时间:2023-05-29 17:45:14
你别哭别闹别喝醉酒别不堪的像条狗.
我也想与你搭起桥梁建立默契却词不达意
灰姑娘的故事固然美好 可是鞋若合脚就不会掉
试着疏远你因为我知道我不能拥有你
“我并不想做个征战四方的女流氓 可是你们谁也没把我当成个小姑娘”
终于握紧你的手却是在梦里,原来我也会筋疲力尽
太多曾沾沾自喜誓必珍惜的情谊 败给时光的腐朽 败给自以为是的长久
我唯一心软的理由就是我很念旧。
愿你所在的城市 有暖阳 有清风 每天都过得很好
岁月坠落深海之渊时光携等待落荒而逃
你未对我半分好 偏巧这感情疯长似野草
我不是冷血也不是慢热 我只是怕付出太多最后退出时会疼痛不舍
你笑我朋友稀少孤身一人 我怜你朋友众多无一真心
别傻了 半天才回复你的人 或许有比你更重要的人
说过不再打扰却总想知道你过得好不好
2、你一出现周围的一切都褪色了,你却在闪光。
3、我对你的爱,一直到新闻联播大结局那天。
4、爱你是我年少时最荒唐的认真。
5、世间最美好的感受,就是发现自己的心在笑。
6、人生最宝贵的不是你拥有的物质,而是陪伴在你身边的人。
7、你总是能让我带着每天的晚安,把梦做到最感动。
8、推开窗户,仰望天空,开怀大笑,明天又是一个美好的一天。
9、纵使你平淡无奇,亦是我的无二独一。
10、愿得一人心,白首不分离。
11、后来我丢了清风弃了烈酒只因有他相随。
12、一生无非选择一份自己爱的工作爱一个合适的人。
13、想买一个超级大的信封,把好吃的糖果和我装进去寄给你。
14、喜欢你这件事,从看你的第一眼就注定了。
15、为了记住你的笑容,我拼命按下心中的快门。
16、愿你生命中有够多的云翳来造成一个美丽的黄昏。
17、喜欢就是这样怕你知道又怕你不知道。
18、你对一个人有欲望,那叫喜欢,你为一个人忍住欲望,那叫爱。
19、我做了我所能做的一切,可还是没法让我爱的人爱我
1、 为什么没谈恋爱的时候喜欢得不得了,确定关系之后就不是那么回事了。
2、 无论男人还是女人,只有在初恋时爱的是别人,以后恋爱时爱的都是自己。
3、 爱情是从告白开始的,告白是从感觉开始的,感觉是从第一眼看到你开始的。
4、 想要的更多,想抓的更牢,却在刺伤了手心的时候,一切不经意间轻轻溜掉。
5、 实这个世界上没有那么多的如果,有时候,我们一瞬间失去的东西就是永恒。
6、 如果一个人忍心让你孤独,看你为他受苦,他就是不爱你。
7、 我相信你,不是不爱了,只是我们的爱情,实在走不下去了。
8、 红尘初妆,山河无疆。最初的面庞,碾碎梦魇无常,命格无双。
9、 当你做对的时候,没有人会记得;当你做错的时候,连呼吸都是错。
10、 眼眸落满阳光,难以掩盖的光芒,不小心陷落在你的温柔,无法自拔。
(来源:文章屋网 )
你依旧是别人的青山,做不了我的江水。
如若今生再相见,哪怕琉璃百世,迷途千年,也愿。
没有人比你自己更懂自己的心,别人懂得只是一个矫情的你。
我情愿在你的记忆里淡忘,也不愿你受半点伤。
比如你下午四点来 那么从三点起 我就感到幸福 时间越临近 我就越感到幸福
好好生活慢慢爱你,不早不晚刚好是你
月亮不抱你,白猫不理你,山湖海色不映你,我一直爱你
予念既觉欢,久处仍怦然。
存储阳光,必有远方。心中有暖,又何惧人生荒凉。
忘记时间的旧雨,就像忘记昨天的你。
你要是愿意,我就永远爱你,你要不愿意,我就永远相思。
许你半世琉璃,换我一席青衣。
总是偶然的一次回眸,成就一场别样的邂逅。
在白开水一样淡的日子里 多放两勺糖
万事都要全力以赴,包括开心。
所有的美好与美好为了着迷而追求,而误导着误导。
花开一世纪,情漫天之心。
我想要四季的阳光,舒适的温度,天荒地老,还有你。
一瞬间的灿烂烟火、一辈子的相知相守。
爱情,是历经流年的寻常,更是风雨中的依赖。
铺开鹞子的线、才能播种整片蓝天。
你是太阳,我是暖光,我赌上所有的韶光只爱你一小我。
我会带着你们的晚安把梦做到最美。
你以清风兑酒为我解千愁,我以冬雪煮茶为你添一梦。
山之高,月出小,月之小,何皎皎,我有所思在远道,一日不见兮,我心悄悄。
四季轮回忽而已冬,愿这一冬多一些暖阳。
夏天的雨,九月的风,一月的雪,都不及我对你的喜欢
等你发现时间是贼了,它早已偷光你的选择。
皱巴巴的生活需要适时的熨烫一下
在这个夏天和更好的自己碰面。
我不是一个温柔的人,但是我为了你,可以做尽温柔的事。
眼里藏着十年春秋与西北。
记住了,你也是光亮的本身,你的存在本来就是一道光。
从黎明到黄昏,阳光充足,胜过一切的诗。
无论世界如何,都要向着阳光野蛮生长,成为照亮世界的大人吧。
我频繁记录着 只因生活值得
如果不介意 我想听听你们的故事 不论喜与悲 都是一段过往。
不走回头路,不恋故乡月,不谈旧时光,不做痴情人。
看你一眼,就是在公里之外了,想你一次,就流年花开了。
青春时的匆匆岁月,早被时光落下了尘埃,现在的你眼里是否还有当年的执着。
若上帝颠倒了日夜与星辰,我愿意带着思念只想与你相见。
关键词 数字签名 公钥密码 安全属性
中图分类号:TP393.08 文献标识码:A
1 数字签名的定义
一个标准的数字签名方案是一个两方协议,由名者(发送者)和验证者(接收者)两方参与。在一个数字签名方案中,首先,密钥生成算法为签名者产生一个合法的密钥对,即公钥和私钥,其中,签名者对私钥信息进行秘密保存,将公钥信息进行公布。然后,签名者使用自己的私钥对给定的消息(或消息摘要)进行签名,并将该签名和消息(或消息摘要)一起发送给验证者。最后,验证者可以通过公布的签名者的公钥对消息发送者的身份和消息的真实性进行验证。如果当事双方对于某个签名的有效性存在异议,双方可以由一个可信的第三方通过公开的验证算法对签名的有效性进行仲裁。通常情况下,签名者为一个用户,在群体性签名体制中签名者也可以是由多个人员组成的一个群体;验证者可以是任意的用户,只是在某些具有特殊功能的数字签名中验证者也可以是某些特定的用户;仲裁者一般是一个可信的任意用户。
2 数字签名的安全属性
数字签名是在信息时代人们通过数字信息网络所进行的高效的、远距离的签名方式,之所以受到人们如此的信赖,并具有一定的法律意义,是因为数字签名具有以下几个主要的安全属性。
(1)完整性(Integrity):签名者将签名和签名的消息(消息摘要)一起发送给接收者,如果签名的消息在网络传输过程中被攻击者非法篡改或者部分删除,则接收者可以在接收到该消息(消息摘要)后计算消息(消息摘要)的签名,并通过签名验证算法判定该消息是否有效,从而保证了消息的完整性。
(2)不可伪造性(Unforgeability):除签名者外,任何一个攻击者想要冒充签名者生成一组合法的签名在计算上是不可行的,因为签名的私钥是由签名者自己秘密保存的,其他人不知道私钥信息从而无法输出正确的签名数据。
(3)不可否认性(Non-Repudiation):一个签名者想要否认他所产生过的一个有效签名是不可行的,因为一个可信第三方可以利用签名者的公钥信息对签名的有效性进行仲裁。
3 数字签名的分类
随着对信息技术研究的深入,数字签名体制由最初单纯地实现对用户身份和数据真实性的验证发展到现代具有多用途、多类型的数字签名体制。数字签名的分类方法有很多种,以下给出几种常见的分类方法。
(1)基于数学难题的分类:一个数字签名方案的安全性一般是基于某个数学难题的困难性,困难性越大则方案的安全强度越高。根据数字签名方案所基于的数学难题不同,数字签名方案可分为基于素因子分解问题的签名方案 (如RSA签名算法)、基于有限域上的离散对数问题的签名方案(如ElGmal签名算法)、基于椭圆曲线上离散对数问题的签名方案(如ECDSA签名算法)、基于二次剩余问题的签名方案、基于格上困难问题的签名方案等等。
(2)基于密码体制的分类:根据数字签名所基于的密码体制的不同,数字签名分为传统的基于证书的数字签名、基于身份的数字签名、基于属性的数字签名、无证书的数字签名以及基于多变量的数字签名等等。
(3)基于签名用户的个数分类:根据参与签名的用户个数不同,数字签名分为单个用户参与签名的签名方案和多个用户参与签名的签名方案。大多数的数字签名是单个用户参与签名的数字签名方案,而多个用户的参与签名的签名方案又称多重数字签名方案。根据签名具体过程的不同,多重数字签名又可分为有序多重数字签名方案和广播多重数字签名方案。
(4)基于数字签名用途的分类:在某些特殊的环境下,数字签名要求具有某种特殊的功能,以适应实际情况的需要。根据数字签名在某些特定环境具有的功能不同,数字签名分为普遍数字签名、盲签名、环签名、门限签名、群签名、广播签名、不可否认签名、故障停止式签名、签名等等。
(5)基于数字签名安全性的分类:根据数字签名方案所满足的安全性等级不同,数字签名分为无条件安全的数字签名和计算上安全的数字签名。
4 对数字签名的攻击
对于数字签名技术而言,签名者所签发的消息本身是公开的,消息的机密性对于攻击者来说是完全没有意义的,而攻击者的目标是要在不知道签名者的签名密钥即私钥信息的情况下成功伪造出合法的签名。因此,为了设计一个安全的数字签名方案,必须考虑到数字签名可能受到的攻击方式。而对于一个数字签名方案,攻击者的攻击方法很多,以下给出几种常见的攻击分类:
根据攻击者对数字签名方案的攻击程度不同,数字签名受到以下三种不同类型的攻击:
(1)完全攻击(Total Break):攻击者能够通过计算得到签名者的签名密钥即私钥,或者能够建立一个等价于有效签名算法的伪造签名算法。也就是说,攻击者能够对给定的任意消息成功伪造出合法的签名。
(2)选择性伪造攻击(Selective Forgery):在无法获得签名者密钥或者建立伪造签名算法的情况下,攻击者能够对事先给定的一则消息或一组消息成功伪造出合法签名。
(3)存在性伪造攻击(Existential Forgery):在无法获得签名者密钥或者建立伪造签名算法的情况下,攻击者能够成功伪造出至少一则消息的合法签名,而无法对任意选择的消息伪造签名。
根据攻击者对数字签名方案的攻击途径不同,数字签名受到以下两种不同类型的攻击:
(1)唯密钥攻击(Key-Only Attacks):在只知道签名者公钥信息的情况下,攻击者可以对一个数字签名系统进行攻击。
(2)消息攻击(Message Attacks:在获得并分析与已知或者特定消息相对应的签名的情况下,攻击者可以对一个数字签名系统进行攻击。
参考文献
[关键词] 电子商务 电子签名 数字签名 安全
一、电子商务的安全问题
随着信息技术的发展,架构于互联网网络的商务活动即电子商务得以普及,使经济全球化呈加速发展之势,而经济全球化又刺激着电子商务加速发展。其涉及的领域从银行、外贸、证券市场到贴近我们每个人的日常购物,一场生活和技术的重大变革正在发生。电子商务在提高商务效率、降低商务交易成本的同时,本身安全性也随之而至,成为制约其进一步发展的重要瓶颈。而 电子签名技术的应用为电子商务安全运行提供了重要保障。
二、电子签名含义
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗地说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它其实是一种电子代码,利用它,收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。它类似于手写签名或印章,也可以说它就是电子印章。
三、电子签名的法律地位
电子交易的安全依赖于技术上采用适当的安全措施,如电子签名技术,以确认使用人的身份,确保信息保密及完整无缺,和保障已进行的交易不被。但是,电子签名技术在法律上的地位却不明确。如果电子签名法律问题不解决,交易安全就最终得不到保障,实际上电子商务就不具有实际意义。
因此,电子签名就需要人们对其的“签名”功能赋予合法的法律地位。联合国《电子商务示范法》对电子记录的法律问题提出了一揽子解决方案,分别就数据电文的法律承认、书面性、签名、原件、证据性、留存等做出了原则性的规定。该法还提出了许多有先见性的法律原则,例如,不歧视原则、功能等同原则、当事人自治原则等,使人们能够接受电子签名与传统的手书签名具有同样的合法性。
四、电子签名与数字签名的关系
基于PKI的电子签名被称作“数字签名”。有人称“电子签名”就是“数字签名”是错误的。数字签名只是电子签名的一种特定形式。因为电子签名虽然获得了技术中立性,但也带来使用的不便,法律上又对电子签名作了进一步规定,如《电子签名法》中就规定了“可靠电子签名”和“高级电子签名”。实际上就是规定了数字签名的功能,这种规定使数字签名获得了更好的应用安全性和可操作性。目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性,其中都用到了数字签名技术。
五、电子签名在电子商务中的应用
电子签名应用领域包括电子商务,企业信息系统,网上政府采购,金融、财会、保险行业,食品、医药,教育,科学研究以及文件管理等方面。但最主要的还是表现在电子商务方面,在网上将买方、卖方以及服务于他们的中间商(如金融机构)之间的信息交换和交易行为集成到一起的电子运作方式,如签定合同、订购、付费等。其主要表现在以下几个方面:
首先是对我国电子商务有很大的促进和有力发展的作用。电子签名法制定的宗旨就是为了保障电子商务的安全,维护有关各方的合法利益,促进电子商务的发展而制定本法。有了《电子签名法》就可以解决电子商务参与方的不可否认性,提高电子商务交易的安全;可以实现网上自动在线支付,解决目前我国电子商务的瓶颈问题。
其次是对金融界的应用,金融行业是电子签名应用最活跃、最广泛的领域。银行审核网银用户身份的真实性,用户的身份必须是真实可靠的,签名才有实际意义,这是使用数字签名的基础。交易额大、安全性要求高的交易必须使用数字签名。
再次是对《票据法》的改革,有了《电子签名法》作母法,我国的票据法要以《电子签名法》作依据,制定和完善整套的银行新法规。这样银行就可以节省大量的纸张印刷,减少费用,提高效益。还有网上证券的交易、网上税务等等一方面是缺乏好的的安全支付协议,更主要就是没有数字签名的法律保障;技术是基础,法律是保证,这些都是“电子签名”应用更大的领域。
最后就是对《合同法》的修改,合同也可以以电子文件形式出现。有了电子签名作保证,网上招标、网上采购都可以根据电子合同作为依据。为了适应传统业务经营需要,还可以将电子签名与传统的手工签名或印章做成“电子签名”可视化,即在验证了电子签名真伪的同时,可调用打印经图形化处理过的手书签名或图章,这样即可适应传统习惯认证方法,又将签名向先进电子技术领域推进一步。
无庸质疑,随着《电子签名法》的实施进一步细化和在实践中应用与推广,电子签名将带来金融、商务、税务网上交易和处理的一次深刻革命,它将大大推动我国电子商务的发展。
参考文献:
[1]郑绮萍:电子签名技术在电子商务中的应用[J].中国西部科技,2005.6下
【关键词】数字签名;密钥;时间标记
一、数字签名的相关定义
所谓“数字签名”,就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替手写签名或印章,对于这种电子式的签名还可进行技术验证。数字签名在iso7498-2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。数字签名实现的功能与我们“有纸办公”的手写签名类同,具有准确性、实用性、完整性、可鉴别性、不可抵赖性等特性,同时解决否认、伪造、篡改及冒充等问题。
二、数字签名技术
数字签名技术实际使用了信息发送者的私有密钥变换所需传输的信息,对于不同的文档信息,发送者的数字签名并不相同。目前主要是基于公钥密码体制的数字签名,包括普通数字签名和特殊数字签名。普通数字签名算法有sha、rsa、schnorr数字签名算法等。特殊数字签名有签名、门限签名等。
(一)rsa算法体制
1978年,美国三位学者rivest、shamir和adleman,提出了rsa公钥密码体制,它是第一个成熟的、迄今为止上最成功的公钥密码体制。WWW.133229.cOM
rsa算法是建立在大数分解和素数检测的理论基础上的,是一种分组密码体制。它的思路是:两个大素数相乘在计算上是容易实现的,但将它们的乘积分解为两个大素数的因子的计算时却相当巨大,甚至在计算机上也是不可实现的。所谓素数检测,是指判断给定的一个整数是否为素数。rsa的安全性基于数论中大整数的素因子分解的困难性。
(二)使用公开密钥密码技术对文件签名的过程
公开密钥或者私人密钥都可用作加密。用你的私人密钥加密文件,你就拥有安全的数字签名。
1.数字签名的协议举例:假设有a公司的老板名叫john,b公司的老板名叫marry,现john想传输一个文件给marry,这个文件是有关于一个合作项目标书,属公司机密,不能让其它人知道,而恰好有一个c公司的老板david对a和b公司的那项合作标书非常关注,总想取得a公司的标书。于是他时刻监视他们的网络通信,想在john通过网络传输这份标书时,从网络上截取它。为了防止david截取标书,实现安全传输,我们可以采用以下步骤:
(1)marry用她的私人密钥对文件加密,从而对文件签名。
(2)marry将签名的文件传给john。。
(3)john用marry的公开密钥解密文件,从而验证签名。
这个协议比以前的算法更好。不需要trent去签名和验证。从中需要证明marry的公开密钥确实是她的。甚至协议的双方不需要trent来解决争端;如果john不能完成第3步,那么他知道签名是无效的。
这个协议也满足我们期待的要求:
(1)签名是可信的,当john用marry的公开密钥时,他知道是由marry的签名。
(2)签名不可伪造的,只有marry知道她的私人密钥解密。
(3)签名是不可重用的。签名是文件的函数,并且不可能转换成另外的文件。
(4)被签名的文件是不可改变的。如果文件有任何的改变,文件就不可能用marry的公开密钥验证。
(5)签名是不可抵赖的。john不需要marry的帮助就能验证marry的签名。
2.文件签名和时间标记。实际上,john在某种情况下可以欺骗marry。他可能把签名和文件一起重用。如果marry在合同上签名,这种重用不会有什么问题,但如果marry在一张数字支票上签名,那样做就令人兴奋了。假若marry交给john一张¥100000的签名数字支票,john把支票拿到银行去验证签名,然后把钱从marry的账户上转到自己的账户上。john是一个无耻之徒,他保存了数字支票的副本。过了一星期,他又把数字支票拿到银行(或可能是另一个银行),并把钱转到他的账户上。只要marry不去对支票本清账,john就可以一直干下去。
因此,数字签名经常包括时间标记。对日期和时间和签名附在消息中,并跟消息中的其他部分一起签名。银行将时间标记存储在数据库中。现在,当john第二次想支取marry的支票时,银行就要检查时间标记是否和数据库中的一样。由于银行已经从marry的支票上支付了这一时间标记的支票,于是就报警。
三、我国数字签名存在的问题及分析
数字签名的保密性很大程度上依赖于公开密钥。数字认证是基于安全标准、协议和密码技术的电子证书,用以确立一个人或服务器的身份,它把一对用于信息加密和签名的电子密钥捆绑在一起,保证了这对密钥真正属于指定的个人和机构。
由于互联网自身的开放性和全球性,在电子交易过程中也产生了诸多安全和诚信的法律问题。
(一)数字签名存在的问题
网络信息系统的技术性和管理性安全成为数字签名应用的最大威胁。同时在我们广泛接受数字签名的过程中还存在着诸多法律问题。争论最激烈的是关于数字签名能否与手写签名一样具有可靠性,是否能具备“认可”的条件。为了更好地努力分析数字鉴定的可靠性, 全世界的国家都起草了数字签名的提议, 联合国甚至也在试图建立一个国际标准。美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(dss)。一些国家如法国和德国已经制定一套法律、规则及实际操作方法,用于规范某个机构如何来管理、保护和分配资源以达到安全策略的既定目标。由于我国电子商务起步相对较晚,技术相对落后,缺乏具有自主知识产权的安全产品,因此在安全问题方面还存在着更多的风险与危机。
(二)解决我国数字签名存在问题的策略
目前我国电子签名法对可靠的数字签名判断的不易掌握性与执法者对这一崭新领域的陌生感之间的反差,使我们很是忧虑。下面提出解决我国数字签名存在问题的若干建议:
1.大力发展先进的、具有自主知识产权的信息技术,建立一个完整的信息网络安全体系。我国信息安全研究起步较晚,在网络信息系统中使用的计算机、路由器等软、硬件系统大部分由国外引进,而且信息技术相对落后,由此加大了我国数字签名发展的安全风险和技术选择风险。因此要加快完善我国信息网络安全的技术安全、管理安全和政策法律安全体制的步伐。只有信息网络体系健全,那么通过网络传输的信息的安全才能得到保证,数字签名技术才能发挥真正的作用。
2.数字签名技术仍需进一步完善,大力改进数字签名内在的安全技术措施,如生成和验证数字签名的工具需要完善,只有用ssl(安全套接层)建立安全链接的web浏览器,才会频繁使用数字签名。
3.和数字签名有关的复杂认证能力程序化、简易化并易于掌握、便于操作;就像现在操作、应用环境中的口令密码一样直接做进操作系统环境、应用、远程访问产品、信息传递系统及in?鄄ternet防火墙中,方便用户的操作和使用。另一方面,还要不断教育我们的广大用户,使其具备自行约定可靠数字签名的常识和能力,以便及时维护自身的合法权益。
4.及时修改、完善《电子签名法》和《电子认证服务管理办法》等相关法律法规。法律为数字签名的安全和诚信提供必要的保障。科技和社会的发展要比法律变化快,我们的法律不能一成不变,要让法律的变化与科技、社会的发展同步而行。
5.确定ca认证权的归属问题尤为关键。数字签名的第三方认证由依法设立的电子认证服务提供者提供认证服务。需要第三方认证的数字签名应由依法设立的电子认证服务提供者提供认证服务。由于公共密钥的存储需要,所以需要建立一个鉴定中心(ca),来完成个人信息及其密钥的确定工作。鉴定中心是一个政府参与管理的具有可信赖性的第三方成员,以便保证信息的安全和集中管理。数字签名决定着技术商业信誉的建立,数字签名技术的发展决定着电子商务中的诚信问题。
在电子签名法及电子支付的指引下,大力发展数字签名在我国网上支付、电子税收、电子海关、网上采购等领域的应用,让我国更安全的新一代电子认证与世界接轨。当数字签名技术越来越普遍的时候, 并不是每个人都觉得满意。数字签名是未来信息安全发展的潮流,不断完善数字签名的基础设施环境和法律、技术问题,自然成了我国目前发展数字签名的当务之急。 【参考文献】
[1]谢希仁.计算机网络[m].电子工业出版社,2003.
[2]rivest,shamir, adleman.a method for obtaining digital signature and public key cryptosystems.commun.acm[j].1978,(2).
[3]管有庆,王晓军.电子商务安全技术[m].电子工业出版社,2005.
[4]吴汉平.信息站与信息安全[m].电子工业出版社,2003.
[5]彭钦,郭晶.电子商务教程[m].人民邮电出版社,2005,.
[关键词]电子签章;电子商务;签字盖章;效力
1 电子签名的起源与概念
签名,按照大部分人的解释,是指写下自己的名字。在政务服务当中,文件上都需要签字盖章,用以表示文件的效力。通常,签字盖章是具有法律效力的一种表现形式,主体在文件上进行签字,主要是为了表示文件的真实性、可靠性,不仅仅只是一种书面记载,而是具有法律意义与效果的表示形式。首先,它是一种证明行为,签名的人可以证明自己对物品、行为或者意思的归属形式,相对于法律意义而说,是具有法律意义的。电子签名,顾名思义就是以电子化的形式在数据电文上签字盖章的行为,是伴随着电子商务的不断发展而演变来的,传统的签名与电子签名之间存在着许多差异,这是一个不可争议的客观事实,它们二者在形式上没有太多的联系,但是电子签名也是和传统的签名具有等同的效力,能满足传统的签名所具有的功能。虽然起名“电子签名”,但是具有实际意义的签名。因此,我们在研究电子签名的时间,首先必须弄明白什么是电子签名的问题,它不仅仅只是亲笔签名的数字图像化,它既不是对亲笔签名后通过一些技术传到网络上,比如扫描后传到网上,形成电子签名,也不是进过简单的复制、粘贴后出现在合同上,它与亲笔签名没有实际联系,只是使用的目的或者功能相同而以。法律界目前还没有一个统一的确切定义,准确定义电子签名,还需要把握其内在功能和外在形式,确保法律上的认可。
从世界各国的立法现状来看,电子签名的概念和界定都是从技术的角度而言的,根据采取的技术手段不同而不同。一般而言,电子签名分为狭义的电子签名与广义的签字签名。狭义的电子签名大多情况下是指数字签名,它专指对信息采用非对称密码系统和散列算法而得到的电子记录的转化形式,使得接收方拥有未经转化的原始电子记录而签名人的公共密钥可以正确表明创建该电子数据的人和在发送之后原始电子记录是否被修改。狭义的电子签名被直接规定在法律中,主要目的是由于其使用的技术确定而又较为成熟,为交易安全的需要。美国《犹他州数字签名法》是最早以法律的形式对数字签名做出规定的,同时意大利的数字签名规则与我国香港颁布的有关电子签名方面的条例规定也是属于此类规定。广义的电子签名是一般化的概念,只要具有签名功能的电子化手段都可以称为电子签名。这个定义的特点只是指明签名的形式与功能,而对于技术不做任何的规定。
2 我国电子签名法
我国最早对电子商务的立法努力是1999年修改后的合同法,合同法中定“书面形式是指合同书、信件和数据电文包括电报、电传、传真、电子数据交换和电子邮件等可以有形的表现载体内容的形式。” 第33条规定“当事人采用信件数据电文等形式订立合同的,可以在合同成立之前要求签订确认书,签订确认书时合同成立。”。前者承认了电子合同形式的合法性,它明确将电子数据交换和电子邮件等网络通讯方式纳入书面形式的范畴,解决了合同的基本形式的问题。后者涉及电子合同生效的要件,这可以说是对电子合同效力的一种探索。另外,《合同法》第16条、第26条和第34条分别规定了电子合同要约的生效时间、承诺的生效时间及合同成立地点。但在电子商务中,签名问题如何解决,合同法并未作出明确的规定。于是,2001年底国务院主要负责信息化管理的办公室开始着手起草电子签名法,由政策规划具体负责,当时起草单位为外经贸部和信息产业部,最后提交国务院法制办的草案是数字签名法,只是一种技术限定,最后又更名为电子签名法,此后各个地方关于电子签名的法律规范相继而出。2004年8月28日中华人民共和国第十届全国人民代表大会常务委员会第十一次会议通过了《中华人民共和国电子签名法》,并将于2005年4月1日起施行。
3 电子签名的法律效力
电子签名的法定性有四个标准独特性、辨识力、可靠性、关联性。其中最重要的是可靠性,可靠性主要是指签名者以安全可靠的方法制作,或者使用单独控制的安全及信赖的制作方法,不容易被伪造或者破解。此条件是对生成电子签名安全性手段的要求,签名方式应符合国际通用标准,经过多年开发检测,显示安全性。
随着信息化不断的发展,智慧政务政务逐步发展起来了。政府网络虚拟化逐步程成为现实,虚拟政府就是通过网络,建立虚拟的政务服务大厅和虚拟的政务服务办公室,将政务工作搬到网络上去,政府通过委托授权、承包合同等形式,把一些政府职能逐步转移给社区、企业、个人,他们通过网络与政府政务平台连接在一起,政务部门负责监督。同时,政务服务主要以电子公文形式展开,电子签名很大程度上存在于政务服务中来,然而,电子签名法只适用于民商领域的电子商务,智慧政务领域并没有电子签名法的适用范围,急需修改扩大电子签名的适用范围,以适应不断发展变化的智慧政务。
作者单位:
西北政法大学
关键词:数字签名,加密,新闻稿件
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)02-0045-01
随着信息时代的到来,人们对信息的保密性要求越来越高,在生活中常常需要进行信息数据完整性认证、身份鉴别和抗否认。数据完整性认证用于信息的准确性和完整性的识别;身份数据鉴别对人的身份数据进行确认;抗否认普遍应用于行为数据的确定上。传统的保密措施方式通过手书签名、印章和封印等手段,信息数据完整性认证、身份鉴别和抗否认效果获得在法律上认可。随着信息网络技术在各行业的普及,新闻传媒行业对信息网络提出新要求也日益凸显出来。本文讨论数字签名(Digital Signature)技术在新闻稿件真伪辨别等问题应用进行研究。
1 数字签名技术及应用
传统的的签名技术是签名者在信息、文件写上有自己特点的笔迹,而西网络信息领域的数字签名技术是一种加密技术。是在设计好的算法下,通过对信息文件进行有效的加密计算。使信息文件无法私自更改留下变更痕迹。数字签名方法主要有以下两种:对称加密算法和非对称加密算法。对称加密算法指加密的密钥和解密的密钥有特定的关联,可以互相根据算法推算出来。非对称加密算法与之相反,它的密钥由公开密钥和私有密钥共同组成,二者之间相互独立,不存在能够相互推算的关系。
在数字签名技术的应用中,应用方根据设计好的数字签名软件产生出密钥,传播公开密钥并存储在一个建好起来的认证中心。用户收到公钥后,向认证中心发送信息请求,认证中心确定发送请求的用户身份,并将其信息存入认证中心请求数据库。发送请求的用户利用私钥对文件进行签名后发送给请求用户,请求用户在接收到带有请求发送方签名的文件用公钥确认,并进入请求数据库确认,请求发送方的信息。最后请求用户收到请求数据库发出的用户确认信息。进行数据校验,确认请求用户签名的合法性。可以取代现实中的亲笔签名,在文件完整性和准确性保护中,具有重要意义。
2 数字签名技术的应用特点
数字签名技术的应用可以解决篡改、冒充、伪造和否认等问题。由于请求用户发送请求后不能否认发送的签名文件,接收者可以对请求用户发送的签名文件进行有效校验。请求用户只能读取请求发送者的签名文件,不能对请求发送者的签名文件篡改和伪造,信息文件在网络传输过程中,使得其它用户很难冒充请求发送者或请求接收者。
数字签名技术解决了电子信息文档的完整性、真实性及安全性问题。数字签名技术在解决新闻稿件取得较大成功,积累了很多宝贵的经验。并已被人们认可,并广泛推广应用于社会活动中各行各业,数字签名技术在电子信息数据加密的发展史上具有里程碑意义,几乎所有网络信息在对身份确认要求的领域都有应用用到数字签名技术。
3 数字签名技术在新闻稿件中的应用
根据数字签名技术的特点,它在网络信息新闻、传媒方面有着很重要的地位,是网络新闻文件传播安全保障的核心技术,将数字签名技术应用于新闻稿件真伪辨别问题时,可以保障新闻稿件的实效性和准确性,在实际应用过程将数字签名技术、电子签章技术、数字水印技术等技术进一步结合使用,这样将更进一步提高了新闻稿件的完整性、隐蔽性和抗攻击性。保证新闻稿件的安全。
1)新闻稿件中使用数字签名的现状
新闻稿件的安全问题涉及范围非常广,为了确保新闻稿信息准确性,必须采取相应的安全技术,如密钥管理、数字签名、加密技术、身份认证、安全协议、防火墙等技术。数字签名技术在信息数据安全方面,主要包括数据完整性、身份认证、不可否认性及匿名性等方面应用。数据加密技术已成为新闻稿件安全传输保障的核心技术,特别是在大型网络应用安全通信中的密钥分配、认证以及新闻传媒系统中均具有重要作用。数字签名技术在信息数据领域中具有很多具体的应用,例如在网上报税、电子公文、电子订单、网上投票、电子收据、电子账单、电子现金、电子合同、电子邮件等电子信息文件都需要数字签名技术保证文件的准确性。
2)数字签名技术对新闻稿件的保护
在新闻稿件中数字签名起非常重要的作用。新闻稿件在安全传输过程中,数字签名技术应用极其重要。在网络信息新闻传媒行业中,一种完善的数字签名技术应具备信息发送方不可抵赖、信息不能轻易改变、能够验证源信息真伪能力的第三方公证机构可以实现数字签名,实现新闻稿件有效保护。
4 数字签名技术的未来应用
数字签名是通过计算机加密技术对信息文件的电子形式进行签名,用来确定文件的有效性。在用私钥加密和公钥解密的过程中,密钥传播过程的安全性不太高。存在安全隐患,对私钥的安全管理就尤为重要。即使数字签名技术在新闻稿件真伪辨别应用上海存在一些不足,但在网络新闻和网络信息冲击的明天,数字签名技术在新闻稿件真伪辨别应用将成为不可或缺的有效方法和手段。
参考文献:
[1] 范志强,李成,马兆丰.基于CPK组合公钥的电子签章技术研究[J].信息安全与通信保密,2011(7):98-102.
[2] 张沈斌,陈浩.一种基于数字签名与数字水印认证的电子签章系统[J].苏州大学学报,2011,27(2):23-28.[5]
[3] 李岩.基于身份的数字签名应用研究[D].陕西师范大学,2012.
故宫博物院“卖萌”,早已不是什么新鲜事儿。
最近,它又成功吸引了不少目光。6月29日,在故宫博物院和阿里巴巴战略合作签约仪式上,双方玩起了“现场刷脸”识别身份,通过电子签名完成了签约流程,整个过程“萌萌哒”。
这也让该场景的实现者――第三方电子签名平台e签宝成了“网红”。
截至目前,e签宝已服务包括阿里巴巴、百度在内的6万多家企业,每天在平台上产生的电子签名量超过30万次,年营收已达数千万元,业务范围遍布杭州、北京、深圳等多个城市。
“网红”背后的辛酸泪
有人说,每一个“网红”的背后,都有一把辛酸泪。
e签宝也不例外,最初发展得并不顺利。
从事电子签名行业13年,e签宝创始人兼CEO金宏洲用一个“苦”字,道出了在这个行业摸爬滚打的感受。
所谓电子签名,就是通过密码技术对电子文档形成的电子手写签名或印章。成立于2003年的e签宝,隶属于杭州天谷信息科技有限公司,主要为政府、企业等提供电子政务和合同等电子签名服务。用户只需通过智能手机、平板电脑等移动设备,在e签宝官网或APP及其合作的开放平台,就可便捷地完成电子签名,并进行存储和传输。这可免去传统纸质签名过程中的很多繁琐程序和签署成本,比如因空间地理因素造成的发传真、快递等环节。
尽管电子签名很便捷,创业头几年,金宏洲却发现很多用户并不买账,e签宝的日子也不好过,一度要靠接其他活来维持公司的正常运转。
“电子签名可靠吗?”“有法律效力吗?”“法院会认可吗?”……这是金宏洲被问到的最多问题,也反映出用户不买账的部分原因。
“自古以来,中国人一直使用传统纸质方式签名盖章,而我们做的事情是在和这种习惯对抗。”金宏洲说,要改变人们多年养成的习惯,真难!
“再加上很多人对电子签名并不了解,认为电子数据易复制、易篡改,安全性得不到保障,因此对电子签名心怀恐惧。”金宏洲进一步解释,人们还担心出现纠纷时,电子签名是否能够存证和举证。
“除了这些客观原因,我们自身也存在很大问题。”金宏洲说,当初的技术,也没有做到让电子签名足够便捷。
金宏洲所说的技术,是指U盾技术。用户若要实现电子签名,必须花钱买一个和自己银行卡、身份证等信息绑定在一起的专属U盾(密码保护安全工具),通过U盾和移动设备相结合才能完成。这,无形中阻碍了电子签名的推广。
人们愿意使用的才是好产品
虽然那时的电子签名用起来不那么方便,但在技术上已能做到安全保障,这也是e签宝为什么当初要用U盾技术的原因。即通过采用公钥密码技术、CA数字证书、时间戳技术,用户每签署一份电子签名文件,都必须通过存储在U盾里的CA数字证书发送密码验证身份之后,才能在移动设备上生成一份电子签名PDF文件。
“这就意味着每一份电子签名的PDF文件里,都含有专属对应的密码记录文件的签署过程,从而能防伪防篡改。”金宏洲说。
在法律效力上,国家也于2004年通过了《电子签名法》,为电子签名“正名”。一旦出现司法纠纷,电子签名文件也能举证验证。
金宏洲意识到,既然技术上的安全问题已解决,政策也有了保障,要改变客户传统签字盖章的习惯,首先得将产品做得更好、更方便,如此用户才愿意尝试使用,才能形成口碑效应,这才是最根本的出路。
经数次技术迭代,e签宝用云证书加密技术取代了U盾技术,用户使用电子签名不再需要额外花费购买技术辅助产品。这即是说,通过加密技术将CA数字证书存储在云端,用户每签署一份电子签名文件,云端会发送短效验证码或用户自己设定的密码来验证身份,从而确保电子签名文件的安全。
“说起来好像很复杂,其实用起来就是和支付宝一样的功能产品。”金宏洲笑着说,只不过支付宝是移动支付工具,e签宝是移动签名工具。
产品好用了,还得找到愿意使用产品的人。
金宏洲认为,只有先打动那些最愿意接受产品的人,才有可能打动更多的人。
机会来了。当时国家为提高政府部门服务能力,大力推行电子政务办公,不可避免地会用到电子签名。于是,金宏洲将目标锁定在了e签宝总部所在省――浙江省政府部门身上,他开始带着e签宝和他们谈生意。
尽管也有不少电子签名企业同时在竞争,但因为产品足够方便,e签宝最终签下订单,为工商、社保、公积金等相关部门提供电子政务服务,并按次数或以包年形式向服务对象收取服务费。
在长期与政府部门打交道的过程中,金宏洲还发现,政府部门经常有一些基础设施工程和采购等业务,需要通过招投标方式进行,每次招标都会收到数百份长达几百页的纸质标书,项目中标后签署的纸质合同也是又厚又多,管理起来特别麻烦。于是,e签宝又将电子签名业务拓展到了政府部门电子标书和电子合同业务上。
随着业务逐步发展,e签宝也拿下了更多政府部门的业务,这是e签宝积累的第一批大客户。
电子签名还是小众市场
e签宝真正走上一个新台阶,还是最近两年。
随着电子商务、互联网金融和互联网家装等新业态的兴起,这些行业的“短频快”属性,催生了他们对电子签名的需求。比如,互联网金融因连接全国各地用户,又需要高频快速地完成协议签署,电子签名俨然成了他们的首选。
金宏洲第一次觉得,电子签名的风口来了。他赶紧将e签宝的服务用户,从政府部门拓展到了这些新的用户群体。为了让产品更时尚、更好玩,在云证书加密技术的基础上,e签宝还增加了指纹签名、刷脸签名等众多方便快捷而又时尚的签名方式。
这也让e签宝得到了一些业内大佬的赏识。今年1月,在北京光华路SOHO3Q二期创业服务器的年会上,潘石屹和俞敏洪“现场刷脸”识别身份后,通过电子签名完成了签约流程。6月,在故宫博物院和阿里巴巴战略合作签约仪式上,双方也玩起了相同的游戏。
“这些大佬的带动作用很明显。”金宏洲说,电子签名正被越来越多的人接受。
截至目前,e签宝已签下了阿里巴巴、百度、大华集团等6万多家企业级客户。
不过,金宏洲坦言,e签宝目前所取得的成绩,并没有达到他的预期。
与e签宝同年成立的美国电子签名企业DocuSign,目前已获得2.33亿美元融资,估值30亿美元。
在金宏洲看来,尽管和以前相比,电子签名已有了很大发展,但这个行业依然属于小众市场,需要e签宝等电子签名企业的共同努力,从而拓展更大的空间。
“其实电子签名的应用场景很多,各行各业都需要签字盖章,但目前我们开发得还不够。”金宏洲说,下一步打算开发更多的应用场景,如应用于版权保护、人力资源劳务合同,以及互联网医疗中的电子处方、电子检验报告等。
在金宏洲为e签宝勾画的蓝图里,他更希望e签宝能普及到个人与个人之间的应用。
摘要:电子商务己被认为是具有美好前景的全球数字经济发展中的关键性因素。现在人们普遍认为,现有的法律框架尚不能有效地向人们提供一个可资信赖的、具有安全保障的在线商务环境。电子商务的安全问题一直是各个国家和各国际组织所关注的对象。本文从电子交易安全的中心环节-电子签名出发,考察欧盟和美国所采取的立法措施及其为建立共同的电子认证法律平台作出的努力,并根据欧盟与美国的经验,提出了我国电子签名立法中值得重视的几个方面,以期对我国立法和实践有所助益。
关键词:网络安全 电子签名 数字签名 欧盟电子签名指令 美国电子签名法案
一、电子签名及其规制模式
电子签名的定义,不同的国际组织和国家立法各不相同。但本质上说,电子签名是“建立在计算机基础上的个人身份”。电子签名的形式很多,有“位图签名”、“生物签名”(如虹膜扫描)和“数字签名”等。其中的“数字签名”,依赖于“不对称的加密技术”(pki),使用两把不同的、在数字上互有联系的一组钥匙(key pair),即“公共钥匙”和“私人钥匙”(the private and the public key),来创设数字签名,对数据进行编码、解码和对签名进行验证。数字签名可以较好地保证公开网络上信息的安全性和保密性,保障数据的完整性并避免数据被非法篡改,是目前电子签名中最为高级、且得到广泛应用的电子签名形式。
在电子商务中,交易的安全问题至关重要。由于交易从双向转为互联网上的多向,而且大多数交易通常不存在前契约关系,相互间也没有再次交易的可能,如何确认某一特定交易当事人的身份,防止拒绝承认提交、传递了交易信息、否认信息内容的完整性,便很重要。电子签名的数字签名具有“不得拒绝”的功能(non-repudiation),可以较好地解决这一问题。该功能通过“可信任的第三方”(ttps),即“认证机构”(cas)的认证来实现的。认证机构签发“认证证书”(certificate),将某一公共钥匙明白无误地归属于某一特定身份,并根据询问的层次,使用“识别”(identification)、“时间戮记”(time stamp)等方法来确认证明对象的身份。认证机构同时也使用数字方法进行签证并提供“自我认证”(self-certification)、“交叉认证”(cross-certification)和“根认证”( root ca))等方式,帮助识别认证机构的身份和认证证书的真实性。
电子签名(尤其是数字签名)的主要优点是:首先,它能够提供更大的安全性、可靠性和透明度,将欺诈、以被模仿为由逃避责任的风险降到最低的限度。数字签名能满足信息完整性的要求,防止未经授权获得数据,及时发现非法篡改信息的活动从而减少以数据被改变为由的索赔。数字签名在功能上与纸质形式相同,以数字方式签订的电子合同也能满足法律上的书面形式、签名和文件原始性的要求。其次,电子签名可以保证公共事务处理的安全性和透明度,提高数据处理速度,并可以进行加工、储存和传送,保证行政程序的效率。
目前,国际上规制电子签名的方案(initiatives)有三种主要模式:一是“最低要求方案”(minalist approach),也称“技术非特定化方案”。它确立技术的“中立”(technology-neutral)地位,认为电子签名存在多种技术手段,应由市场和消费者去作出判断和选择,立法者只需要提出原则性要求,政府不应对具体技术作出选择。该方案具有示范性的是1996年联合国贸易法委员会制定的《电子商务示范法》(uncitral model law on electronic commerce)。二是“数字签名方案”(the digital approach),也称“技术特定化方案”。它确定以不对称的加密技术为基础的数字签名作为合法的电子签名技术,对认证机构提出了某些技术和财务的条件要求,规定钥匙持有人的责任并明确了判别电子签名可靠性的条件。美国律师协会1996年制定的《aba数字签名指南》(aba-digital signature guidelines)和欧盟制定的《欧洲电子签名标准化行动计划》(eu-wide satandardisation initiatives, eessi),是采用这种方案的典型例子。三是“双轨制方案”(two-tier approach)。它是一种“混合型”(hybrid)的折衷方案。它对各种电子认证方法规定条件,赋予其最低限度的法律效力(“最低限度”),对某些广泛使用的技术(即“数字签名”)赋予较大的法律效力,以建立一套不受时间淘汰的规制体系。联合国《电子签名示范法》(uncitral model law on electronic signatures)采用的是这种方案。上述三种方案中,源自于美国犹它州立法的“数字签名方案”由于将数字签名技术确定为电子签名的技术基础,从而限制了其它技术的发展,被认为是过时的。
二、欧盟与美国电子签名法的主要内容和特点
(一)《欧盟关于建立电子签名共同法律框架的指令》(eu directive on a community framework for electronic signatures)
欧盟委员会1997年4月提出著名的《欧洲电子商务行动方案》(european initiative in e-commerce)之后,欧盟各国又于同年7月在波恩召开了有关全球信息网络的部长级会议,并通过了支持电子商务发展的部长宣言。宣言主张政府在电子商务立法中应减少不必要的限制,帮助民间企业自主发展,促进网络商业竞争。随着电子商务的发展,为了在欧洲的层面上制定一个统一的电子签名法律框架,克服各国对互联网市场规制上出现的互不协调局面,并与国际上各国的行动保持同步,欧盟委员会于1999年12月13日制定了《关于建立电子签名共同法律框架的指令》(以下简称《指令》)。其主要目标是:1、推动电子签名的使用,促进法律承认;2、协调成员国之间的规范;3、提高人们对电子签名的信心;4、创设一种弹性的、与国际的行动规则相容的、具有竞争性的跨境电子交易环境。
《指令》提出一个涉及电子签名和”认证服务商”(csps)的法律框架。它依据交易的敏感度的不同,将电子签名依其安全水平的高低分为“基本电子签名”(the basic signature)和“高级电子签名”(the advanced signature),前者适用于低水平交易,后者用于需要较高安全水平的交易。《指令》没有提出具体的技术导向,但偏向于采用数字签名(第二条第二款、第五条)。
在法律承认方面,《指令》提出了电子签名的非歧视原则。但它要求“高级电子签名”必须满足国内法的形式条件,而且事实上只将数字签名视为效力等同于手写签名的电子签字方式。此外,它规定电子签名作为证据不得因其为电子形式而被拒绝具有可强制执行力和可采证力(第五条第二款)。但这种承认仍然有限,因为所有关于合同或非合同义务的规定被排除在《指令》的范围之外,关于合同订立、效力的问题也必须符合国内法或欧盟法律
所规定的条件。
在市场进入方面,《指令》规定各成员国不得将电子签名认证服务纳入“强制性许可”(mandatory licensing)范围,应由各成员国自行决定引入“民间认证方案”(voluntary accreditation schemes)。但它要求必须客观、透明、非歧视和适当的(附件二)。
《指令》规定了认证服务商的责任规则(第六条)。对于因为泄漏数据而给任何机构造成的损失,以及对于其所签发的合格证书产生的“合理信赖”(reasonably relies)而造成的损失,认证服务商应承担责任,除非其能够证明其没有“疏忽行事”(act negligently)。此外,《指令》承认第三国认证具有与欧盟的认证服务供应商所签发的证书同等的法律效力,只要其与欧盟存在连结关系(如欧盟的民间认证),或欧盟与该第三国之间有双边或多边协议(第七条)。
总的说来,《指令》采用了“双轨”模式,集合了各成员国的不同趋向和政策。它确立了电子交易安全的最低要求,注重电子签名和认证服务商应具备的条件,但调整范围却较为狭窄(第一条)。其次,《指令》承认电子商务的扩展应由市场力量来决定,但又认为“商业现实不能清楚地为私营业界提供前进的方向,不论是采用国家调整还是自律调整方式,国家仍然是主导的力量。”再次,数字签名被视为具有完全等同于手写签名和签章的效力,其它电子签名形式也在法律上也得到承认,但其法律约束力却要取决于各成员国的国内法规定。最后,《指令》详尽地规定了认证服务商的责任,对于认证证书持有人的责任没有作出具体规定,也没有规定消费者对认证服务商(通常是银行)所享有的权利。
(二)美国《全球和国内商业法中的电子签名法案》(electronic signatures in global and national commerce act )(e-sign act)
美国的电子签名立法起步较早,《犹它州电子交易法》(ueta)是涉及电子签名的第一个立法,并被奉为二十多个州的示范法。这部“技术中立(technology-neutral)”的法案规定:1)电子签名符合手写签名的各个要求,并且可在法院诉讼中接纳为证据;2)电子合同得以强制执行;3)不存在对特定技术的特别待遇,但法院可以将不同技术纳入考虑范围。
2000年10月美国国会通过《全球和国内商业法中的电子签名法案》(以下简称《法案》),并由总统克林顿以电子方式签署为法律。它是一项重要的电子商务立法,其突出特点是,采纳了“最低限度”模式来推动电子签名的使用,不规定使用某一特定技术。其主要内容有如下几个方面:
在电子签名的适用范围方面,规定适用于一切影响到州际的或外国的商业合同、协议和记录,以及《1934年证券交易法》管辖范围的事项。也即是说,电子签字可以广泛适用于消费者申请抵押或贷款、在网上购买汽车,开立佣金户头或处理与保险公司的事务等领域。
对于电子签名的效力,《法案》将重点放在查证签名人的意图上,而不是签名的形式和规则。《法案》赋予电子签名、电子合同和电子记录与传统形式和手写签名相同的法律效力和可执行力。它不但承认了“数字签名技术”,而且也授权在未来可使用其它任何类型的签名技术。但它同时也明确,《法案》的规定不影响现有关于合同、记录必须采用书面、签名或电子形式以外的其它形式的法律要求。
《法案》规定了通过选择“加入”系统而自愿使用电子签名或记录的规则。消费者可以自由地选择交易形式(即“当事人自治”);如果同意进行在线交易,则以电子方式确认其意思表示。《法案》规定,公司必须提供一种“清楚、明晰的陈述”,并在消费者作出意思表示之前,告知其有权获得一份非电子形式的记录和撤回其意思表示,以及有权取得保留电子记录所需要的硬件和软件条件(第101条)。至于消费者的“意思表示”,必须“合理地表明”消费者获得电子形式的信息,该信息用以证明消费者意思表示(同意)的客体。
在《法案》与州一级的电子签名法的相互关系上,法案规定,州法只有在采用犹他州《电子交易法案》(ueta)的“清洁”版本,或通过一部专门的技术中立法时,州法才能优先于该法案。《法案》因此确立了为全国所接受的统一标准,同时修补了所谓的“犹他州法的漏洞”。至于电子签字的国际性效力,《法案》的规定与联合国的电子商务示范法是相一致的。它消除了以纸质为基础的对电子交易造成的障碍,对来源于其它国家的电子签字和认证方法采取了非岐视的原则。
《法案》的特点在于:第一、与欧盟的《指令》相比,最具积极意义的部分是在私营部门和自律政策方面。它试图为电子交易的可靠性和安全性提供一个法律框架,对政府的不适当干预进行限制,放弃对电子签字和认证的强制性规制方案,采取了自由化的和非岐视的市场导向方法。第二、《法案》通过“技术中立”的规定,明确表明,保障在线签约安全不只存在一种单一的技术或方法,尽管数字签名在美国得到了广泛的承认。第三、《法案》预先制止了可能出现的指定特定技术方案的州一级的电子签字法的出台,为创设互通性的电子签约系统创造了条件。
三、欧盟与美国在电子签名法律与政策上的协调
欧盟与美国的电子签名法由于采用了不同的规制模式,在电子签名的政策导向、电子认证的管制以及第三国认证的效力等方面出现了明显的差异,而这对于推进电子商务的全球性和交互性,消除国际电子商务的统一障碍是不利的。面对这些政策措施的不协调,美国和欧盟意识到需要进行合作,以推动建立一种安全的、有利于电子商务发展的统一基础设施。其中最为重要的是“环大西洋行动”(transatlantic agenda)和“全球电子签名认证网络”(idntrus)。
“环大西洋行动”是欧盟和美国为了缩小电子签名方面的政府和立法措施的差距,以达到在环大西洋层次上,实现电子签名法律效力和条件标准化的政府层面的合作。
早在1990年,美国和欧盟(当时的欧共体)及其成员国就共同宣布要加强合作以进一步“推动市场原则,反对保护主义,扩大和进一步开放多边贸易体制”。鉴于互联网的发展以及电子商务的急速扩张,欧盟和美国在1997年和2000年的首脑高峰会上主张采取下列指导原则:一、电子商务应由市场来主导并由私营机构来推动;二、政府只提供一个清晰、协调和可预测性的法律框架,以推动竞争环境的形成以使电子商务繁荣发展,并给消费者以充分的保护;三、提倡业界的自律,例如实施行为代码,示范合同,业界与其它私人机构达成的指导规则,以取得消费者对电子商务的信心;四、消除现有的不必要的法律和管制,防止出现新的障碍;五、实现电子认证方法的互通性、创新性和竞争性,并在此条件下达成适合于国际一致认可的统一标准。
根据这些原则,欧盟和美国启动了“环大西洋行动”,目标是制定电子商务的行动计划,逐步消除欧盟和美国之间的货物、服务以及资本流动的各种障碍,促进一个新的环大西洋市场的形成。欧盟和美国在其各自现有的规则和政策的基础上开展合作,以最大程度地实现技术透明、规制协调一致、营业共享以及认证方法的非岐视。
“环大西洋行动”是欧盟和美国在政府层次上的合作。但在其中起作用的重要角色是私营机构,尤其是“全球电子签名认证网络
(idntrus)”。idntrus是为了减少电子交易所面临的规制方面的障碍于1999年在美国建立起来的一个全球性的电子签字认证网络。每一家与该认证网络系统连接的金融机构事实上都是认可的认证机构。idntrus依赖于一些由金融机构牵头的欧美私营机构而建立起来,其主要目的是对交易各方的身份和授权进行鉴别,确保通讯信息的保密性、所传输的讯息的完整性以及在公开网络上的签名的“不可拒绝性”,同时保障建立在统一标准基础上、超越任何法律分歧的电子交易系统的互通性。
欧盟目前已经正式批准了idntrus,并授予金融机构以独立认证机构身份参与竞争,从而确立认证服务的基础。目前,全球已有接近五十家银行与“全球电子签名认证网络”进行了连接。
可见,不论欧盟和美国的法律和经济背景如何不同,发展电子商务的现实共同需要使得双方必须在建立一个相互协调、兼容的法律环境方面进行合作。实际上,在《电子签名指令》和《电子签名法案》颁布之前,双方各自的政府和商界之间就己开始进行合作,但立法机构之间并未就解决在线交易面临的法律挑战上共同寻求对策和进行合作,而且对认证方法采用了不同的处理方式。
四、欧盟和美国电子签名法的评价与思考
可以看出,不论是欧盟还是美国,其解决电子商务中的电子签名与安全认证问题的方案仍然是不完善的:
第一、欧盟对电子签名与电子认证实施过度规制的政策,抑制了电子商务的发展。其原因是“防范网络犯罪和保护消费者的政治需要,以及担心失去在线的税收收入”。欧盟的许多消费者保护主义者要求严格规制电子商务,甚至希望将其赶出现实生活。而美国的政策被认为是放任主义,其目前采取的认证方法使消费者的风险过大,导致加速人们的意见分歧,使接受与不愿接受电子商务的人们之间的鸿沟日益增大。因此可以说,目前任何一种解决方式都谈不上更为有效,更与网络时代的需要相一致。
第二、目前电子商务发展中仍缺少共同的国际技术标准,网络仍存在不安全性和来自欺诈的威胁;而且,实施电子签名需要各种成本,也缺乏一种共同的跨境交易法律基础,传统消费者对在线交易感受到较大的心理压力,这些都是电子商务发展中的障碍。而作为公司来说,它仍需要继续开发各种系统,向人们证明其数据没有受到非法的篡改和损害,其签名是确切的,而且交易各方都能清楚了解交易协议。就目前来说,欧盟和美国的电子签名法远远未能解决这些问题,商界在电子商务发展中所承担的风险仍然很大。
第三、欧盟各国和美国各州都没有将其各自的立法与欧盟的《指令》和《法案》完全予以协调,因此,电子签名和电子签署文件的法律地位仍不确定。多数国家的证据法只赋予纸质文件上的手写签名以完全、充分的法律效力,而法官对于改变法庭证据的成规也不热心。这意味着,如果发生电脑系统崩溃、电子认证被伪造、电子文件被篡改,消费者便负有法律上的证明责任。由于《指令》和《法案》对于这些情况下消费者的责任没有作出限制,用户要证明认证机构签发的证书所支持的签名是无效的就很困难。除了技术故障和对电子签名的滥用外,消费者仍然在人为错误造成的电子交易纠纷中仍然负有举证责任。
尽管如此,欧盟的《指令》和美国的《法案》对于电子商务的发展来说,都是具有创新意义的,其共同的目标是建立一个实用的、定义清晰的电子交易法律环境。由于电子签字仍处于发展的初期,这两部法律的许多方面仍需依据用户和市场的需求来逐步完善。至于有关电子签字的法律效力、认证机构的法律地位和责任、消费者对电子交易的选择权以及权益的保护等问题,更需要政府间、仍至国际社会的共同努力。
笔者认为,欧盟和美国的电子签名立法和实践,对于我国来说,有如下几点启示:
第一、电子签名至今未有一种统一、完善的法律规制模式。美国与欧盟的模式各有其优、缺点。欧盟对认证机构赋予较大的责任,强调对消费者的保护,强调政府的引导作用,对于确保网络的安全,建立消费者对电子商务的信心,显然具有重要作用;美国的方案采取开放式的“最低限度”模式,不那么详尽的立法和规则有利于电子商务在较少束缚的条件下发展。我国的电子商务起点低,决定了不能盲目地照搬他国模式,应在充分研究各国的经验基础上,确定适合自己的规制方式。
第二、应遵循技术中立的原则。目前,国际上流行的态度是,电子签名标准的发展应该统一、透明和客观,应放弃为每一种认证方法进行立法的做法,应承认各种电子签名的形式的合法性,只要其符合国际标准,均具有同等的法律效力和可强制执行力。反映到立法上,就是要确立技术的中立地位,避免规定使用特定技术,只从功能上对电子签名作出规定。这样,才能为未来新的电子签名技术的发展预留法律空间。
第三、电子商务代表了一种新的经济发展方向,政府负有推动其发展的责任。同时,政府也负有最大程度地保障网络安全、保护消费者利益的责任。因此,政府应鼓励公众使用电子签名,并就电子交易的可靠性和安全性向他们提供一定的保证。法律应规定认证机构对消费者的责任,保护用户在出现欺诈、滥用甚至人为差错时应享有的权利,同时让不愿意或不能使用电子签字的用户有选择传统交易方式的权利。如何平衡鼓励发展与保障网络安全和消费者利益,是电子商务发展中政府必须妥善处理的一对矛盾。
参考文献:
1、uncitral model law on electronic signatures, 2001: .
2、eu directive on a community framework for electronic signatures : directive 1999/93 ec, oj l013, 19.1.2000,p.0012-0020, .
3、electronic signatures in global and national commerce act (2000): .
4、transatlantic agenda: .
5、identrus:< >
6、spyrelli, c, “electronic signatures: a transatlantic bridge? an eu and us legal approach towards electronic authentication”, the journal of information, law and technology (jilt) 2002(2) .
7、chris kuner,rosa barcelo, stewart baker,and eric greenwald, "an analysis of international
electronic and digital signature implementation initiatives- a study prepared for the internet law and policy forum(ilpf) september, 2000〈/groups/analysis_iedsii.htm〉
【关键词】电子商务;数字签名;安全
数字签名技术在电子商务安全方面有着特别重要的地位,它是电子商务安全系统的核心技术,是以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,数字签名技术是信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性的保证,电子商务安全系统中的数字签名技术研究也是当前的研究热点话题。我国数字签名技术的研究和应用才刚刚起步,与国际先进水平还有一定差距。
一、电子商务中使用数字签名的现状
随着国际互联网的发展,电子商务已经逐渐成为人们进行商务活动的新模式。但是,由于电子商务交易平台的虚拟性和匿名性,其安全问题也变得越来越突出,在电子商务中一个最重要问题就是确保交易信息的安全,为了确保数据传输安全及交易安全,必须采取一系列的安全技术,如加密技术、数字签名、身份认证、密钥管理、防火墙、安全协议等。数字签名作为在信息安全,包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用的加密技术,已成为电子商务安全系统的核心技术,特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。
在日常生活中,通常我们通过对某一文档进行签名来保证文档的真实有效性,以至于对签字方进行约束,防止其发生抵赖的行为,并把文档与签名同时发送以作为日后查证的依据。在网络环境中,我们可以用电子数字签名作为模拟,从而为电子商务提供不可否认服务。
二、电子签名法对电子商务的影响
电子签名法在2004年8月28日全国人大常委会第十一次表决得以通过,并于2005年4月1日起施行。这部法律规定了可靠的电子签名和手写签名以及盖章具有等同的法律效力。电子签名法是我国信息化领域里的第一部法律,《电子签名法》的标志意义大于实际意义。这意味着我国信息化终于“有法可依”。
电子签名法重点解决五个方面的问题:
1.确立了电子签名的法律效力;
2.规范了电子签名行为;
3.明确了认证机构的法律地位及认证程序;
4.规定了电子签名的安全保障措施;
5.明确了电子认证服务行政许可的实施机关。
专家认为,就目前我国电子交易活动越来越频繁,这部法律将建立良好的网络信用机制和高效的网上交易途径,对我国电子商务的发展以及网络经济繁荣起到极其重要的促进作用。一系列有利政策的出台,为中国电子商务的发展奠定了法律依据、提供了良好的环境,创造了中国电子商务发展前所未有的大好时机。
三、电子商务中使用数字签名的方法推荐和可行性研究
电子商务的安全问题设计范围较广,管理企业内部的网络环境已经很复杂,当把企业网与互联网相连接时,性能、可管理性、安全等方面面临很大的挑战。在信息安全领域的研究中,已经形成了密码技术,认证技术、计算机病毒防御技术等等,在这么多个安全门类中,密码技术得到了很大的应用。数字签名则是密码学中的一个重要分支,它的提出为电子文档进行了签名,以代替传统的手写签名。
数字签名在网络中具有很多具体应用,比如在电子公文、网上报税、网上投票、电子订单、电子账单、电子收据、电子合同、电子现金、电子邮件之类的电子文档都需要数字签名来实现文档的真实有效性[1]。由此可见,数字签名在电子商务中起着非常重要的作用。在电子商务安全系统中,数字签名技术极其重要,在电子商务安全服务中的源信息鉴别、完整性以及不可否认服务中,都需要用到数字签名技术的支持。在电子商务中,完善的数字签名应具备发方不可抵赖、他人不可伪造、在第三方公正面前能够验证真伪的能力。
实现数字签名有很多方法,目前数字签名采用较多的是公钥加密技术。1994年美国标准与技术协会公布了数字签名标准而使公钥加密技术得到广泛应用。目前在电子商务中使用数字签名的方法主要有源信息的保护、电子合同的签订、电子订单的确认、电子账单的生成、电子收据的确定等等。
(一)源信息的保护
交易双方的源信息内容的完整性和不可抵赖性是很容易被检测出来的,只要源信息是经过数字签名后的文件,通信的内容将无法被篡改,防止截获者在文件中加入其它信息。比如对方因为自身利益而对源信息进行篡改或者抵赖,这就损害了另一方的利益,在电子商务中这样的做法是不被允许的。数字签名技术的不可抵赖性不但表现在对自己行为的不可抵赖,也表现在行为发生时间的不可抵赖。因为在数据传输时含有自身的签名,别人无法复制这样的信息,这样可以防止交易发生后对行为的否认,这就做到了源信息内容的保护。
(二)电子订单的确认
当买卖双方达成协议后,买方将会向卖方下订单,这个时候就会进入电子订单系统,电子订单系统又分为两大部分,分别是身份验证系统和订单生成系统。这两个部分都用到数字签名技术的支持,首先身份验证系统需要验证用户身份,对用户身份进行辨别,比如是否有合法证书,又是否为合法用户,该用户是否通过身份验证进入的订单生成系统,这一系列的疑问,都需要数字签名的验证。订单生成系统对于交易所生成的订单进行加密,并且签名等操作,这样才能确保电子订单完整、机密以及有效。
(三)电子账单的生成
电子商务中,一个交易的形成,会涉及到银行账户的改变,一个电子账单就会生成。电子账单由于被无痕篡改的特性,使得普通的电子账单的可信度,证据性的缺失。为了使电子账单能有效的验证电子账单由谁发出、在什么时间签发、签发后内容是否被篡改、内容是否完整,这就要求银行发送的电子账单具有时间戳数字签名的功能。这样的方法能使电子账单具有等同纸质账单的法律效力。这样的技术支持,让我们网上购物更为放心。
(四)电子收据的确定
在电子商务环境中,电子文件上的数字签名在法律上与书面签名具有等同效力。在传统的收据中,会有手写签名,当然在电子收据方面也要能够有证明对方身份的东西,那么我们一直知道数字签名的出现,能为我们解决身份认证、内容完整性、不可抵赖、他人不能伪造、在公证面前能够验证真伪的能力的问题。这就让我们看到在互联网中数字签名作用等同于手写签名,是在这个环节不能缺少的一部分。有了数字签名,让我们的电子收据也能够具有法律效力,很好的为电子商务的发展提供了方便的服务。
(五)电子合同的签订
数字签名技术普遍被认为是保障电子商务安全系数最高一种技术。在企业对外贸易和对外签署的合同中,采用数字签名技术不但能确认甲乙双方的身份,也可以根据《电子签名法》的条款,保证此电子合同的法律效力。数字签名技术最大的价值在于电子合同的签订问题上,卖卖双方不需要面对面就可以解决很多问题,比如互相认可对方身份、并都有具备法律效力的电子文件,这为交易的实现提供了方便又安全的服务,不得不说,电子合同的确认签订是数字签名技术最本质的地方。
四、结束语
电子商务是基于计算机互联网的网上交易行为,网络必须能保证大量的信息能够安全传送和接收,电子资金能够安全划拨,这就要求了电子商务是一个安全的交易系统,由于因特网是一个开放的体系,网上传送的信息可能遭到不法分子的破坏,窃听和篡改。因此我们必须保证网络信息传送的安全性。数字签名作为网络安全保证多种措施的最重要的一种安全技术方法,必将为电子商务交易系统服务。
