数字签名与电子签名是紧密地联系在一起的,2000年美国的《全球和国家商业电子签名(ESIGN)法案》、2005年我国的《中华人民共和国电子签名法》、2016年欧盟的《电子身份和信任服务(eIDAS)法规》等法律条例同时为电子和数字签名提供了框架。但是,到目前为止,还没有人可以就术语的具体官方意义达成一致。然而,国际上各国对其定义的错综复杂会使概念更加模糊不清。
传统上,电子签名和数字签名通常被视为一种合同工具,可以提供足够的信任功能,而无需签字的双方亲自见面,而数字签名的功能远不止于此,他们甚至可以声明身份并验证文件或程序的完整性。未来我们将讨论电子签名和数字签名,它们更广泛的作用有哪些,适合应用哪些范围。所以,在讨论这个话题前,我们首先要理清楚电子签名和数字签名两个的区别和关系。
那么,电子签名和数字签名是一回事吗?
当然不是的。在继续了解之前,大家可以看一个图片大概就能明白。
因此可以这样说,数字签名是电子签名的一种,但是并非每个电子签名都是数字签名。换句话说,数字签名是电子签名的子集
1、什么是电子签名?
传统意义上的电子签名是指表明合法接受协议/记录的任何电子过程。
电子签名包含两个组件:
身份认证方法
通过审核跟踪确保流程安全
“具有审计跟踪的安全流程”是指一种证明文件或文档已安全签名的方法,可以在流程的每个步骤中进行说明。
身份认证有多种不同的机制。标准电子签名仅使用单因素身份验证,它使用诸如电子邮件地址,社交媒体ID,密码,电话PIN之类的方式来验证身份-并不完全是最先进的身份验证方法。也不是完全可靠的。
我国《电子签名法》把电子签名为,数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据;其中数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。这里使用多因素身份验证,从而提高了安全性。
2、什么是数字签名?
回顾上面我们说到电子签名既需要身份验证方法又需要带有审计跟踪的安全过程。
那么,数字签名是一种电子签名,它使用数字证书和PKI进行身份验证,并使用加密/散列来确保安全性及其审核记录。数字签名是高级电子签名(在某些情况下是合格的电子签名)。
欧盟《电子身份和信任服务(eIDAS)法规》将高级电子签名定义为:
与签字人唯一链接
能够识别签字人
签名人可以轻松自信地使用它
以这样一种方式链接到签名数据,使得可以检测到该数据的任何更改
尽管eIDAS把电子签名和数字签名写成是技术中立的,但使用公钥密码术的电子签名主要还是数字签名。
3、什么是可靠的电子签名?
《电子签名法》第十三条规定电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
我们可以这样定义,可靠合格的电子签名都是靠数字签名来实现的,需要CA才能向你颁发数字签名证书。我们会在下篇详细介绍关于数字签名的细节,但是合格的数字签名基本上是扩展验证数字签名。CA必须对签名者进行彻底的审查,并且签名密钥必须物理存储在合格的设备上,例如物理硬件令牌,数据卡或基于云的HSM。
4、区分电子签名与数字签名
根据以上内容的阐述,我们整理出电子签名和数字签名之间的一些区别。
以严格来说,数字签名是一种技术手段,而电子签名则是一种法律概念。所以从某个角度来看,电子签名是数字签名的一种表现形式。
由于是一种技术,数字签名的使用范围更广。其实,在和互联网有关的大部分需要加密的文件中,都有数字签名的踪迹所在。而在需要和法律责任相关的领域内,电子签名的法律效力显然就更被需要。
下期我们将深入了解数字签名的多种类型。