电子合同的技术基础

本节对电子合同所涉及的技术概念进行梳理。

1.加密算法

答:首先我们需要了解一下加密相关的知识,加密可以分为对称加密和非对称加密。两者的主要区别就是是否使用同一个秘钥,对称加密需要用同一个秘钥。非对称加密不需要用同一个秘钥,而是需要两个秘钥:公开密钥(publickey)和私有密钥(privatekey),并且加密密钥和解密密钥是成对出现的。

 

2.对称算法

答:对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。对称加密有很多种算法,由于它效率很高,所以被广泛使用在很多加密协议的核心当中。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。常见的对称加密有 DES、AES 等。

 

3.非对称算法

答:非对称加密使用一对“私钥-公钥”,用私钥加密的内容只有对应公钥才能解开,反之亦然。非对称加密有以下特性:

·对于一个公钥,有且只有一个对应的私钥;

·公钥是公开的,并且不能通过公钥反推出私钥;

·通过私钥加密的密文只能通过公钥能解密,通过公钥加密的密文也只能通过私钥能解密;

非对称加密不需要共享同一份秘钥,安全性要比对称加密高,但由于算法强度比对称加密复杂,加解密的速度比对称加解密的速度要慢。常见的非对称加密有 RSA、ESA、ECC 等。

 

4.摘要算法

答:除了加密算法,摘要算法在互联网安全体系中也扮演了重要的角色。摘要算法又叫哈希算法,具有以下特性:

·只要源文本不同,计算得到的结果,必然不同(或者说机会很少)。

·无法从结果反推出源数据。

基于以上特性,我们一般使用摘要算法来校验原始内容是否被篡改。常见的摘要算法有 MD5、SHA 等。

摘要算法不能算作加密算法,加密算法需要使用秘钥加解密,但摘要算法无法根据结果反推出内容。

 

5.再举传输文件的例子

答:假设甲公司要给乙公司发送一份机密的文件,那么这次传输需要确保以下几点:

1、文件内容不能被读取————(方案:加密)

2、只有乙公司能接收—————(方案:数字信封)

3、证明发送方是甲公司————(方案:数字签名)

4、文件内容不能被篡改————(方案:对比摘要)

5、文件不能被掉包——————(方案:数字证书)

 

6.文件加密

答:由于对称加密的高效性,对文件的加密处理,通常采用对称加密方案。对称加密需要用同一份秘钥,这一份秘钥的约定就有被中途截获的可能。

 

7.数字信封

答:因此可以采用非对称加密算法加密对称秘钥的方式来加密内容,也就是“用接收方的公钥加密对称秘钥”,这就叫“给乙的数字信封”,并用这个对称秘钥加密文件内容。

 

假设这份文件被黑客截获,但是黑客没有乙的私钥无法解出对称秘钥,也就无法解密文件内容。但是这里还有个风险,虽然黑客无法解密文件内容,但他可以自己生成一份秘钥并用乙的公钥加密,再用这份秘钥加密一份伪造的文件发给乙,这种情况下乙收到的就是被假冒的文件。

 

8.数字签名

答:上面提到乙有可能收到被假冒的文件,这个问题可以用数字签名的方式解决,数字签名就是用摘要算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。

针对上面的问题,甲在发送文件时再附带上源文件的数字签名。如果被黑客截取到加密后的文件和数字签名,黑客即使使用甲的公钥解出了文件摘要,由于摘要算法的特性黑客也无法还原出原始内容。但乙可以解密出文件内容再用同样的摘要算法提取出摘要来和数字签名里的摘要进行比对,摘要一致则说明文件没有被篡改过。

到目前为止还有一个风险就是乙无法确定自己用的公钥就是甲提供的,如果黑客将乙手里的甲的公钥替换成自己的并用自己的私钥生成数字签名,那么乙还是会收到被篡改的文件。

 

9.数字证书

答:数字证书的出现就是为了解决上述假冒公钥的问题,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

数字证书里一般会包含公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息。

数字证书如何确保列出的用户就是公钥的拥有者呢?关键点是 CA 的数字签名,CA会用自己的私钥将证书内容的摘要进行加密。因为 CA 的公钥是公开的,任何人都可以用公钥解密出 CA 的数字签名的摘要,再用同样的摘要算法提取出证书的摘要和解密 CA 数字签名后的摘要比对,一致则说明这个证书没有被篡改过,可以信任。

通俗地理解,数字证书就是个人或单位在网络上的身份证。数字证书以密码学为基础,采用数字签名、时间戳等技术,在Internet上建立起有效的信任机制。它主要包含证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名等内容。它是由权威机构——CA机构,又称为证书认证(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。

 

10.CA

答:CA (Certificate Authority) :全称证书管理机构,即数字证书的申请、签发及管理机关,是PKI体系中通信双方都信任的第三方实体。

其主要功能为:

产生密钥对:在现有的业务中密钥生成有两种方式,一种的有CA生成,另一种是由UK生成。

生成证书:CA使用根证书的私钥对用户的基本信息进行签名后,生成证书。

分发密钥:证书生成后,将还有密钥对的证书下载到UK中,或者生成PFX格式的文件。该部分功能一般有RA(Registration Authority,数字证书注册审批机构)代为完成。

密钥管理(吊销):在特定情况(人员变动、证书丢失)下证书会被吊销,CA会定时生成吊销列表,并同步到签名验签服务器中,为签名验签服务器验证证书有效请提供数据支持

 

11.PKI体系

答:PKI,全称为公钥基础设施(Public Key Infrastructure),是指利用公钥技术为网络应用提供加密和数字签名等密码服务以及必需的密钥和证书管理体系。它是一个提供安全服务的基础设施,PKI 技术是信息安全技术的核心,同时也是电子商务的关键和基础技术。

PKI 既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为 PKI。

 

12.数字证书与数字签名

答:数字签名和数字证书是两个不同的概念,理解的关键点是数字签名是内容提供方用自己的私钥对内容摘要(MD5、SHA)非对称加密,而数字证书的关键是 CA 用自己的私钥对证书内容的摘要非对称加密从而确保证书内的用户合法拥有证书里列出的公钥。

通俗的理解,用户的数字签名,即为使用其自身数字证书私钥部分,对要签署原文的摘要值,进行非对称加密所得到的结果。其代表了签署原文(摘要值),也代表了签署者的身份。

而数字证书,是CA向用户颁发的,包含用户身份信息、签署公钥信息及CA自身数字签名的一段数据。

 

13.电子签名与数字签名

答:广义的电子签名是指任何数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据;

狭义的电子签名即使用PKI体系进行的数字签名;

数字签名是电子签名的一种形式,是电子签名的子集。

 

14.电子章与数字签名

答:我们看到的电子印章外观,仅是电子印章的外观表现形式,如果没有结合数字签名,我们不认为这种电子印章具有真正的法律效力。

我们所理解的电子印章,实际上是电子印章外观结合电子签名后的形式。其真正的法律效力,仍然是由电子签名的有效性决定的,所以电子印章/签名外观本身,仅是表现形式,不决定电子印章的有效性。

 

15.什么是时间戳

答:时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:

(1)需加时间戳的文件的摘要(digest);

(2)时间戳服务(DTS)收到文件的日期和时间;

(3)时间戳服务(DTS)的数字签名;

一般来说,时间戳产生的过程为:用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。

书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。

举例,通过契约锁签署的数字签名中,包含了通过由SHECA签发的时间戳证书,同步第三方有效时间源,而签发的有效时间戳。这个时间,用户自身,甚至我们作为时间戳调用方,均无法对时间戳服务签发出的时间做伪造和修改。

 

16.什么是时间戳服务器

答:时间戳服务器是一款基于PKI(公钥密码基础设施)技术的时间戳权威系统,对外提供精确可信的时间戳服务。它采用精确 的时间源、高强度高标准的安全机制,以确认系统处理数据在某一时间的存在性和相关操作的相对时间顺序,为信息系统中的时间 防抵赖提供基础服务。

 

17.数字证书的种类

答:根据数字证书有效期的不同,可将数字证书分为:

长期证书:证书有效期为1-2年;

事件型证书;证书有效期为1-5分钟,仅针对具体一次签署事件而颁发;

根据数字证书用途的不同,将数字证书分为:

签名证书:主要用来进行数字签名,即使用私钥进行加密,公钥进行解密。

加密证书:主要用来进行加密和制作数字信封,即用公钥进行加密,私钥进行解密。因存在证书遗失的风险,加密证书的私钥一般都会由第三方进行备份。

 

18.数字证书的存储

答:证书一般存在于UK中,但也有个别情况下以文件形式存在。只存有公钥的文件格式有PEM、CER等,存有公钥和私钥的文件格式主要是PFX,该类型文件有访问密码进行保护。

UK(UsbKey):全称证书存储设备,主要用来存储证书和公私钥对,并提供硬件加密支持,支持标准CSP和PKCS#11规范。通过标准的接口可以读取和使用UK的证书。为了防止恶意使用UK的行为,一般UK都会设有保护PIN码,连续错误输入PIN后,UK会自动被锁死。

仅存有公钥的PEM、CER格式证书,是可以向外分发的,存储形式没有特定要求。带有私钥信息的PFX格式证书,需要通过UK介质存储,或存储在证书服务器中,经过授权认证后才能被调用。

 

19.数字证书的有效期

答:数字证书有“有效期”概念。

一般的长期数字证书有效期在1年;事件型证书有效期在1-5分钟;

数字证书的有效期,是指在有效期内可以使用该数字证书进行签名。当前时间超出了证书有效期,或数字证书被CA吊销,均不能使用该证书继续签名。

数字证书有效期过期,或被吊销,对在有效期内完成的数字签名的有效性,没有任何影响。

 

20.数字签名的有效期

答:数字签名没有“有效期”概念。

数字签名只有“是否有效”概念,在数字签名被接收方查看读取时,均会对该签名进行有效性验证。通过从CA获取的发送方公钥,确认签名主体、验证签名本身是否被篡改、验证受签名保护的原文是否被篡改。

/本节结束/

上一篇:电子合同的法律基础

下一篇:关于电子合同的基础问题

联系我们
全国热线
400-888-9792