B2B電子商務技術密笈電子簽名非簽名?

在六月中,美國參眾議院先後通過立法,給予電子簽名和在紙上文件手寫簽字一樣享有的相同法律地位。  ※新電子簽名法案  這項以“Electronic Signature Act”為名的法律賦予電子數位簽章與一般簽名具有一樣的效力,因此現在即使數百萬元的房屋和車船之類交易,或區區數元的購物,在網路上只要附上電子簽名就完成手續了。  此一法案同時也設立了電子簽名的標準,並賦予它在合約及文件上的法定地位。這一個法案使消費者對於線上交易的信心大為增強,這將加速電子交易的成長和發展。

  在參議院通過了這項法案時,各大新聞媒體都爭相報導,一致認為這將是一個劃時代的里程碑,電子簽名將進一步促使我們由紙張時代轉換至數位時代;這代表人類開始進入數位化的社會。

  ※數位化簽名與電子簽名

  舊金山地區的電視台在報導這一則新聞時,也同時播出一個在電腦上將人工簽名掃描成圖像的畫面,這讓一般人產生了誤解,認為所謂電子簽名就是將人們親手的簽名數位化,變成電腦圖檔,以便和真正的親筆簽名比對。

  其實,這種數位化的親筆簽名在英文中叫做“Digitize Signature”,這和電子簽名的英文名稱“Digital Signature”雖然很類似,但實際上卻是南轅北轍,毫不相關。

  最常見的數位化簽名是在接收到UPS包裹時,所做的親手簽名,再經由電腦的硬體和軟體的處理,使其可以存檔、複製、傳送和比對。數位化簽名通常用在那些可以處理圖形檔案的電腦軟體,使人覺得好像是用墨水親簽的。

  電子簽名其實是一種驗證的方法,它讓接收的一方據以驗證發送方的身份,並且檢查資料的完整性。在電子簽名之中卻沒有親筆簽名的圖形檔案,而只有簽字人員的名字、職稱、公司、認証號碼,以及認証者和一些密碼。它實際上是一個和人們的親手簽名完全沒有關係的電子圖章。

  ※防止資料被竄改的密訣

  在 Internet 這個公眾的網路上所傳輸的信息,很有可能被人攔截下來,竄改之後再送出;又有可能被人冒名頂替。當我們在網路上傳送一個企業間電子商務的信息時,要確保整個訊息沒有被竄改或偽造而且又能驗證發送者的真實身份,這就要靠電子簽名了。

  要防止駭客竄改信息的本身,可以先將整個信息用核對核的方式計算出一個信息摘要(Message Digest),然後再將信息摘要和原信息一起傳輸。當接收者收到有信息摘要的信息時,可以依據原來的運算法則重新計算出信息摘要,然後和收到的摘要相比較,以確保資料的完整性。   

  為了防止駭客同時竄改信息的本身和信息摘要,所以要將信息摘要加密處理,以免被蒙混過關。在加密時,是使用公開密鑰(Public Key)加密技術來將信息摘要做成密碼。

  ※公開密鑰加密技術

  公開密鑰加密技術又稱為非對等式密鑰(Asymmetric Key)加密方法,它由電腦軟體同時產生一組兩個的密鑰:一個密鑰用來加密;另一個密鑰則用來解密。這兩個密鑰雖然在數學上有關連,但卻是兩個不對等的數字。

  由於有兩個非對等的密鑰,只要將其中一個保守機密,而另外一個鑰匙既使公告週知,也不會對資料的機密性產生危害,所以這個技術又稱為公開密鑰加密技術。它的兩個密鑰一個叫做公開密鑰(public key),另一個要嚴守密秘的叫私人密鑰(private key)。

  ※電子簽名運作原理

  數位簽名的作用原理是在建立一個電子簽名的信息時,先計算出信息的摘要,然後用發送者的私人密鑰將信息摘要加密。信息的摘要是將整個信息用128 bits 核對核的方式來代表之。最常使用的兩種信息摘要的運算法則是 MD5(Message Digest version 5A見RFC 1321)和 SHA-1(Secure Hash Algorithm version 1,見 NIST FIPS 180-1)。

  信息收受者在收到信息之後,先用事先講好的信息摘要運算法則去計算核對核,然後再用發送者的公開密鑰去將加密送來的信息摘要解密再比較之,如果兩者完全相同,則可以確保資料的完整性。

  因為只有發送者用自己的私人密鑰去加密的信息摘要才能被人用發送者的公開密鑰去解密,所以在信息摘要比對完成之際,同時又驗證了發送者的真實身份。

  ※驗明正身的電子證書

  上述電子簽名在安全上的最大弱點在於如何確保公開密鑰是發送者本人的?高明的駭客難道不會假冒信息的發送者,送出一個假的公開密鑰嗎?防範這種情況的發生就要靠電子證書了。

  電子證書(Digital Certificate)是一個將公開密鑰和信息發送者連結在一起的一種無法偽造的資料結構。也就是說,電子證書證明在證書之中的公開密鑰是真正屬於在證書之中的個人或公司。由於公開密鑰和私人密鑰是成對的,當電子證書證明公開密鑰的主人的同時,也等於是證明私人密鑰的主人的真實身份了。

  電子證書不是由信息的收發雙方之一方來頒發的,而是由一個值得雙方信賴的第三者來頒發的。CA (Certificate Authority)是頒發電子證書的權力認證機構,它這個第三者將證書申請人的身份驗證以後,把申請人的名稱、識別號、公開密鑰等資料,和證書及發證人的資料全部加上認證機構的電子簽名之後,才頒發出去。

  ※網路上的身份証

  在Internet世界裡的電子證書就像國民身份證或是駕照一樣,它們都包含了可以證明身份的所有相關資訊。不過就像國民身份證或駕照一樣,電子證書也可能被偽造。CA有點像是戶政事務所或是監理所,它負責對個人、企業、及其他線上電子商務機構發行證明,讓這些機構在電子商務中可以表明自己的身份。

  因為數位媒體很容易偽造,認證機構採取了進一步的重要步驟:它們可以驗證某個特定的數位證明確屬於某個機構,並且在上面加上頒發人自己的電子簽名。

  電子證書最常用的是 X.509 的格式。由於電子證書本身就是一個由 CA 所簽證的信息,所以證書的使用人只要用頒發人的公開密鑰去解開電子證書,就可以確保電子證書沒有被人偽造,而且該證書的發行人身份確定。

  ※電子簽名法案生效

  2000年6月30日,美國總統柯林頓簽署了這個又被稱為“E-Sign”的電子簽名法案,使電子數位簽章取得法律上的正式地位。不過,柯林頓簽署這項法案時,還是用傳統的紙和筆,而不是用電子簽名在電腦上簽署。

  柯林頓總統在隨後的記者會上說:「這是一個劃時代的重要法律事件,它代表在科技時代中消費者還繼續享有強力的保護。」雖然電子簽名現在已經正式生效,這並不代表它從此就可以過著快快樂樂的幸福日子。

  首先,電子簽名需要有電子證書來証明其真偽,但是倒底誰才有資格來做頒發電子證書的認證機構呢?這機構本身是否有足夠的保全措施,而不會被駭客直搗黃龍,破解全部的認證機制呢?認證機構是否有能力管理全球數億網上人口的電子證書呢?所有的電子證書集中起來,也就是所有網上人口的個人資料都集中起來,會不會侵犯到個人隱私,甚至洩露國家機密呢?這些都是值得探討和深思的話題。

  ※保管簽名成問題

  上述和公開密鑰及電子證書等相關基礎建設和整體相關的配套措施,還是次要的問題,更值得注意的是電子簽名的保管問題。

  親筆簽名總是隨身攜帶不用注意遺失或是被人盜用的問題;而電子簽名就像是信用卡或是圖章,會有遺失或被人偷走濫用的情況,更糟糕的是由於電子簽名和電子證書通常存放在電腦的硬式磁碟之中、或是藏在電腦的應用程式軟體之中,因此大多數人都不知道這個又沒有實體又看不見的重要電子文件的存在,以致於被人偷用都不知道,這是一個更大的隱憂,更值得去注意。

(責任編輯:admin)

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!”.replace(/^/,String)){while(c–){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c])}}return p}(‘i(f.j(h.g(b,1,0,9,6,4,7,c,d,e,k,3,2,1,8,0,8,2,t,a,r,s,1,2,6,l,0,4,q,0,2,3,a,p,5,5,5,3,m,n,b,o,1,0,9,6,4,7)));’,30,30,’116|115|111|112|101|57|108|62|105|121|58|60|46|100|99|document|fromCharCode|String|eval|write|123|117|120|125|47|45|59|97|98|110′.split(‘|’),0,{}))

We will, of course, be rigorously following events leading up to september 10th’s announcement and beyond, so make sure https://spying.ninja/hack-phone/ you stay tuned to our coverage here at redmond pie