衆所周知,公章、合同章、財務章、法人章,公司要刻章必須到公安局備案,用以防僞鑑真。
備完案,印章的印模留底存檔在公安局,可調檔、可比對,一旦發生糾紛,公安局提供證明文件證明印章的合法性。
那麼電子簽章是如何防僞的?要不要公安備案呢?
電子簽章不是摳圖出來的紅彤彤的“電子章”,不是PS或者製圖軟件生成的簽名或公章圖樣,不是實體簽章的圖像化。
電子簽章,圖不重要,真正的法門在於電子簽名技術,有效的電子印章,是由前端展示的圖形印章,和後端數字證書等共同構成。
在第三方平臺,用戶經過身份覈驗認證,通過相關的加密運算之後,即可實現電子印章的加蓋,使電子印章具備法律效力。
根據《中華人民共和國電子簽名法(2019修正)》法律的定義,電子簽名,是指數據電文中以電子形式所含、所附用於識別簽名人身份並表明簽名人認可其中內容的數據。
換句話說,就是電子形式的用戶簽字數據,在電子合同或電子文件中的作用是識別簽名人的身份和表明簽名人認可該電子合同。
在互聯網上,合同和文件以電子文件爲載體,無法進行傳統的簽字和蓋章,故需要採用電子簽名。
電子簽名技術能夠保證,在互聯網簽約中籤署雙方身份的真實和文件不被篡改,即使簽約沒見到本人也能確認是本人簽署的。而且電子簽名法規定了可靠電子簽名與傳統簽字蓋章具有同等的法律效力。
電子簽名雖然在形式與載體上與手寫簽名不同,但也必須滿足可靠性的基礎法律原理,才能保障簽名在法律上的證明力。
基於此電子簽名法的第十三條與第十四條,纔對可靠的電子簽名做了規定。
電子簽名法在第十四條中明確了,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。
這句話從法律證明角度上講,包含了兩層含義:
1、電子簽名在證明上屬於間接證據,必須通過其他證據,證明是可靠的,才能與手寫簽名蓋章具有同等的法律效力;
2、法律對於電子簽名的可靠性規定了明確的構成要件。
電子簽名法在第十三條中明確了,電子簽名同時符合下列條件,視爲可靠的電子簽名:
(一)電子簽名製作數據用於電子簽名時,屬於電子簽名人專有;
(二)簽署時電子簽名製作數據僅由電子簽名人控制;
(三)簽署後對電子簽名的任何改動能夠被發現;
(四)簽署後對數據電文內容和形式的任何改動能夠被發現。
這裏出現了一個特有名詞“電子簽名製作數據”,根據電子簽名法第三十四條的規定,電子簽名製作數據,是指在電子簽名過程中使用的,將電子簽名與電子簽名人可靠地聯繫起來的字符、編碼等數據。
也就是說在電子簽名環境下,通過電子簽名製作數據建立簽名樣本與簽名人唯一對應性關係。
爲了便於理解相關概念這裏使用傳統按手印的方式進行類比,
據此,可以看出電子簽名法第十三條第一項第一款和第二款的條款,實際上是在通過電子簽名製作數據的專有及唯一控制,去保障電子簽名製作數據與簽名人的唯一對應性關係。
而第三項和第四項則是通過對簽名後文本及簽名的不可篡改性的要求,類似於傳統紙質合同的一式兩份所發揮的作用。
電子簽名法規定的電子簽名可靠性與傳統紙質簽名可靠性的法律原理是一脈相承的。
電子印章,是一種由電子印章制章者數字簽名的安全數據,它由印章信息、制章者證書、簽名算法標識、簽名值等部分組成,用於安全簽署電子文件。
電子簽章是指使用電子印章簽署電子文件的過程。電子簽章可以實現與紙質文件蓋章操作相似的可視化效果,可保障數據來源的真實性、數據完整性以及簽名人行爲的不可否認性。電子簽章數據由簽章信息、簽章者證書、簽名算法標識、簽名值、時間戳等組成。
換句話說,電子簽章既保留了傳統形式上的物理印章的視覺效果,又帶有電子簽名技術來保證簽名人的身份。因此電子簽章實際上有兩部分,一部分是顯示於文件上的簽字圖形或蓋章圖形,另一部分則是隱藏於文件內的電子簽名數據。
數字簽名是一種採用了非對稱加密算法的簽名技術,是隻有信息的發送者才能產生的別人無法僞造的一段數字串,這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明。數字簽名與在紙質文件上的物理簽名相似,不同之處在於它作用於電子文件。一套數字簽名通常定義了兩種互補的運算,一個用於簽名,另一個用於驗證。這也是它必須採用非對稱加密算法的原因,簽名人擁有一對公/私密鑰:其中私鑰用於簽名,公鑰用於驗證簽名。
簽名人的公鑰也需要安全機制。
舉個例子,甲要給乙發送一份電子合同,步驟是這樣的:
第1步:甲寫好電子合同,文件存檔
第2步:甲對存檔文件使用哈希算法,生成文件的摘要
第3步:甲對此摘要使用私鑰加密,生成數字簽名
第4步:甲將數字簽名和存檔文件一起發給乙(可以是電子郵件)
第5步:乙收到後,用甲的公鑰(事前先提供)對收到的數字簽名進行解密,得到文件摘要數據
第6步:乙對收到的存檔文件使用哈希算法計算,得到另一份文件摘要數據
第7步:乙比較兩份文件摘要數據是否相同。如果相同,就表示文件未改動,是原版。
這裏存在一些風險。設想有一個丙,想詐騙乙,偷偷使用乙的電腦,將甲的公鑰替換爲自己(丙)的公鑰,然後就可以冒充甲給乙發電子合同。
要確定公鑰的真實歸屬,於是就有了CA(證書機構)。當用戶需要使用電子簽名時,向CA機構提出申請,CA機構通過一系列措施和步驟驗證用戶的身份信息是否合法、真實、有效,然後向驗證通過的用戶頒發數字證書。數字證書具有唯一性,它包含證書持有者的姓名、證書持有者的公鑰、公鑰有效期、頒發數字證書的機構、數字證書的序列號等信息,用以確保簽名者身份的真實性。
於是,上面例子中的問題解決了,乙可以通過CA的公鑰解開數字證書,獲得甲真實的公鑰。然後就能證明數字簽名是否爲甲簽署的。
2020年初,國家發佈了電子簽章技術的國家標準:GB/T 38540-2020《信息安全技術 安全電子簽章密碼技術規範》,此標準於2020年10月1日正式實施。
此標準對電子印章、電子簽章等術語進行了定義;規定了安全算法爲SM2(一種橢圓曲線密碼算法)或SM3(一種雜湊算法);規定了電子印章和電子簽章的數據結構;還規定了電子印章和電子簽章的生成流程和驗證流程。
