刘娟娟
摘要:在信息社会中,电子文件的真实性保障一直以来都是急需关注和解决的问题之一,数字签名技术作为保障电子文件真实性的重要手段,有其独特的优势。但同时在其时效性等方面也存在着不足之处。
关键词:数字签名;电子文件;真实性
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2017)07-0211-02
在信息技术迅猛发展的背景下,各行各业在满足自身发展的需求下,不断推进着自身的信息化建设和开发,这对传统的办公和生活方式也产生了巨大的冲击,电子文件就是在此种背景下发展起来的。2004年8月28日,《中华人民共和国电子签名法》表决通过,在法律层面上予以了电子签名与手寫签名或盖章具有同等的法律效力,同时,也明确了电子认证服务的市场准入制度,从宏观层面看,该法案的通过大力推动了我国电子商务的发展;具体到微观层面的电子文件来看,它的颁布实施,也为数字签名(digital signature)在电子文件中的应用提供了法律依据和保障。
1 概述
1.1 数字签名的内涵
数字签名主要是指通过某种密码运算生成一系列符号及代码组成电子密码进行签名,以此来替代普通的手写签名或者印章。其具有普通手工签名和印章无法比拟的准确性和便利性,目前,在电子政务与电子商务领域得到了极为广泛的运用。在ISO7498-2标准中,数字签名则指附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据防止被人进行伪造。
1.2 数字签名的规律
电子文件的发送方运用相关私钥对文件的文摘进行加密,被发送的电子文件在HASH算法的基础上形成一定规格的数字摘要,由此,形成电子文件的数字签名。电子文件的接收方利用公钥对数字摘要进行相应解密,其内在原理是通过HASH算法之后,数字摘要的数据信息均是相同的,如果其中的部分信息被修改,那么其摘要必定与先前存在差异,不同的数字摘要相同的概率近乎为零,所以想要判断信息在传输过程中是否被进行了篡改,只需将解密前后的数字摘要进行相互对比,便可分析出电子文件的真伪。
1.3 数字签名的功能
在信息技术高速发展的环境下,利用数字签名技术替代传统的手工签字和印章是数字签名技术发展的主要方向。数字签名技术作为保障信息传输安全的重要手段,其功能表现为解决文件伪造、数据篡改和身份冒充等问题,从而保证电子文件的完整性和真实性。主要包括以下4个方面的内容:(1)防止信息伪造。电子签名使用过程中只有文件的签名者知晓电子文件的私有密钥,其他人不可能创建完全一致和正确的签名数据,所以能对信息的伪造起到极大的防范作用。(2)防止身份冒充。数字签名技术运用的过程中,文件的接收方与发送方能够通过私钥的解密来鉴别双方的身份,解决了文件传输过程中身份冒充的问题。(3)保证信息的完整性。相较于传统的手工签字和印章仅仅是在合同末尾签名,数字签名则是与原有电子文件的全部内容形成了完整的信息数据,以此达到信息的不可篡改性,从而保证电子文件信息数据的完整性。(4)确保信息的机密性。传统的签字和印章,一旦文件遗失,其中的数据信息就极有可能泄露。但数字签名技术在文件传输使用过程中,一旦对文件签名加密,截收攻击就失效了。[1]
2 数字签名与电子文件的真实性
电子文件真实性是保障电子文件业务有效性和成为法律凭证的基础,是电子文件管理活动中一个极为复杂而又关键的问题。一方面,保证电子文件的真实性是有效避免法律风险的前提,有利于信息化业务的顺利开展;另一方面,保证电子文件的真实性是提升整个社会信息化水平、长久保存社会记忆的先决条件。《ISO15489-1:2001信息与文献文件管理:通则》指出真实性是文件的首要特性,
也就是说一份电子文件如果确认为真实,说明其不存在被非法篡改或误用的情况,在操作、程序和来源三个方面均为合法及合规的。[2]InterPARES 中的观点则是“真实性是指记录(record)作为文件(record)的可信赖性,也就是,文件与它所声称的一样,没有被篡改或误用过的一种品质。”
从电子文件的整个管理流程来看,电子文件的真实性需求贯穿全过程,数字签名在电子文件的真实性判断方面发挥的作用为:(1)保证了其法律凭证作用。《电子签名法》规定“可靠的电子签名与手写签名或者盖章具有同等法律效力”,说明了符合要求的电子签名可以有效的证明电子文件的真实性。(2)验证电子文件的完整性。从数字签名的工作原理中可以看到,如若接收者解密后的摘要信息与原文产生的摘要信息有不同之处,那么则证明文件在传输过程中进行了修改,反之如果二者相同,则说明信息没有被修改过,所以可以借此有效验证电子文件的完整性。[3]
3 在保障电子文件真实性过程中的障碍
虽然,数字签名在电子文件的真实性保障中发挥了重要作用,但其并不能够满足电子文件对真实性的所有需求。因为电子文件的真实性不仅仅专指文件形成阶段的真实而已,之后的某些阶段也是有其对真实性的特别要求的。但数字签名技术产生之初是针对电子文件传输的安全,在其他阶段真实性的考虑还存在着某些不足。
3.1 软件生命周期的限制
在信息技术领域,我们经常需要考虑到软件的生命周期,数字签名的支持软件也不例外。数字签名技术作为计算机的信息技术,与其他信息技术一样,都面临这技术过时这一难题。文件摘要产生及加密过程所依赖的算法和软件会逐渐被新的算法和软件取代。简言之,数字签名的认证性功能的生命周期极短,这与电子文件大都需要长期或永久保存的要求是极不相称的。
3.2 验证链的长期保存问题
为了能够通过使用数字签名长期保证电子文件的真实性,仅仅保存数字签名和电子文件远远不够,外部的公钥基础设施(PKI)同样必不可少。在PKI模型中,数字证书大多是由商业性的认证中心分发,并不能保证数字证书的长期或永久保存。加之软件生命周期的存在,认证性技术也靠不住,这就使得这一条完整的验证链在时刻遭受着威胁。[4]endprint
3.3 不能体现文件内容的变动
数字签名的确认功能是为了证明在传输前后文件一致,一旦对签名后的文件进行任何改动,均会导致文件无效,换言之,数字签名只能指出,在传输过程中文件是否被改动。因此说,数字签名只是一种确认判断机制。如若发现传输前后比特序列不一致,仅能推断出文件遭到篡改,而具体被谁篡改,篡改了哪些内容却不得而知。
3.4 数字签名的时效性
数字签名与长期保存的电子文件不同,一般是在数据传输后立即对信息进行完整性和真实性的检验。与电子文件的载体及存储时间相比,数字签名的文件传输的时间则非常短暂。数字签名只能在短时期内保障电子文件的真实性,影响电子文件有效性和真实性的原因主要有:其一,数字签名是基于信息技术的。其二,认证机构办法的数字证书也是有期限的。
4 保障措施
面对数字签名存在的签名过期等问题,为了使长久保存中电子文件的真实性得到保障,必须对某些制度方案进行完善。
4.1 保证元数据的完整性
在电子文件领域,大家普遍认为妥善保管构成文件的比特流是确保电子文件的真实性的前提所在。但除此之外,电子證书、CA(Certificate Authority)认证机构、签名算法等跟数字签名相关的信息同样应作为元数据予以妥善的保管。为了保证元数据的完整性,有关于数字签名的HASH算法、公钥信息、签名者信息、数字证书的状态与解密数字信息等等都需受到重视。
4.2 提高数字签名验证技术
相关机构必须不断提高自身的数字签名验证技术,如:保存数字签名文件本身和具有重新验证数字签名的能力。掌握重新验证技术需要保存一些基本信息:公钥常用于证明签名的合法性,与签署时间相符的有文件证明、文件的背景和结构信息以及公钥相关的证书。如果机构为永久文件选择这种方法,必须确保数字签名人的打印姓名,并把签名执行时的时间作为一部分包含在电子文件的可读形式中。[5]
4.3 规范电子文件管理制度
虽然数字签名技术在验证电子文件的完整性和法律效力上具有极大的优势,但仍具有一定的缺陷和局限性。电子文件管理领域的制度也存在着不规范和不合理指出,因此,作为电子文件领域的指导,管理制度必须跟上发展的速度,不断地完整和规范。如:规范电子文件的迁移方式与利用制度,防止电子文件的真实性受到篡改,保证电子文件的真实性、有效性和法律效力。
4.4 确保签名的合法性
为了保证电子签名的合法性,需保存足够证明其合法性的文件,如,和数字签名文件保存同样的时间的背景信息。相关机构通过保存电子文件签署时的数字签名的合法性的背景信息,以保证签名的合法性和满足文件的足量要求。满足电子文件合法性和足量记录最好采用文本文件,因为后者很少依赖于技术,随技术的进化更容易被保存。
参考文献
[1]李程.数字签名技术综述[J].电脑知识与技术,2009(10):2559-2561.
[2]张宁.电子文件真实性的再认识[J].档案学研究,2012(4):12-16.
[3]姜志伟.谈数字签名技术在电子文件真实性保障中的应用[J].档案与建设,2010(5):10-12.
[4]赵雪.电子文件管理流程中的风险防范[D].中国人民大学,2005(05)86-93.
[5]王萍,陈思,李俊蓉.实施数字签名技术的文件、档案安全性[J].档案学研究,2010(3):63-65.endprint