3月6日,国内首个安全电子签章技术国家标准——GB/T 38540-2020《信息安全技术 安全电子签章密码技术规范》(以下简称:标准)正式发布。据悉,此标准将于10月1日正式实施。
那么,此标准具体有哪些技术条款?对于各行业的电子签章应用来说,又有哪些指导意义?针对这些问题,牵头编制此标准的北京数字认证股份有限公司(以下简称:数字认证)进行了全面解读。
目前,国内电子签章产品种类众多,市场应用范围广泛,但是市场的繁荣也带来了鱼龙混杂的现象。据数字认证专家、此标准主要起草人傅大鹏介绍,国内各厂商在电子印章和电子签章的数据格式、安全性设计、密码应用模式等方面缺乏统一标准,部分产品甚至缺乏基本的密码安全保障,存在电子印章被伪造、电子签章被篡改等诸多安全问题。为了保障电子签章应用的安全,促进我国电子签章应用的互联互通和数据共享,推动电子签名市场合规健康发展,此标准历时3年终于诞生,填补了我国在电子签章网络安全国家标准方面的空白。对于行业从业者和政企用户而言,此标准到底有哪些内容值得关注?在这里,数字认证为大家划重点:
很多人将电子印章和电子签章混为一谈,其实它们是不同概念。根据此标准定义:
具体而言,电子印章是一种以电子签名数据为表现形式的印章,可用于安全签署电子文件,其内容包括电子印章所有者信息和图形化内容的数据。而电子签章可实现与纸质文件盖章操作相似的可视效果,可保障数据来源的真实性、数据完整性以及签名人行为的不可否认性。虽然两者概念不同,但同属于电子签名的范畴,都是采用密码技术实现可靠电子签名。根据2005年实施的《电子签名法》相关规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。因此,基于可靠电子签名的电子印章和电子签章,同样具备法律效力。值得注意的是,《电子签名法》对什么是“可靠的电子签名”做了定义,只有如数字认证这类合法第三方CA机构提供的电子签名服务才满足此要求。
为了避免企业在使用中面临被篡改、被抵赖等安全隐患,确保电子签章行为的不可否认性,此标准对电子签章的安全技术、数据结构、步骤能力等方面进行了严格规定。在保障安全签署时,需重点关注以下两点:基于PKI公钥密码技术。
从生成到验证全流程的步骤能力。
首先,安全的电子印章和电子签章,都基于PKI公钥密码技术,通过数字证书、数字签名、数据完整性机制等技术,建立一个安全的网络环境。例如:安全电子签章是通过采用PKI公钥密码技术,将数字图像处理技术与电子签名技术进行结合,以电子形式对加盖印章图像数据的电子文档进行数字签名,在尊重人们对纸质文件和物理印章的使用习惯与用户体验的同时,又确保了电子文件的安全性。其次,为了有效保障电子印章、电子签章的安全性,电子印章和电子签章的生成和验证需要经历复杂的密码运算过程和步骤。因而,此标准对两者从生成到验证的全流程提出了详细的技术要求,以确保其数据结构的完整性、数据内容的完整性、签署人身份的真实性。
作为深耕信息安全行业19年的“老兵”,数字认证牵头制定的国家/行业/地方标准已超110余项。之前的GM/T 0031-2014《安全电子签章密码技术规范》等相关行业标准,也是数字认证牵头编制的。此次国家标准的发布,在兼容以前相关行业标准和匹配实际应用需求的基础上,将数据结构版本升级为第4版,同时在电子印章和电子签章数据格式的结构定义标准细则上发生了变化。因此,在今后的电子印章和签章项目应用中,需注意不同版本的格式变化。同时,此标准作为电子签章的基础标准,为行业标准的衍生和各行业的应用实践提供了准绳。国内将逐步采用基于密码技术的统一电子印章和电子签章数据格式,实现电子签章应用的互联互通将成为大势所趋。
近年来,电子签章已广泛应用在政务、教育、金融、旅游、制造等众多行业中,成为行业用户需求度最高的安全应用产品之一。此标准的适时推出,无疑为各行业安全合规应用电子签章技术,有效甄别优质的电子签章服务商提供了权威指导。
在政务行业,电子签章是“互联网+政务服务”的关键保障技术之一,能够实现互联网政务服务的全程无纸化,同时保障法律效力。在教育部留学服务中心的“互联网+留学服务”平台上,通过引入数字认证的电子签章技术,实现了纸质证明材料的电子证照化。留学人员直接在线登录平台,即可自助获取加盖了电子印章的证明和文件。使用单位则可以进行在线核验和电子签章,大大提高了办事效率,真正实现了“一次注册、一口受理、线上核验、后台分办”的一网通办,每年约有40万以上的留学人员受益。在教育行业,电子签章技术是建设智慧校园数字资产可信体系的核心技术之一,能够增强校园服务能力,“让数据多跑路,学生少跑腿”,提升教学管理业务办理效率,节约校园运行成本。尤其是在可信电子成绩单的应用上,具有防伪防造假、异地远程办理、管理便捷等优势,提升成绩单业务办理效率。以清华大学为例,通过引入数字认证的电子签章技术,2018年1月推出“国内首张电子成绩单”,截至目前下载次数累计达3.7万次,成绩单办理周期从过去的3-5个工作日变成“秒办”。此次疫情期间,清华大学、北京大学、北京科技大学等多所高校在线开具数千份可信电子成绩单。“全在线、不见面”,不仅满足疫情防控要求,还能帮助毕业生轻松应对春季校招。在金融行业,电子签章是保险机构电子保单安全、合法合规的核心保障,能够实现对电子保单的印章加盖,保证电子保单的可追溯和合法性。保单的电子化,可加速业务办理效率,提升客户体验度,降低销售成本和管理成本,有效推动业务发展。2009年,中国平安推出“国内首张寿险电子保单”,通过引入数字认证的电子签章技术,实现保险机构对电子保单电子盖章,投保人可自行在平安网站或移动端应用上查询、下载签章后的电子保单。如一年用电子保单替代1亿份纸质保单,则可节省上千万元的纸张成本,大幅降低平安的运营成本。在众多行业中,电子签章技术也是企业电子合同必不可少的技术支撑。它能够让人事签署和管理更加便捷安全,在降低企业管理成本的同时,实现线上办公的高效、安全运营。目前,腾讯、京东、万科、中国平安,以及国际巨头玛氏集团、Cat(卡特)融资等涵盖电商、科技、金融、地产、消费、租赁等领域的500强企业,先后采用了数字认证的电子合同方案,在其安全电子签章技术支撑下,让电子合同成为企业在线管理必不可少的一环。不难发现,各行各业对电子签章技术的应用,都建立在数据真实性和完整性,以及电子签章的安全和合法合规性的基础上,这正是此次国家标准所强调的内容。随着标准的推行,国家对电子签章服务商的资质和服务能力要求将越来越严苛,电子签名行业的竞争门槛也随之提高。作为国内首批获得《电子认证服务许可证》的合法、专业、权威的第三方CA机构,数字认证基于国家标准的电子签章技术,如今已被教育部、住建部、国家海事局、国家邮政局等政府单位,中国人寿、中国平安、太平洋保险等金融机构,以及清华大学、北京大学、中国人民大学等知名高校所采用,成为各行业标配。未来,数字认证将持续以此标准为准绳,为各行业提供更加安全、便捷、高效的电子签章服务。