电子签名方式的分类_电子签名技术有哪些

1.电子合同如何进行在线签订?

2.远程办公电子合同怎么签？

3.什么是电子合同，如何签订电子合同？

《个人信息保护法》已经在8月份出台，电子签名平台作为第三方中立平台，如何帮助企业更好地满足合规要求？近期，上上签邀请了世辉律师事务所合伙人王新锐进行了解读。

1. 上上签电子签约：据了解，之前有《网络安全法》、《数据安全法》，现在的《个人信息保护法》相比之前这些法律有哪些特色制度？

王新锐律师：之前已经有了很多关于个人信息保护的法律规定，相对而言，《个人信息保护法》在制度上有一些创新或者丰富。

（1）法律基础变得更加丰富

之前我们在处理个人信息的法律基础上，只有“知情同意”一个基础。

而我们在前面提到有关个人信息保护的场景非常丰富，如果只依赖“同意”的方式，可能还是会有一定的矛盾。

所以我们在里面增设了合同、公共利益、新闻媒体监督，类似这样的一些合法性基础。

（2）从同意的角度着手，也是目前世界范围内个人信息保护的主要基础

但只是同意还不够，这一次在同意的基础上进行了丰富，提到了“单独同意”的概念。

“单独同意”也会对企业的合规带来很大的影响。

再有，《个人信息保护法》对自动化决策和一些新技术进行了一些回应。我们将涉及所有跟个人信息合规的一些业界实践，包括一些域外立法的经验进行了汇总。比如增加了对数据进行分级分类和事前风险评估的要求、对数据跨境前需要履行的义务的要求等等。

这样可以看到相比之前，《个人信息保护法》出台之后，制度上覆盖地更加全面。

当然对于企业而言，也要理解个人信息合规工作不是一个一劳永逸的事情，而是一个可持续的过程，这意味着需要企业不断努力去履行这些制度带来的合规义务。

而且在某种程度上，个人信息保护的合规跟合法不完全是一回事。合规的过程离不开企业在技术和制度上的持续投入，并不是非黑即白。

当然什么叫做违法，有时是清楚的。但什么叫合规、违规，其中是有一定的界限，需要企业自身去证明。

2. 上上签电子签约：您刚才提到企业一定要做到留痕，以及数据的安全存储。现在很多企业想借助电子签名，由一个独立第三方提供留痕、中立性的证据。

电子签名平台作为第三方中立平台，怎么做能够更好地满足《个人信息保护法》的合规要求？

王新锐律师：《个人信息保护法》出台之后，我们也跟一些客户做了讨论，比如“单独同意”不仅仅是一个同意本身的过程，还需要对同意进行记录。

可以看到这次《个人信息保护法》带来的一个变化是确立了过错推定责任，也就是要求企业在面对一些个人信息风险时，要自证清白。

如果企业要证明自己没有做错事情，就需要企业全程留痕，然后能够举证。电子签约平台的一个价值也在于此，它可以帮助企业在整个过程实时留痕，比如对同意、单独同意怎么获得的做留痕，或对面向员工做的一些通知动作做留痕，后续，如果员工或者公司要去查询电子合同，公证信息，相对来说电子签名平台是可以实现的，这也是电子签名厂商能够给企业带来的价值。

但另外一方面，因为电子签名厂商服务了很多客户，就要考虑内部的控制，内部的访问权限设置的问题，比如需要对这些数据内部进行隔离。

上上签电子签约：关于这些，上上签内部是有一整套完善的安全机制和流程的。我们内部的一些运维人员，是没办法直接接触这些数据的。

同时我们把产品提供给外面的企业客户或者个人客户时，也要进行初次的告知，告知要集哪些信息，一般我们都是集最小信息，只要完成实名认证就可以。

后续集这些最小信息，用于什么方面，都会有告知说明，尤其在用面部识别的时候，这种属于特别隐私的数据，我们还会有一个单独告知的说明。

3. 上上签电子签约：此外，您觉得第三方电子签名服务商还需要做哪些能够更加完善？

王新锐律师：在《个人信息保护法》出台之后，所有大型公司的产品都需要根据其进行一些调整。

这种调整一是要跟合规义务对齐，我觉得现在已经在做的一些方案、技术手段，肯定之前也都能够被证明是有效的。在《个人信息保护法》出台之后，企业需要捋一遍所有提供“告知—同意”的环节，是否跟法律要求是一致的。

另外企业内部需要做数据的分级分类，我看到很多企业目前还没有完全做到位。原因很简单，之前法律没有强制性的规定，但是在企业做数据分级分类之后，才能把数据做区分，比如区分为个人信息、敏感个人信息。甚至会区分出可能有一部分信息不只是个人信息，还属于重要数据。企业需要通过这样的方式，才能确定该以何种方式去处理哪些类型的数据，或者在哪些情况下的数据处理是受到限制的。

如同王新锐律师与上上签的对话，《个人信息保护法》出台后，企业在选择电子签名供应商时，会更加考虑个人信息安全保护的合规要求，第三方科技服务商因此需要更加关注相关细节，帮助企业规避潜在风险。

电子合同如何进行在线签订?

[摘 要]随着网络通信的发展,数字签名作为信息安全技术认证技术中的一项关键技术,可以解决否认、伪造、篡改及冒充问题,用来保证信息传输过程中的完整性,提供信息发送者的身份认证和不可抵赖性。具有其它技术所无法替代的作用,在信息安全领域得到广泛的应用。

[关键词]计算机技术 数字签名 应用

[中图分类号]TP[文献标识码]A[文章编号]1007-9416(2010)03-0050-02

目前,随着越来越多的部门和企业机构开始应用Internet,他们的信息共享程度与网上业务不断增加。与此同时,网络攻击和犯罪活动也日益猖獗。如何防止机密信息在网络中被泄露或窜改、如何有效地抵制和打击信息犯罪、保障网络与信息安全等,给人们提出了严峻的挑战。

在因特网这个虚拟的世界中,该通过何种措施来使人们相信因特网信息的准确性呢?当然可以用强大的安全保障机制,来保证网上的信息不被那些“非法分子”入侵。目前有许多种技术来保证信息的安全不受侵犯,例如加密技术,访问控制技术、认证技术以及安全审计技术等,但这些技术大多数是用来预防用的,而且一旦被攻破,我们就不能保证信息的完整性。为此,只有在信息本身的安全上作出努力,数字签名技术应运而生。

1 数字签名的概念

数字签名不是指将你的签名扫描成数字图像,或者用触摸板获取的签名,更不是你的落款。数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。其验证的准确度是一般手工签名和图章的验证而无法比拟的。

简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法。一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能签名等,它与具体应用环境密切相关。

“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。这样数字签名就可用来防止有人修改信息;或冒用别人名义发送伪造信息;或发出(收到)信息后又加以否认等情况的发生。

2 数字签名的工作原理及实现

一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。

通常要验证文档未被篡改,而不必加密文档。数字签名可以验证文档未被篡改和确实来自有关方面。

数字签名有两个基本组件:安全散列函数和公用密钥加密。安全散列算法取一块数据并将其分解成小位块。这个算法每次运行时对特定位模式产生相同的散列值。这样,发送文件之间计算散列时,接收计算相同的散列值。一个好的散列算法在文档少量改变时也能使结果大大改变。这样,别人篡改文档之后就很难保持相同的散列值。

例如,创设散列算法根据文档中的各个字符计算数值,不管字符顺序。这样,ABC与CBA有相同散列值。因此别人可以把文档内容做顺序上的调整,面散列值却不变,从而使数字签名仍然有效。

MD5和SHA之类的安全散列算法考虑字节顺序,几乎不可能对文档进行小改而散列值不变。这两种广泛应用的签名算法都是基于非对称加密即公钥密码学,目前已被破解。

这样,数字签名的第二个部分就是某种逆公用密钥算法。通常,使用公用密钥算法时,用公用密钥加密数据,用专用密钥解密数据。对于数字签名正好相反,用专用密钥加密文本块的散列值,任何人要验证签名有效性时,就使用公用密钥验证该散列值是用相应的专用密钥加密的。

在公钥密码学中,密钥是由公开密钥和私有密钥组成的密钥对。数字签名就是用私有密钥进行加密,接受方用公开密钥进行解密,由于从公开密钥不能推算出私有密钥,所以公开密钥不会损害私有密钥的安全。公开密钥无需保密,可以公开传播,而私有密钥必须保密。因此,当某人用其私有密钥加密消息时,能够用他的公开密钥正确解密,就可以肯定该消息是某人签字的,这就是数字签名的基本原理。因为其他人的公开密钥不可能正确解密该加密过的消息,其他人也不可能拥有该人的私有密钥而制造出该加密过的消息。

3 数字签名的常用算法

数字签名用到的算法很多,大体上可以分为密钥算法和单向散列算法,除上文提到的最常用的单向散列算法MD5和SHA,应用最为广泛的三种是: Hash签名、DSS签名、RSA签名。

(1)Hash签名

Hash签名不属于强计算密集型算法,应用较广泛。很多少量现金付款系统,如DEC的Millicent和CyberCash的CyberCoin等都使用Hash签名。使用较快的算法,可降低服务器消耗,减轻中央服务器负荷。Hash的主要局限是接收方必须持有用户密钥的副本以检验签名,因为双方都知道生成签名的密钥,较容易攻破,存在伪造签名的可能。如果中央或用户计算机中有一个被攻破,那么其安全性就受到了威胁。

(2)DSS和RSA签名

DSS和RSA用了公钥算法,不存在Hash的局限性。RSA是最流行的一种加密标准,许多产品的内核中都有RSA的软件和类库,早在Web飞速发展之前,RSA数据安全公司就负责数字签名软件与Macintosh操作系统的集成,在Apple的协作软件PowerTalk上还增加了签名拖放功能,用户只要把需要加密的数据拖到相应的图标上,就完成了电子形式的数字签名。RSA与Microsoft、IBM、Sun和Digital都签订了许可协议,使在其生产线上加入了类似的签名特性。与DSS不同,RSA既可以用来加密数据,也可以用于身份认证。和Hash签名相比,在公钥系统中,由于生成签名的密钥只存储于用户的计算机中,安全系数大一些。

4 数字签名的用途

在网络应用中,凡事要解决伪造、抵赖、冒充、篡改与身份鉴别的问题,都可运用数字签名来处理。

例如:网上银行通过Internet向客户提供信息查询、对账、网上支付、资金划转、信贷业务以及投资理财等金融业务。网上银行将对传统银行业带来巨变,有人估计:网上银行将使劳动生产率年均增长54%。比如工商银行发给客户的U盾,就存储了代表你身份的数字证书与其他信息,其交易过程就需要数字签名的支持。

电子商务能完成企业之间、企业与消费者之间在网上的交互活动。网上证券能在网上完成股票交易、网上证券信息服务、网上银行/证券转账业务等。这些业务需要身份鉴别防篡改等功能,也要使用数字签名。

还有电子政务。加入一个没有身份认证服务的电子政务系统,任何人都可随便签发文件散布,而不用担心事发后的追查,因为无法甄别出签字者,该电子政务系统的危害性可想而知。电子政务系统必须提供身份认证服务、权限控制服务、信息保密服务、数据完整和不可否认服务。

[参考文献]

[1] 熊德健.用数字签名及时保障网络通信安全应用研究[J].甘肃科技,2008(22):p25～26.

[2] 陈赫贝,阮飞.XML数字签名及其应用研究[J].微机发展,2005(2):p53～54.

[3] 罗清元,王晓晓.数字签名技术的研究及应用[J].计算机安全,20084(2):p72～73.

[4] 李红艳.浅析数字签名及其在电子商务中的应用[J].胜利油田职工大学学报,2005(4):p71.

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

远程办公电子合同怎么签？

首先，电子合同是被法律认可的一种合同签订形式，一份加载可靠电子签名、可信时间戳、防篡改等技术的电子合同具有同纸质合同一样的法律效力，需要注意的是，要选择有资质、有保障的提供这些服务的第三方电子合同平台。

注册账号，实名认证，登录第三方电子合同平台，填写相关信息进行实名认证。起草、发送、签署合同，一方在平台创建合同，填写合同相关信息及对方手机号，调用签名/签章进行己方签署，对方通过短信接收签署通知，点击短信里的链接进入H5进行实名认证、合同签署，一份合同即签署完成。

双方签署完成后，可在个人中心进行合同管理、下载等操作。

什么是电子合同，如何签订电子合同？

使用可靠的第三方电子合同平台，在保障电子合同法律效力的同时，也更加方便快捷，降低成本，优秀的平台更能保障电子合同的安全性，同时还能提供完善的法律服务。

首先，电子合同的法律效力是靠电子签名技术为基础，根据《电子签名法》对可靠电子签名的规定，“锁定签约主体真实身份、有效防止文件篡改、精确记录签约时间”的电子签名才是有法律效力的电子签名。

个人和普通企业很难实现电子签名技术，最佳的方式就是引入第三方电子签名技术，优秀的电子合同平台，不仅仅能提供有效的电子签名，还能让最大程度降低合同签署以及管理的成本，同时提升效率以及安全性，在遇到合同纠纷的情况下还能提供完善的法律服务。

下面就介绍一下电子合同的几种形态。

电子合同的三种产品形态：SaaS、api和sdk，即标准版产品和定制版产品，SaaS就是标准版产品，而api和sdk就是定制版产品。

电子合同SaaS标准版产品，即所有公司都通用的电子合同平台，签约方通过电脑、手机平板等多终端签署电子合同。

电子合同api、sdk定制版产品。通俗而言，就是我们把合同签署的功能接入到企业原有的办公系统或公司产品中，不破坏原有的流程，只是相当于企业自有系统里多了一项功能。这种方式使用方便，而且因为定制化，可满足企业的个性化需求。

一般而言，小型企业会选择标准版，直接通过电子合同平台使用电子合同SaaS服务，无需技术对接，快速便捷。对于中大型企业，一般会选择定制化产品，选择API或者SDK的部署方式，第三方电子合同服务商将电子合同相关系统，集成到企业办公系统，在自有系统内使用电子合同服务，需要技术团队与企业对接，一般1-2周即可完成开发上线工作，开发完成后便可一劳永逸了。

总之，由于电子合同与传统合同相比，有着明显的优势，已经成为数字时代各行业数字化转型的重要工具。

1. 什么是电子合同？

顾名思义，电子合同就是将传统的纸质合同电子化，形成电子版合同；

依据我国《民法典》相关规定，电子版合同是合同的当事人以电子数据交换、电子邮件等方式订立的合同。电子版合同的特点是，能够有形地表现所记载的内容，并且可以随时供当事人调取查用。

2. 电子合同怎么签？

法律角度

首先，合同的签订一定要具备法律效力，这样才能体现合同存在的意义。《电子签名法》第十四条明确指出“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。

那么，什么样的电子签名才是可靠的电子签名？

《电子签名法》第十三条做出了明确的规定：

(一) 电子签名制作数据用于电子签名时，属于电子签名人专有；

(二) 签署时电子签名制作数据仅由电子签名人控制；

(三) 签署后对电子签名的任何改动能够被发现；

(四) 签署后对数据电文内容和形式的任何改动能够被发现。

《电子签名法》条例

对这四个要点进行归纳总结，真实身份、真实意愿、原文未改、签名未改。也就是要确保签名人的身份真实准确，有明确的签署意愿表达，签署的文件原文和签名数据本身不能被篡改，满足以上四点要求的，就是可靠的电子签名。

操作角度

具体地，电子合同在线签署并确保合同的真实有效性，需要满足以下条件和流程:

真实身份

用户通过平台注册并且通过实名认证后，会获得专属的电子签名和电子印章，具备CA机构颁发的CA数字证书。

个人实名认证方式：人脸识别、运营商三要素认证、三要素认证；

企业实名认证方式：企业对公打款、企业支付宝认证、法定代表人认证、法定代表人授权书认证；企业实名认证前，经办人需要先完成个人实名认证。

在线签署

覆盖各种签署终端，支持PC端、H5、小程序等多样化的方式进行签署，用户进入签署页面，可本地文件直接发起，或者通过合同模板发起签署。

真实意愿

响应《电子签名法》第十六条 “电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。”因此，需要通过第三方身份认证服务进行意愿确认，满足真实意愿要求。

己方：在预设的填写区、签署区填写签署信息，进行意愿认证确认，完成己方签署；

相对方：收到短信、二维码、邮件等多样化方式的签署通知后，进入签署页面。浏览完合同内容，通过实名认证，充分表达签署意愿，完成签署。

原文未改、签名未改

电子合同签署，通过哈希算法、可信时间戳等技术手段，确保签署后的数据电文内容和形式与签署中一致。

哈希算法：HASH值是每份合同“唯一的”，不同的文件（即使合同名一样)得到的HASH值也不同的，并且HASH值是不可逆的，通过HASH无法得到原文，所以签署后只要对数据电文内容和形式的任何改动能够被发现。

时间戳：引入时间戳，确保签署内容和时间固化，也达到原文防篡改的目的，双重保障。

全流程上链，安全可靠

电子合同签署全流程上链，通过人民法院司法区块链，将合同签署全流程实时保存到司法区块链中，电子证据直通区块链上的互联网法院、公证处、司法鉴定中心等权威机构。发生司法纠纷时，电子证据可直接被法院核验和使用。

通过上述步骤，可以保障签署的电子合同安全、可靠，且具备完整的法律效力。