国家出台电子签章标准,三分钟为你详解电子签章应用流程!
近日,国内出台了电子签章技术国家标准--GB/T-《信息安全技术安全电子签章密码技术规范》,此技术标准将于10月1日正式实施。本标准有全国信息安全标准化技术委员会(SAC/TC)提出并归口。
本标准由多个单位协同起草,规定了采用密码技术实现电子印章和电子签章的数据结构定义,以及相应的生成与验证流程,同时,适用于电子印章的开发和使用,也可以用于指导该类系统的检测。
《标准》中给出了电子签章相关术语的定义:
1、电子印章:一种由电子印章制章者数字签名的安全数据。
2、电子签章:使用电子印章签署电子文件的过程。
3、电子签章数据:电子签章过程产生的包含电子印章、原文信息和数字签名等信息的数据。
4、电子印章系统:电子印章管理系统和电子签章软件的统称。
安全电子签章是通过采用PKI公钥密码技术,将数字图像处理技术与电子签名技术进行结合,以电子形式对加盖印章图像数据的电子文档进行数字签名,以确保文档来源的真实性以及文档的完整性,防止对文档未经授权的篡改,并确保签章行为的不可否认性。
为了确保电子印章的完整性,不可伪造性,以及合法用户才能使用,需要定义一个安全的电子印章数据格式。通过数字签名将印章图像数据与签章者等印章属性进行安全绑定,形成安全电子印章。在使用印章过程中,应对电子印章进行安全性验证。
在使用电子印章对各种文档进行电子签章过程中,签章者通过数字签名对文档数据进行签章处理,从而达到与传统纸质文件盖章操作相同的可视化效果,同时又利用数字签名技术保障了文档数据的真实性,完整性以及签章者行为的不可否认性。
《标准》中给出了详细的电子印章生成流程、验证流程,以及对应的标准,电子签章也是一样。电子签章的流程也比较复杂,我们简化一下,电子签章生成流程分为两大步,又有9个小步:
一、准备电子印章,并验证电子印章的正确性和有效性:
1.验证电子印章;
2.验证签章者证书的有效性,包括证书有效期、证书密钥等等;
3.根据电子印章中的签章者证书列表类型,提取电子印章中的签章者证书信息列表,并用来验证证书有效性。
二、对原文进行电子签章,步骤如下:
1.按照propertyinfo中的签名保护范围来准备待签名原文;
2.将待签名原文数据进行杂凑运算,形成原文杂凑值;
3.按照电子签章数据格式组成签章信息;
4.签章者对签章信息进行数字签名,生成签名值;
5.如果需要加盖时间戳,则利用上述签名值产生相应的时间戳;
6.将步骤3、4、5以及签章者信息,签名算法标识组成电子签章数据。
最后,我们来大体上梳理一下电子签章是如何验证的:
一、验证电子签章数据格式的正确性;
二、验证电子签章签名值是否正确;
三、验证签章者证书与电子印章的匹配性;
四、验证电子印章的有效性;
五、验证签章者证书有效性;
六、验证签章时间的有效性;
七、验证原文杂凑;
八、验证时间戳有效性。
虽然电子签章的应用流程看上去很复杂,但是在实际使用上,用户是不需要去考虑流程问题的,因为第三方电子签章平台已经将流程全部放在后台运行,电子签章在文件上的表现只是一个图片。
以放心签电子合同平台为例,我们看下用户是如何进行电子签章的。
首先,用户登录放心签电子合同平台,进行实名认证获取唯一身份标识的数字证书;
其次,在线制作电子印章/电子签名,输入公章横向文(例如“合同章”),并给该公章命名,系统就会生成以认证企业名称+横向文组合的电子印章;
最后,用户上传需签署的文件或使用模板生成专属合同文件,填写相关信息,在签署页面添加签章和签署日期,完成手机验证码签署/刷脸签署/指纹签署过程;
电子签章的数据验证其实已经在后台验证完毕,大家只需要按照平台指导进行使用,就可以签署一份安全的电子合同了。