3000字长文说透电子签章技术原理（全）

大家好，欢迎来到IT知识分享网。

为什么需要可靠电子签章

第一：可靠电子签名才受法律认可，与纸质签署具备同等法律效力；

第二：企业引入电子签名服务也有明确的要求；

比如，某企业采购需求，会存在类似的得分项：

符合此类要求的后即可拿到对应评级的分数。

那么什么是具有法律效应的可靠电子签章？

《电子签名法》是2005年4月1日起施行的法律，2019年4月23日完成的修订最新版，在第十三条对可靠电子签名做了明确的定义：

第十三条

电子签名制作数据用于电子签名时，属于电子签名人专有；

签署时电子签名制作数据仅由电子签名人控制;

签署后对电子签名的任何改动能够被发现:

签署后对数据电文内容和形式的任何改动能够被发现；

俗称 《电子签名法 》四要素：真实身份 真实意愿 签名未改 原文未改

好，那么一个可靠的电子签章产品如何按照法律要求去实现？

接下来，我们根据电子签名法的4要素，手把手教大家如何构建可靠电子签名服务

要素1构建： 真实身份

电子签名制作数据用于电子签名时，属于电子签名人专有

真实用户的实名认证信息，可以作为一个用户的真实身份的载体。对于产品软件来说核心是确认当前的登录用户背后是一个真实的自然人（在部分情况下也可以是对应机构的代表人，如企业的法定代表人，或者是获得企业授权的经办人）。

对应功能：

个人实名认证——身份证二要素、手机号三要素、刷脸认证、人工实名

企业实名认证——企业四要素实名认证、银行打款认证、法定代表人授权认证等

对于数字证书的申请来说，真实身份的审核是证书发放机构的义务，需要确认对应用户信息后方可制发对应身份的数字证书。

要素2构建：真实意愿

签署时电子签名制作数据仅由电子签名人控制

签名过程中如何确认是仅电子签名人控制，目前行业内比较常见的方案是意愿认证。就好比你只是有网银账号是不够的，当需要你付款时你需要进行指纹、刷脸、短信或密码的验证方可执行支付动作。

电子签名中同理，但是依据实际的运用场合，也有类似用户登录状态代替每次签署意愿的情况，不过现实过程中会存在被他人盗用的风险。

对应功能：

密码认证/指纹认证/刷脸认证/短信认证/Ukey认证/双录认证

要素3构建：签名未改

签署后对电子签名的任何改动能够被发现

合理运用电子签名技术规范，可以实现上述效果。依据最新的GB/T 38540《安全电子签章密码技术规范》，电子签章数据的具体格式如下：

其中TBS_Sign签章信息结构如下

签名值是针对TBS_Sign的具体签名结果，通过非对称密码算法，可以对比签名值与TBS_Sign是否为对应关系。确认电子签章结构体是否被篡改的问题。

要素4构建：原文未改

签署后对数据电文内容的任何改动能够被发现

合理运用电子签章技术规范，可以实现上述效果。按照上述结构描述，也可进一步验证dataHash的具体内容与依据properyInfo对原文进行重新摘要后获得的摘要值进行对比后获得原文是否被篡改的结论。

至此，电子签章服务满足以上4要素，即为可靠的电子签名服务，受法律认可！

如果说，真实身份、真实意愿、签名未改、原文未改是可靠电子签名的四要素，

那么秘钥、数字证书、时间戳就是可靠电子签名的三大基设。

密钥在电子签章中的作用

密钥是非对称密码算法的关键要素，分为公钥和私钥，私钥由签署人专属控制，公钥用于申请数字证书对外证明个人身份。目前国密局对于密钥存储与使用有较多安全要求，如GB/T 17901.1-2020《信息技术 安全技术 密钥管理》中会要求密钥必须安全的存储与保护，具体要求如下：

GB/T 37092-2018《 信息安全技术密码模块安全要求》则针对存储密钥的密码模块进行了四级的等级划分

对于密码设备，我国同时也进行相应的产品认证证书颁发，用于证明当前密码产品是否通过了密码检测机构的合规性检测。

2019年10月26日，十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》，自2020年1月1日起实施。密码法第二十五条对商用密码检测认证体系进行了如下描述“国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。

数字证书在电子签章中的作用

从密码设备中生成的密钥，将公钥与证书申请信息组装发送至CA进行签名后，即可获得数字证书。数字证书在电子签名中主要用于证明当前签署人的身份。CA证书的有效性非联网下仅可依据有效期判断有效性，联网情况下可通过CA机构得知数字证书的有效性。

例如，此PDF的签章结构体中包含证书信息，此证书颁发机构为ZHCA，为中环CA，一般来说可以通过证书信息判定签署人信息，但是证书制发链路如果不完整则存在证据链缺失。

时间戳在电子签章中的作用

时间戳的加签与验证并不是电子签名中的必选项，只能说加盖了时间戳的电子签名在签署时间上具有不可否认性。可以用于判断签署时间

时间戳的主要规范为GB/T 20520-2006 《信息安全技术 公钥基础设施 时间戳规范》，同时依据商用产品认证规则，商用密码局也会针对已经通过的时间戳服务颁发认证证书。

e签宝电子签章服务采用的技术规范

e签宝签署目前主要参考GM/T 0109-2021 基于云计算的电子签名服务技术要求，如采用e签宝的本地化签章产品，则主要参考GB/T 38540《安全电子签章密码技术规范》。