论文部分内容阅读
2010年4月1日,《电子签名法》实施满5周年。对于普通百姓而言,很多人并不清楚电子签名如何保障他们的权益。为此,在工业和信息化部信息安全协调司的大力支持下,本报特组织相关技术和法律专家,对电子签名中容易被误读的概念,进行了通俗又权威的解答。
问题1
什么是电子签名?什么是数据电文?
《电子签名法》所称的“电子签名”,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
本法所称“数据电文”,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
1. 电子签名的概念。签名,是指一个人用手亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号,以确定签名人的身份,并确定签名人对文件内容予以认可。传统的签名必须依附于某种有形的介质,而在电子交易过程中,文件是通过数据电文的发送、交换、传输、储存来形成的,没有有形介质,这就需要通过一种技术手段来识别交易当事人、保证交易安全,以达到与传统的手写签名相同的功能。这种能够达到与手写签名相同功能的技术手段,称为电子签名。
有关国际组织、国家和地区电子签名法对电子签名的定义,一般都是通过对其要达到的功能的表述而形成的。传统的手写签名主要应具有三项功能:一是能表明文件的来源,即识别签名人; 二是表明签名人对文件内容的确认; 三是能够构成签名人对文件内容正确性和完整性负责的根据。构成电子签名,就必须具有上述功能。按照上述定义,具有识别签名人身份和表明签名人认可签名数据的功能的技术手段,就是电子签名。
电子签名的概念包含以下内容:
(1)电子签名是以电子形式出现的数据。
(2)电子签名是附着于数据电文的。电子签名可以是数据电文的一个组成部分,也可以是数据电文的附属,与数据电文具有某种逻辑关系、能够使数据电文与电子签名相联系。
(3)电子签名必须能够识别签名人身份并表明签名人认可与电子签名相联系的数据电文的内容。
电子签名具有多种形式,如:附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像; 向收件人发出证实发送人身份的密码、计算机口令; 采用特定生物技术识别工具,如指纹或是眼虹膜透视辨别法等。无论采用什么样的技术手段,只要符合本条规定的要件,就是本法所称的电子签名。
2. 数据电文的概念。数据电文,也称为电子信息、电子通信、电子数据、电子记录、电子文件等,一般是指通过电子手段形成的各种信息。我们目前接触的以计算机处理和保存的文件都是数据电文。例如word文档、execl数据表、pdf文档、电子邮件、聊天信息等。
根据本条的规定,数据电文的概念包含两层意思:第一,数据电文使用的是电子、光、磁手段或者其他具有类似功能的手段; 第二,数据电文的实质是各种形式的信息。
问题2
电子签名和数据电文在法律上的适用领域是什么?
法律规定,民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
电子签名和数据电文的法律效力在下列四类有关文书中不适用:
(1)涉及婚姻、收养、继承等人身关系的;
(2)涉及土地、房屋等不动产权益转让的;
(3)涉及停止供水、供热、供气、供电等公用事业服务的;
(4)法律、行政法规规定的不适用电子文书的其他情形。
问题3
什么是可靠的电子签名?
电子签名同时符合下列条件的,视为可靠的电子签名:
1. 电子签名制作数据用于电子签名时,属于电子签名人专有。电子签名制作数据是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。它是电子签名人在签名过程中掌握的核心数据。惟有通过电子签名制作数据的归属判断,才能确定电子签名与电子签名人之间的同一性和准确性。因此,一旦电于签名制作数据被他人占有,则依赖于该电子签名制作数据而生成的电子签名有可能与电子签名人的意愿不符,显然不能视为可靠的电子签名。
2. 签署时电子签名制作数据仅由电子签名人控制。这一项规定是对电子签名过程中电子签名制作数据归谁控制的要求。这里所规定的控制是指一种实质上的控制,即基于电子签名人的自由意志而对电子签名制作数据的控制。在电子签名人实施电子签名行为的过程中,无论是电子签名人自己实施签名行为,还是委托他人代为实施签名行为,只要电子签名人拥有实质上的控制权,则其所实施的签名行为,满足本法此项规定的要求。
3. 签署后对电子签名的任何改动能够被发现。采用数字签名技术的签名人签署后,对方当事人可以通过一定的技术手段来验证其所收到的数据电文是否是发件人所发出,发件人的数字签名有没有被改动。倘若能够发现发件人的数字签名签署后曾经被他人更改,则该项签名不能满足本法此项规定的要求,不能成为一项可靠的电子签名。
4. 签署后对数据电文内容和形式的任何改动能够被发现。电子签名的一项重要功能在于表明签名人认可数据电文的内容,而要实现这一功能,必须要求电子签名在技术手段上能够保证经签名人签署后的数据电文不能被他人篡改。否则,电子签名人依据一定的技术手段实施电子签名,签署后的数据电文被他人篡改而却不能够被发现,此时出现的法律纠纷将无法依据本法予以解决。电子签名人的合法权益难以得到有效的保护。因此,要符合本法规定的可靠的电子签名的要求,必须保证电子签名签署后,对数据电文内容和形式的任何改动都能够被发现。
一项电子签名如果同时符合上述四项条件,可以视为可靠的电子签名。可靠的电子签名与手写签名或者盖章具有同等的法律效力。
问题4
什么是电子认证服务提供者?
电子认证服务提供者是指提供电子认证服务的机构,是进行电子认证的主体。在当前技术条件下,电子认证服务提供者提供的是以非对称密码技术为基础的数字认证服务,颁发数字证书并进行数字签名认证,称为CA机构。
问题5
什么是认证? 为什么要进行认证?
认证是指依据某种标准对有形或者无形的主体进行鉴别、辨认,并以某种方式证明其与标准之间符合性的行为或过程。
本质上来讲,认证的意义在于,公众对于被认证主体缺乏了解,或认知能力不足以分辨其符合客观标准与否,需要其他主体协助自己做出判定后并担保判定结果的正确性,这样公众才可以信任被认证主体。从技术角度来讲,由于有其他主体的专业鉴别和辨认,认证可以防止公众受到欺诈。从法律角度来讲,由于有其他主体的担保和证明,可以防止可能出现抵赖行为。
由上可见,“认证主体”自身的身份很重要,一定是公众充分信赖的机构。
问题6
现阶段比较成熟的电子签名技术是什么?
电子签名可以依赖于很多技术来实现,但可以投入大规模应用的电子签名技术要兼顾法律保障、技术成熟度、实施成本、与现实应用的兼容性等多方面因素。按技术特点来看,可以把签字签名分成需要认证和不需要认证两类电子签名。有些电子签名不需要认证,例如一些以生物识别技术生成的电子签名,直接依据签名人的生理特征就可以辨别电子签名的真伪; 在目前,各国电子商务或者电子签名立法中确认的需要认证来确保可靠性的电子签名是数字签名,也是现阶段最成熟而被广泛采用的电子签名,具体措施是通过第三方的数字签名认证机构给从事交易活动的各方主体颁发数字证书、提供证书验证服务等手段来保证交易过程中各方主体电子签名的真实性和可靠性。
问题7
什么是电子认证服务?
目前,电子认证服务包括网上身份认证服务和电子签名认证服务:前者对网上身份的真实性进行鉴别和证明,一般作为一种安全措施和技术保障提供; 后者除鉴别证明电子签名人身份真实性外,还证明签名人认可经其签名的数据电文的内容,并且,如果该签名人使用了可靠的电子签名技术对数据电文进行签名,还可以证明其签过名的数据电文的完整性,具有技术保障和法律保障的双重含义。
问题8
数字签名要满足什么具体条件才是可靠的?
1. 私钥用于数字签名时,属于签名人专有。
私钥是数字签名制作数据,但是从私钥看不出电子签名人的身份,要明确私钥属于签名人专有,必须通过数字签名认证的办法确认。
具体认证过程是,首先由签名人产生一对公钥和私钥,私钥自我保留用于签名,而将公钥提交给电子认证服务提供者,电子认证服务提供者查认签名人身份后,将签名人的身份信息和公钥绑定在一起,制作数字证书并颁发给签名人,在必要的时候,电子认证服务提供者向签名依赖方提供验证服务,向其证明签名人和公钥的对应关系,同时由于公钥和私钥的对应关系是由数学严格证明的,由此即证明了私钥是属于签名人专有。
可以看出,私钥的专属性是需要由电子认证服务提供者进行第三方认证的,这种认证的结果直接关系到签名人身份的法律认定,是专业而严肃的工作,必须是由国家依法许可并颁发《电子认证服务许可证》的机构方可提供这种服务。
2. 签署时私钥仅由数字签名人控制。
这里讲的控制,应当是该数字签名仅由签名人本人或者签名人授权的人进行的。这就要求签名人获得私钥后,应当尽到妥善保管的义务,避免泄露、遗失或者被他人盗取。其次,私钥的存储介质应当具有高度安全性,不易被复制、窃取等。
3. 签署后对数字签名的任何改动能够被发现。
采用数字签名技术的签名人签署后,签名依赖方可以通过签名人的公钥来验证其所收到的数据电文是否是签名人发出的,该数据电文中的数字签名有没有被改动,签名依赖方可以依据验证的结果决定是否信赖该数字签名。
4. 签署后对数据电文内容和形式的任何改动能够被发现。
采用数字签名技术的签名人对数据电文签署数字签名后,如果该数据电文的内容或者形式被改动,签名依赖方通过签名人的公钥来验证其所收到的数据电文中的数字签名时,会显示该数字签名无效,数据电文已经被修改。
问题9
取得《电子认证服务许可证》的电子认证机构与未取得《电子认证服务许可证》但从事认证工作的机构有何区别?
取得《电子认证服务许可证》的CA认证机构,在经营场所、资金、专业技术人员、管理人员、安全技术、安全设备等方面达到了《电子签名法》等相关法律、法规规定的标准,并且通过了国务院信息产业主管部门的审查,在国务院信息产业主管部门的许可和监管下提供电子认证服务,其必须遵循法律要求的各种强制义务。
未取得《电子认证服务许可证》的认证机构,其提供电子认证服务所要求的经营场所、资金、专业技术人员、管理人员、安全技术、安全设备等方面未经国家主管部门审查认定,仅是遵循和用户之间的相互约定提供服务。
问题10
取得《电子认证服务许可证》的CA机构承担哪些法定义务?
取得《电子认证服务许可证》的CA机构在为用户提供服务时,需履行下列法定义务:
1. 制订并公布本认证机构的电子认证业务规则,并向工业和信息化部备案。
《电子签名法》第十九条规定:“电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。”
电子认证业务规则详细说明了CA机构提供服务的类别和具体承诺,经国家主管部门审定和备案,一旦发生纠纷,作为认定有关责任的依据。
2. 审查数字证书申请人的身份。
《电子签名法》第二十条第二款规定:“电子认证服务提供者收到电子签名认证数字证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。”
3. 保证签发的数字证书准确无误。
《电子签名法》第二十一条规定:“电子认证服务提供者签发的电子签名认证数字证书应当准确无误,并应当载明下列内容:(一)电子认证服务提供者名称; (二)数字证书持有人名称; (三)数字证书序列号; (四)数字证书有效期; (五)数字证书持有人的电子签名验证数据; (六)电子认证服务提供者的电子签名; (七)国务院信息产业主管部门规定的其他内容。”
4. 保证数字证书内容在有效期内完整、准确,以及电子签名依赖方能够证实或者了解电子签名认证数字证书所载内容及其他有关事项。
《电子签名法》第二十二条规定:“电子认证服务提供者应当保证电子签名认证数字证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证数字证书所载内容及其他有关事项。”
5. 履行告知义务。
《电子签名法》第二十三条规定:“电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。”
6. 保管认证信息的义务。
《电子签名法》第二十四条规定:“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证数字证书失效后五年。”
问题11
电子签名人有哪些法定义务?
1. 保管及告知义务
《电子签名法》第十五条规定:“电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。”
2. 信息提供义务
《电子签名法》第二十条第一款规定:“电子签名人向电子认证服务提供者申请电子签名认证数字证书,应当提供真实、完整和准确的信息。”
问题12
依法设立的电子认证服务提供者未履行法定义务,承担的法律责任是什么?
依法设立的电子认证服务提供者有若干法律义务,如未履行,应当分别承担不同的责任:
1. 赔偿责任
《电子签名法》第二十八条规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”
依法设立的电子认证服务提供者提供的电子认证服务,是网上业务顺利完成的信任基础,正是其设定时必须满足的严格许可条件,民事活动中的电子签名人、电子签名依赖方才会信赖电子认证服务提供者颁发的数字证书及相关服务。
如果电子签名人或者电子签名依赖方自己本身没有任何过错,只是由于信赖电子认证服务提供者提供的服务,依据电子认证服务提供者提供的电子认证服务从事网上活动而遭受损失的,电子认证服务提供者不能证明自己无过错的,应当承担赔偿责任。
对于电子认证服务提供者来讲,如果能够证明其所提供的服务完全是严格按照《电子签名法》和符合国家规定并向国务院信息产业主管部门备案的电子认证业务规则实施的,则能够证明自身没有过错。
2. 罚款
《电子签名法》第三十条规定:“电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。”
3. 吊销电子认证许可证书
《电子签名法》第三十一条规定:“电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正; 逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。”
问题13
电子签名人不履行法定义务,承担的法律责任是什么?
《电子签名法》第二十七条规定:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。”
问题14
依法设立的电子认证服务提供者需要满足什么条件?如何申请?
《电子签名法》第十七条规定:“提供电子认证服务,应当具备下列条件:(1)具有与提供电子认证服务相适应的专业技术人员和管理人员; (2)具有与提供电子认证服务相适应的资金和经营场所; (3)具有符合国家安全标准的技术和设备; (4)具有国家密码管理机构同意使用密码的证明文件; (5)法律、行政法规规定的其他条件。”
依据《电子签名法》第十八条的规定,从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合上述规定条件的相关材料。
国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起45日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书; 不予许可的,应当书面通知申请人并告知理由。
申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。
问题15
什么是电子认证业务规则?电子认证业务规则的作用是什么?
电子认证业务规则是电子认证服务提供者提供电子认证服务时应当遵循的准则。包括 CA认证机构整体运行规范和数字证书的颁发、管理、吊销、密钥管理以及数字证书更新的操作规范等事务。通常由以下几部分组成:
(1)概括性描述;
(2)信息发布与信息管理;
(3)身份标识与鉴别;
(4)数字证书生命周期操作要求;
(5)认证机构设施、管理和操作控制;
(6)认证系统技术安全控制;
(7)数字证书、数字证书吊销列表和在线数字证书状态协议;
(8)认证机构审计和其他评估;
(9)法律责任和其他业务条款。
为便于数字签名人和数字签名依赖方了解电子认证服务规范,知悉与之相关的权利、义务和责任,电子认证服务机构应当根据工业和信息化部的《电子认证业务规则规范框架》制定自己的电子认证业务规则,向工业和信息化部备案,接受工业和信息化部的监督,同时对社会公开发布。
电子认证服务机构应当按照其制定、公布并向工业和信息化部备案的电子认证业务规则提供电子认证服务。如果数字签名人或者数字签名依赖方在从事网上业务遭受损失时,电子认证服务提供者只要能够证明其所提供的服务完全是严格按照《电子签名法》和符合国家规定并向国务院信息产业主管部门备案的电子认证业务规则实施的,则能够证明自身没有过错,可不承担赔偿责任。
问题16
数字证书(数字签名)
能够应用在哪些领域?
数字证书作为各类实体在网上进行信息交流及商务活动的可靠身份证明,可有效解决网络信任问题。因此,它可广泛应用于各种电子政务、电子商务活动中,包括:网上采购、网上支付、网上证券、网上审批、网上报送、网上招投标等。
数字证书的应用可实现网上用户身份的真实可靠性,确保用户身份不可假冒;可实现信息的机密性,确保数据在传输过程中不会被非法窃听并查看到原文;可实现信息的完整性,确保数据在存储、传输和处理的过程中免遭任何非授权的或非预期的修改、插入、删除、重发等破坏,从而实现数据的真实性、有效性和一致性;可实现抗抵赖性,通过数字签名确保信息的发送方不能抵赖曾经发送的信息,不能否认自己的操作行为。
基于以上特性,规范使用数字证书和认证服务,可有效解决网络信息安全问题。
问题17
数字证书的申请人是否有地域或国籍范围的限制?
没有限制。外国人或者外国公司也可以作为申请人申请中国的数字证书,只要能够提交证明其真实身份和真实申请行为的资料,并通过中国依法设立的电子认证服务提供者的审核,即可获得数字证书。数字证书的申请可以向任何一家依法设立的电子认证服务机构提出,申请的数量也不仅限于一个,只需要保证能够确定数字证书与申请人具有同一性。
问题18
数字证书有哪些类型?
按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等:
个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等,可用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动;
机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等,可用于机构在电子商务、电子政务应用中进行合同签定、网上支付、行政审批、网上办公等各类活动;
设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,如:域名、网址等,可用于VPN服务器、Web服务器等各种网络设备在网络通信中标识和验证设备身份。
此外,还有代码签名数字证书,是签发给软件提供者的数字证书,包含了软件提供者的身份信息及其公钥,主要用于证明软件发布者所发行的软件代码来源于一个真实软件发布者,可以有效防止软件代码被篡改。
问题19
装有数字证书和私钥的载体丢失了怎么办?
数字签名人应当妥善保管私钥,一旦私钥失密,他人有可能利用数字签名人的私钥从事违法行为或者牟取非法利益。因为网上交易过程中当事人之间往往并不见面,当事人之间主要凭借的是对方当事人的数字签名来验证和核实相互间的身份,私钥丢失会给不法分子提供可乘之机,给数字签名人和数字签名依赖方造成损失。
所以,数字签名人一旦知悉私钥已经失密或者可能已经失密,应当立即停止使用该私钥,向数字证书颁发机构申请吊销该数字证书,有不良企图的人伪造的签名就不能通过验证,然后及时告知有关各方当事人,避免有关各方当事人因继续信赖该数字签名而造成损失。
问题20
CA认证机构提供的电子认证服务主要包括哪些内容?
CA认证机构提供的电子认证服务主要包括下列内容:
(1)数字证书申请的审核。审核数字签名人的申请资料,审核数字签名人的真实身份,提供数字签名人数字证书申请信息的注册服务。
(2)数字证书的签发。为通过审核的申请人签发数字证书。
(3)数字证书的下载。将签发的数字证书安全地下载到用户的安全存储介质中。
(4)数字证书的更新。提供延长数字证书的有效期限或者更换数字证书密钥对的数字证书更新服务。
(5)数字证书的查询。提供数字证书目录信息查询服务和数字证书状态查询服务;
(6)数字证书的注销。提供数字证书的注销服务,将被注销的数字证书发布到黑名单中。
问题21
第三方电子认证服务提供者由谁来监管?
《电子签名法》第二十五条规定:“国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。”
《电子认证服务管理办法》第四条规定:“中华人民共和国工业和信息化部依法对电子认证服务提供者和电子认证服务实施监督管理。”
问题22
别人使用了我的资料申请并通过了电子认证服务提供者的认证,如果发生纠纷,我是否需要承担责任?
如果别人使用您的资料申请并通过了电子认证服务提供者的认证,获得了数字证书,数字证书所载明的所有人应当是您本人,而不是实际申请人,您应当是该数字证书产生的权利及义务的承担人。
如果您否认申请了该数字证书,可以提出异议,由签发该数字证书的电子认证服务提供者承担举证责任。如果该电子认证服务提供者不能证明是您本人或者您授权的人申请了该数字证书,应当按照《电子签名法》第二十八条的规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”
问题23
为什么要进行证书更新?
如何办理证书更新?
为确保各方面信息的准确,数字证书的初始申请过程是非常复杂的,需要审核很多信息。此外,为保证数字证书的高度安全性,每个数字证书都有一定期限的限制。在数字证书有效期限即将届满时,数字证书所有人如果需要继续使用数字证书,就需要对该数字证书进行更新。这种数字证书基本信息不变更,仅延长数字证书有效期限或更换密钥的过程就是证书更新。
数字证书设定有效期限的目的在于:(1)数字证书所代表的所有人身份在一定时间内可能发生变更。如企业的名称变更、企业经营期限届满、企业注销、自然人死亡等等; (2)从安全角度考虑,密钥使用的时间越长,被泄露或破解的风险就越大,在一定期限后对密钥进行更新,可以保证数字证书的高度安全性。
数字证书所有人在申请数字证书更新时,应当按照数字证书原签发机构的要求提供相应的资料和信息,电子认证机构应当对数字证书更新申请进行审核,通常更新申请人要用原有证书对指定信息进行数字签名,电子认证服务机构通过验证其签名确认更新申请人是原有证书的合法所有人。电子认证服务机构审核通过后即可完成数字证书的更新。
链接
相关术语定义
● 电子签名人:是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。
电子签名人可以通过两种方式签名。第一,用自己的电子签名制作数据实施电子签名; 第二,委托他人,使用委托人的电子签名制作数据实施电子签名。毫无疑问,通过第一种方式进行电子签名时,签名人就是制作电子签名的人。通过第二种方式进行电子签名时,签名人是指签名制作数据指代的人,并不是指实施电子签名的人。以数字签名技术为例,电子签名人是指电子签名制作数据(私钥)所有人或者以电子签名制作数据(私钥)所有人的名义实施电子签名的人。
● 电子签名依赖方:是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。当人们阅读数据电文时,要确认数据电文的制作人,人们首先会查验含在数据电文之中或附在数据电文之后的电子签名。根据电子签名技术的不同,这样的查验既可以直接进行,也可能需要通过查验与签名对应证书进行。查验通过后,确认数据电文内容可信,并根据数据电文的内容进行决策或行动的人,就是电子签名依赖方。在应用中,电子签名依赖方是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的主体角色。
● 电子签名认证证书:是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。电子签名认证是指对电子签名进行鉴别、辨认,并以电子方式证明电子签名方与电子签名制作数据有联系的行为或过程。这种电子方式的证明文件被称为电子签名认证证书。在实际应用中,有些电子签名是可以直观验证的,有些电子签名则不能直观验证。不能直观验证电子签名时,技术上必须提供一种方法,能把电子签名与电子签名人联系起来。当前应用最广泛的数字签名技术通过一种数学运算,建立起唯一匹配的一对密钥,即公钥和私钥。把公钥与签名人的信息作为验证签名人身份的中介,私钥则是签名制作数据,通过公钥与私钥的特性,建立起电子签名人与电子签名制作数据之间的联系。记载了公钥和签名人(公钥持有人)信息的数据电文,就是电子签名认证证书,也是我们常说的数字证书。
● 电子签名制作数据:是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。进行电子签名时,往往是通过一种程序和算法对数据原文进行运算,变换成与原文唯一对应并且方便查验的数据电文。这种对原文进行变换的程序和算法就是电子签名制作数据。以数字签名技术为例,电子签名制作数据是指“私钥”。
● 电子签名验证数据:是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。可以直观获得并能将签名人鉴别出来的数据,就是电子签名验证数据。比如数字签名技术中的公钥,通过公钥就可以找出电子签名人是谁。
● 身份认证:是指对某一实体的宣称身份进行鉴别、辨认,并证明其宣称身份与真实身份符合性的行为或过程。
在网上进行的身份认证属于电子认证的一种,即对实体的宣称身份进行鉴别、辨认,以电子化的形式出具其宣称身份与真实身份的符合性证明。
中国电信天翼宽带暨天翼空间上市
中国电信日前发布了“天翼宽带”融合性宽带接入产品,用户只需一个账号,在安装了天翼宽带客户端之后,就可以通过有线宽带、WLAN、3G等多种接入方式,方便地使用电信网络接入、短信、通讯录、天翼live、爱音乐、天翼视讯、189邮箱等电信业务及服务,可使用的接入设备也丰富多样,包括家庭网关、无线上网卡手机、家庭信息机、PDA、PSP等终端都可顺畅接入。据中国电信集团公司王晓初总经理介绍,目前中国电信的3G网络已覆盖所有县级以上城市,网络通达全国20000多个乡镇,县以上城市家庭有线宽带已经全面具备4M接入能力。天翼宽带手机用户只需将电脑与手机通过数据线相连,无需上网卡,即可用电脑拨号享用天翼3G上网服务,实现多媒介统一接入。
“天翼空间”则是中国电信倾力打造的手机应用软件综合服务平台,遵循开放、合作、共赢的宗旨,“天翼空间”是国内真正意义上基于用户的开放软件应用平台。其开放性体现在:一是天翼空间对包括中国电信用户在内的所有手机用户开放,并且不论用户的接入方式是电脑还是IPTV;二是对手机厂商、软件开发商、内容提供商、个人开发者开放,意味着将为合作伙伴提供平等的商业机会,共同开发广阔的市场空间。
目前天翼空间已经包括影音娱乐、新闻资讯、游戏、理财、实用工具、书籍、旅行、社交网络等诸多内容,覆盖了市场上大部分软件应用平台、数十家手机终端品牌,能为国内手机用户提供高品质一站式软件应用服务。
问题1
什么是电子签名?什么是数据电文?
《电子签名法》所称的“电子签名”,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
本法所称“数据电文”,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
1. 电子签名的概念。签名,是指一个人用手亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号,以确定签名人的身份,并确定签名人对文件内容予以认可。传统的签名必须依附于某种有形的介质,而在电子交易过程中,文件是通过数据电文的发送、交换、传输、储存来形成的,没有有形介质,这就需要通过一种技术手段来识别交易当事人、保证交易安全,以达到与传统的手写签名相同的功能。这种能够达到与手写签名相同功能的技术手段,称为电子签名。
有关国际组织、国家和地区电子签名法对电子签名的定义,一般都是通过对其要达到的功能的表述而形成的。传统的手写签名主要应具有三项功能:一是能表明文件的来源,即识别签名人; 二是表明签名人对文件内容的确认; 三是能够构成签名人对文件内容正确性和完整性负责的根据。构成电子签名,就必须具有上述功能。按照上述定义,具有识别签名人身份和表明签名人认可签名数据的功能的技术手段,就是电子签名。
电子签名的概念包含以下内容:
(1)电子签名是以电子形式出现的数据。
(2)电子签名是附着于数据电文的。电子签名可以是数据电文的一个组成部分,也可以是数据电文的附属,与数据电文具有某种逻辑关系、能够使数据电文与电子签名相联系。
(3)电子签名必须能够识别签名人身份并表明签名人认可与电子签名相联系的数据电文的内容。
电子签名具有多种形式,如:附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像; 向收件人发出证实发送人身份的密码、计算机口令; 采用特定生物技术识别工具,如指纹或是眼虹膜透视辨别法等。无论采用什么样的技术手段,只要符合本条规定的要件,就是本法所称的电子签名。
2. 数据电文的概念。数据电文,也称为电子信息、电子通信、电子数据、电子记录、电子文件等,一般是指通过电子手段形成的各种信息。我们目前接触的以计算机处理和保存的文件都是数据电文。例如word文档、execl数据表、pdf文档、电子邮件、聊天信息等。
根据本条的规定,数据电文的概念包含两层意思:第一,数据电文使用的是电子、光、磁手段或者其他具有类似功能的手段; 第二,数据电文的实质是各种形式的信息。
问题2
电子签名和数据电文在法律上的适用领域是什么?
法律规定,民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
电子签名和数据电文的法律效力在下列四类有关文书中不适用:
(1)涉及婚姻、收养、继承等人身关系的;
(2)涉及土地、房屋等不动产权益转让的;
(3)涉及停止供水、供热、供气、供电等公用事业服务的;
(4)法律、行政法规规定的不适用电子文书的其他情形。
问题3
什么是可靠的电子签名?
电子签名同时符合下列条件的,视为可靠的电子签名:
1. 电子签名制作数据用于电子签名时,属于电子签名人专有。电子签名制作数据是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。它是电子签名人在签名过程中掌握的核心数据。惟有通过电子签名制作数据的归属判断,才能确定电子签名与电子签名人之间的同一性和准确性。因此,一旦电于签名制作数据被他人占有,则依赖于该电子签名制作数据而生成的电子签名有可能与电子签名人的意愿不符,显然不能视为可靠的电子签名。
2. 签署时电子签名制作数据仅由电子签名人控制。这一项规定是对电子签名过程中电子签名制作数据归谁控制的要求。这里所规定的控制是指一种实质上的控制,即基于电子签名人的自由意志而对电子签名制作数据的控制。在电子签名人实施电子签名行为的过程中,无论是电子签名人自己实施签名行为,还是委托他人代为实施签名行为,只要电子签名人拥有实质上的控制权,则其所实施的签名行为,满足本法此项规定的要求。
3. 签署后对电子签名的任何改动能够被发现。采用数字签名技术的签名人签署后,对方当事人可以通过一定的技术手段来验证其所收到的数据电文是否是发件人所发出,发件人的数字签名有没有被改动。倘若能够发现发件人的数字签名签署后曾经被他人更改,则该项签名不能满足本法此项规定的要求,不能成为一项可靠的电子签名。
4. 签署后对数据电文内容和形式的任何改动能够被发现。电子签名的一项重要功能在于表明签名人认可数据电文的内容,而要实现这一功能,必须要求电子签名在技术手段上能够保证经签名人签署后的数据电文不能被他人篡改。否则,电子签名人依据一定的技术手段实施电子签名,签署后的数据电文被他人篡改而却不能够被发现,此时出现的法律纠纷将无法依据本法予以解决。电子签名人的合法权益难以得到有效的保护。因此,要符合本法规定的可靠的电子签名的要求,必须保证电子签名签署后,对数据电文内容和形式的任何改动都能够被发现。
一项电子签名如果同时符合上述四项条件,可以视为可靠的电子签名。可靠的电子签名与手写签名或者盖章具有同等的法律效力。
问题4
什么是电子认证服务提供者?
电子认证服务提供者是指提供电子认证服务的机构,是进行电子认证的主体。在当前技术条件下,电子认证服务提供者提供的是以非对称密码技术为基础的数字认证服务,颁发数字证书并进行数字签名认证,称为CA机构。
问题5
什么是认证? 为什么要进行认证?
认证是指依据某种标准对有形或者无形的主体进行鉴别、辨认,并以某种方式证明其与标准之间符合性的行为或过程。
本质上来讲,认证的意义在于,公众对于被认证主体缺乏了解,或认知能力不足以分辨其符合客观标准与否,需要其他主体协助自己做出判定后并担保判定结果的正确性,这样公众才可以信任被认证主体。从技术角度来讲,由于有其他主体的专业鉴别和辨认,认证可以防止公众受到欺诈。从法律角度来讲,由于有其他主体的担保和证明,可以防止可能出现抵赖行为。
由上可见,“认证主体”自身的身份很重要,一定是公众充分信赖的机构。
问题6
现阶段比较成熟的电子签名技术是什么?
电子签名可以依赖于很多技术来实现,但可以投入大规模应用的电子签名技术要兼顾法律保障、技术成熟度、实施成本、与现实应用的兼容性等多方面因素。按技术特点来看,可以把签字签名分成需要认证和不需要认证两类电子签名。有些电子签名不需要认证,例如一些以生物识别技术生成的电子签名,直接依据签名人的生理特征就可以辨别电子签名的真伪; 在目前,各国电子商务或者电子签名立法中确认的需要认证来确保可靠性的电子签名是数字签名,也是现阶段最成熟而被广泛采用的电子签名,具体措施是通过第三方的数字签名认证机构给从事交易活动的各方主体颁发数字证书、提供证书验证服务等手段来保证交易过程中各方主体电子签名的真实性和可靠性。
问题7
什么是电子认证服务?
目前,电子认证服务包括网上身份认证服务和电子签名认证服务:前者对网上身份的真实性进行鉴别和证明,一般作为一种安全措施和技术保障提供; 后者除鉴别证明电子签名人身份真实性外,还证明签名人认可经其签名的数据电文的内容,并且,如果该签名人使用了可靠的电子签名技术对数据电文进行签名,还可以证明其签过名的数据电文的完整性,具有技术保障和法律保障的双重含义。
问题8
数字签名要满足什么具体条件才是可靠的?
1. 私钥用于数字签名时,属于签名人专有。
私钥是数字签名制作数据,但是从私钥看不出电子签名人的身份,要明确私钥属于签名人专有,必须通过数字签名认证的办法确认。
具体认证过程是,首先由签名人产生一对公钥和私钥,私钥自我保留用于签名,而将公钥提交给电子认证服务提供者,电子认证服务提供者查认签名人身份后,将签名人的身份信息和公钥绑定在一起,制作数字证书并颁发给签名人,在必要的时候,电子认证服务提供者向签名依赖方提供验证服务,向其证明签名人和公钥的对应关系,同时由于公钥和私钥的对应关系是由数学严格证明的,由此即证明了私钥是属于签名人专有。
可以看出,私钥的专属性是需要由电子认证服务提供者进行第三方认证的,这种认证的结果直接关系到签名人身份的法律认定,是专业而严肃的工作,必须是由国家依法许可并颁发《电子认证服务许可证》的机构方可提供这种服务。
2. 签署时私钥仅由数字签名人控制。
这里讲的控制,应当是该数字签名仅由签名人本人或者签名人授权的人进行的。这就要求签名人获得私钥后,应当尽到妥善保管的义务,避免泄露、遗失或者被他人盗取。其次,私钥的存储介质应当具有高度安全性,不易被复制、窃取等。
3. 签署后对数字签名的任何改动能够被发现。
采用数字签名技术的签名人签署后,签名依赖方可以通过签名人的公钥来验证其所收到的数据电文是否是签名人发出的,该数据电文中的数字签名有没有被改动,签名依赖方可以依据验证的结果决定是否信赖该数字签名。
4. 签署后对数据电文内容和形式的任何改动能够被发现。
采用数字签名技术的签名人对数据电文签署数字签名后,如果该数据电文的内容或者形式被改动,签名依赖方通过签名人的公钥来验证其所收到的数据电文中的数字签名时,会显示该数字签名无效,数据电文已经被修改。
问题9
取得《电子认证服务许可证》的电子认证机构与未取得《电子认证服务许可证》但从事认证工作的机构有何区别?
取得《电子认证服务许可证》的CA认证机构,在经营场所、资金、专业技术人员、管理人员、安全技术、安全设备等方面达到了《电子签名法》等相关法律、法规规定的标准,并且通过了国务院信息产业主管部门的审查,在国务院信息产业主管部门的许可和监管下提供电子认证服务,其必须遵循法律要求的各种强制义务。
未取得《电子认证服务许可证》的认证机构,其提供电子认证服务所要求的经营场所、资金、专业技术人员、管理人员、安全技术、安全设备等方面未经国家主管部门审查认定,仅是遵循和用户之间的相互约定提供服务。
问题10
取得《电子认证服务许可证》的CA机构承担哪些法定义务?
取得《电子认证服务许可证》的CA机构在为用户提供服务时,需履行下列法定义务:
1. 制订并公布本认证机构的电子认证业务规则,并向工业和信息化部备案。
《电子签名法》第十九条规定:“电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。”
电子认证业务规则详细说明了CA机构提供服务的类别和具体承诺,经国家主管部门审定和备案,一旦发生纠纷,作为认定有关责任的依据。
2. 审查数字证书申请人的身份。
《电子签名法》第二十条第二款规定:“电子认证服务提供者收到电子签名认证数字证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。”
3. 保证签发的数字证书准确无误。
《电子签名法》第二十一条规定:“电子认证服务提供者签发的电子签名认证数字证书应当准确无误,并应当载明下列内容:(一)电子认证服务提供者名称; (二)数字证书持有人名称; (三)数字证书序列号; (四)数字证书有效期; (五)数字证书持有人的电子签名验证数据; (六)电子认证服务提供者的电子签名; (七)国务院信息产业主管部门规定的其他内容。”
4. 保证数字证书内容在有效期内完整、准确,以及电子签名依赖方能够证实或者了解电子签名认证数字证书所载内容及其他有关事项。
《电子签名法》第二十二条规定:“电子认证服务提供者应当保证电子签名认证数字证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证数字证书所载内容及其他有关事项。”
5. 履行告知义务。
《电子签名法》第二十三条规定:“电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。”
6. 保管认证信息的义务。
《电子签名法》第二十四条规定:“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证数字证书失效后五年。”
问题11
电子签名人有哪些法定义务?
1. 保管及告知义务
《电子签名法》第十五条规定:“电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。”
2. 信息提供义务
《电子签名法》第二十条第一款规定:“电子签名人向电子认证服务提供者申请电子签名认证数字证书,应当提供真实、完整和准确的信息。”
问题12
依法设立的电子认证服务提供者未履行法定义务,承担的法律责任是什么?
依法设立的电子认证服务提供者有若干法律义务,如未履行,应当分别承担不同的责任:
1. 赔偿责任
《电子签名法》第二十八条规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”
依法设立的电子认证服务提供者提供的电子认证服务,是网上业务顺利完成的信任基础,正是其设定时必须满足的严格许可条件,民事活动中的电子签名人、电子签名依赖方才会信赖电子认证服务提供者颁发的数字证书及相关服务。
如果电子签名人或者电子签名依赖方自己本身没有任何过错,只是由于信赖电子认证服务提供者提供的服务,依据电子认证服务提供者提供的电子认证服务从事网上活动而遭受损失的,电子认证服务提供者不能证明自己无过错的,应当承担赔偿责任。
对于电子认证服务提供者来讲,如果能够证明其所提供的服务完全是严格按照《电子签名法》和符合国家规定并向国务院信息产业主管部门备案的电子认证业务规则实施的,则能够证明自身没有过错。
2. 罚款
《电子签名法》第三十条规定:“电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。”
3. 吊销电子认证许可证书
《电子签名法》第三十一条规定:“电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正; 逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。”
问题13
电子签名人不履行法定义务,承担的法律责任是什么?
《电子签名法》第二十七条规定:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。”
问题14
依法设立的电子认证服务提供者需要满足什么条件?如何申请?
《电子签名法》第十七条规定:“提供电子认证服务,应当具备下列条件:(1)具有与提供电子认证服务相适应的专业技术人员和管理人员; (2)具有与提供电子认证服务相适应的资金和经营场所; (3)具有符合国家安全标准的技术和设备; (4)具有国家密码管理机构同意使用密码的证明文件; (5)法律、行政法规规定的其他条件。”
依据《电子签名法》第十八条的规定,从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合上述规定条件的相关材料。
国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起45日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书; 不予许可的,应当书面通知申请人并告知理由。
申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。
问题15
什么是电子认证业务规则?电子认证业务规则的作用是什么?
电子认证业务规则是电子认证服务提供者提供电子认证服务时应当遵循的准则。包括 CA认证机构整体运行规范和数字证书的颁发、管理、吊销、密钥管理以及数字证书更新的操作规范等事务。通常由以下几部分组成:
(1)概括性描述;
(2)信息发布与信息管理;
(3)身份标识与鉴别;
(4)数字证书生命周期操作要求;
(5)认证机构设施、管理和操作控制;
(6)认证系统技术安全控制;
(7)数字证书、数字证书吊销列表和在线数字证书状态协议;
(8)认证机构审计和其他评估;
(9)法律责任和其他业务条款。
为便于数字签名人和数字签名依赖方了解电子认证服务规范,知悉与之相关的权利、义务和责任,电子认证服务机构应当根据工业和信息化部的《电子认证业务规则规范框架》制定自己的电子认证业务规则,向工业和信息化部备案,接受工业和信息化部的监督,同时对社会公开发布。
电子认证服务机构应当按照其制定、公布并向工业和信息化部备案的电子认证业务规则提供电子认证服务。如果数字签名人或者数字签名依赖方在从事网上业务遭受损失时,电子认证服务提供者只要能够证明其所提供的服务完全是严格按照《电子签名法》和符合国家规定并向国务院信息产业主管部门备案的电子认证业务规则实施的,则能够证明自身没有过错,可不承担赔偿责任。
问题16
数字证书(数字签名)
能够应用在哪些领域?
数字证书作为各类实体在网上进行信息交流及商务活动的可靠身份证明,可有效解决网络信任问题。因此,它可广泛应用于各种电子政务、电子商务活动中,包括:网上采购、网上支付、网上证券、网上审批、网上报送、网上招投标等。
数字证书的应用可实现网上用户身份的真实可靠性,确保用户身份不可假冒;可实现信息的机密性,确保数据在传输过程中不会被非法窃听并查看到原文;可实现信息的完整性,确保数据在存储、传输和处理的过程中免遭任何非授权的或非预期的修改、插入、删除、重发等破坏,从而实现数据的真实性、有效性和一致性;可实现抗抵赖性,通过数字签名确保信息的发送方不能抵赖曾经发送的信息,不能否认自己的操作行为。
基于以上特性,规范使用数字证书和认证服务,可有效解决网络信息安全问题。
问题17
数字证书的申请人是否有地域或国籍范围的限制?
没有限制。外国人或者外国公司也可以作为申请人申请中国的数字证书,只要能够提交证明其真实身份和真实申请行为的资料,并通过中国依法设立的电子认证服务提供者的审核,即可获得数字证书。数字证书的申请可以向任何一家依法设立的电子认证服务机构提出,申请的数量也不仅限于一个,只需要保证能够确定数字证书与申请人具有同一性。
问题18
数字证书有哪些类型?
按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等:
个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等,可用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动;
机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等,可用于机构在电子商务、电子政务应用中进行合同签定、网上支付、行政审批、网上办公等各类活动;
设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,如:域名、网址等,可用于VPN服务器、Web服务器等各种网络设备在网络通信中标识和验证设备身份。
此外,还有代码签名数字证书,是签发给软件提供者的数字证书,包含了软件提供者的身份信息及其公钥,主要用于证明软件发布者所发行的软件代码来源于一个真实软件发布者,可以有效防止软件代码被篡改。
问题19
装有数字证书和私钥的载体丢失了怎么办?
数字签名人应当妥善保管私钥,一旦私钥失密,他人有可能利用数字签名人的私钥从事违法行为或者牟取非法利益。因为网上交易过程中当事人之间往往并不见面,当事人之间主要凭借的是对方当事人的数字签名来验证和核实相互间的身份,私钥丢失会给不法分子提供可乘之机,给数字签名人和数字签名依赖方造成损失。
所以,数字签名人一旦知悉私钥已经失密或者可能已经失密,应当立即停止使用该私钥,向数字证书颁发机构申请吊销该数字证书,有不良企图的人伪造的签名就不能通过验证,然后及时告知有关各方当事人,避免有关各方当事人因继续信赖该数字签名而造成损失。
问题20
CA认证机构提供的电子认证服务主要包括哪些内容?
CA认证机构提供的电子认证服务主要包括下列内容:
(1)数字证书申请的审核。审核数字签名人的申请资料,审核数字签名人的真实身份,提供数字签名人数字证书申请信息的注册服务。
(2)数字证书的签发。为通过审核的申请人签发数字证书。
(3)数字证书的下载。将签发的数字证书安全地下载到用户的安全存储介质中。
(4)数字证书的更新。提供延长数字证书的有效期限或者更换数字证书密钥对的数字证书更新服务。
(5)数字证书的查询。提供数字证书目录信息查询服务和数字证书状态查询服务;
(6)数字证书的注销。提供数字证书的注销服务,将被注销的数字证书发布到黑名单中。
问题21
第三方电子认证服务提供者由谁来监管?
《电子签名法》第二十五条规定:“国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。”
《电子认证服务管理办法》第四条规定:“中华人民共和国工业和信息化部依法对电子认证服务提供者和电子认证服务实施监督管理。”
问题22
别人使用了我的资料申请并通过了电子认证服务提供者的认证,如果发生纠纷,我是否需要承担责任?
如果别人使用您的资料申请并通过了电子认证服务提供者的认证,获得了数字证书,数字证书所载明的所有人应当是您本人,而不是实际申请人,您应当是该数字证书产生的权利及义务的承担人。
如果您否认申请了该数字证书,可以提出异议,由签发该数字证书的电子认证服务提供者承担举证责任。如果该电子认证服务提供者不能证明是您本人或者您授权的人申请了该数字证书,应当按照《电子签名法》第二十八条的规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”
问题23
为什么要进行证书更新?
如何办理证书更新?
为确保各方面信息的准确,数字证书的初始申请过程是非常复杂的,需要审核很多信息。此外,为保证数字证书的高度安全性,每个数字证书都有一定期限的限制。在数字证书有效期限即将届满时,数字证书所有人如果需要继续使用数字证书,就需要对该数字证书进行更新。这种数字证书基本信息不变更,仅延长数字证书有效期限或更换密钥的过程就是证书更新。
数字证书设定有效期限的目的在于:(1)数字证书所代表的所有人身份在一定时间内可能发生变更。如企业的名称变更、企业经营期限届满、企业注销、自然人死亡等等; (2)从安全角度考虑,密钥使用的时间越长,被泄露或破解的风险就越大,在一定期限后对密钥进行更新,可以保证数字证书的高度安全性。
数字证书所有人在申请数字证书更新时,应当按照数字证书原签发机构的要求提供相应的资料和信息,电子认证机构应当对数字证书更新申请进行审核,通常更新申请人要用原有证书对指定信息进行数字签名,电子认证服务机构通过验证其签名确认更新申请人是原有证书的合法所有人。电子认证服务机构审核通过后即可完成数字证书的更新。
链接
相关术语定义
● 电子签名人:是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。
电子签名人可以通过两种方式签名。第一,用自己的电子签名制作数据实施电子签名; 第二,委托他人,使用委托人的电子签名制作数据实施电子签名。毫无疑问,通过第一种方式进行电子签名时,签名人就是制作电子签名的人。通过第二种方式进行电子签名时,签名人是指签名制作数据指代的人,并不是指实施电子签名的人。以数字签名技术为例,电子签名人是指电子签名制作数据(私钥)所有人或者以电子签名制作数据(私钥)所有人的名义实施电子签名的人。
● 电子签名依赖方:是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。当人们阅读数据电文时,要确认数据电文的制作人,人们首先会查验含在数据电文之中或附在数据电文之后的电子签名。根据电子签名技术的不同,这样的查验既可以直接进行,也可能需要通过查验与签名对应证书进行。查验通过后,确认数据电文内容可信,并根据数据电文的内容进行决策或行动的人,就是电子签名依赖方。在应用中,电子签名依赖方是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的主体角色。
● 电子签名认证证书:是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。电子签名认证是指对电子签名进行鉴别、辨认,并以电子方式证明电子签名方与电子签名制作数据有联系的行为或过程。这种电子方式的证明文件被称为电子签名认证证书。在实际应用中,有些电子签名是可以直观验证的,有些电子签名则不能直观验证。不能直观验证电子签名时,技术上必须提供一种方法,能把电子签名与电子签名人联系起来。当前应用最广泛的数字签名技术通过一种数学运算,建立起唯一匹配的一对密钥,即公钥和私钥。把公钥与签名人的信息作为验证签名人身份的中介,私钥则是签名制作数据,通过公钥与私钥的特性,建立起电子签名人与电子签名制作数据之间的联系。记载了公钥和签名人(公钥持有人)信息的数据电文,就是电子签名认证证书,也是我们常说的数字证书。
● 电子签名制作数据:是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。进行电子签名时,往往是通过一种程序和算法对数据原文进行运算,变换成与原文唯一对应并且方便查验的数据电文。这种对原文进行变换的程序和算法就是电子签名制作数据。以数字签名技术为例,电子签名制作数据是指“私钥”。
● 电子签名验证数据:是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。可以直观获得并能将签名人鉴别出来的数据,就是电子签名验证数据。比如数字签名技术中的公钥,通过公钥就可以找出电子签名人是谁。
● 身份认证:是指对某一实体的宣称身份进行鉴别、辨认,并证明其宣称身份与真实身份符合性的行为或过程。
在网上进行的身份认证属于电子认证的一种,即对实体的宣称身份进行鉴别、辨认,以电子化的形式出具其宣称身份与真实身份的符合性证明。
中国电信天翼宽带暨天翼空间上市
中国电信日前发布了“天翼宽带”融合性宽带接入产品,用户只需一个账号,在安装了天翼宽带客户端之后,就可以通过有线宽带、WLAN、3G等多种接入方式,方便地使用电信网络接入、短信、通讯录、天翼live、爱音乐、天翼视讯、189邮箱等电信业务及服务,可使用的接入设备也丰富多样,包括家庭网关、无线上网卡手机、家庭信息机、PDA、PSP等终端都可顺畅接入。据中国电信集团公司王晓初总经理介绍,目前中国电信的3G网络已覆盖所有县级以上城市,网络通达全国20000多个乡镇,县以上城市家庭有线宽带已经全面具备4M接入能力。天翼宽带手机用户只需将电脑与手机通过数据线相连,无需上网卡,即可用电脑拨号享用天翼3G上网服务,实现多媒介统一接入。
“天翼空间”则是中国电信倾力打造的手机应用软件综合服务平台,遵循开放、合作、共赢的宗旨,“天翼空间”是国内真正意义上基于用户的开放软件应用平台。其开放性体现在:一是天翼空间对包括中国电信用户在内的所有手机用户开放,并且不论用户的接入方式是电脑还是IPTV;二是对手机厂商、软件开发商、内容提供商、个人开发者开放,意味着将为合作伙伴提供平等的商业机会,共同开发广阔的市场空间。
目前天翼空间已经包括影音娱乐、新闻资讯、游戏、理财、实用工具、书籍、旅行、社交网络等诸多内容,覆盖了市场上大部分软件应用平台、数十家手机终端品牌,能为国内手机用户提供高品质一站式软件应用服务。