CA中心为每个用户签发包含用户公钥的数字证书,而用户私钥只由用户自己保管,CA中心及每个用户都不知道其他任何用户的私钥。
如果采用各种管理手段和技术手段能够确保不发生以下操作,则在网络上由用户私钥进行的任何加解密操作行为,均可以看作是该用户的正常行为:
(1)用户私钥不会被泄露,任何其他人都无法获得该私钥。
(2)用户私钥不会被劫持,任何其他人都不能在违背该用户主观意愿下使用该私钥随意进行加解密操作。
显然,私钥属于用户专有,这种特性很容易让人联想到手写签名。私钥由计算机随机产生,相同的概率很低,具有唯一性;使用私钥对数据进行加解密操作,可看作是“签名动作”(事实上,只有私钥加密属于签名范畴,具体原理可参考后续章节的内容)。使用私钥对电子文档进行加密操作后的结果称作数字签名或电子签名。
尽管电子签名与手写签名具有很高的相似性,但本质上还是存在很多区别的:
(1)电子签名仅表现为一组代码,需要计算机系统进行鉴别,无法仅凭视觉来进行辨认。
(2)电子签名是一种数据,无法以原件形式提交。这对传统的法律证据规则提出了挑战。
(4)电子签名需要特殊电子认证方式以确定其真实性。需要经过资质信誉良好的认证机构按照一定的标淮,通过计算机系统的核查对电子签名的真实性与有效性予以确认。
(5)电子签名容易被改动,且修改后不易被发现,可能给电子签名的签署者在电子交易中带来很大的损失。
二、电子签名法赋予电子签名与认证法律地位
如果电子文档是一份商务合同,那么用私钥签署电子签名后是否就成为电了合同呢?如果电子签名没有法律效力,该文档还是一个普通的电子文档,并不是真正意义上的电子合同。可喜的是,期盼已久的《中国人民共和国电子签名法》(以下简称《电子签名法》)终于于2005年4月1日正式施行,该法给电子签名与认证赋予了法律效力,大大增强了电子交易的安全性,保障网上交易者的信心,建立良好的网络信用机制和高效的网上交易途径,对我国电子商务的发展以及网络经济繁荣起到极其重要的促进作用。
电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。
电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。
电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。
电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。
电子签名验证数据,是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。
2.满足法律法规规定的数据电文
能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。
符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:
(1)能够有效地表现所载内容并可供随时调取查用。
(2)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。
符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:
(2)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容。
数据电文有下列情形之一的,视为发件人发送:
(2)发件人的信息系统自动发送的。
(3)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。
法律、行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。
3.可靠的电子签名
电子签名同时符合下列条件的,视为可靠的电子签名:
(1)电子签名制作数据用于电子签名时,属于电子签名人专有。
(2)签署时电了签名制作数据仅由电子签名人控制。
(3)签署后对电子签名的任何改动能够被发现。
(4)签署后对数据电文内容和形式的任何改动能够被发现。
可靠的电子签名与手写签名或者盖章具有同等的法律效力。
4.电子认证服务
电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。提供电子认证服务,应当具备一系列条件:
(1)具有与提供电子认证服务相适应的专业技术人员和管理人员。