1、第5章 电子签名,电子签名概述 数字签名 中华人民共和国数字签名法,5.1 电子签名概述,5.1.1 传统签名1、概念:是指一个人用手亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号,以确定签名人的身份,并确定签名人对文件内容予以认可。2、法律要求:正确名字、书面形式、本人亲手书写3、作用:识别某人;签字者已确认文件的内容;将签名人与文件内容相联系,即能构成证明签字者,对文件内容正确性和完整性负责的证据。4、发展:包括电子签名的必要性,5.1.2 电子签名,从广义上讲,凡是能在电子计算通讯中,起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段,都可被称为电子签名。 狭义的电子
2、签名,通过一种特定的技术方案来鉴别当事人的身份及确保交易资料内容不被篡改的安全保障措施,通常指数字签名,它是以非对称加密方法结合哈希函数产生的电子签名。,1、概念,法律中电子签名概念,联合国贸发会的电子签名示范法中对电子签名作如下定义:“指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”; 在我国的中华人民共和国电子签名法第二条中规定:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并标明签名人认可其中内容的数据。本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储
3、存的信息。”,2.电子签名的实现技术,电子签名的具体实现技术,一般分为三类: 第一类是个人身份密码或个人身份号码(PIC/PIN),即以人为的特征(如密码的记忆与拥有)作为鉴别的参照物。 第二类基于PKI (Public Key Infrastructure,公钥基础设施)的公钥密码技术的数字签名 第三类电子签名,是与用户个人生物特征相联系的。如指纹,视网膜纹,声音,脑电波或声波等,都可用来辨别用户。,3电子签名的功能,除了传统的签名所具有的三个功能外,基于PKI技术的数字签名还具有三项新增的功能:其一、保密功能。其二、识别机器的身份。其三、数字时间戳、VPN(虚拟专用网)证书、软件发行者证书
4、等其他新增功能。,4.电子签名的法律要求,(1)签名者事后不能否认自己签署的事实; (2)其他人不能伪造这个签名; (3)如果当事双方关于签名的真实性发生争执,能够又公正的第三方仲裁者通过验证签名来确认其真伪。,5.2、数字签名,5、2、1 几个概念和术语,一、加密术数据加密技术研究如何将原讯息转换为表面无法理解的并可予以复原的形式的科学。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。,在网络应用中一般采取两种加密形式:私钥(对称密钥)和公钥(非对称密钥) ,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。,私钥加
5、密,又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。,公钥加密系统,又称非对称密钥密钥加密,它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(Public-Key);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。,二、公钥和私钥,对称与非对称加密体制对比,三、哈希函数功能,哈希函数功能其实是一种数学计算过程。这一计算过程建立在一种以”哈希函
6、数值”或“哈希函数结果”形式创建信息的数字表达式或压缩形式(通常被称作“信息摘要”或“信息标识”)的计算方法之上。在安全的哈希函数功能(有时被称作单向哈希函数功能)情形下,要想从已知的哈希函数结果中推导出原信息来,实际上是不可能的。因而,哈希函数功能可以使软件在更少且可预见的数据量上运作生成数字签名,却保持与原信息内容之间的高度相关,且有效保证信息在经数字签署后并未做任何修改。,通过一个或几个值得信赖的第三方,将被认定的签名或签署者的姓名与特定的公共密钥联系起来。可信赖的第三方在多数技术标准中,被称为“认证机构”、“证书服务供给者”或“证书服务提供者”(电子签名统一规则选用了“证书服务提供者”
7、这一名称)。,四、认证机构和PKI,CA(Certification Authority)中心是负责创建和证明身份的可信赖的权威机构,CA中心承担数字证书的制作、管理功能,负责保证数字证书的权威性和不可假冒性。,CA的组成,签发服务器 证书的签发和管理,密钥管理中心 产生公/私密钥对 ,CA证书的签发,目录服务器 证书和证书撤消列表(CRL)的发布和查询,CA的结构,第一级:根CA(ROOT CA) 总政策制定,第二级:政策CA(PCA)具体认证策略制定,第三级:操作CA(OCA)证书签发、发布和管理机构,RA(Registration Authority)是认证中心的组成部分,是数字证书的申
8、请注册、审批、校对和管理机构。,公钥基础设施PKI(Public Key Infrastructure),公钥基础设施PKI(Public Key Infrastructure)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。 PKI作为一个技术体系和设施,使得CA(Certificate Authority )认证中心可以为网络交易双方提供一个共同信赖的数字证书,作为他们身份和行为的证明,保证用户身份不能被假冒、用户发出的数据不可能被更改、用户发出的数据不可能否认、用户发出数据的来源可到证实。,证书服务提供者,为了将密钥对与潜在的用户联系起来,需要由
9、证书服务提供者(或称认证机构)颁发证书。 它是包含证书申请者姓名和公共密钥在内的电子记录,可以确定证书所识别的当事人持有相应的私密钥。 证书的主要功能是将公共密钥与特定的持有人相联系。信赖证书中表明的公共密钥持有者是数字签名的证书接受者,可以通过证书中所列明的公共密钥,来确认数字签名是由相应的私密钥签署的。如果确认成功,则可保证数字签名是由证书标明的私密钥持有者签发的,相应的信息自签署后未曾改变过。,5.2.2 数字签名的概念,一、数字签名的含义,所谓数字签名(Digital Signature) ,就是只有信息的发送者才能产生的、别人无法伪造的一段数字串,它同时也是对发送者发送的信息的真实性
10、的一个证明。,数字签名:附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造 。ISO7498-2 数字签名:利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性 美国电子签名标准(DSS,FIPS186-2),二、数字签名的原理,(1)用户生成或得到独特的加密密钥对。 (2)发件人在计算机上准备拟发送的信息(如电子邮件)。 (3)发件人用安全的哈希函数算法准备好信息摘要。数字签名由一个哈希函数值生成。该函数值由被签署的信息和一个给定的私密
11、钥生成,并对该信息是独特的。该哈希函数值的安全性,表现为通过任意信息和私密钥的组合,生成同样数字签名的可能性为零。(4)发件人通过使用私密钥将讯息摘要加密。私密钥通过使用一种数学算法被应用在讯息摘要文本中。数字签名包含被加密的讯息摘要。(5)发件人将数字签名附在信息之后。,(6)发件人将数字签名和信息(加密或未加密)发送给电子收件人。 (7)收件人使用发件人的公共密钥确认发件人的电子签名。使用发件人的公共密钥进行的认证,可证明信息排他性地来自于发件人。 (8)收件人使用同样安全的哈氏函数算法生成信息的信息摘要。 (9)收件人比较两个信息摘要。 (10)收件人从认证机构获得认证证书(或者是通过信
12、息发件人获得),用以确认发件人所发讯息上数字签名的真实性。该证书包含发件人的公共密钥和姓名(以及其他附加信息),并有认证机构的数字签名。在数字签名系统中,认证机构是专门从事管理证书业务的可信赖的第三方。,数字签名原理示意图,SHA Secure Hash Algorithm 安全的哈希函数算法,5.3 电子签名和数据电文的 法律效力,1.电子签名的法律效力电子签名法第十四条规定“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”,(1)关于电子签名活动中当事人意思自治原则、电子签名和数据电文的法律效力的规定。 电子签名法第三条规定“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使
13、用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。 前款规定不适用下列文书: (一) 涉及婚姻、收养、继承等人身关系的; (二) 涉及土地、房屋等不动产权益转让的; (三) 涉及停止供水、供热、供气、供电等公用事业服务的; (四) 法律、行政法规规定的不适用电子文书的其他情形。,2.数据电文的法律效力,(2)关于数据电文证据力的规定。电子签名法第七条规定“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。” 电子签名法第八条规定“审查数据电文作为证据的真实性,应当考虑
14、以下因素: (一) 生成、储存或者传递数据电文方法的可靠性; (二) 保持内容完整性方法的可靠性; (三) 用以鉴别发件人方法的可靠性; (四) 其他相关因素。”,2.数据电文的法律效力,(3)关于数据电文形式要求的规定。电子签名法第四条规定“能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。” 电子签名法第五条规定“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求: (一)能够有效地表现所载内容并可供随时调取查用; (二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变
15、化不影响数据电文的完整性。”,2.数据电文的法律效力,(3)关于数据电文形式要求的规定。 电子签名法第六条规定“符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。”,2.数据电文的法律效力,(4)关于数据电文的发件人、收件人以及发送、接收时间的规定。电子签名法第九条规定“数据电文有下列情形之一的,视为发件人发送: (一)经发件人授权发送的; (二)发件人的信息系
16、统自动发送的; (三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。当事人对前款规定的事项另有约定的,从其约定。,2.数据电文的法律效力,(4)关于数据电文的发件人、收件人以及发送、接收时间的规定。电子签名法第十条规定“法律、行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。”电子签名法第十一条规定“数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;未指定特定系统的,数据电文进入收件人的任何系统的首次时间
17、,视为该数据电文的接收时间。当事人对数据电文的发送时间、接收时间另有约定的,从其约定。”,2.数据电文的法律效力,(4)关于数据电文的发件人、收件人以及发送、接收地点的规定。电子签名法第十二条规定“发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点。没有主营业地的,经常居住地为发送或者接收地点。当事人对数据电文的发送地点、接收地点另有约定的,从其约定。”,2.数据电文的法律效力,3 法律后果与责任,我国电子签名法第三十二条规定,“伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。” 对于电子签名主体的责任,我国电子签名法采
18、取了签名人过错责任,该法的第二十七条规定,电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任,研究新动向、新视角,“时间戳”与电子签名 “可信时间戳”是由权威专业的时间戳服务机构利用权威可信的时间源和现代密码技术产生的一个用来证明电子文件存在的时间和内容完整性的一种方法。由于采用了权威可信的时间源和电子签名技术,这个“时间确认”便有了“客观性”、“不可抵赖性”,因而是“可信”的。 电子签名技术专利调查 经初步统计,中国
19、专利局公开或授权的电子签名技术专利约63篇,其中,国外申请不足1/3。 时间戳使用例,中国电子邮件第一案,基本案情:1996年4月9日,北京大学研究生薛某收到美国密执安大学发给她的关于批准她入学申请并提供奖学金的电子邮件,但其后一直未见正式通知,后来经过查询后得知,有人冒用其名义向该 大学发去了一封电子邮件,谎称薛某已经接受其他学校的邀请, 回绝了该所大学。该大学将这份奖学金转给了别人,薛失去了一次 赴美深造的机会。薛某经过调查后向法院起诉,要求同学张某承担赔偿责任。 而起诉的依据是,在向美国大学发出拒绝信的当天,有人证明张 某曾经在发出电子邮件的试验室里,张某本人也承认在当天曾经 到过试验室
20、,但拒绝承认电子邮件为其所发。,原告收集了以下电子证据:1)4月12日上午10:12分从地址号为“204”的计算机上发出的电子邮件,发件人署名“Nannan”,收件人是美国密苏里-哥伦比亚大学的刘某;2)四分钟后,从同一台计算机上发出的另一封电子邮件,发件人署名是原告,收件人是密执安大学;3)北京大学计算机中心的证明,表明了上述两封电邮件是在前后相距4分钟的时间内从同一台计算机上发出,当时的用户正是张某。 问:电子邮件是否具有法律效力?是否可以作为证据使用?,电子证据,电子邮件的法律效力,案情简介,2003年7月19日,甲工具制造有限公司(以下简称甲公司)与乙电子商务有限公司(以下简称乙公司)
21、签订电子商务服务合同1份,约定:乙公司为甲公司安装其拥有自主版权的IteMS20001.0版国际贸易电子商务系统软件1套,在安装后1年之内最少为甲公司提供5个有效国际商务渠道。乙公司对甲公司利用其软件与商情获得的成交业务,按不同情形收取费用,最高不超过50万元。如果在1年之内,乙公司未能完成提供有效国际商务渠道的义务,则无条件退还甲公司首期付款5万元并支付违约金。合同签订后,乙公司在甲公司处安装了软件平台,并代甲公司操作该系统。2004年10月,甲公司以乙公司违约,未能提供有效国际商务渠道为由起诉至法院,要求解除合同,返还已付款项并支付违约金。乙公司在举证期限内提供了海外客户对甲公司产品询盘的
22、4份电子邮件(打印文件),以此证明乙公司为甲公司建立的交易平台已取得业务进展,至于最终没有能够成交,是由于甲公司提供给外商的样品不符合要求。,简单介绍,原告,工具制造有限公司 (甲公司),被告,电子商务有限公司(乙公司),原因,甲公司认为乙公司没有按照合同的规定为其提供国家商务渠道,证据,乙公司在举证期限内提供了海外客户对甲公司产品询问的4份电子邮件(打印文件),判决书,一审法院认为,电子邮件的资料为只读文件,除网络服务提供商外,一般外人很难更改,遂认定了电子邮件证据的效力。驳回甲公司的要求,出现转机,甲公司不服判决并上诉。,二审法院判决书,乙公司提供的电子邮件只是打印件,对乙公司将该电子邮件
23、从计算机上提取的过程是否客观和真实无法确认,而乙公司又拒绝当庭用储存该电子邮件的计算机通过互联网现场演示,故否认了4份电子邮件的证据效力。乙公司对甲公司进行赔偿,评析,本案的争议焦点在于乙公司在合同约定的1年内是否为甲公司提供了有效国际商务渠道,而确定该问题的关键在于对乙公司提供的4份电子邮件如何进行认定。,1共4页,电子证据可以作为证据使用,法学理论界以及司法实践均没有争议,而对于电子证据的归类、法律地位以及相对应的证据认证规则尚处于理论讨论阶段,再加上对电子证据的判断需要计算机领域的相关专业知识,这难免会给法官在证据的审查认定上带来较大的难度。从一、二审判决可以看出,一审法院基本上将电子邮
24、件作为书证对待,适用了书证这类证据的认证规则;而二审法院虽然没有在判决中对电子邮件作为证据的法律属性明确阐述,但从法官要求乙公司方当场演示储存邮件的计算机以及对证据提取过程的特别程序要求可以看出,法院对电子邮件作为证据使用时采取了与书证和视听资料等不同的认证规则。,2,电子证据是存储于磁性介质之中,以电子数据形式存在的诉讼证据。电子证据必须通过一定手段转换成能为人们直接感知的形式,就这一点而言与视听资料有着相似之处,其中一些数据经计算机输出后更像是一种书证。但电子证据表现形式具有多样性(如文本、图形、动画、音频及视频等多种媒体信息),并且因为电子数据储存在计算机中,可能会遭到病毒、黑客的侵袭以
25、及人为修改,难以完全归入任何一个传统类型的证据当中。因此,笔者认为将电子证据简单地归入视听资料一类会限制其证据效力的发挥,进而影响到案件事实的认定;而应当将电子证据作为独立的证据种类并规定符合其自身特点的认证规则。,3,基于电子证据易遭破坏和人为篡改的特点.在分析电子证据认证规则中,首先必须对证据取证程序即证据的可采信方面进行审查. 其次,在对电子证据合法性认定方面,除了其他法律明确规定的非法证据排除规则外,还应当注意对于通过非法软件以及非核证软件所获取的电子证据应不予采纳。最后,应当强调的是对电子证据的审查认证在技术上具有复杂性,法官所掌握的知识很难得出正确判断,因此必须借助计算机专家对电子证据是否被修改、收集手段否正确以及电子证据的合法性提出权威意见,从而为法官全面审查证据提供有力帮助和科学依据。,4,
