数字签名的作用有哪些,第1张

数字签名的作用是接收方能够向第三方证明接收到的消息及发送源的真实性而采取的一种安全措施,其使用可以保证发送方不能否认和伪造信息。“数字签名”也是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。具体如下:

1数字签名可以实现防重放攻击。重放攻击(ReplayAttacks),是计算机世界黑客常用的攻击方式,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输。攻击者利用网络监听或者其他方式**认证凭据,之后再把它重新发给认证服务器。

2数字签名可以防止数据被伪造。其他人不能伪造对消息的签名,因为私有密钥只有签名者自己知道,所以其他人不可以构造出正确的签名结果数据。

3数字签名可以防止数据被篡改。数字签名与原始文件或摘要一起发送给接收者,一旦信息被篡改,接收者可通过计算摘要和验证签名来判断该文件无效,从而保证了文件的完整性。

4数字签名可以防止数据抵赖。数字签名即可以作为身份认证的依据,也可以作为签名者签名操作的证据。要防止接收者抵赖,可以在数字签名系统中要求接收者返回一个自己签名的表示收到的报文,给发送者或受信任第三方。如果接收者不返回任何消息,此次通信可终止或重新开始,签名方也没有任何损失,由此双方均不可抵赖。

5数字签名可以对数据进行多重加密。手写签字的文件一旦丢失,文件信息就极可能泄露,但数字签名可以加密要签名的消息,在网络传输中,可以将报文用接收方的公钥加密,以保证信息机密性。

6数字签名可以实现客户的身份认证。在数字签名中,客户的公钥是其身份的标志,当使用私钥签名时,如果接收方或验证方用其公钥进行验证并获通过,那么可以肯定,签名人就是拥有私钥的那个人,因为私钥只有签名人知道。

一个网站的CA数字证书体系包括两个证书:服务器端证书,客户端证书。

我们平常说某个网站采用了HTTPS,实际上指的是网站采用了服务器端证书(例如安装部署了versign的证书),此时侯只做到了单向信任(客户端验证服务器端身份的真实性),并未做到双向信任(服务器信任客户端,客户端信任服务器)。

只采用服务器证书的方式,虽然可以保证通讯链路的安全,但无法保证客户端身份的真实性,因此无法真正意义上保证所谓真实性、完整性、防抵赖、防篡改。例如有一笔交易,假定只依赖于密码体系,用户是可以否认交易是自己发起的。

为了鉴别客户身份的真实性,采用数字证书来进行数字签名是一种有效的方式,但需要额外管理维护成本(例如内部CA体系的搭建、客户端数字证书的申请、发放、注销等管理维护需求)。更具体的内容可以参考一下PKI体系及CA体系。回到题主问题,为何国外像paypal、stripe等只需要服务器端证书即可,并未要求用户申请安装客户端数字证书,我觉得原因有几个:

1、国内恶劣的网络安全环境现实要求

虽然即便采用数字证书、安全控件等手段,也无法规避形形色色的安全问题。但某种意义上用户对支付平台的信心确实是“比黄金还贵重”。因此第三方支付千方百计地使用包括数字证书在内的各种技术,给用户以安全的感觉,打消使用在线支付的顾虑,这在电子商务初期市场培育时候至关重要,观念和习惯养成后就成为事实上的标准。另外一方面数字证书作为法律认可的电子签名手段,也可以一定程度上维护第三方支付、银行的利益。

2、第三方支付牌照检测要求

在牌照检测中,强制要求第三方支付必须支持数字证书、安全控件、安全键盘等多重安全措施。而国外(主要还是欧美)的网络环境相对安全,信用体系也较为完善,违法成本相对较高,持卡人及信用卡商在网络支付的安全顾虑及安全需求不像国内那样强烈,因此也就没必要搞些这些相对复杂、投入较大,但效果不一定明显的措施。

首先电子签章目前没有相关的法律约束和相关的制作格式及制作防伪等,其次电子签章在现在的电子信息社会里面太容易作假了,其效力性和正规性得不到完全的保证,所以也就不能真正的做到需要签署的合同,或者是其他的文件的正规性,所以就目前而言不可能推行电子签章,直到以后如果有法律支撑或者是有固定的格式以及防伪方案后,才能推行吧。

电子合同平台是否 靠谱这个问题,我们可以系统的进行一个回答。首先来回答一下电子合同是什么。

我简单介绍一下:电子合同是指是双方或多方当事人之间,通过电子信息网络以电子的形式达成的设立、变更、终止财产性民事权利义务关系的协议。

电子合同有效吗

从法律角度上来说,一份有效的电子合同必须同时满足两个条件:签署双方经过实名认证,使用可靠的电子签名技术。满足锁定签约主体真实身份、有效防止文件篡改、精确记录签约时间三个条件的电子签名才能称得上是可靠电子签名。

电子合同平台靠不靠谱,建议从以下产品核心技术、平台资质及安全保障、产品服务、平台实力及产品价格等几个方面来分析:

 第一,核心技术

 目前而言,电子合同行业在国内尚在起步阶段,产品的核心技术手段基本大同小异。从产品服务来看,暂时还看不出真正建立了技术壁垒的第三方电子合同平台。

 整体而言,所有第三方电子合同平台产品最核心的技术无非三项:身份认证技术、数字签名技术以及时间戳技术。

 其中,大部分平台都是通过与CA机构合作,向CA机构提交申请,为用户颁发受法律认可的CA证书来有效证明用户真实身份。不过,也有少部分平台采用了与公安部门合作,借助eID系统实现用户身份认定。至于具体的技术,各家虽然门类繁多,但原理基本是一致。比较方便的有人脸识别、手机验证等。

 数字签名技术上,各家就更加一致了,几乎都用的是哈希摘要技术。所谓的哈希摘要技术,主要是指通过某种技术手段,将电子文件转化成一个数值。如果电子文件经过改动,这个数值也会立刻改变,因而能够很快识别篡改。值得一提的是,在数字签名技术上,目前法大大是唯一采用了区块链技术的企业,和阿里邮有具体合作。

 第二,平台资质及安全保障

 虽然核心技术区别不大,但在平台安全保障方面,第三方电子合同平台还是有些区别的。

 站在IT的角度看,平台安全性涉及很多方面,比较具备参考价值的有以下几项:商用密码许可证、IS027001认证、SSL证书、高新技术企业认证。

 商用密码许可:由于电子合同使用的电子签章及相关硬件属于商用密码产品,所以这些平台是需要有国家密码管理局的销售许可证书才能进行电子签章的使用并搭建电子合同平台,否则属于违规经营。

 IS027001:ISO27001是信息安全质量管理体系认证,由英国标准协会(BSI)提出,是国际上对信息安全风险管理的一项最普遍的通用标准。

 SSL证书:指网站服务器验证证书等级。SSL证书具有服务器身份验证和数据传输加密功能。这个证书总共有3个测评等级,其中,EV SSL证书最高,OV SSL证书其次,而DV SSL证书最弱。具体而言,DV SSL证书只验证域名所有权,仅为加密传输信息的作用,并不能证明网站的真实身份;OV SSL证书是需要验证网站所有单位的真实身份的标准型SSL证书,而EV SSL证书则是遵循全球统一严格身份验证标准办法的SSL证书,是目前业界最高安全级别的SSL证书。其中,OV SSL主要在国内网站应用,而EV SSL则在国外网站应用更多。靠谱的商用网站一般都会部署EV SSL证书 或 OV SSL证书,绝对不会部署已经被欺诈网站滥用的DV SSL证书。

 高新技术企业:这项证书由国家颁发,主要考察企业的核心知识产权数量、符合重点技术领域数量、创新能力达到相应指标、研发费用占销售收入比例等。由于对比普通企业,高新技术企业能够减免10%税收,并且享受大量国家政策倾斜,因此,国家对此审核非常严格,证书的含金量也比较高。

 第三,产品服务

 产品的法律有效性以及使用便捷性是平台评估的主要方向。在很多情况下,电子合同产品的法律有效性与便捷性是天枰的两端,专业的电子合同企业应该做好平衡,在保证产品法律有效性的前提下,尽量优化用户体验,让产品使用更便捷、界面更友好。

 市面上第三方电子合同平台的功能模块比较类似,基本上都有合同编辑、合同发送、合同存储、合同管理等功能。在基础功能之外,也有不少电子合同企业同时提供法律延伸服务,例如开通一键仲裁功能、提供出证报告等。

 很多电子合同平台在产品对接方式上主要就分为独立部署、API嵌入以及本地部署三种方式。唯一有明显区别的地方,在于平台能够提供的法律服务。

 其实,电子合同行业未来的方向与趋势,也就在于法律服务上。使用电子合同的最大好处在法律问题,如果这项工具能够提供更多与法律相关的服务,也会更加受到客户的青睐。

 第四,平台实力

 由于电子合同平台还比较新,好多平台都处在创业期。对于企业而言,资金、人才、客户关系才是最重要的三个因素。

 首先看资金实力。目前官方披露的数据显示,法大大融资情况最好,总共获得了超过7500万元融资。

 其次看团队实力。法大大创始人曾为律师圈内一个小有名气的律师机构的创始人,有过创业经验,也有法律背景,因此法大大的产品在法律服务上也有很明显的优势。

 最后看合作客户。法大大的合作伙伴中,有微软、携程、美团、统一、1688、微贷网等,从官网能看见的合作大客户数量上来看,法大大有更多大客户。

 第五,产品价格

 之所以将价格放在最后说,是因为对于企业用户而言,产品有效性的优先级是优于价格的。如果一味追求价格忽视了产品的有效性及安全性,未免有点本末倒置。

 经过对比各家产品价格情况发现,不管平台的计费模式有何区别,几乎所有平台签署一份电子合同,单价均在5-6元左右。电子合同平台的计费模式主要有2种,一种是以签约次数计费,例如一份合同涉及甲乙丙三方,则收费3次,每次签名扣除一次费用;另外一种是以合同计费,一份合同无论涉及多少方,完成一份合同只扣费一次。

 如果公司对成本控制要求很严格,必须对比出最低单价,那么在考察单价的时候务必结合公司情况,选择更划算的计费模式。

判断一个电子合同平台靠不靠谱的话,可以考虑如下几点:

1、 是否符合国家现行法律法规

毋庸置疑,对电子合同的首要要求是符合法律规定。目前,国内大部分厂商都会与知名CA中心合作,采用PKI技术实现电子签名,叠加区块链存证等方法进行防篡改处理。

2、 资质是否完整

国家对行业的监管要求包括, 与电子签名企业合作的CA中心需要取得具有国家密码管理局颁发的商用密码产品型号资质证书,对与P2P合作的电子签名厂商,要求具备公安部信息安全等级保护三级和ISO27001认证等。

3、是否有安装SSL证书

现在很多电子合同平台都是直接公布在网络上,要是该平台没有安装SSL证书的话,打开该平台的网址浏览器会直接弹出不安全的警告,首先就可以明确该平台网站的安全系数很低;其次该平台的网址钱是红色的,并不是绿色小锁。

网站要是安装了SSL证书的话,网址会显示出安全的绿锁,要是该平台涉及到经济交易的话,最好安装EV SSL证书,是目前安全等级最高的SSL证书, 安信SSL证书 可提供申请EV SSL证书需要的邓白氏、律师意见信等服务,确保网站真实可靠的身份,加强用户的信赖更加放心的浏览网站,提升在线交易量。

4、 产品性能

系统的稳定性、并发量、响应速度是硬指标,当企业业务量比较大,或者企业对实时响应要求比较高时,产品的性能参数尤为重要。

5、 产品设计

电子签名对接产品的设计是否友好,决定了企业电子签名的上线速度、开发工作量和后期维护的工作量。

电子合同的合法签署要保障两个部分:

一是电子合同文件内容主体,一是电子合同上的电子签名/签章!

当前合法电子合同,几乎都是采用区块链加密传输存储,结合第三方电子签名服务商提供技术支持和存储,确保合同的内容不会被篡改。

除了合同本身的存证以外,就是电子签名签章的技术有不同。

电子签名服务是一种软件技术服务,平台要通过技术手段,帮助企业完成电子签名的可靠保障!理解起来就是要实现电子签名:签名人真实身份、签名人真实意愿、签名数据不被篡改、签名文件不被篡改。

只有满足《电子签名法》要求的签名方式才是有效的,反之则视为无法律效力保障的电子签名方式。

第十三条 电子签名同时符合下列条件的,视为可靠的电子签名:

(一)电子签名制作数据用于电子签名时,属于电子签名人专有;

(二)签署时电子签名制作数据仅由电子签名人控制;

(三)签署后对电子签名的任何改动能够被发现;

(四)签署后对数据电文内容和形式的任何改动能够被发现。

当事人也可以选择使用符合其约定的可靠条件的电子签名。

原笔迹电子签名是不是可靠的电子签名方式

采用原笔迹专利技术,记录笔画、笔序、笔压等个人生物特征签名信息,电子签名数据能与签名人可靠地联系起来,确保签署人真实身份。

采用IBC基于标识密码体系,在进行电子签名时,需要签名人输入个人标识信息进行签名确认,签署过程是电子签名人自由意志的体现,确保签署人真实意愿。

采用国密加密算法、点对点加密传输、区块链等技术,防止签名数据和签署电文被篡改,同时利用签名识别、笔迹还原、笔迹溯源、档案验真等技术,确保任何改动都可被呈现,保障签名、电文保真。

如果要选择第三方电子合同平台,建议从验证实力、服务内容、服务模式、平台实力四个方面来考虑。

验证实力

可靠的电子签名是保障电子合同有效的重要因素,《电子签名法》规定:可靠的电子签名与手写签名或者盖章具有同等的法律效力,同时又规定电子签名必须归签名人所有,签署时必须由签名人控制等内容,因此选择第三方电子合同平台时,一定要考察其认证实力,看其是否能够提供有效的实名认证及电子签名服务。

以众信签电子合同平台为例,联合权威CA认证机构中国金融认证中心,接入银行、工商、公安等数据库,对主体进行严格身份核验,确保主体身份的真实唯一性及签署行为的不可抵赖性,符合法律对可靠电子签名的规定。

服务内容

电子合同的签署除了涉及电子签名,还有合同签署管理、电子证据保存等内容,所以,在选择平台时,要考虑一些相应的配套服务,看平台是否具备这些服务。

以众信签为例,作为国内权威可靠的第三方电子合同服务平台,可以提供身份认证、标准合同模板调用、在线起草、在线签署、管理归档、电子证据保全、在线公证仲裁等在内的一站式电子合同服务,满足客户多方面的需求。

服务模式

企业使用第三方电子合同平台,主要是通过平台提供的服务模式,最好是能提供多种对接方式,才能满足不同企业的定制化需求。

通过多年来对企业需求的分析与总结,众信签为企业SaaS、API接口、本地化部署三种服务方式,SaaS主要针对中小微企业,为其提供在线签署、合同管理、证据保全等一系列标准化电子合同服务,用户在众信签官网(https://wwwebsorgcn/),即可进行电子合同签署与管理。

API接口服务通过调用电子合同接口的方式,将主体身份验证、电子签章(CA证书)等功能对接,应用到用户的业务系统中,实现在用户的网站/APP/微信小程序进行电子合同的应用与管理。(咨询电话:0755-82790214)

私有化部署是针对数据隐私性较高的企业,根据客户的个性化需求提供电子合同标准版私有云部署、定制化解决方案及数据管理等服务。

平台实力

除了服务,平台企业实力也是需要考量的一大因素,企业实力和信誉怎么样,有没有背书,万一哪天破产跑路了怎么办?所以建议大家详细考察一下企业实力后再去选择,最好选择综合实力强或者有政府背书的平台,以众信签为例,众信签是第三方机构众信中心旗下的电子合同产品,众信中心是经政府依法授权和委托,承担电子商务可信交易环境建设的机构,兼具公信力与市场灵活性,承担了不少国家和地方项目,国家电子合同标准研制及应用试点众信签便是其中之一。

现在市面上提供电子合同签署服务的平台良莠不齐,判断平台是否专业可以参考这几个标准:

1、提供的产品与服务是否符合法律法规

根据《合同法》、《电子签名法》的相关规定,一份合法有效的电子合同需要同时满足多项条件:

1、数据电文原件,能够可靠地保持内容完整、防篡改,满足法律规定的原件形式及文件保存要求;

2、电子签名,能够标识签署人、签署时间,防篡改,满足法律规定的有效电子签名要求;

3、签署身份经过第三方有效认证,满足法律规定的认证要求。

综上可作为选择供应商的参考标准之一。

2、平台经营资质是否有效

电子合同以数字签名技术和信息加密技术为核心,其建设与运营需严格遵守法律法规提供服务。市面上同时持有信息系统等级保护三级(民用级别最高级)、《商用密码产品型号证书》、《商用密码产品销售许可证》和《商用密码产品生产定点单位证书》等多项资质的服务商少之又少,契约锁是目前笔者已知的少有的同时具备上述资质的服务商。

3、根据平台提供产品与服务的能力

严格意义上来说,电子合同这个行业已经并不是新兴行业了。而电子合同平台的核心业务电子合同签署的服务模式,基本上也大同小异,真正能够拉开平台质量差距的,笔者认为主要在于提供产品和服务能力上,包括在横向产品类型上与纵向服务深度上。

虽然,电子合同、电子印章的市场已经开拓多年,但印章、签字的使用习惯与模式已经沿袭多年,在思想和观念上需要长期的适应过程。笔者认为,在较长一段时间内,电子印章和物理印章同时存在的情况还将延续。因此,在平台产品与服务能力上,笔者认为能同时提供物理印章与电子印章的使用、兼顾电子合同与纸质合同统一管控的服务将是较长一段时间内各电子合同服务商竞争优势(也可作为用户产品选型标准之一)。

4、以各项技术指标作为参考

对于懂技术的人来说,通过与电子合同各项技术指标一一对应进行产品选型不失为一个好的参考标准。但对于大多数企业或个人而言,产品选型初期少有技术人员参与,因而相关技术指标就暂不做赘述。

5、参考已使用的用户口碑和评价

参考已经使用过相关产品的人员也是可以的,只是毕竟双方使用场景、使用需求有差异,参考价值可能较小。最好还是对比同类产品,是否专业也是可以判断的。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 数字签名的作用有哪些

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情