干活分享|我们寻到了电子签约平台有意隐藏的

  新闻资讯     |      2024-05-11 18:45

  干活分享|我们寻到了电子签约平台有意隐藏的《中华人民共和国电子签名法》已正式实施 16 周年,明确了“可靠 的电子签名与手写签名或者盖章具有同等的法律效力”,为电子签名 在电子商务、电子政务及其他领域中的应用提供法律依据,极大地改 善了我国电子签名应用环境。

  但目前市面上的电子签约平台众多,是否所有平台提供的电子签名服 务都合法有效?我们带您揭开电子签约平台不为人知的秘密!

  电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份 并表明签名人认可其中内容的数据【《电子签名法》第二条】,而非 电子触摸屏上的手写签名,更非纸面签名的图像化。 通俗的讲,电子签名就是通过加密手段对电子文档进行的电子形式的 签名,起到与手写签名或印章同样的作用的一种形式,并非我们能看 到的书面签名的数字图像。 日常办公中,为了方便使用,通常会将用户的印章(手写签名)图片 与电子签名相结合,成为“可视化的电子签名”。

  简单来讲,可靠的电子签名必须能够确保签名人身份真实可信,确保 签署行为是本人意愿,确保一旦签名数据或文书内容、形式发生改动, 都能够被发现;实现这些“确保”,就能和手写签名或盖章有同等的 法律效力。

  法律虽明确了电子签名的效力,但如何确保电子签名合法有效才是关 键。实际应用中,部分电子签约平台利用大众不了解的细节,隐藏其 违反《电子签名法》的事实,让用户承受了巨大的风险。

  2.签署时电子签名制作数据仅由电子签名人控制 私钥,用于生成签名,也代表承担权利义务的意思表示。私钥是否专 有和独立掌控,对于判断电子签名有效性,有着非常重要的意义! 目前市面上大部分的电子签约平台,采用私钥“云托管”的模式:仅 通过短信验证码,即可在任何设备上登录并完成签名。 这种方式操作简单,体验良好,但却从根本上,违反了“电子签名制 作数据专有和独立控制”的要求!

  基于智能移动终端分散式密钥签名技术(已被几十家手机银行 App 验证),将用户的私钥分散生成和存储于 CA 云服务端与 用 户 手 机 设 备 安 全 区( 无 法 被 导 出 和 复 制 到 其 他 环 境 使 用 ),达 到 U 盾安全级别j9九游。 没 有 客 户 端 私 钥 参 与 ,无 法 完 成 签 名 ,即 任 何 设 备 、任 何 平 台 都 没 有 完 整 的 私 钥 出 现 ,确 保 电 子 签 名 制 作 数 据 属 于 签 名 人 专 有 并 仅由签名人控制。

  作为国内领先的移动电子签名与电子文书往来平台,弹址签发具备 “身份认证、电子签名、意愿确认,到数据安全防护等能力”,真正 符合《电子签名法》与《网络安全法》!

  作为法律认可的移动电子签名与电子文书往来平台,弹址签发在源自文库些 关键点上,是经得住考验的。

  1.针对用户身份核验 弹 址 签 发 打 通 国 家 权 威 身 份 数 据 库( 涵 盖 自 然 人 、企 业 和 非 企 业 机 构 ),分 别 在 用 户 注 册 、登 录 和 签 名 时 设 置 多 重 用 户 身 份 核 验 机制,并由国密级 CA 机构——中国金融认证中心授权颁发数字 证 书( 相 当 于 互 联 网 上 的 “电 子 身 份 证 ”),确 保 数 字 证 书 真 实 可 靠 并 与 持 有 者 真 实 身 份 唯 一 绑 定 ,从 根 源 上 确 保 了 平 台 用 户 的 “实人”身份。 2.针对私钥专有专控

  由此可见,电子签名制作数据是否由电子签名人专有,主要取决于第 三方平台“身份认证”是否精准与 CA 中心是否专业可信。

  小 TIP: 什么是公钥、私钥? 公钥和私钥总是成对出现。公钥可共享,是用户身份的主要标识符;私钥私有, 由用户自己掌握;用公钥加密的数据,只能用与该公钥对应的私钥解密;用私钥 加密的数据,也只能用与该私钥对应的公钥解密,且可保证,即使知道公钥也无 法推导出私钥。

  1.电子签名制作数据用于电子签名时,属于电子签名人专有 所谓电子签名制作数据,是指在电子签名过程中使用的,将电子签名 与电子签名人可靠地联系起来的字符、编码等数据。

  这里就要提到“数字证书”——由电子商务认证中心(CA 中心)签 发的一种电子文档。 数字证书,可理解为“网络身份证”,人们可在网上用它来识别对方 的身份;另一方面,通过数字证书,可有效的将电子签名和电子签名 人联系起来。

  众所周知,短信攻击门槛低,容易被截获,基于短信验证码调取用户 私钥,非常容易发生私钥泄漏导致文件被冒签。

  同时,由于这些平台完全掌握了用户的私钥,等同于拥有了用户的公 章!即这些平台本身,也是有条件冒充用户完成签名的,很难自证清 白!

  电子签名安全可靠的前提,是真实的身份与安全的私钥控制,电子签 名才能等同于用户对于重大权利义务的认可,离开了这个前提,虚假 的身份、第三方托管的私钥签约速度再快,也不会带来实际权利义务 的承担。

  《电子签名法》第十三条规定: 电子签名同时符合下列条件的,视为可靠的电子签名: (一)电子签名制作数据用于电子签名时,属于电子签名人专有; (二)签署时电子签名制作数据仅由电子签名人控制; (三)签署后对电子签名的任何改动能够被发现; (四)签署后对数据电文内容和形式的任何改动能够被发现。

  大部分平台通过验证姓名、手机号、身份证号并结合人脸识别,可做 到对自然人的“实人认证”。但仅在注册时严格把关,依然无法确保 签名者的真实身份!一旦遇到手机遗失、被盗等情况,极易被不法分 子登录并假冒签署,引发纠纷。 而对于企业与非企业机构的认证,绝大部分服务商,缺少统一、权威 的数据源,无法获取实时的企业数据,尤其是非企业机构的信息,也 缺乏法定代表人/负责人等的身份证号码数据。因此,在认证环节上 存在漏洞,难以达到确定真实主体的目的。 另一方面,当前市场存在很多诸如自建 CA 的问题,使用这类 CA 机 构签发的数字证书,极易导致法律效力缺陷,签名不被认可。

  3.针对签名内容验真 通 过 弹 址 签 发 系 统 签 发 的 电 子 文 书 ,将 被 赋 予 文 件 二 维 码 ,可 通 过扫码或输码的方式在线验真,直观辨别证书真伪; 同 时 ,弹 址 签 发 还 提 供“ 哈 希 校 验 ”、“ 文 件 验 签 ”等 多 种 验 真 方式,用户可在线便捷验证电子文书签名与内容真伪。