便宜VPS网谁能介绍一下电子签名法,PKI以及CA
电子签名法的立法背景
电子签名法是以规范作为电子商务(也包括电子政务)信息载体的数据电文和当事人在数据电文上以电子数据形式“签名”为主要内容的法律制度。以计算机网络和电子技术应用为依托的电子商务,具有远比传统商务更为便捷、高效、覆盖面广、交易费用低廉等明显的优势,更能适应信息时代和经济全球化的需要,因而其发展迅猛,得到日益广泛的应用。但电子商务所带来的贸易方式革命性的变化,却遇到了传统法律的障碍,产生了一系列必须解决的法律问题,主要是:1、书面形式问题。按照现行法律的规定,重要商务文件,包括重要的合同、商业票据等,都须采用书面形式,否则不具法律效力。但无纸化的电子商务以数据电文代替纸质媒介为信息载体,不采用传统的书面形式。以数据电文形式记载的交易信息是否具有法律效力,需要予以明确。2、原件和保存问题。重要的商务活动要求提供和保存相关原件;在发生纠纷提起仲裁或诉讼时,要求以原件作为证据。而电子商务以数据电文在计算机网络间传递信息,电子数据都记录在计算机内,输入到打印机打印出来的都只能算是“副本”。那么,如何确定数据电文的“原件”,什么样的数据电文可以视为符合法律要求的书面形式,需要明确。3、签名问题。传统商务活动中,交易双方在纸质文件上手书签名或盖章,一是为了证明身份,二是表示对所签名盖章的书面文件的认可,受其约束,不得反悔。鉴于签名盖章对保证交易安全极为重要,有关法律规定,书面合同等重要的商务文件,须经当事人签名盖章始生效力。而在电子商务中,通过计算机网络以数据电文传递交易信息,不可能采用传统的手书签名、盖章方式,为此人们创造了在数据电文中用电子数据“签名”的技术,以其作为保证网上交易安全的重要手段。这种签名是否具有与手写签名同等的法律效力,也需要法律予以明确。4、电子签名的规则不明确,对电子签名人的行为缺乏规范,发生纠纷后责任难以认定。5、电子认证服务提供者的法律地位和法律责任不明确,行为不规范,认证的合法性难以保证。6、电子签名的安全性、可靠性没有法律保障,交易方对电子交易的安全缺乏信心。
为了消除电子商务和电子政务发展过程中的法律障碍,十届全国人大常委会第十一次会议审议通过了《中华人民共和国电子签名法》。电子签名法的颁布实施,对于规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,将起到重要的作用。
电子签名法的适用范围
制定电子签名法的主要目的是为了规范电子签名行为,确立电子签名的法律效力。目前,电子签名主要是在电子商务活动中使用的。随着信息化水平的不断提高,在政府部门对一些经济、社会事务管理中,也开始采用电子手段,如电子报关、电子报税、电子年检以及行政许可法规定的可以采用数据电文方式提出行政许可申请等,这些也都涉及电子签名的法律效力问题,同样需要适用电子签名的有关规定。因此,电子签名法的适用范围应有一定的前瞻性和包容性,即主要适用于商务活动,但又不限于商务活动。所有使用电子签名、数据电文的领域,关于电子签名、数据电文的法律效力问题,均适用电子签名法的规定。同时,考虑到经济、社会等方面的行政管理活动中使用数据电文、电子签名的特殊情况,电子签名法授权国务院依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。
此外,基于交易安全和社会公共利益的考虑,借鉴一些国家的做法,电子签名法规定在一些特定范围内的法律文书,不适用电子签名法关于电子签名、数据电文的法律效力的规定。包括:1、涉及婚姻、收养、继承等人身关系的;2、涉及土地、房屋等不动产权益转让的;3、涉及停止供水、供热、供气、供电等公用事业服务的;4、法律、行政法规规定的不适用电子文书的其他情形。
电子签名法的主要内容
一、关于数据电文、电子签名的法律效力
数据电文、电子签名的法律效力问题,是电子签名法要解决的首要问题。电子签名法第三条明确规定:“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。”“当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”
关于数据电文的法律效力主要包括:(1)关于书面形式。电子签名法第四条规定:“能够有效地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。”(2)关于原件形式要求。电子签名法第五条规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。”(3)关于文件保存要求。电子签名法第六条规定:“符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。”(4)关于证据效力。电子签名法第七条规定:“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。”同时第八条规定:“审查数据电文作为证据的真实性,应当考虑以下因素:(一)生成、储存或者传递数据电文方法的可靠性;(二)保持内容完整性方法的可靠性;(三)用以鉴别发件人方法的可靠性;(四)其他相关因素。”
同时,在电子签名法中还对数据电文的归属、数据电文的收讫确认、数据电文的发送和接收时间以及数据电文的发送和接收地点进行了规定。
关于电子签名的法律效力,电子签名法第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”并在第十三条第一款规定了可靠的电子签名的条件,即:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。”同时在第十三条第二款规定:“当事人也可以选择使用符合其约定的可靠条件的电子签名。”也就是说,只要电子签名符合法律规定或者当事人约定的可靠条件,就与手写签名或者盖章具有同等的法律效力。
二、关于电子认证机构的管理
在电子交易过程中,交易双方互不认识,缺乏信任,使用电子签名时,往往需要由第三方对电子签名人的身份进行认证,并为其发放证书,为交易双方提供第三方认证。根据我国的实际情况,电子签名对电子认证机构采用了政府主导的管理模式,对电子认证服务设立了市场准入制度,即从事电子认证服务必须取得政府有关部门的许可。电子签名法第十七条、第十八条规定,从事电子认证服务必须具备一定的条件,并取得国务院信息产业主管部门的许可。并在第二十五条规定授权国务院信息产业主管部门依照本法制定电子认证服务业管理的具体办法。
此外,电子签名法还对电子认证机构的义务进行了规定,主要包括:1、电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案;2、电子认证服务提供者应当对电子签名认证申请人的身份进行查验,并对有关材料进行审查;3、电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项;4、电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。同时,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。5、电子认证服务提供者应当妥善保存与认证相关的信息,时间为电子签名认证证书失效后至少五年。
此外,电子签名法还对电子签名活动各方的法律责任等问题作出了规定。
数字签名的案例说明
网络数据的传输一般都是用对称加密算法
非对称加密算法因为效率的问题只用来加密 对称加密算法 的秘钥和 用于 数字签名
操作前 服务器和客户端都已拥有双方的公钥
Android的RSA公钥--发送给服务器用
服务器的RSA公钥--发送给客户端用
如客户端验证服务器的真实性
Android客户端(拥有AES秘钥)
使用 非对称加密算法即 服务器的RSA公钥 对 Android客户端的AES的秘钥 进行加密
然后 Http Get请求 并发送 Android客户端的AES秘钥 给服务器
服务器收到请求后,使用 自己的RSA私钥 对请求解密 获取到 Android的AES秘钥 ,然后把发送给Android客户端的数据如 byte [] datas进行签名即sign
把sign和datas 一起用 Android客户端的AES秘钥 进行加密,然后发送给Android客户端
Android客户端收到后,再用 自己的AES秘钥 把整个数据包解密,此时进行数据分离,获取到sign和datas,然后对sign进行验证,验证方法就是用 服务器的公钥 配合参数sign进行签名验证
服务器的RSA私钥 进行签名 sign,因为sign的长度是固定的(和初始化的秘钥长度相等),故很容易进行数据分离
如解密后进行str.substring()可以分离 datas和sign
什么是签名验签服务器?
渔翁通用型签名验签服务器严格按照国家密码管理局GM/T 0029-2014《签名验签服务器技术规范》等技术规范进行设计,产品已取得国家密码管理局商用密码检测中心颁发的商用密码产品认证证书,支持国家密码管理局认可的密码算法,能够为各类信息系统提供数字签名和验签、基于数字证书的身份认证、基于数字证书的加解密等安全保护⌄保证关键业务信息的真实性、完整性和不可否认性。产品可应用于电子商务、CA认证、网上银行、证券交易、司法公证等信息系统的服务端,提供高安全强度、高效率、高可靠性的密码服务。
安证通采用的电子签名方式主要有哪几种?
Ukey签,外观上类似于U盘,是将用于签名的私钥存储在Ukey设备的内部,在需要签名时,将Ukey插入pc端,用户凭借自身设置的PIN码,调用设备内部私钥完成签名。签名全过程是在设备内部完成的,私钥自始至终都由设备持有者持有,根据《电子签名法》第十三条的规定,电子签名制作数据用于电子签名时始终由用户唯一控制,是可靠的电子签名。
一信盾签:分为手机盾及PC盾签,其在私钥生成时,在移动端/PC端设备和服务器端系统中分别生成存储相互独立的私钥段,私钥不会完整出现;在数字签名时,移动/PC端设备、服务器端系统使用各自保存的私钥段完成独立的数字签名,并组合生成完整的签名数据。随着移动互联网时代到来,针对U盾易丢失、便利性、兼容性等缺点,一签通自研的一信盾签应用而生,无需任何附加硬件,可随时随地进行电子签名,合法有效安全更便捷。
常用的签名算法
写在前面:加密和签名是两回事,加密的目的是防止信息泄露,签名的目的是防止篡改和伪造
MD5、SHA-1、SHA-256、HMAC-SHA256等属于哈希算法,计算数字摘要,不可逆,有碰撞
DES、AES、RSA等属于加密算法,对数据进行加解密,可逆
MD5签名通常先按照一定规则排列待签名数据,进行加盐(拼key),然后使用MD5摘要算法计算摘要,得到的散列值即为sign
MD5验签即按照相同的规则排列待签名数据,使用相同的key,然后使用MD5摘要算法计算摘要,对比自己得到的sign值和对方传过来的sign值是否相等
参考资料: MD5算法原理
MD5作为一种散列算法,虽然很难发生散列碰撞,但是仍然存在两种不同数据会发生碰撞
已知明文A,可以计算得到另一个明文B和A的MD5值相同,但是并不能保证B是一段有意义的文字
未知明文A,已知MD5值X,无法计算得到明文A
暴力枚举、字典法、彩虹表法(对字典表的优化)
参考资料: MD5破解方法
网上的这篇文章说的比较清楚: SHA1算法原理
SHA-1一般被应用于数字证书的签名哈希算法,或者RSA签名中的哈希算法
经过权威机构证实,sha1算法的不安全性越来越高,sha指纹造假成本越来越低,随即微软、谷歌等IT巨头相继发布弃用sha1哈希算法声明,第三方认证机构自2016年1月1日起,将全面停止签发SHA1算法的数字证书。
网上的这篇文章说的比较清楚: SHA256算法原理
SHA-1算法和SHA-256算法并不是近亲,SHA-256算法属于SHA-2算法。SHA-1是160位的哈希值,而SHA-2是组合值,有不同的位数,SHA-256就是256位的SHA-2。SHA-1算法和MD5算法都是由MD4算法导出,所以这俩是近亲。
顾名思义,慢哈希就是很慢,主要为了防止暴力破解。由于慢,通常都用在客户端或者对性能没什么要求的场景
业内通用的一般是MD5(MD5(password)+salt)或SHA256(SHA256(password)+salt)
客户端进行SHA256(password),并传输给服务端,服务端进行SHA256(SHA256(password)+salt)
慢
ps:小数据如果既要加密又要签名,可以直接使用RSA私钥加密整个数据,接收方公钥解密,不做签名
比如赠送代金券的接口,拿到一个真实请求以后重复调用。
解决方案:
