信息化觀察網(wǎng)

3月6日，國內(nèi)首個安全電子簽章技術(shù)國家標(biāo)準(zhǔn)——GB/T 38540-2020《信息安全技術(shù) 安全電子簽章密碼技術(shù)規(guī)范》（以下簡稱：標(biāo)準(zhǔn)）正式發(fā)布。據(jù)悉，此標(biāo)準(zhǔn)將于10月1日正式實(shí)施。

那么，此標(biāo)準(zhǔn)具體有哪些技術(shù)條款？對于各行業(yè)的電子簽章應(yīng)用來說，又有哪些指導(dǎo)意義？針對這些問題，牽頭編制此標(biāo)準(zhǔn)的北京數(shù)字認(rèn)證股份有限公司（以下簡稱：數(shù)字認(rèn)證）進(jìn)行了全面解讀。

電子簽章新標(biāo)準(zhǔn)都說了啥？

目前，國內(nèi)電子簽章產(chǎn)品種類眾多，市場應(yīng)用范圍廣泛，但是市場的繁榮也帶來了魚龍混雜的現(xiàn)象。

據(jù)數(shù)字認(rèn)證專家、此標(biāo)準(zhǔn)主要起草人傅大鵬介紹，國內(nèi)各廠商在電子印章和電子簽章的數(shù)據(jù)格式、安全性設(shè)計(jì)、密碼應(yīng)用模式等方面缺乏統(tǒng)一標(biāo)準(zhǔn)，部分產(chǎn)品甚至缺乏基本的密碼安全保障，存在電子印章被偽造、電子簽章被篡改等諸多安全問題。

為了保障電子簽章應(yīng)用的安全，促進(jìn)我國電子簽章應(yīng)用的互聯(lián)互通和數(shù)據(jù)共享，推動電子簽名市場合規(guī)健康發(fā)展，此標(biāo)準(zhǔn)歷時3年終于誕生，填補(bǔ)了我國在電子簽章網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)方面的空白。

對于行業(yè)從業(yè)者和政企用戶而言，此標(biāo)準(zhǔn)到底有哪些內(nèi)容值得關(guān)注？在這里，數(shù)字認(rèn)證為大家劃重點(diǎn)：

1

電子印章≠電子簽章

很多人將電子印章和電子簽章混為一談，其實(shí)它們是不同概念。根據(jù)此標(biāo)準(zhǔn)定義：

電子印章(electronic seal)，即一種由電子印章制章者數(shù)字簽名的安全數(shù)據(jù)。

電子簽章(electronic seal signature)，即使用電子印章簽署電子文件的過程。

具體而言，電子印章是一種以電子簽名數(shù)據(jù)為表現(xiàn)形式的印章，可用于安全簽署電子文件，其內(nèi)容包括電子印章所有者信息和圖形化內(nèi)容的數(shù)據(jù)。

而電子簽章可實(shí)現(xiàn)與紙質(zhì)文件蓋章操作相似的可視效果，可保障數(shù)據(jù)來源的真實(shí)性、數(shù)據(jù)完整性以及簽名人行為的不可否認(rèn)性。

雖然兩者概念不同，但同屬于電子簽名的范疇，都是采用密碼技術(shù)實(shí)現(xiàn)可靠電子簽名。

根據(jù)2005年實(shí)施的《電子簽名法》相關(guān)規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。因此，基于可靠電子簽名的電子印章和電子簽章，同樣具備法律效力。

值得注意的是，《電子簽名法》對什么是“可靠的電子簽名”做了定義，只有如數(shù)字認(rèn)證這類合法第三方CA機(jī)構(gòu)提供的電子簽名服務(wù)才滿足此要求。

2

安全簽署注意這兩點(diǎn)

為了避免企業(yè)在使用中面臨被篡改、被抵賴等安全隱患，確保電子簽章行為的不可否認(rèn)性，此標(biāo)準(zhǔn)對電子簽章的安全技術(shù)、數(shù)據(jù)結(jié)構(gòu)、步驟能力等方面進(jìn)行了嚴(yán)格規(guī)定。

在保障安全簽署時，需重點(diǎn)關(guān)注以下兩點(diǎn)：

基于PKI公鑰密碼技術(shù)。

從生成到驗(yàn)證全流程的步驟能力。

首先，安全的電子印章和電子簽章，都基于PKI公鑰密碼技術(shù)，通過數(shù)字證書、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制等技術(shù)，建立一個安全的網(wǎng)絡(luò)環(huán)境。

例如：安全電子簽章是通過采用PKI公鑰密碼技術(shù)，將數(shù)字圖像處理技術(shù)與電子簽名技術(shù)進(jìn)行結(jié)合，以電子形式對加蓋印章圖像數(shù)據(jù)的電子文檔進(jìn)行數(shù)字簽名，在尊重人們對紙質(zhì)文件和物理印章的使用習(xí)慣與用戶體驗(yàn)的同時，又確保了電子文件的安全性。

其次，為了有效保障電子印章、電子簽章的安全性，電子印章和電子簽章的生成和驗(yàn)證需要經(jīng)歷復(fù)雜的密碼運(yùn)算過程和步驟。

因而，此標(biāo)準(zhǔn)對兩者從生成到驗(yàn)證的全流程提出了詳細(xì)的技術(shù)要求，以確保其數(shù)據(jù)結(jié)構(gòu)的完整性、數(shù)據(jù)內(nèi)容的完整性、簽署人身份的真實(shí)性。

3

標(biāo)準(zhǔn)細(xì)則有變化，互聯(lián)互通是趨勢

作為深耕信息安全行業(yè)19年的“老兵”，數(shù)字認(rèn)證牽頭制定的國家/行業(yè)/地方標(biāo)準(zhǔn)已超110余項(xiàng)。之前的GM/T 0031-2014《安全電子簽章密碼技術(shù)規(guī)范》等相關(guān)行業(yè)標(biāo)準(zhǔn)，也是數(shù)字認(rèn)證牽頭編制的。

此次國家標(biāo)準(zhǔn)的發(fā)布，在兼容以前相關(guān)行業(yè)標(biāo)準(zhǔn)和匹配實(shí)際應(yīng)用需求的基礎(chǔ)上，將數(shù)據(jù)結(jié)構(gòu)版本升級為第4版，同時在電子印章和電子簽章數(shù)據(jù)格式的結(jié)構(gòu)定義標(biāo)準(zhǔn)細(xì)則上發(fā)生了變化。

因此，在今后的電子印章和簽章項(xiàng)目應(yīng)用中，需注意不同版本的格式變化。

同時，此標(biāo)準(zhǔn)作為電子簽章的基礎(chǔ)標(biāo)準(zhǔn)，為行業(yè)標(biāo)準(zhǔn)的衍生和各行業(yè)的應(yīng)用實(shí)踐提供了準(zhǔn)繩。

國內(nèi)將逐步采用基于密碼技術(shù)的統(tǒng)一電子印章和電子簽章數(shù)據(jù)格式，實(shí)現(xiàn)電子簽章應(yīng)用的互聯(lián)互通將成為大勢所趨。

電子簽章新標(biāo)準(zhǔn)下的行業(yè)應(yīng)用

近年來，電子簽章已廣泛應(yīng)用在政務(wù)、教育、金融、旅游、制造等眾多行業(yè)中，成為行業(yè)用戶需求度最高的安全應(yīng)用產(chǎn)品之一。

此標(biāo)準(zhǔn)的適時推出，無疑為各行業(yè)安全合規(guī)應(yīng)用電子簽章技術(shù)，有效甄別優(yōu)質(zhì)的電子簽章服務(wù)商提供了權(quán)威指導(dǎo)。

在政務(wù)行業(yè)，電子簽章是“互聯(lián)網(wǎng)＋政務(wù)服務(wù)”的關(guān)鍵保障技術(shù)之一，能夠?qū)崿F(xiàn)互聯(lián)網(wǎng)政務(wù)服務(wù)的全程無紙化，同時保障法律效力。

在教育部留學(xué)服務(wù)中心的“互聯(lián)網(wǎng)+留學(xué)服務(wù)”平臺上，通過引入數(shù)字認(rèn)證的電子簽章技術(shù)，實(shí)現(xiàn)了紙質(zhì)證明材料的電子證照化。

留學(xué)人員直接在線登錄平臺，即可自助獲取加蓋了電子印章的證明和文件。

使用單位則可以進(jìn)行在線核驗(yàn)和電子簽章，大大提高了辦事效率，真正實(shí)現(xiàn)了“一次注冊、一口受理、線上核驗(yàn)、后臺分辦”的一網(wǎng)通辦，每年約有40萬以上的留學(xué)人員受益。

在教育行業(yè)，電子簽章技術(shù)是建設(shè)智慧校園數(shù)字資產(chǎn)可信體系的核心技術(shù)之一，能夠增強(qiáng)校園服務(wù)能力，“讓數(shù)據(jù)多跑路，學(xué)生少跑腿”，提升教學(xué)管理業(yè)務(wù)辦理效率，節(jié)約校園運(yùn)行成本。

尤其是在可信電子成績單的應(yīng)用上，具有防偽防造假、異地遠(yuǎn)程辦理、管理便捷等優(yōu)勢，提升成績單業(yè)務(wù)辦理效率。

以清華大學(xué)為例，通過引入數(shù)字認(rèn)證的電子簽章技術(shù)，2018年1月推出“國內(nèi)首張電子成績單”，截至目前下載次數(shù)累計(jì)達(dá)3.7萬次，成績單辦理周期從過去的3-5個工作日變成“秒辦”。

此次疫情期間，清華大學(xué)、北京大學(xué)、北京科技大學(xué)等多所高校在線開具數(shù)千份可信電子成績單。

“全在線、不見面”，不僅滿足疫情防控要求，還能幫助畢業(yè)生輕松應(yīng)對春季校招。

在金融行業(yè)，電子簽章是保險機(jī)構(gòu)電子保單安全、合法合規(guī)的核心保障，能夠?qū)崿F(xiàn)對電子保單的印章加蓋，保證電子保單的可追溯和合法性。

保單的電子化，可加速業(yè)務(wù)辦理效率，提升客戶體驗(yàn)度，降低銷售成本和管理成本，有效推動業(yè)務(wù)發(fā)展。

2009年，中國平安推出“國內(nèi)首張壽險電子保單”，通過引入數(shù)字認(rèn)證的電子簽章技術(shù)，實(shí)現(xiàn)保險機(jī)構(gòu)對電子保單電子蓋章，投保人可自行在平安網(wǎng)站或移動端應(yīng)用上查詢、下載簽章后的電子保單。

如一年用電子保單替代1億份紙質(zhì)保單，則可節(jié)省上千萬元的紙張成本，大幅降低平安的運(yùn)營成本。

在眾多行業(yè)中，電子簽章技術(shù)也是企業(yè)電子合同必不可少的技術(shù)支撐。它能夠讓人事簽署和管理更加便捷安全，在降低企業(yè)管理成本的同時，實(shí)現(xiàn)線上辦公的高效、安全運(yùn)營。

目前，騰訊、京東、萬科、中國平安，以及國際巨頭瑪氏集團(tuán)、Cat（卡特）融資等涵蓋電商、科技、金融、地產(chǎn)、消費(fèi)、租賃等領(lǐng)域的500強(qiáng)企業(yè)，先后采用了數(shù)字認(rèn)證的電子合同方案，在其安全電子簽章技術(shù)支撐下，讓電子合同成為企業(yè)在線管理必不可少的一環(huán)。

不難發(fā)現(xiàn)，各行各業(yè)對電子簽章技術(shù)的應(yīng)用，都建立在數(shù)據(jù)真實(shí)性和完整性，以及電子簽章的安全和合法合規(guī)性的基礎(chǔ)上，這正是此次國家標(biāo)準(zhǔn)所強(qiáng)調(diào)的內(nèi)容。

隨著標(biāo)準(zhǔn)的推行，國家對電子簽章服務(wù)商的資質(zhì)和服務(wù)能力要求將越來越嚴(yán)苛，電子簽名行業(yè)的競爭門檻也隨之提高。

作為國內(nèi)首批獲得《電子認(rèn)證服務(wù)許可證》的合法、專業(yè)、權(quán)威的第三方CA機(jī)構(gòu)，數(shù)字認(rèn)證基于國家標(biāo)準(zhǔn)的電子簽章技術(shù)，如今已被教育部、住建部、國家海事局、國家郵政局等政府單位，中國人壽、中國平安、太平洋保險等金融機(jī)構(gòu)，以及清華大學(xué)、北京大學(xué)、中國人民大學(xué)等知名高校所采用，成為各行業(yè)標(biāo)配。

未來，數(shù)字認(rèn)證將持續(xù)以此標(biāo)準(zhǔn)為準(zhǔn)繩，為各行業(yè)提供更加安全、便捷、高效的電子簽章服務(wù)。