证。在数字签名中,客户的公钥是其身份的标志,当使用私钥签名时,如果接收方或验证方用其公钥进行验证并获通过,那么可以肯定,签名人就是拥有私钥的那个人,因为私钥只有签名人知道。

广东省人民代表大会常务委员会
2002年12月6日

(三)数字证书

在网上电子交易中,商户需要确认持卡人是信用卡或借记卡的合法持有者,同时持卡人也必须能够鉴别商户是否是合法商户,是否被授权接受某种品牌的信用卡或借记卡支付。为处理这些关键问题,必须有一个大家都信赖的机构来发放数字安全证书。数字证书就是参与网上交易活动的各方(如持卡人、商家、支付网关)身份的代表,每次交易时,都要通过数字证书对各方的身份进行验证。数字证书是由权威公正的第三方机构即证书授权(Certificate
Authority,简称CA)中心签发的,它在证书申请被认证中心批准后,通过登记服务机构将证书发放给申请者。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT
X.509国际标准。

一个标准的X.509数字安全证书包含以下一些内容:

  • 1)证书的版本信息;
  • 2)证书的序列号,每个证书都有一个唯一的证书序列号;
  • 3)证书所使用的签名算法;
  • 4)证书的发行机构名称,命名规则一般采用X.500格式;
  • 5)证书的有效期,现在通用的证书一般采用UTC时间格式;
  • 6)证书所有人的名称,命名规则一般采用X.500格式;
  • 7)证书所有人的公开密钥;
  • 8)证书发行者对证书的签名。

    第一章 总则

(四)时间戳

在电子商务交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务(digital
timestamp
service,简称DTS)是网上电子商务安全服务项目之一,能提供电子文件的日期和时间信息的安全保护。时间戳(timestamp),通常是一个字符序列,唯一地标识某一刻的时间。数字时间戳技术是数字签名技术一种变种的应用,也通常在数字签名系统中被采用。

时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:

  • (1)需加时间戳的文件的摘要(digest);
  • (2)DTS收到文件的日期和时间;
  • (3)DTS的数字签名。

一般来说,时间戳产生的过程为:用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。数字时间戳由认证单位来加具,以DTS收到文件的时间为依据

但是现在市场上提供时间戳服务的机构并非《电子签名法》中所指的“电子认证服务提供者”,其未获得工信部颁发的《电子认证服务许可证》,也不能证明文件签署者的主体身份,在技术上和法律效力上都具有局限性。

  第一条 为规范电子交易活动,维护电子交易正常秩序,保证电子交易的安全、可靠,保障电子交易各方的合法权益,促进电子商务的发展,根据国家有关法律、法规的规定,结合广东省实际,制定本条例。

(五)证书授权中心
  1. 证书授权中心,即CA中心,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的客户发放一个数字证书,数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。CA中心的数字签名使得攻击者不能伪造和篡改证书。CA中心负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。

  2. CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括公钥基础设施PKI(Public
    Key
    Infrastructure,简称PKI)结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等等。从业务流程涉及的角色看,包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。从CA的层次结构来看,可以分为认证中心(根CA)、密钥管理中心(KM)、认证下级中心(子CA)、证书审批中心(RA中心)、证书审批受理点(RAT)等。CA中心一般要发布认证体系声明书,向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。
    根据PKI的结构,身份认证的实体需要有一对密钥,分别为私钥和公钥。其中的私钥是保密的,公钥是公开的。从原理上讲,不能从公钥推导出私钥,如用穷举法来求私钥则由于目前的技术、运算工具和时间的限制而不可能。每个实体的密钥总是成对出现,即一个公钥必定对应一个私钥。公钥加密的信息必须由对应的私钥才能解密;同样,私钥做出的签名,也只有配对的公钥才能解密。公钥有时用来传输对称密钥,这就是数字信封技术。密钥的管理政策是把公钥和实体绑定,由CA中心把实体(即经实名认证的客户)的信息和实体的公钥制作成数字证书,证书的尾部必须有CA中心的数字签名。由于CA中心的数字签名是不可伪造的,因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后,才对申请者颁发数字证书,将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心,因此,实体可以信任由CA中心颁发数字证书的其他实体,放心地在网上进行作业和交易。

  3. CA中心主要职责是颁发和管理数字证书。其中心任务是颁发数字证书,并履行客户身份认证的责任。CA中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面,需要十分严格的政策和规程,要有完善的安全机制。另外要有完善的安全审计、运行监控、容灾备份、事故快速反应等实施措施,对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑。CA中心的证书审批业务部门则负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此,它应是能够承担这些责任的机构担任;证书操作部门(Certificate
    Processor,简称CP)负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有授权者发放证书等,它可以由审核业务部门自己担任,也可委托给第三方担任。

4.CA为电子商务服务的证书中心,是PKI体系的核心。它为客户的公开密钥签发公钥证书、发放证书和管理证书,并提供一系列密钥生命周期内的管理服务。它将客户的公钥与客户的名称及其他属性关联起来,为客户之间电子身份进行认证。证书中心是一个具有权威性、可信赖性和公证性的第三方机构。它是电子商务存在和发展的基础。

认证中心在密码管理方面的作用如下:

  • 1)自身密钥的产生、存储、备份/恢复、归档和销毁。从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生,并存储于加密硬件内,或以一定的加密形式存放于密钥数据库内。加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标准,彻底清除原有的密钥痕迹。需要强调的是,根CA密钥的安全性至关重要,它的泄露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。
  • 2)为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务。在客户证书的生成与发放过程中,除了有CA中心外,还有注册机构、审核机构和发放机构(对于有外部介质的证书)的存在。行业使用范围内的证书,其证书的审批控制,可由独立于CA中心的行业审核机构来完成。CA中心在与各机构进行安全通信时,可采用多种手段。对于使用证书机制的安全通信,各机构(通信端)的密钥产生、发放与管理维护,都可由CA中心来完成。
  • 3)确定客户密钥生存周期,实施密钥吊销和更新管理。每一张客户公钥证书都会有有效期,密钥对生命周期的长短由签发证书的CA中心来确定。各CA系统的证书有效期限有所不同,一般大约为2~3年。密钥更新不外为以下两种情况:一是密钥对到期;二是密钥泄露后需要启用新的密钥对(证书吊销)。密钥对到期时,客户一般事先非常清楚,可以采用重新申请的方式实施更新。

采用证书的公钥吊销,是通过吊销公钥证书来实现的。公钥证书的吊销来自于两个方向,一个是上级的主动吊销,另一个是下级主动申请证书的吊销。当上级CA对下级CA不能信赖时(如上级发现下级CA的私钥有泄露的可能),它可以主动停止下级CA公钥证书的合法使用。当客户发现自己的私钥泄露时,也可主动申请公钥证书的吊销,防止其他主体继续使用该公钥来加密重要信息,而使非法主体有窃密的可能。一般而言,在电子商务实际应用中,可能会较少出现私钥泄露的情况,多数情况是由于某个客户由于组织变动而调离该单位,需要提前吊销代表企业身份的该主体的证书。

  • 4)提供密钥生成和分发服务。CA中心可为客户提供密钥对的生成服务,它采用集中或分布式的方式进行。在集中的情形下,CA中心可使用硬件加密服务器,为多个客户申请成批的生成密钥对,然后采用安全的信道分发给客户。也可由多个注册机构(RA)分布生成客户密钥对并分发给客户。

  • 5)提供密钥托管和密钥恢复服务。CA中心可根据客户的要求提供密钥托管服务,备份和管理客户的加密密钥对。当客户需要时可以从密钥库中提出客户的加密密钥对,为客户恢复其加密密钥对,以解开先前加密的信息。这种情形下,CA中心的密钥管理器,采用对称加密方式对各个客户私钥进行加密,密钥加密密钥在加密后即销毁,保证了私钥存储的安全性。密钥恢复时,采用相应的密钥恢复模块进行解密,以保证客户的私钥在恢复时没有任何风险和不安全因素。同时,CA中心也应有一套备份库,避免密钥数据库的意外毁坏而无法恢复客户私钥。

  • 6)其他密钥生成和管理、密码运算功能。CA中心在自身密钥和客户密钥管理方面的特殊地位和作用,决定了它具有主密钥、多级密钥加密密钥等多种密钥的生成和管理功能。对于为客户提供公钥信任、管理和维护整个电子商务密码体系的CA中心来讲,其密钥管理工作是一项十分复杂的任务,它涉及到CA中心自身的各个安全区域和部件、注册审核机构以及客户端的安全和密码管理策略。

  第二条 本条例适用于广东省行政区域内的电子交易活动。

(六)EID对于数字签名的意义

1、EID是派生于居民身份证、在网上远程证实身份的证件,即“电子身份证”。

在技术上。EID也是采用PKI(Public Key
Infrastructure,公钥基础设施)的密钥对技术,由智能芯片生成私钥,再由公安部门统一签发证书、并经现场身份审核后,再发放给公民。具体而言,PKI技术是一套Internet安全解决方案,PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。EID的持证人在使用时自设PIN码激活证件,并通过通用读卡器通过网络远程向服务机构出示;服务机构通过EID的身份信息服务后台认证EID的有效性并获取相应权限内的信息。

2、 EID对冒用、截取、篡改、伪造之防范。

如上文所述,EID采用了PKI、硬证书+PIN码的技术,通过这些技术可以有效防止在网络上身份信息被截取、篡改和伪造。此外,由于EID是通过密码技术来将个人的身份与后台数据库关联,身份会被唯一认定,理论上很难被假冒

即使EID不慎遗失也不用担心被冒用。因为EID由公安部门的网络身份管理中心统一签发,若持证人遗失EID,可即刻向网络身份管理中心挂失,该EID将立刻被冻结或失效。通常,在没有EID的情况下,如果身份证丢失,因为身份证缺少注销功能,即使挂失补办了,社会上可能还会有两个身份证在流通。而EID具有唯一性,需要联网认证,申领了新的,旧的就自动被注销而无法再使用,因此EID持有者被认定为是可信的。而且由于EID具有PIN码,别人捡到或盗取后也无法使用。EID本身采用先进密码技术,重要信息在key中物理上就无法被读取,因此无法被破解,从而有效避免被他人冒用。

如果发生网络账号被盗情况,只要EID还在用户手上,就可以立即重置密码,因此账户就没有被盗用买卖的空间了。还可以规定关键操作必须使用EID,如网络上的交易行为必须插入EID,这样即使密码被窃取,也不会造成损失。

3、综上所述,EID实质上是数字签名技术+PIN码的技术的结合体,其在制作时就已经由公安部门进行了实名认证,不需要在使用时再进行实名认证,这弥补了CA机构在颁发CA证书时需要进行实名审核的弊端,同时PIN码技术的采用使身份证所有人成为使用其EID的唯一主体,有效避免了盗用或冒用的发生。笔者认为,基于颁发机构的权威性和技术的可靠性,随着EID的广泛使用,将可以完全取代现有的CA机构在数字签名系统中的使用。

  第三条 电子交易活动应当遵守公平交易、平等自愿、诚实信用的原则。

五、数字签名具有与书写或盖章同等的法律效力

根据上述对于数字签名技术文字上的描述,我们可以看到,经过CA中心认证的数字签名技术具有如下特点:

  • (一)在经过CA中心审核认证后,通过颁发数字证书可以证明数字签名者的身份;
  • (二)数字签名者可以通过其控制的私钥来加密其需要对外发送的数据电文;
  • (三)在进行数字签名后,对数字签名的任何改动都能够被发现;
  • (四)数字签名者在利用数字签名技术签署数据电文以后,对该数据电文的任何内容和形式的改动都会留下痕迹,被人发现;
  • (五)在数字签名系统中,普通采用了时间戳技术。因此签名者在数据电文上加盖数字签名时,同时也会加盖时间戳,这可以非常准确的表明数据电文进行数字签名的时间。

正因为经认证的数字签名技术具有手写签名或盖章同样的证据功能,甚至其证据的可靠程度还要高于手写签名,因此我国《电子签名法》第十四条规定,

“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。

  鼓励在电子交易活动中使用安全的电子签名签订电子合同。

六、不能使用数字签名、数据电文的文书

电子签名法第三条的规定:

“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。

前款规定不适用下列文书:

  • (一)涉及婚姻、收养、继承等人身关系的;
  • (二)涉及土地、房屋等不动产权益转让的;
  • (三)涉及停止供水、供热、供气、供电等公用事业服务的;
  • (四)法律、行政法规规定的不适用电子文书的其他情形。”

电子交易是一种新兴的交易方式,电子签名、数据电文并未在社会活动中获得广泛应用,广大民众的认知度不高。
同时,电子签名、数据电文的应用需要借助于一定的技术手段,物质条件也会限制一部分民众使用这种交易方式。

由于上述原因,并基于交易安全因素的考虑,一些国家和地区的电子签名法或电子商务法规定某些领域不适用这种交易方式。

一般包括以下几种情况:

第一,与婚姻、家庭等人身关系有关的文件。如美国电子签章法规定,

“关于遗嘱、遗嘱修改书或遗产信托的制定法、条例或者其他法律规则”,
“关于收养、离婚或家庭法其他事项的州的制定法、条例或者其他法律规则”,不适用该法关于电子签名效力的规定。

我国香港地区电子交易条例规定,

“遗嘱、遗嘱更改附件或任何其他遗嘱性质的文书的订立、签立、更改、撤消、恢复效力或更正”,不适用本条例。

第二,与诉讼程序有关的文书。如美国电子签章法规定,该法关于电子签名效力的规定不适用于

“与诉讼程序有关的需经签章的法庭传票或通知,或正式法庭文书(包括诉状、答辩状以及其他书面文件)”。

第三,与公用服务事业有关的文书。美国电子签章法规定,

澳门金莎娱乐手机版,该法关于电子签名效力的规定不适用于“公用服务(包括供水、供热及供电)的取消或终止”的通知。

第四,与不动产权益有关的文书。
新加坡电子交易法规定,

“任何用于买卖不动产或以其他方式处分不动产的契约及不动产下所发生利益的契约”、“不动产转移或不动产利益的转让”以及“产权证书”,不适用本法。

第五,其他文书。

如澳大利亚电子交易法规定,与移民有关的文件或公民权证书,不适用本法;
新加坡电子交易法规定商业票据不适用本法;
我国台湾地区电子签章法规定法令或行政机关之公告,可以排除其适用。

我国的《电子签名法》参考了外国和有关地区的立法例,并结合我国的实际情况,在该法第三款规定了适用除外;同时,为了使本法在实施过程中具有更大的灵活性,还规定了一个兜底条款,即法律、行政法规可以对其他不适用电子文书的情形作出规定。

综上所述,根据《电子签名法》的规定,

  • 除了不能使用电子签名的文书,其他文书如果采用了经过认证的数字签名技术签署数据电文,具有与手写文件同样的法律效力;
  • 另外能够有效地表现所载内容并可供随时调取查用且能够可靠地保证自最终形成时起,内容保持完整、未被更改的数据电文,视为满足法律、法规规定的原件形式要求。

在CA中心的认证以及时间戳技术的使用下,数字签名技术的运用完全可以使数据电文达到《电子签名法》规定的原件形式要求且可以有效保存。

END

  第四条 各级人民政府应当采取鼓励措施,促进电子商务及相关电子技术、电子交易方式的发展和体制创新。

  第五条 省人民政府信息产业行政主管部门(以下简称省信息产业主管部门)负责电子交易的政策指导、行业监管和协调。

  通信、工商、公安、税务等行政管理部门在各自的职权范围内,依法监督电子交易活动,及时查处违法行为。

  第二章 电子签名与电子记录

  第六条 在电子交易过程中,当事人可以约定使用电子签名的程序。使用的程序能够证明以下事项的电子签名为安全的电子签名:

  (一)确认该电子签名的签署者的身份;

  (二)证实该电子签名是签署者独有的;

  (三)证实用该电子签名签署的电子记录的内容未被改动。

  法律、行政法规另有规定的,从其规定。

  第七条 符合以下条件的数字签名为一种达到第六条规定要求的安全的电子签名:(一)该数字签名是通过数字证书中与公钥相对应的私钥产生,并可以通过公钥加以证实的;(二)数字证书是由依法成立的具有认证资格的电子商务认证机构(以下简称认证机构)签发的;(三)该数字签名是在数字证书有效期内签署的。

  第八条 在电子交易过程中,安全的电子签名与书面签名具有同等效力。

  第九条 以安全的电子签名方式签署的电子记录为安全的电子记录。

  安全的电子记录是真实、完整、未被修改的电子记录,与书面记录具有同等效力。

  第三章 电子合同

  第十条 要约和承诺可全部或者部分采用电子记录形式。法律法规另有规定或者当事人另有约定的除外。

  第十一条 采用下列电子记录形式表示的要约或承诺,为合同当事人的意思表示:

  (一)由当事人本人发出的电子记录;

  (二)由当事人的代理人发出的电子记录;

  (三)由当事人本人设置的信息系统自动发送或者自动回复的电子记录;

  (四)由当事人的代理人设置的信息系统自动发送或者自动回复的电子记录。

  第十二条 表示要约或者承诺的电子记录的到达时间按以下方式确定:(一)收件人指定了特定信息系统的,该电子记录进入该特定信息系统的时间,为到达时间;(二)收件人未指定特定信息系统的,该电子记录进入收件人的任何信息系统的首次时间,为到达时间。

  第十三条 采用电子记录形式订立合同的,表示承诺的电子记录到达要约人时合同成立。

  当事人要求在合同成立之前签订确认书的,签订确认书时合同成立。

  第十四条 合同当事人的身份和合同签订日期的真实性可从要约、承诺和确认书上安全的电子签名、数字日期戳来确认。

  第四章 认证机构

  第十五条 在电子交易过程中,当事人采用数字签名进行身份认证的,可向认证机构申请数字证书。

  第十六条 认证机构应当具备以下条件:

  (一)具有法人资格;

  (二)具有经国家密码管理机构批准设立的密钥管理中心;

  (三)具有与认证业务相适应的专业技术和管理人员;

  (四)具有经公安部门检验证明是安全、可靠的技术和设备;

  (五)具有必要的资金和经营场所,具备为用户提供认证服务和承担风险责任的能力;

  (六)法律、法规规定的其他条件。

  第十七条 认证机构应当到省信息产业主管部门进行资格认定,并将认证业务操作规范和数字证书管理制度报送省信息产业主管部门备案,方可开展数字证书认证业务。省信息产业主管部门对认证机构的资格实行年审制。

  认证机构资格认定和年审的标准、程序由省信息产业主管部门制定并向社会公布。

  第十八条 认证机构应当履行以下职责:

  (一)对数字证书申请者提交的有关材料和申请者身份的真实性进行审核,经审核确认身份后签发数字证书;

  (二)将认证业务操作规范和数字证书管理制度向社会公布;

  (三)保护数字证书单位用户的商业秘密和个人用户的隐私等非公开信息;

  (四)建立认证系统的备份机制和应急事件处理程序,确保在人为破坏或者发生自然灾害时认证系统和数字证书使用的安全;

  (五)当发生电子交易纠纷时,认证机构应当向有关当事人提供电子身份的证明,协助有关部门进行调查;

  (六)将用户数字证书在网上公告,供公众查询。

  第十九条 在认证系统的安全性受到威胁时,认证机构可临时中止数字证书的使用。数字证书用户要求中止使用证书的,认证机构应当中止,并予以公布。

  第二十条 在数字证书的有效期内,有下列情形之一的,应当撤销数字证书:

  (一)用户申请数字证书的重要事项不真实;

  (二)用户数字证书已遭冒用、伪造、篡改;

  (三)用户解散、终止的;

  (四)个人用户死亡的;

  (五)法律、行政法规规定的其他情形。

  认证机构应当公布撤销的数字证书。除前款第(三)项和第(四)项规定的情形外,应当立即通知用户。

  第二十一条 在数字证书的有效期内,数字证书用户要求撤销数字证书的,认证机构应当撤销,并予以公布。

  第二十二条 数字证书用户在申领证书时,必须提供真实、完整和准确的身份信息及相关资料。数字证书用户应当妥善保管自己的证书私钥,并且遵守认证机构制订的认证业务操作规范和数字证书管理制度。

  第五章 电子交易服务提供商

  第二十三条 电子交易服务提供商应当依照国家法律、法规的规定领取营业执照、经营许可证和组织机构代码证,并到省信息产业主管部门登记备案。

  省信息产业主管部门应当公布备案情况。

  第二十四条 电子交易服务提供商办理登记备案时应当提交下列材料:(一)前条规定的证照;(二)主办单位和网站负责人的基本情况;(三)网站网址和经营项目;(四)法律、法规规定应当提供的其他材料。

  第二十五条 电子交易服务提供商不得阻碍交易当事人调查电子交易服务提供商的资信、查询商品信息和自由选择商品。

  第二十六条 电子交易服务提供商应当为电子交易当事人提供良好的服务,定期核验经营主体的合法经营凭证和信用程度。电子交易服务提供商应当与使用该平台的电子交易经营主体签订合同,约定双方的权利义务和违约责任。

  第二十七条 电子交易服务提供商应当采取数据备份、故障恢复等手段,在技术和管理上确保电子交易数据的安全、完整与准确。

  电子交易的数据保存期限由电子交易服务提供商与交易当事人约定。没有约定的,电子交易的数据至少应当保存三年。

  有关部门依法查询电子交易数据的,电子交易服务提供商应当提供。

  第二十八条 电子交易服务提供商对电子交易当事人在交易过程中提供的信息应当采取严格的安全保密措施,非经电子交易当事人同意,不得向任何第三方泄露或者出售。法律、行政法规另有规定的除外。

  第六章 法律责任

  第二十九条 认证机构违反本条例规定,泄漏数字证书单位用户的商业秘密和个人用户的隐私等非公开信息,或者利用这些信息从事危害国家安全,损害企业或者个人利益的活动,由有关行政管理部门依照有关法律、法规给予处罚;情节严重的,由省信息产业主管部门撤销其认证资格;构成犯罪的,依法追究刑事责任。

  第三十条 认证机构故意提供虚假认证,其认证无效,由省信息产业主管部门追究直接责任人员的责任;构成犯罪的,依法追究刑事责任。

  第三十一条 由于认证机构的原因造成用户数字证书失密、失效,用户身份认定错误,或者没有按照用户要求中止、撤销数字证书,给用户造成损失的,认证机构应当承担赔偿责任。

  第三十二条 用户申领数字证书时,提供虚假信息的,由有关行政管理部门依法追究其法律责任。

  第七章 附则

  第三十三条 本条例中下列用语的含义是:电子商务,是指通过电子网络进行的产品及服务的贸易活动的全过程,主要包括信息搜寻、订货与支付以及运输三个阶段。

  前款所指的电子网络,是指基于电子通信系统形成的信息网络,包括电话系统、传真系统、电视系统、电子支付及货币流通系统、电子数据交换(EDI)、因特网(Internet)和其他合法的计算机网络等。

  电子交易,是指基于电子网络进行的商业交易活动,是电子商务的一部分。

  电子记录,是指储存或者以其他形式固定在电子化媒介上的可读取的数据。

  电子签名,是指以电子方式表现的用于鉴别身份的任何字母、字符、数字或者其他代码等电子记录,包括数字签名、口令、密钥、生物特征等鉴别方式。

  公钥,是指利用非对称加密技术原理,为数字证书用户配制的公开密钥。

  私钥,是指利用非对称加密技术原理,为数字证书用户配制的私有密钥。

  数字签名,是指使用非对称加密技术原理转换电子记录的一种电子签名,用来保证电子记录的真实性、完整性、保密性和不可否认性。

  数字证书,是指为支持数字签名而签发的、包含用户身份和其他相关信息的电子信息文件。数字证书用户通过证书所生成的数字签名来证实参与电子交易活动各方的身份。

  电子合同,是指全部或者部分以电子记录的方式订立的合同。

  电子商务认证机构,是指为参与电子交易的各方提供网上身份认证、数字证书签发与管理等服务的第三方机构。

  电子交易服务提供商,是指依照国家法律、法规领取营业执照,以营利为目的,利用电子网络为电子交易提供平台服务的单位。

  第三十四条 本条例自2003年2月1日起施行。

相关文章