北京电子签名加密

1. 数字签名的加密方式是怎样的原理

数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。

每个人都有一对“钥匙”（数字身份），其中一个只有她/他本人知道（密钥），另一个公开的（公钥）。签名的时候用密钥，验证签名的时候用公钥。又因为任何人都可以落款声称她/他就是你，因此公钥必须向接受者信任的人（身份认证机构）来注册。注册后身份认证机构给你发一数字证书。对文件签名后，你把此数字证书连同文件及签名一起发给接受者，接受者向身份认证机构求证是否真地是用你的密钥签发的文件。

公钥加密系统允许任何人在发送信息时使用公钥进行加密，数字签名能够让信息接收者确认发送者的身份。当然，接收者不可能百分之百确信发送者的真实身份，而只能在密码系统未被破译的情况下才有理由确信。

• 鉴权的重要性在财务数据上表现得尤为突出。举个例子，假设一家银行将指令由它的分行传输到它的中央管理系统，指令的格式是(a,b)，其中a是账户的账号，而b是账户的现有金额。这时一位远程客户可以先存入100元，观察传输的结果，然后接二连三的发送格式为(a,b)的指令。这种方法被称作重放攻击。

• 完整性。传输数据的双方都总希望确认消息未在传输的过程中被修改。加密使得第三方想要读取数据十分困难，然而第三方仍然能采取可行的方法在传输的过程中修改数据。一个通俗的例子就是同形攻击：回想一下，还是上面的那家银行从它的分行向它的中央管理系统发送格式为(a,b)的指令，其中a是账号，而b是账户中的金额。一个远程客户可以先存100元，然后拦截传输结果，再传输(a,b3)，这样他就立刻变成百万富翁了。

• 不可抵赖。在密文背景下，抵赖这个词指的是不承认与消息有关的举动（即声称消息来自第三方）。消息的接收方可以通过数字签名来防止所有后续的抵赖行为，因为接收方可以出示签名给别人看来证明信息的来源。

2. 大家有没有什么电子签名的平台可以推荐的

电子签名平台挺多的，关键还是要看用在什么场景下，用户的群体是什么样的，以及对法律合规性的要求。现在国内规模最大的是e签宝，也是中国第一家互联网电子签名平台，2002年成立，提供了一套从电子签名到文档归档管理、从存证保全到司法出证等全流程服务，不仅是浙江省政府“最多跑一次”指定电子签供应商，合作伙伴还包括阿里巴巴、索尼、华夏银行、海康威视、吉利、百威、顶新集团等顶级企业。

e签宝产品不仅通过国家密码管理局商用密码产品品种和型号审批，还拥有ISO27001信息安全管理体系认证，ISO27018云端个人数据保护认证、可信云服务认证，计算机信息系统安全专用产品检测、等保三级认证等，其中等保三级认证得分为全行业最高，也是国家“安全可靠技术和产业联盟”成员，在技术安全和权威资质方面属业界领先。

您好，目前国内可信的平台有 法大大、上上签和e签宝和易企签。

其他平台可以根据他们的这个问题的回答来了解 ，我在这里主要说一下易企签。

壹：

易企签如何保障电子合同的安全性？

一、数据安全

1. 三级等保机房
易企签三级等保机房，保证物理、结构、主机、应用、数据等各方面的安全。其中，对于数据安全，易企签能够检测系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性，且能通过加密或其他有效措施对数据进行安全保护。

2. 金融级别数据可靠性
易企签采用金融级别的安全存储环境，有效防止篡改，保证数据的完整、一致和准确。

3. 数据异地备份
易企签提供完善的安全存储环境，除本地备份外，还可以异地备份，有效保证用户数据信息的安全性和完整性。

二、签署安全

1. 公安部、工商总局联网实名认证

2. 签署意愿认证
在使用易企签进行合约签署时，需要输入签署密码，认证签署人的签署意愿，保证了合同签署内容是由签署双方出于公平自愿原则签署。

3. 高强度数字加密
用户使用易企签进行在线审批、合同签署、在线传输、在线存储等服务的过程中，实现全程数字加密，保护用户隐私安全，防泄露、防篡改，保证电子合同的机密性与安全性。

三、传输安全

1. 全站HTTPS加密传输
易企签全站使用HTTPS服务器，使服务端和客户端、客户端和客户端之间的所有通讯都是加密的，保证电子合同传输过程不被窥探，不被泄露和篡改。

2. 敏感数据脱敏处理
在文件传输过程中，对于敏感隐私数据，比如身份证号、手机号、工商注册号等数据，易企签会进行脱敏处理，以此避免敏感数据的泄露。

四、运维安全

1. 分级运维管理、分级监控体系
易企签采用分级运维管理，保证运维人力资源的有效利用，以此提供给用户完善的监控和跟踪机制。同时，易企签分级监控体系，保证了数据的安全、稳定、可靠。

2. 多机房网络分级安全部署
易企签实现多机房网络分级安全部署，保障易企签系统能够对机房级别的故障容错，保障用户数据在灾难情况下不受影响。

贰：

易企签电子合同是否具有法律效力？

法律所要求的以下四点，易企签都满足。

1. 电子签名制作数据用于电子签名时，属于电子签名人专有。

易企签电子签名制作数据（俗称“电子章”）包括:用户专有的签名私钥（用于数字签名）、用户的手写签名数据或图章信息和数字证书。用户手写签名或图章信息可以直观的标识电子签名人，易企签制作电子签章提供手写和上传图章图片信息生成“电子章”。

2. 签署时电子签名制作数据仅由电子签名人控制。

易企签通过一次性口令等强认证手段，验证电子签名人的身份，通过验证才允许电子签名人访问电子签名制作数据（“电子章”），保证电子签名人的对电子签名的实质上的控制。

3. 签署后对电子签名的任何改动能够被发现。

易企签电子签名支持数字证书，采用工业标准的数字证书（俗称“网上身份证”）标识签名人，保证签名人的真实性，通过高强度的数字签名机制保证电子签名信息无法被篡改或伪造。

4. 签署后对数据电文内容和形式的任何改动能够被发现。

易企签采用了高强度的银行级别的安全密码技术：哈希、加密、公开密钥密码算法实现数字签名，在签名文档被改动后，可以自动识别文档改动并警告用户。

叁：

易企签如何保障电子印章可管可控？

1、融合了印章图像处理和密码学应用技术实现在线快速制作印章，制作的印章和企业（个人）的数字证书绑定

支持通过本地上传、扫码上传、在线制作创建企业下的电子印章，其中本地上传主要用于电脑本地存有印章图片，通过此种方式可以直接上传文件创建印章，为了方便用户从手机上直接上传印章，系统提供“扫码上传”支持从手机移动端上传印章图片；也可用“在线制作”通过系统电子印章模板快速制作电子印章。

使用“本地上传”制作电子印章：

使用“扫码上传”从手机直接上传印章图片制作电子印章：

使用“在线制作”通过系统电子印章模板快速生成电子印章：

2、在线用章，实现全程数字化业务流程闭环处理

通过在业务管理系统中添加电子印章功能，可实现企业业务合同等文件发起、审批、签字盖章、归档全程在线，印章可以由印章管理人员根据需要进行授权，可以按时间段授权，按照次数授权，也可以单次进行授权。

印章管理员：可使用指定的印章并对该印章使用的合同文件具有调阅、下载等权限。
法务：具备流转到节点的合同文件审核、修改等权限。
普通员工：可通过系统快速发起各类文件内容，快速申请用印。

整个合同用章流程从申请、审批、签字或盖章、归档全程在线化、对公司印章进行角色管理、权限控制、证据留存，为组织印章管理提供技术支撑。

企业成员也可以向企业印章管理人员申请印章使用权，申请成功之后，需要等待印章管理人员审批通过。 企业成员申请印章使用操作界面：

企业印章管理员审批操作界面：

3、电子印章全方位管理

总结： 通过构建统一、高效、安全的电子合同生命周期管理平台，可以实现电子合同在线签署，消除快递成本，缩减合同不匹配造成的效率低下等问题，解决物理印章使用模式中效率管控与风险控制的矛盾，实现企业印章可管可控。

综上所述：易企签是一个非常可靠的电子签名平台 。

3. 电子签名相对于传统签名的优势

随着电子商务和电子政务的迅速发展，电子签名得到广泛的应用。但是，电子签名是否具有与传统手写签名和盖章同等效力的问题，却一直没有一个明确的法律规定。根据2日提请十届全国人大常委会第八次会议审议的电子签名法

草案，电子签名有望获得与传统手写签名和盖章同等的法律效力。

国务院法制办公室主任曹康泰就电子签名法草案向十届全国人大常委会第八次会议作说明时说，根据我国电子商务发展的实际需要和实践中存在的问题，借鉴联合国及有关国家和地区有关电子签名立法的做法，草案将我国电子签名立法的重点确定为：确立电子签名的法律效力；规范电子签名的行为；明确认证机构的法律地位及认证程序；规定电子签名的安全保障措施。

曹康泰说，对于确认电子签名的法律效力，草案通过对电子签名进行定义，要求电子签名必须起到两个作用，即识别签名人身份、保证签名人认可文件中的内容。在此基础上，草案明确规定了电子签名具有与手写签名或者盖章同等的效
《电子签名法》的立法三原则是：功能等效原则、尊重行为当事人的意思自治的原则、技术中立的原则。
功能等效原则就是电子签名的法律效力等同于传统的签名，也就是说使用电子签名不等于完全否定物理世界的签名。这点非常重要。有些人讲《电子签名法》是信息化的一部根本法，是信息化的一部条件法。《电子签名法》的主要起草人、国务院信息办公室法规组副组长秦海认为，这种说法是完全不对的，这种理解违反了功能等效的原则。他解释说：“比如，我在物理空间认识张三，张三和我建立的任何合同和合约，它的效力和虚拟世界张三和我建立的任何合同和合约的效力是等效的，具有同等法律效力，这就是功能等效的原则”。
其次是尊重行为当事人的意思自治的原则，也就是用不用电子签名是你自愿的事。在虚拟世界里，可以通过电子邮件、数据电文和通过其他各种各样的形式，来使得交易或行为能够发出一个链接。在这个链接的过程中，你到底应该选择什么样的方式，这部法律没有做强制的规定。
在这个法里，没有对使用哪一种技术进行强制规定，所以说是技术中立的原则。很多人都以为只有采用PKI（非对称加密）和CA才能进行电子签名，实际并不是这么回事。PKI和CA只是电子签名的众多技术中比较常用的一种。该法律并不指出哪种技术更为先进，哪种技术是安全的，只要求该技术满足本法的规定、或当事人自行选择的就可以。
绝大多数人还没有意识到《电子签名法》对各种商业行为和公众的影响。《电子签名法》有可能引发一场类似电子邮件逐步取代传统邮件一样的变革。

一位购房业主发现他与开发商之间竟签署了一些自己从未见过的合同，这使他大惑不解。印章怎么会出现在这些合同上？这位业主仔细回忆后想起一件往事，购房之初，开发商称办理房产证需要加盖业主的私章，所以要把各业主的私章收集齐后一起去办理……

上海的一位许先生在收购了某药业公司后，突然被人以200万元的债务起诉。这笔债务连原来公司的领导也不知情，后来调查发现，这家药业公司的一位业务员曾经用单位公章私自和一家企业签订了一份合同，这份合同的签署原公司领导并不知情，也没有纳入正常的企业核算范围。虽然这位业务员最后锒铛入狱，许先生却不得不凭空多支付了200万元的钱款。

诸如此类的案例还有不少，几乎每个公司在应用传统印章时都会面临这样的风险。

传统印章遭遇挑战

上述案例中的许先生表示，传统橡皮印章异地签章非常不便，很多时候需要拿着公司的印章去签合同，风险是不可预见的。这意味着印章的权利人无法对自身权力进行充分控制，对相关人员也只能以人品和职业道德来约束，因此屡出问题也在情理之中。

面对“有心人”难以防范的小动作，传统印章陷入了安全危机，随着网上交易活动的发展，在有纸化办公向无纸化办公转变的历程中，传统印章已渐渐不能适应信息社会的新形势。在这样的情况下，电子印章的出现使权力与权利人更好地结合在一起。“除非你从来不用签字、不使用印章，否则，你就不可能回避电子印章带来的影响，就像你不可能放弃电话、电子邮件，固守着传统的邮局一样。”最早推出我国自主知识产权电子印章的书生公司负责人韩庆军表示：“即使电子印章持有者在国外出差，也不会影响相关文件的签署。工作人员只需把要签署的文件发给这位主管，他可以在国外直接加盖电子印章，然后通过电子邮件发回，这种异地签章的能力使企业印章完全可以不交给非权利人持有。”

据韩庆军介绍，电子印章实际上是用一种信息技术来代替传统的印章，这种技术可以直接在特定的电子文档上盖章，使人们不必再将这些文件打印后来回地邮寄，从而使效率、成本及使用安全得到大幅度改善。

今年4月1日，我国的《电子签名法》正式生效，尽管这部法律引起了专业人士和法学专家的重视，但是绝大多数人还没有意识到《电子签名法》对各种商业行为和公众的影响。《电子签名法》有可能引发一场类似电子邮件逐步取代传统邮件一样的变革。

我的权利我做主

抛去后台的技术不谈，电子印章看起来并不复杂，它是一个比橡皮图章还小的便携式硬件，可以直接插入电脑通用的USB接口使用。使用时只需将电子印章插入电脑，轻点鼠标即可完成盖章工作。韩庆军介绍说，只要保存好这个硬件，外界就没有仿制的机会。即使电子印章丢失，用户也可以凭密码到电子印章中心挂失，重新制作电子印章；而传统橡皮印章即便是及时挂失，也难免在挂失前被非法使用。

比较一下橡皮印章和电子印章的使用过程可以发现，如果有一份文件急需签字盖章，负责人却在外地出差，没有电子印章的话，就只能等这位负责人出差回来。但如果使用的是电子印章，那就随时可以上网，将文件传到负责人的电脑加盖印章再传回来，一切都轻松自如，不但可以及时得到批示和回复，办公室也不会再有堆积如山等待盖章签字的文件了。这意味着企业的高管可以真正做到随时随地批示文件，签署合同。

使用电子印章批示文件不会受到时间的限制，中招拍卖公司认为这一点非常重要。中招拍卖公司总经理周松平介绍：“以前提交盖有公章的备案材料必须在工商局上班时才能办理，因此有时会影响到我们整个事务的安排和推进速度。应用电子印章，整个审批备案流程网络化之后，我们就可以随时登录系统报表备案，而不必像以前一定要等到上班时间去工商局排队才能办事了。”

房地产商潘石屹用了不到5分钟的时间，就熟练掌握了书生电子印章的使用。潘石屹说：“快捷、安全、低成本是电子印章的特点，在信息高度膨胀的时代，人们非常需要这样的技术来加快信息传递的步伐和速度，书生电子印章可以满足人们及时、安全地获得和发布决策的要求，而且使用起来非常方便，跟传统橡皮印章的使用流程并无多大区别，不过一个要用印章和印泥，一个只用鼠标一点即可。”

电子印章将成潮流

《电子签名法》生效后，电子印章应用被彻底“松绑”，这种先进技术获得了走出机关的深宅大院，服务于社会公众的机会。据了解，在电子印章获得法律效力之后的短短几个月内，已经有数家政府和企业机构投入到使用电子印章的潮流当中。其中包括国家电监会、北京市海淀工商局、北京顺天府连锁超市等等，电子印章越来越多地被用于政企内外的文件传输、合同签订等，并且在逐步向更多行业和个人扩散。

以北京海淀工商局为例，该局在决定上马电子印章的时候，选择了三家电子印章企业，但是通过信息中心的检验以及深入了解，发现三种电子印章中，唯有书生电子印章在安全上最有保证。对于书生电子印章的安全性问题，中国信息化推进联盟专家委员会副主席陈拂晓认为：“无论是政府也好，企业也罢，用户对技术的认同和信赖并不会只是感情的投入，它必须要技术开发商拿出可信的证据来让用户相信它是可靠的。据我所知，书生电子印章在国内各级政府及多家大型机构已经有近十年的应用历史，安全上从未出现过任何问题，这是用户所公认的。这表明用户对产品的信赖很大程度上来自于这一技术应用的安全性和广泛性所带来的权威性，这种实践给用户带来了信任感。”

目前，电子印章应用在国内还是一个新生事物。尽管公众对电子印章的应用仍不十分清楚，但电子印章却像十年前的电子邮件一样，正逐步改变人们的工作模式，使所有的商务活动向更加高效和低成本的方向快速推进。

有信息专家认为，电子印章的出现和普及，是实现信息传递流程全程电子化的最后一环，是彻底实现“无纸化办公”的前提条件之一。随着“无纸化运动”的推进，以及电子政务、电子商务的发展，电子文件越来越多地替代了纸质文件，这也使电子印章部分取代实物印章成为必然的潮流和趋势。如同电报取代驿站，电话取代电报，电子邮件取代寄信一样，电子印章将会逐步与传统印章形成分庭抗礼之势，成为信息技术发展史上的一个新的里程碑。

4. 电子签名怎么做

电子签名是以身份认证与信息加密技术为核心的技术，经可靠的电子签名签署的电子合同与手写签字或盖章的纸质合同具备同等的法律有效性。

制作电子签名的具体步骤如下：

1、打开PS软件，找到扫描的签名图片，在PS中打开，把签名的图片旋转一下，鼠标左键单击【图像】下的旋转屏幕。

另一种方法是使用第三方电子合同平台签约只需三步即可完成电子签名制作与签署：

1、登录第三方电子合同网站注册并认证；

2、使用触屏手机，手写输入签名并保存；

3、使用已保存的签名签署合同。

5. 电子签名怎么弄

首先需要注册并登录放心签平台，并完成个人实名认证，放心签系统会自动生成一个默认的长方形电子签名，用户也可以按照偏好，通过放心签系统选择不同的字体制作个性化的电子签名，还可以添加手绘版电子签名。

放心签电子合同提供系统默认的电子签名，用户自定义的电子签名，和手绘电子签名，这几种电子签名的法律效力是同等的，如果不喜欢手写签名，就可以使用系统或者定制的电子签名。

电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名就是通过密码技术对电子文档的电子形式的签名。

并非是书面签名的数字图像化，它类似于手写签名或印章，也可以说它就是电子印章。电子签名的用途: 在电子版的中秋贺卡，结婚请帖， 建筑合同上签名。

基本功能：

从电子签名的定义中，可以看出电子签名的两个基本功能：

（1）识别签名人。

（2）表明签名人对内容的认可。

法律上在定义电子签名时充分考虑了技术中立性，关于电子签名的规定是根据签名的基本功能析取出来的，认为凡是满足签名基本功能的电子技术手段，均可认为是电子签名。

由电子签名和数字签名的定义可以看出，二者是不同的：

电子签名是从法律的角度提出的，是技术中立的，任何满足签名基本功能的电子技术手段，都可称为电子签名。

数字签名是从技术的角度提出的，是需要使用密码技术的，主要目的是确认数据单元来源和数据单元的完整性。

电子签名是一种泛化的概念，数字签名可认为是电子签名的一种实现方式，数字签名提供了比电子签名基本要求更高的功能。

6. 电子签名如何防伪

简单来说，电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性，使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。
但是，通过上述技术名词解释并不能直观、易懂的说明电子签名的原理，以下是通过还原电子签名签署的过程简介实现原理：
场景：由于业务需要，你和我需要签署一份合作协议。为方便起见，你将拟好的电子版合同文本在线发送给我签署。
怎样确保合同只有我可查看且不被他人恶意窃取？我又怎样才能确定文件的发送人就是你呢？
关键点1：公钥私钥登场
为了满足电子合同内容保密性和发送人认证的要求，我们了解到非对称加密的加密方式。
非对称加密：具有唯一对应的一对秘钥，一个公钥一个私钥，公钥所有人可见，而私钥仅自己可见。
非对称加密具有这样的特性：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。
发送合同时，你将拟好的电子合同使用自己的私钥加密后发送;接收合同时，如果能够使用你的公钥解密，则说明这份文件就是你发送的。
但是，我怎么才能知道你的公钥呢？
关键点2：政府出了个CA来帮忙
我了解到，政府授权了一个权威机构叫CA，可以提供网络身份认证的服务。
CA(CertificateAuthority)：全称证书管理机构，即数字证书的申请、签发及管理机关。其主要功能为：产生密钥对、生成数字证书、分发密钥、密钥管理等。
数字证书：是由CA机构颁发的证明，它包含公钥、公钥拥有者名称、CA的数字签名、有效期、授权中心名称、证书序列号等信息，可以通俗为理解个人或企业在“网络身份证”。
我向CA机构申请获取你的公钥，使用它对电子合同解密，解密成功则说明发送人就是你。文件发送人的身份确认了，那怎么保障电子合同传输过程中未被篡改呢？
关键点3：哈希兄弟出场
有技术人员推荐了哈希算法(摘要算法)，可以证明电子合同传输过程中是否被篡改。
哈希算法：通过加密算法将文本内容生成为一段代码，即信息摘要，其主要特征是加密过程不需要密钥，经加密的数据无法被反向还原。也就是说，只有两份完全相同的合同经过相同的哈希算法才能得到相同的摘要。
发送合同时，你将电子合同原文和经哈希运算的摘要一起发送给我接收合同时，通过对合同原文进行同样的哈希运算得到新的摘要，对比两组摘要是否一致即可证明我接收的文件是否被篡改
但是，如果传输过程中文件原文与摘要同时被替换了怎么办？
关键点4：对称加密来帮忙
除了上述的哈希算法、非对称加密、CA，为确保合同由发送到接收满足三个要求，即：由你发送、只能发给我、不能被篡改，我们还需要应用新的加密方式：对称加密。
对称加密：采用单钥密码系统的加密方法，信息的加密和解密只能使用同一个密码。
发送文件时：
1、你通过哈希运算得到原文摘要并使用私钥对其加密，得到你的数字签名，再将数字签名和合同原文进行对称加密，得到密文A——对原文加密
2、再通过CA获得我的公钥，对上述步骤中对称加密的秘钥进行非对称加密，即我的“数字信封”——对秘钥加密
3、将密文A和我的数字信封一起发送给我
数字签名：用哈希算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。
数字信封：用接收方的公钥加密对称秘钥”，这就叫___给乙的数字信封。
接收文件时：
1、我使用自己的私钥解密数字信封得到对称秘钥——能解开，说明是发给我的
2、再使用对称秘钥解密密文A，得到带有你的数字签名的原文
3、使用你的公钥解密你的数字签名，得到签名中的原文摘要——能解开，说明发送者是你
4、使用相同的摘要算法获取原文摘要并与解密签名中的摘要对比——摘要一致，则说明原文没有被篡改
除了文件内容不可篡改，精确记录签署时间固定合同生效期限也十分重要，网络环境中怎样怎么确保合同签署时间不可篡改呢？
关键点5：时间戳来证明
我又请教了专家，原来我们国家还有专门确定时间的法定授时中心，它可以在我们签署的文件上加盖“时间印迹”，即时间戳。
时间戳(time-stamp)：书面签署文件的时间是由签署人自己写上，而数字时间戳则由第三方认证单位(DTS)添加，以DTS收到文件的时间为依据，更精准、更有公信力。
至此，我们签合同的时间精准记录、合同内容不可篡改、双方身份也真实有效，这下没问题了！但是，签署完的电子合同怎么存储呢？不管是哪一方签署，日后产生纠纷都难免对合同存储期间的安全性产生质疑。
关键点6：找个权威第三方来存证
听说有专门的第三方电子数据存证机构，可以保存已签署的电子合同数据，当用户双方对合同内容产生争议时可申请出具具有公信力的证明。
合同签署的最后一个问题：存储问题也解决了！但唯一不足之处就是：签署过程太麻烦！为保障电子合同有效性，我们用到了非对称加密、哈希运算、时间戳等技术，还要CA机构、公证处等机构协助;
怎样更简单快捷地签一份有效的电子合同呢？
关键点7：选择可靠的第三方电子合同平台
根据《电子签名法》规定，使用可靠的电子签名签署的电子合同具备与手写签字或盖章的纸质合同同等的法律效力。
根据《电子签名法》规定，符合下列条件的，视为可靠的电子签名：
1)电子签名制作数据用于电子签名时，属于电子签名人专有
2)签署时电子签名制作数据仅由电子签名人控制
3)签署后对电子签名的任何改动能够被发现
4)签署后对数据电文内容和形式的任何改动能够被发现
结合上述电子合同签署过程，我们可归纳总结有效的电子合同应关注以下几个核心点：内容保密性、内容防篡改、明确签订身份、明确签订时间。
同时，为保障电子合同作为书面形式的证据能力，合同签署全程还应当由权威第三方机构存储公证。
商务部在《电子合同在线订立流程规范》指出：“通过第三方(电子合同服务提供商)的电子合同订立系统中订立电子合同，才能保证其过程的公正性和结果的有效性”。

7. 电子签名原理是什么

简单来说，电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性，使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。

但是，通过上述技术名词解释并不能直观、易懂的说明电子签名的原理，以下是通过还原电子签名签署的过程简介实现原理：

场景：由于业务需要，你和我需要签署一份合作协议。为方便起见，你将拟好的电子版合同文本在线发送给我签署。

怎样确保合同只有我可查看且不被他人恶意窃取？我又怎样才能确定文件的发送人就是你呢？

关键点1：公钥私钥登场

为了满足电子合同内容保密性和发送人认证的要求，我们了解到非对称加密的加密方式。

• 非对称加密：具有唯一对应的一对秘钥，一个公钥一个私钥，公钥所有人可见，而私钥仅自己可见。

• 非对称加密具有这样的特性：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。

发送合同时，你将拟好的电子合同使用自己的私钥加密后发送；接收合同时，如果能够使用你的公钥解密，则说明这份文件就是你发送的。

但是，我怎么才能知道你的公钥呢？

关键点2：政府出了个CA来帮忙

我了解到，政府授权了一个权威机构叫CA，可以提供网络身份认证的服务。

• CA(Certificate Authority)：全称证书管理机构，即数字证书的申请、签发及管理机关。其主要功能为：产生密钥对、生成数字证书、分发密钥、密钥管理等。

• 数字证书：是由CA机构颁发的证明，它包含公钥、公钥拥有者名称、CA的数字签名、有效期、授权中心名称、证书序列号等信息，可以通俗为理解个人或企业在“网络身份证”。

我向CA机构申请获取你的公钥，使用它对电子合同解密，解密成功则说明发送人就是你。文件发送人的身份确认了，那怎么保障电子合同传输过程中未被篡改呢？

关键点3：哈希兄弟出场

有技术人员推荐了哈希算法（摘要算法），可以证明电子合同传输过程中是否被篡改。

• 哈希算法：通过加密算法将文本内容生成为一段代码，即信息摘要，其主要特征是加密过程不需要密钥，经加密的数据无法被反向还原。也就是说，只有两份完全相同的合同经过相同的哈希算法才能得到相同的摘要。

发送合同时，你将电子合同原文和经哈希运算的摘要一起发送给我接收合同时，通过对合同原文进行同样的哈希运算得到新的摘要，对比两组摘要是否一致即可证明我接收的文件是否被篡改

但是，如果传输过程中文件原文与摘要同时被替换了怎么办？

关键点4：对称加密来帮忙

除了上述的哈希算法、非对称加密、CA，为确保合同由发送到接收满足三个要求，即：由你发送、只能发给我、不能被篡改，我们还需要应用新的加密方式：对称加密。

• 对称加密：采用单钥密码系统的加密方法，信息的加密和解密只能使用同一个密码。

发送文件时：

1、你通过哈希运算得到原文摘要并使用私钥对其加密，得到你的数字签名，再将数字签名和合同原文进行对称加密，得到密文A——对原文加密

2、再通过CA获得我的公钥，对上述步骤中对称加密的秘钥进行非对称加密，即我的“数字信封”——对秘钥加密

3、将密文A和我的数字信封一起发送给我

• 数字签名：用哈希算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。

• 数字信封：用接收方的公钥加密对称秘钥”，这就叫“给乙的数字信封。

接收文件时：

1、我使用自己的私钥解密数字信封得到对称秘钥——能解开，说明是发给我的

2、再使用对称秘钥解密密文A，得到带有你的数字签名的原文

3、使用你的公钥解密你的数字签名，得到签名中的原文摘要——能解开，说明发送者是你

4、使用相同的摘要算法获取原文摘要并与解密签名中的摘要对比——摘要一致，则说明原文没有被篡改

除了文件内容不可篡改，精确记录签署时间固定合同生效期限也十分重要，网络环境中怎样怎么确保合同签署时间不可篡改呢？

关键点5：时间戳来证明

我又请教了专家，原来我们国家还有专门确定时间的法定授时中心，它可以在我们签署的文件上加盖“时间印迹”，即时间戳。

• 时间戳（time-stamp）：书面签署文件的时间是由签署人自己写上，而数字时间戳则由第三方认证单位（DTS）添加，以DTS收到文件的时间为依据，更精准、更有公信力。

至此，我们签合同的时间精准记录、合同内容不可篡改、双方身份也真实有效，这下没问题了！但是，签署完的电子合同怎么存储呢？不管是哪一方签署，日后产生纠纷都难免对合同存储期间的安全性产生质疑。

关键点6：找个权威第三方来存证

听说有专门的第三方电子数据存证机构，可以保存已签署的电子合同数据，当用户双方对合同内容产生争议时可申请出具具有公信力的证明。

合同签署的最后一个问题：存储问题也解决了！但唯一不足之处就是：签署过程太麻烦！为保障电子合同有效性，我们用到了非对称加密、哈希运算、时间戳等技术，还要CA机构、公证处等机构协助；

怎样更简单快捷地签一份有效的电子合同呢？

关键点7：选择可靠的第三方电子合同平台

根据《电子签名法》规定，使用可靠的电子签名签署的电子合同具备与手写签字或盖章的纸质合同同等的法律效力。

• 根据《电子签名法》规定，符合下列条件的，视为可靠的电子签名：

1）电子签名制作数据用于电子签名时，属于电子签名人专有

2）签署时电子签名制作数据仅由电子签名人控制

3）签署后对电子签名的任何改动能够被发现

4）签署后对数据电文内容和形式的任何改动能够被发现

结合上述电子合同签署过程，我们可归纳总结有效的电子合同应关注以下几个核心点：内容保密性、内容防篡改、明确签订身份、明确签订时间。

同时，为保障电子合同作为书面形式的证据能力，合同签署全程还应当由权威第三方机构存储公证。

商务部在《电子合同在线订立流程规范》指出：“通过第三方（电子合同服务提供商）的电子合同订立系统中订立电子合同，才能保证其过程的公正性和结果的有效性”。

综上，就是电子签名各个环节中需涉及的实现原理。

8. 如何进行电子签名

商务部颁布的《电子合同在线流程规范》，鼓励大家采用第三方电子合同平台签订电子合同，使用电子签名技术保证合同签订、传输、存储的安全性、完整性和有效性，采用了电子签名和加密技术，合同一旦签署，就不能再进行更改，签订后存储于安全的云存储系统中，将证据固化，发生纠纷时举证便捷。最为关键的是，第三方电子合同平台提供的证据证明力很高，法官容易采纳。
如何进行电子签名，得先制作电子签名：先写个签名，拍照或者扫描之后上传，形成电子签名。或者直接用第三方电子合同平台生成的专属签名。
在第三方电子合同平台上签署电子合同，只要上传你的电子合同，采用你的专属电子签名，为了验证你的电子签名是你专属，平台会采取加密登陆，预留手机随机动态密码确保签署行为为签署人控制，电子合同就算签署完成了。

9. 事件证书是什么用于签名的话，能够确保签署的有效吗

之前我写的一篇文章，希望可以帮助题主答疑解惑：

事件证书的含义

——事件证书并非合规的数字证书类型

根据国家市场监督管理总局、中国国家标准化管理委员会发布的GB/T 25056-2018 信息安全技术 证书认证系统密码及其相关安全技术规范3.9的定义，数字证书类型按用途可分为“签名证书”和“加密证书”两种，按类别可分为“个人证书”、“机构证书”和“设备证书”三种，当中并无“事件证书”;

按照国家密码行业标准化指导性技术文件“GM/Z 0001-2013”《密码术语》第2.115条对数字证书的定义，“数字证书也称公钥证书，由证书认证机构（CA）签名的包含公开密钥持有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签名证书和加密证书”，其中也没有“事件证书”一说，由此可见，所谓事件证书，并非是具有正式法律渊源和合规依据的证书类型；

那么何谓“事件证书”？

参考北京CA在其电子认证业务规则（CPS）第1.4.1条d项的定义，“事件型数字证书是北京CA面向签名行为业务场景签发出的数字证书，在业务过程中，根据订户提交的业务场景中相关信息（电子文档、签名行为特征信息、手写笔迹或其他签名行为证据信息等）自动固化至数字证书的扩展域，签发出事件型数字证书。事件型数字证书所对应的私钥为一次性使用，对业务场景的信息数据进行电子签名，在使用后即被销毁”；该CPS第6.1.1和6.1.2进一步明确“事件型证书的签名密钥对由签名设备生成并保管”。

在上海CA的电子认证业务规则（CPS）中并无事件证书的相关内容，但其专门发布了《事件证书证书策略电子认证业务规则》，其中第1.6.13条给出定义，“事件数字证书是面向即时业务或者特定业务场景，上海CA所设计的一类基于事件证书专利技术的特殊数字证书。在业务过程中，自动将业务场景中相关信息（电子文档、签名行为特征信息、手写笔迹或其他签名行为证据信息等）关联至数字证书的扩展域，签发出事件数字证书，实现业务过程中的可靠电子签名。事件数字证书所对应的私钥一般一次性使用，其在使用一次后即被销毁”；

再参考CFCA（中国金融认证中心）的CPS，在CFCA的业务规则中没有规定“事件证书”，但在第1.4.1.2中提出了“CFCA场景证书”，指出“CFCA 场景证书是一种适用于对即时业务或者特定场景业务进行签名认证的数字证书。在业务结束时自动申请，将业务场景中所有信息整合形成数字证书的扩展域信息。使用场景证书对即时业务或者场景业务证据签名后可证明证据在取证结束后无篡改，并保证多个证据之间的关联性和一致性。场景证书使用时不限制签名次数，也不限定特定文档，可用于对即时业务或者场景业务中的所有证据分别签名。脱离该场景后，证书即不能使用”，第6.1.1“密钥对的生成”章节进一步明确“场景证书的密钥生成由负责场景业务的业务提供方生产，并负责保护场景证书私钥的安全”。

从以上几个典型CA机构的电子认证业务规则中可以看出，“事件证书”本身并非正式的证书类型，而更多的是各CA机构为市场拓展所衍生的营销定义，综合分析这些定义，无论是“事件证书”或是“场景证书”，可以发现具有如下共同点：

1、事件证书的生命周期都极短，在事件发生时颁发证书，事件结束证书即被终止；

2、事件证书的私钥并非由用户（证书上记载的签名人）掌握，而是由签名场景的业务提供方实际掌控。

事件证书的法律性质

——不具有预期的法律效果

事件证书虽然不是具有合规依据的证书类型，但由于获得的方式非常容易，让其事实上成为了目前市面上最广泛存在的一种数字证书形式，大量的电子合同SaaS平台都在使用事件证书提供电子签名服务，那么基于事件证书的电子签名，是否具有相关当事人所预期“等同于纸质签名”的法律效果呢？

签名的法律含义是“签名人对被签名内容的认可”，因而一份符合预期法律效果的电子签名需要具备3个条件：1、文件包含电子签名的事实，2、签名人的身份可以确定，3、签名行为人（即实际在文件上完成签名操作的人）与“文件上表明的电子签名人”身份一致。

按照数字证书签名的基本原理，签名是通过“私钥”运算完成的，掌握“私钥”是执行电子签名行为的前提，换言之，谁掌握“私钥”谁才可能成为实际的签名人；

在事件证书电子签名的场景中，根据前文北京CA、CFCA以及上海CA的CPS规则，事件证书的“私钥”并非由用户掌控，故而用户不可能成为实际的电子签名人，签名行为实际上是由提供签名系统的业务方所完成的；虽然事件证书的有效期很短，但短暂的有效期只是降低了其他第三方盗用私钥伪造签名的风险，却不能阻止提供签名系统的业务方滥用用户签名的能力，对此，CFCA在其CPS中更是特别强调“场景证书的密钥生成由负责场景业务的业务提供方生产，并负责保护场景证书私钥的安全”；由此可见，由于签名系统的业务方，可以随时以用户的名义向CA机构取得事件证书，也就使得业务方具有了随时以用户名义在任何文件上伪造签名的能力。

因此，从法律意义上说，基于这种事件证书电子签名，由于无法将签名行为与签名人身份建立不可否认的唯一绑定，因而不符合“电子认证”的基本原理，不能表明“签名人对被签名内容的认可”，不具有当事人等同纸质签名的预期法律效果。

事件证书的实用价值

——用于保证被签名数据的防篡改

正如CFCA在其CPS中所言，“使用场景证书对即时业务或者场景业务证据签名后，可证明证据在取证结束后无篡改…”；在北京CA的CPS中虽然没有明确事件证书的具体功能，但其在北京市高级人民法院“（2021）京行终905号”行政判决书中，也明确承认“北京数字认证公司2018年2月为平安科技公司签发…的事件型证书，通过证书签名固化平安科技公司与用户签署电子合同的业务场景信息，证明相关信息的完整性，…使用北京数字认证公司签发的事件型证书实施电子签名的主体是平安科技公司而不是用户。…符合电子签名法第三十四条规定的“电子签名人”，是平安科技…”。

结合前文的分析和上述CA机构的自述，可以得出如下结论：

1、使用事件证书的实际“签名人”并非是“事件证书上记载的证书持有人”，而是提供签名系统的业务方；

2、事件证书上记载的证书持有人仅仅是“名义签名人”，由于实际签名行为并非名义签名人所为，其不是依照《电子签名法》规定“需要对电子签名行为承担法律后果的电子签名人”，使用事件证书签名的电子文件，对名义签名人没有法律约束力；

3、事件证书的主要功能是通过电子签名的技术，保证事件发生场景中相关电子数据的完整性，防止数据产生后被篡改，但对于数据产生的过程以及数据本身是否真实在所不问，因此事件证书的电子签名不具有抗抵赖性。

事件证书的滥用风险

——事件证书的滥用现象及其严重后果

从前文可知，事件证书的主要功能，在于以签名的形式，对事件场景中形成的电子数据进行固定以防止数据被篡改，而不在于保证电子签名的抗抵赖性，因此，事件证书的电子签名本身并非是《电子签名法》意义上“具有法律约束力”的电子签名，而更多地表现为一种技术工具，使用证书签名技术实现电子数据的防篡改功能。

然而实务中，事件证书的实际使用却与此大相径庭，大量的事件证书被直接应用于诸如电子合同等法律文书的签署，且服务提供商公然宣称其具有《电子签名法》意义上的可靠电子签名的效力，这就给用户、名义签名人、签名依赖者，乃至电子认证行业产生了重大误导，同时也给工信部的行业监管带来了负担。

举例来说，前文提及的北京市高级人民法院“（2021）京行终905号”“薛某某”诉“工信部”行政诉讼案就是其中的一个典型案件，在该案中，平安科技公司错误地将北京CA颁发的事件证书用于“银行与薛某某”之间的法律文件签署，而事实上“薛某某”从未向北京CA申请过数字证书，但平安科技公司却以“薛某某”数字证书生成了“薛某某”的电子签名，并基于该电子签名向“薛某某”主张权利；为此“薛某某”将平安科技公司及北京CA的违规做法向工信部进行了投诉，但工信部又未能恰当处理，最终导致“薛某某”向法院提起行政诉讼，被法院判定工信部败诉。除此之外，也还有更多的当事人，通过工信部的监督平台，向工信部反映电子合同SaaS平台擅自签发数字证书的遭遇事件…，这一系列现象直接表明，事件证书的滥用实际上已经是不争的事实。

如同企业印章的公安备案一样，电子认证的本质是将一个“外在标识”与特定的“人”（包括自然人和法人）建立绑定关系，从而获得经权威认证的电子身份证明；对于具有身份识别功能的标准数字证书而言，其颁发流程的严肃程度通常不亚于“居民身份证”，事件证书并非标准的数字证书，其主要作用是防篡改而并非身份识别，因此实务中事件证书的颁发流程比标准数字证书容易得多，但由于从外观上，事件证书与标准数字证书并无区别，这就给事件证书的滥用带来了动机和隐患。

很多CA机构由于片面追求证书的发放数量和市场回报，将事件证书的签发通道公开出售，对事件证书的实际使用放任管控，甚至有意无意地给予配合，使得越来越多的事件证书被错误地当作标准数字证书用于法律文件的签署。电子认证这一原本以“公信力”为根本，以严谨审慎为支撑的行业，成为了“橡皮图章”的刻章单位，罔顾法律风险，俨然成了“认钱不认人”的证书贩卖机构。

事件证书的应用泛滥，已经严重影响到了行业的健康发展。

事件证书风险问题的对策

——解决事件证书滥用问题的几项举措

事件证书作为CA公司一项市场化的证书业务创新，其发展中出现的问题应从CA行业入手进行解决，包括但不限于采取如下措施。

一、主观上充分认知“电子认证”服务的严肃性

“身份”是所有法律行为的基础，电子认证行业之所以存在，就是因为需要一个“可信”的权威机构，能够独立审慎地将一个“外在标识”与“特定对象”的“真实身份”进行认证绑定，从而赋予特定对象一个可靠的电子身份。CA机构虽然以“公司”的形式存在，但却是“社会信用”建设的重要组成部分，电子认证并不仅仅是一项市场化的技术服务，而且承载着对应的公信职能，每一枚数字证书的可靠性程度，都可能会对签名人、签名依赖方及其他相关人的权益产生重大影响，因此，保证数字证书签发过程的严肃性和结果的可靠性，是每一个CA机构的应然之责，《电子签名法》也明确规定“电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验， 并对有关材料进行审查”，“电子认证服务提供者签发的电子签名认证证书应当准确无误”。

但实务中，很多运营行为违背了这样的要求，一些CA公司将法律赋予的身份审核权，有偿转移给其他业务合作方，只要合作方愿意付费，即可实现合作方业务系统与CA系统（RA）层面的对接，CA接到合作方向“特定主体”签发证书的指示，就直接签发证书，不但不去核实该特定主体是否真地提交了证书申请，而且还直接把数字证书交付给合作方而非证书所有人，正是这种做法，使得“业务合作方”成为了实际意义上的“电子认证”提供者，而CA却成为了只管证书签发的“数字证书代工厂”，也使得“业务合作方”实际上获得了以任何人的名义获得CA签发的“数字证书”，进而获得伪造任何人电子签名的能力；前述北京市高级人民法院“（2021）京行终905号”案件中，平安科技公司之所以能够获得“薛某某”的证书，并能够以“薛某某”名义完成电子签名，就是因为这种业务模式造成的结果。

进一步分析产生这种现象的原因，对“电子认证”服务的严肃性认知不足是一个重要因素；

现实的物理世界中，个人和企业的身份由公安机关和工商机关负责认证，单位公章由行政许可的专门刻章机构制作并由公安机关备案，“认证、刻章、备案”构成了物理世界里可靠身份管理的有机整体；本质上，电子认证就是电子世界里身份认证、印章制作与备案的“三位一体”，颁发数字证书如同刻制印章，证书链和公开证书列表如同印章的公安备案，而有效的身份认证是数字证书可靠性的源头，正如公安机关不能将签发身份证时身份核验的职能让渡给其他人一样，CA机构颁发数字证书时，身份认证不但是CA的权利，更是CA的基本义务，因而必须充分认识到可靠身份认证在“电子认证服务”中的关键作用，坚决纠正一些CA因片面追求市场效益，将身份认证的主动性、数字证书的可靠性以及CA行业的权威性，贩卖给业务合作方的错误做法。

二、禁止使用“名义签名人”身份颁发事件证书

根据《电子签名法》三十四条的规定，“电子签名人是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人”，因此，只有“持有证书私钥”的人才可能成为法律意义上的“电子签名人”，而在事件证书的场景中，无论是业务合作方的信息系统直接生成“私钥”或是由业务系统中特定设备生成“私钥”，“私钥”都不可能被“名义签名人”所持有，实际的电子签名人永远只能是业务合作方，因此事件证书颁发给业务合作方或者合作方的设备，才是正当之举，以名义签名人身份颁发证书不但涉嫌违规，而且也容易使用户产生混淆，给行业监管带来负担，更是给合作方的不当使用提供了机会。

三、为事件证书的核验提供专门OCSP证书状态列表

由于事件证书的有效周期短且数量大，同时，事件证书的主要功能在于数据的防篡改，与标准数字证书的抗抵赖性具有显着区别，因此将事件证书的公开证书状态列表，与标准数字证书状态列表进行区分具有一定的必要，如此，既能有效优化证书列表的总体查询性能，又能起到向用户明确告知事件证书属性的作用。

四、公开明示事件证书的功能是防篡改

事件证书在实务中被大量滥用的一个主要原因，就在于事件证书功能上的误导性，虽然一些CA机构在其发布的CPS中明确了事件证书的用途，但并非每一个证书使用者或电子签名依赖者都是行业专家，能够真正理解事件证书与标准数字证书的区别，为了避免事件证书被不当地使用于法律文件的电子签署及其他非防篡改应用场景，有必要在每一枚事件证书的扩展项中明确载明功能仅限于防篡改，并在各种事件证书的产品页面上对其功能的限制性加以说明，从而进一步杜绝事件证书的不当使用。

五、整顿滥用事件证书的业务合作场景

对于已经开展的事件证书业务，有必要按照实际的业务场景进行相应的梳理，对于符合事件证书功能需求的继续沿用，对于存在偷换概念将事件证书用于法律文件签署，有条件转换为使用标准数字证书的，应更改合作模式，不具备转换条件的，应停止事件证书的使用。

10. 电子签名的加密技术

目前国内领先的电子签名平台，其加密技术很先进，甚至获得了商用密码产品销售许可证。其应用具体如下：

1. 多重身份认证程序
个人用户通过绑定身份证、手机号及银行卡等相关信息并验证，确保个人信息真实有效；
企业用户审核企业信息，绑定授权签名者身份信息，确保企业主体信息合法有效。
除此之外，面向所有个人及企业用户提供数字证书验证服务，用户使用权威公正的第三方机构（CA），在进行登录、签署等操作时进行身份识别、杜绝身份冒充。
2. 三万年才能破译的军用密保强度
采用2048位数字及字母的密码组合加密存储用户敏感信息及合同文件，传输过程中，个人隐私及重要商业机密信息将以一堆数字及字母组合呈现，即便被意外截获，坏人也只能得到一堆读不懂的乱码，无法获取用户私密信息。
3. 双重保障文件防止篡改
不可抵赖：采用第三方可信时间戳技术，标注每一份合同签署时间，确保文件签署时间的功利性和不被篡改。
防止篡改：电子文件采用ISOPDF格式，采用RSA等算法进行签名及验证，每一份电子合同文件在签订后就会生成一个固定的数值，一旦被篡改，数值将会出现变化，经过比对即可有效判断文件是否被篡改。
4. 9份副本文件轻松应对突发状况
所有合同均在多重云平台进行存储，能够轻松应对同城、异地、灾备等多元化的储存需求。