电子签名是怎样保障数据信息安全的? 电子合同中的数字签名技术是如何保障信息真实性的?
信息安全软硬件的范围涵盖4个方面:
1.应用与数据安全:包括身份验证,授权管理,数据安全防护;
2.主机与系统安全:包括标准系统安全,漏洞扫描与加固,病毒防范,主机安全监管;
3.网络安全:包括网络边界安全,VPN(虚拟专用网)、防火墙;
4.物理和环境安全:门禁系统、摄像监控、物理环境。
信息安全以真实、保密、安全为达到目的。而电子认证机构在信息安全中的作用,则是向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。
可靠的电子签名需具备防篡改和不可抵赖性,前者可保证数据的一致性、防止数据被篡改,后者可建立有效的责任机制、防止用户否认其行为。那么,纸质合同拍照/扫描后是否可视为电子合同?当然不是。事实上,数字签名不可等同于书面签名的数字图像化,它是通过密码技术对电子文档进行的电子形式签名。
电子认证与电子签名一样,都是电子商务中的安全保障机制,是由特定的机构提供的,对电子签名及其签署者的真实性进行验证的服务。
而实名认证也是平台保障信息安全、符合“可靠电子签名”定义的关键技术。以我平台为例,其实名认证方式包含了刷脸、身份信息、银行卡、EID等多种认证方式。在为个人、企业用户签发具有个体标识意义的数字证书后,缔约双方即可在线上完成电子文件的签署、盖章等签约全操作,这份电子文件即为合法有效、可作维权证据的电子合同。
一份可靠的电子合同,除了保证签名为真、内容不可篡改外,还必须保证时间的准确性,这涉及到时间戳技术。可信时间戳即由国家法定时间源来负责保障时间的授时和守时监测,任何机构包括时间戳中心都不能对时间进行修改以保障时间的权威,只有这样产生的时间戳才具有法律效力。时间戳技术的核心技术仍是数字签名技术。
电子签字数据包、待签署凭证以及签署完成后的合成凭证都是形成的加密文件,业务相关数据文件都保存在服务器里,不用担心泄密。
而且三种电子数据都是采用国密加密的,不会被篡改。实现无纸化业务后,产生的交易数据,凭证数据傲雄不会存储,是负责在对方要求的系统下传输,而签字数据包则在对方单独服务器存储,傲雄有加密过程。
如果涉及到第三方证据固化,只在第三存储了最后加密数据包的HASH信息,都是脱敏的信息,不会给客户带来任何风险,且第三证据固化存储满足安全相关的要求的,具备相关资质。
企业如何通过电子签名保障信息安全?~
简单来说,电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性,使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。
但是,通过上述技术名词解释并不能直观、易懂的说明电子签名的原理,以下是通过还原电子签名签署的过程简介电子签名是如何保证安全保密的:
场景:由于业务需要,你和我需要签署一份合作协议。为方便起见,你将拟好的电子版合同文本在线发送给我签署。
怎样确保合同只有我可查看且不被他人恶意窃取?我又怎样才能确定文件的发送人就是你呢?
关键点1:公钥私钥登场为了满足电子合同内容保密性和发送人认证的要求,我们了解到非对称加密的加密方式。
非对称加密:具有唯一对应的一对秘钥,一个公钥一个私钥,公钥所有人可见,而私钥仅自己可见。
非对称加密具有这样的特性:用公钥加密的文件只能用私钥解密,而私钥加密的文件只能用公钥解密。
发送合同时,你将拟好的电子合同使用自己的私钥加密后发送;接收合同时,如果能够使用你的公钥解密,则说明这份文件就是你发送的。
但是,我怎么才能知道你的公钥呢?
关键点2:政府出了个CA来帮忙我了解到,政府授权了一个权威机构叫CA,可以提供网络身份认证的服务。
CA (Certificate Authority) :全称证书管理机构,即数字证书的申请、签发及管理机关。其主要功能为: 产生密钥对、生成数字证书、分发密钥、密钥管理等。
数字证书:是由CA机构颁发的证明,它包含公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息,可以通俗为理解个人或企业在“网络身份证”。
我向CA机构申请获取你的公钥,使用它对电子合同解密,解密成功则说明发送人就是你。文件发送人的身份确认了,那怎么保障电子合同传输过程中未被篡改呢?
关键点3:哈希兄弟出场有技术人员推荐了哈希算法(摘要算法),可以证明电子合同传输过程中是否被篡改。
哈希算法:通过加密算法将文本内容生成为一段代码,即信息摘要,其主要特征是加密过程不需要密钥,经加密的数据无法被反向还原。也就是说,只有两份完全相同的合同经过相同的哈希算法才能得到相同的摘要。
发送合同时,你将电子合同原文和经哈希运算的摘要一起发送给我接收合同时,通过对合同原文进行同样的哈希运算得到新的摘要,对比两组摘要是否一致即可证明我接收的文件是否被篡改
但是,如果传输过程中文件原文与摘要同时被替换了怎么办?
关键点4:对称加密来帮忙除了上述的哈希算法、非对称加密、CA,为确保合同由发送到接收满足三个要求,即:由你发送、只能发给我、不能被篡改,我们还需要应用新的加密方式:对称加密。
对称加密:采用单钥密码系统的加密方法,信息的加密和解密只能使用同一个密码。
发送文件时:
1、你通过哈希运算得到原文摘要并使用私钥对其加密,得到你的数字签名,再将数字签名和合同原文进行对称加密,得到密文A——对原文加密
2、再通过CA获得我的公钥,对上述步骤中对称加密的秘钥进行非对称加密,即我的“数字信封”——对秘钥加密
3、将密文A和我的数字信封一起发送给我
数字签名:用哈希算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。
数字信封:用接收方的公钥加密对称秘钥”,这就叫“给乙的数字信封。
接收文件时:
1、我使用自己的私钥解密数字信封得到对称秘钥——能解开,说明是发给我的
2、再使用对称秘钥解密密文A,得到带有你的数字签名的原文
3、使用你的公钥解密你的数字签名,得到签名中的原文摘要——能解开,说明发送者是你
4、使用相同的摘要算法获取原文摘要并与解密签名中的摘要对比——摘要一致,则说明原文没有被篡改
除了文件内容不可篡改,精确记录签署时间固定合同生效期限也十分重要,网络环境中怎样怎么确保合同签署时间不可篡改呢?
关键点5:时间戳来证明我又请教了专家,原来我们国家还有专门确定时间的法定授时中心,它可以在我们签署的文件上加盖“时间印迹”,即时间戳。
时间戳(time-stamp):书面签署文件的时间是由签署人自己写上,而数字时间戳则由第三方认证单位(DTS)添加,以DTS收到文件的时间为依据,更精准、更有公信力。
至此,我们签合同的时间精准记录、合同内容不可篡改、双方身份也真实有效,这下没问题了!但是,签署完的电子合同怎么存储呢?不管是哪一方签署,日后产生纠纷都难免对合同存储期间的安全性产生质疑。
关键点6:找个权威第三方来存证听说有专门的第三方电子数据存证机构,可以保存已签署的电子合同数据,当用户双方对合同内容产生争议时可申请出具具有公信力的证明。
合同签署的最后一个问题:存储问题也解决了!但唯一不足之处就是:签署过程太麻烦!为保障电子合同有效性,我们用到了非对称加密、哈希运算、时间戳等技术,还要CA机构、公证处等机构协助;
怎样更简单快捷地签一份有效的电子合同呢?
关键点7:选择可靠的第三方电子合同平台根据《电子签名法》规定,使用可靠的电子签名签署的电子合同具备与手写签字或盖章的纸质合同同等的法律效力。
根据《电子签名法》规定,符合下列条件的,视为可靠的电子签名:
1)电子签名制作数据用于电子签名时,属于电子签名人专有
2)签署时电子签名制作数据仅由电子签名人控制
3)签署后对电子签名的任何改动能够被发现
4)签署后对数据电文内容和形式的任何改动能够被发现
结合上述电子合同签署过程,我们可归纳总结有效的电子合同应关注以下几个核心点:内容保密性、内容防篡改、明确签订身份、明确签订时间。
同时,为保障电子合同作为书面形式的证据能力,合同签署全程还应当由权威第三方机构存储公证。
商务部在《电子合同在线订立流程规范》指出:“通过第三方(电子合同服务提供商)的电子合同订立系统中订立电子合同,才能保证其过程的公正性和结果的有效性”。
数字签名可以解决伪造、抵赖、冒充和篡改等问题。
数字签名作为维护数据信息安全的重要方法之一,可以解决伪造、抵赖、冒充和篡改等问题。其主要作用体现在以下几个方面:
· 防伪造。其他人不能伪造对消息的签名,因为私有密钥只有签名者自己知道,所以其他人不可能构造出正确的签名结果数据。
· 防篡改。数字签名与原始文件或摘要一起发送给接收者,一旦信息被篡改,接收者可通过计算摘要和验证签名来判断该文件无效,从而保证了文件的完整性。
· 防抵赖。数字签名既可以作为身份认证的依据,也可以作为签名者签名操作的证据。要防止接收者抵赖,可以在数字签名系统中要求接收者返回一个自己签名的表示收到的报文,给发送者或受信任第三方。如果接收者不返回任何消息,此次通信可终止或重新开始,签名方也没有任何损失,由此双方均不可抵赖。
· 保密性。手写签字的文件一旦丢失,文件信息就极可能泄露,但数字签名可以加密要签名的消息,在网络传输中,可以将报文用接收方的公钥加密,以保证信息机密性。
· 身份认证。在数字签名中,客户的公钥是其身份的标志,当使用私钥签名时,如果接收方或验证方用其公钥进行验证并获通过,那么可以肯定,签名人就是拥有私钥的那个人,因为私钥只有签名人知道。
如何利用数字签名保证网上安全
答:详解数字签名目前有许多种技术保证信息的安全不受侵犯,例如加密技术、访问控制技术、认证技术以及安全审计技术等,但这些技术大多数是用来预防用的,信息一旦被攻破,我们不能保证信息的完整性。为此,一种新兴的用来保证信息完整性的安全技术——数字签名技术成为人们非常关心的话题。那么,什么是数字签名技术?它有什么特殊功...
简述数字签名的原理
答:数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码...
电子合同是怎样保障信息安全的?
答:并且,我们作为电子签名行业资质认证完备的电子合同服务商,率先通过了ISO27001信息安全管理体系认证、信息系统安全等级保护三级认证、可信云企业级SaaS服务认证。并于2017年4月率先上线手机盾,成为电子签名行业首个采用手机盾实现手机端的身份认证、电子签名和数据加密传输的平台,保障了电子签名的法律效力、安全...
加了电子签名数据就不会被篡改了吗?
答:一般情况下,加了电子签名会比没有加电子签名的数据更加的安全些,因为电子签名就是专门防止篡改者盗取数据信息的一个签名。电子签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。通俗点说,电子签名就是通过密码技术对...
电子合同如何保障信息安全?
答:并且,我们作为电子签名行业资质认证完备的电子合同服务商,率先通过了ISO27001信息安全管理体系认证、信息系统安全等级保护三级认证、可信云企业级SaaS服务认证。并于2017年4月率先上线手机盾,成为电子签名行业首个采用手机盾实现手机端的身份认证、电子签名和数据加密传输的平台,保障了电子签名的法律效力、安全...
什么是数字签名?信息安全中数字签名的作用是什么?
答:数字签名类似于钞票上的防伪水印,主要作用就是给自己的数字作品打上一个属于自己的标示,这种主要是那些不易被修改的数字水印,还有极易被破坏的水印,就是g
网上办公签电子合同,第三方电子合同平台是怎样保障数据安全的?
答:在数据安全保障上,我们率先通过ISO27001信息安全管理体系认证,并通过信息系统安全等级保护第三级认证。并在2017年4月率先上线手机盾,成为电子签名行业首个采用手机盾实现手机端的身份认证、电子签名和数据加密传输的平台,保障了电子签名的法律效力、安全性和可追溯性。在行业普遍采用RSA算法基础上,我们新增...
什么是数字签名的加密技术和算法?
答:数字签名的实施通常涉及下载或购买软件,生成密钥对并上传公钥。用户需通过认证中心验证身份并获取数字确认。签名者需妥善保管私钥,一旦丢失需立即报告注销。同时,认证中心需高效确认用户身份和密钥关联,确保信息安全。通过数字签名,我们实现了无纸化的安全通信,为电子数据交换提供了坚实的保障。随着技术的...
第三方电子合同平台可靠吗?是怎样保障数据安全的?
答:放心签作为电子签名行业资质认证完备的电子合同服务商,先后通过了信息系统安全等级保护三级认证、ISO27001信息安全管理体系认证。相比纸质合同存在的易损坏、丢失、被篡改的痛点,放心签在产品和技术上不断创新,打造了一套完整的电子合同全生态服务,在防篡改、防泄密上采用先进的技术手段,切实保障合同安全性...
电子合同是怎么保障信息安全的?
答:6、 数据审计:所有用户行为及管理员管理行为可审计,系统管理及数据管理角色分权制约。7、 运维管理:契约锁内部子系统,采用分权运维策略,单个运维人员,不可能获得任何一份合同完整的加密后数据,更无法跳过用户自行解密。契约锁平台上述数据安全体系已通过ISO270001信息安全管理体系认证,及公安部信息系统安全...
