签电子合同时电子签名是怎么保证安全的？

签电子合同时电子签名是怎么保证安全的？~

简单来说，电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性，使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。
在电子签名相关技术中，最核心的就是数字证书，那么数字证书究竟是什么？
数字证书是CA机构签发的一段身份凭证数据，其中包含了三部分：公钥，私钥，相关身份信息，可使用其进行数字签名。这其中最重要的部分是公钥和私钥，这样是一对基于非对称算法的密钥，具有以下特性：
1. 具有加解密能力：和对称加密一样，具有对数据加密的能力，整个加解密过程中有两把钥匙参与。
2. 两把钥匙唯一对应：一把钥匙叫公钥，一把钥匙叫私钥，每一对公私钥都是唯一对应的，目前的计算机能力也很难破解。
3. 公加私解&私加公解：公钥加密的数据只能通过对应的私钥解密。私钥加密的数据只能通过对应的公钥解密，自身不能独立加解密
4. 公钥公开&私钥私有：公钥是用来公开在网络上的，都可以通过技术手段获取。私钥独立保存，不能被他人获取。
5. 表明身份：公钥是可以标记持有者身份的，能够通过确认身份的公钥解密的文件，可以判断出加密来源。
在电子签名技术应用中，整个加解密过程如下：

一份有效的电子合同是必须采用电子签名的。
我们结合《电子签名法》以及《合同法》，可简单的理解满足以下条件的电子合同，为“有效的电子合同”：
1、 数据电文原件，能够可靠地保持内容完整、防篡改，满足法律规定的原件形式及文件保存要求；
2、 电子签名，能够标识签署人、签署时间，防篡改，满足法律规定的有效电子签名要求；
3、 身份经过第三方有效认证，满足法律规定的认证要求；
作为保障电子合同有效性的重要标准之一，《电子签名法》第二条对电子签名法做出明确定义：本法所指电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
但是，由于普通个人或企业用户实现上述条件过程繁琐且成本高，与电子化签署提速降本的初衷相悖，因此，普通用户只需选择可靠的第三方电子合同订立系统即可签署有效的电子合同。这也符合商务部在《电子合同在线订立流程规范》的规定：“通过第三方（电子合同服务提供商）的电子合同订立系统中订立电子合同，才能保证其过程的公正性和结果的有效性”。

简单来说，电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性，使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。

但是，通过上述技术名词解释并不能直观、易懂的说明电子签名的原理，以下是通过还原电子签名签署的过程简介电子签名是如何保证安全保密的：

场景：由于业务需要，你和我需要签署一份合作协议。为方便起见，你将拟好的电子版合同文本在线发送给我签署。

怎样确保合同只有我可查看且不被他人恶意窃取？我又怎样才能确定文件的发送人就是你呢？

关键点1：公钥私钥登场

为了满足电子合同内容保密性和发送人认证的要求，我们了解到非对称加密的加密方式。

非对称加密：具有唯一对应的一对秘钥，一个公钥一个私钥，公钥所有人可见，而私钥仅自己可见。

非对称加密具有这样的特性：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。

发送合同时，你将拟好的电子合同使用自己的私钥加密后发送；接收合同时，如果能够使用你的公钥解密，则说明这份文件就是你发送的。

但是，我怎么才能知道你的公钥呢？

关键点2：政府出了个CA来帮忙

我了解到，政府授权了一个权威机构叫CA，可以提供网络身份认证的服务。

CA (Certificate Authority) ：全称证书管理机构，即数字证书的申请、签发及管理机关。其主要功能为： 产生密钥对、生成数字证书、分发密钥、密钥管理等。

数字证书：是由CA机构颁发的证明，它包含公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息，可以通俗为理解个人或企业在“网络身份证”。

我向CA机构申请获取你的公钥，使用它对电子合同解密，解密成功则说明发送人就是你。文件发送人的身份确认了，那怎么保障电子合同传输过程中未被篡改呢？

关键点3：哈希兄弟出场

有技术人员推荐了哈希算法（摘要算法），可以证明电子合同传输过程中是否被篡改。

哈希算法：通过加密算法将文本内容生成为一段代码，即信息摘要，其主要特征是加密过程不需要密钥，经加密的数据无法被反向还原。也就是说，只有两份完全相同的合同经过相同的哈希算法才能得到相同的摘要。

发送合同时，你将电子合同原文和经哈希运算的摘要一起发送给我接收合同时，通过对合同原文进行同样的哈希运算得到新的摘要，对比两组摘要是否一致即可证明我接收的文件是否被篡改

但是，如果传输过程中文件原文与摘要同时被替换了怎么办？

关键点4：对称加密来帮忙

除了上述的哈希算法、非对称加密、CA，为确保合同由发送到接收满足三个要求，即：由你发送、只能发给我、不能被篡改，我们还需要应用新的加密方式：对称加密。

对称加密：采用单钥密码系统的加密方法，信息的加密和解密只能使用同一个密码。

发送文件时：

1、你通过哈希运算得到原文摘要并使用私钥对其加密，得到你的数字签名，再将数字签名和合同原文进行对称加密，得到密文A——对原文加密

2、再通过CA获得我的公钥，对上述步骤中对称加密的秘钥进行非对称加密，即我的“数字信封”——对秘钥加密

3、将密文A和我的数字信封一起发送给我

数字签名：用哈希算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。

数字信封：用接收方的公钥加密对称秘钥”，这就叫“给乙的数字信封。

接收文件时：

1、我使用自己的私钥解密数字信封得到对称秘钥——能解开，说明是发给我的

2、再使用对称秘钥解密密文A，得到带有你的数字签名的原文

3、使用你的公钥解密你的数字签名，得到签名中的原文摘要——能解开，说明发送者是你

4、使用相同的摘要算法获取原文摘要并与解密签名中的摘要对比——摘要一致，则说明原文没有被篡改

除了文件内容不可篡改，精确记录签署时间固定合同生效期限也十分重要，网络环境中怎样怎么确保合同签署时间不可篡改呢？

关键点5：时间戳来证明

我又请教了专家，原来我们国家还有专门确定时间的法定授时中心，它可以在我们签署的文件上加盖“时间印迹”，即时间戳。

时间戳（time-stamp）：书面签署文件的时间是由签署人自己写上，而数字时间戳则由第三方认证单位（DTS）添加，以DTS收到文件的时间为依据，更精准、更有公信力。

至此，我们签合同的时间精准记录、合同内容不可篡改、双方身份也真实有效，这下没问题了！但是，签署完的电子合同怎么存储呢？不管是哪一方签署，日后产生纠纷都难免对合同存储期间的安全性产生质疑。

关键点6：找个权威第三方来存证

听说有专门的第三方电子数据存证机构，可以保存已签署的电子合同数据，当用户双方对合同内容产生争议时可申请出具具有公信力的证明。

合同签署的最后一个问题：存储问题也解决了！但唯一不足之处就是：签署过程太麻烦！为保障电子合同有效性，我们用到了非对称加密、哈希运算、时间戳等技术，还要CA机构、公证处等机构协助；

怎样更简单快捷地签一份有效的电子合同呢？

关键点7：选择可靠的第三方电子合同平台

根据《电子签名法》规定，使用可靠的电子签名签署的电子合同具备与手写签字或盖章的纸质合同同等的法律效力。

根据《电子签名法》规定，符合下列条件的，视为可靠的电子签名：

1）电子签名制作数据用于电子签名时，属于电子签名人专有

2）签署时电子签名制作数据仅由电子签名人控制

3）签署后对电子签名的任何改动能够被发现

4）签署后对数据电文内容和形式的任何改动能够被发现

结合上述电子合同签署过程，我们可归纳总结有效的电子合同应关注以下几个核心点：内容保密性、内容防篡改、明确签订身份、明确签订时间。

同时，为保障电子合同作为书面形式的证据能力，合同签署全程还应当由权威第三方机构存储公证。

商务部在《电子合同在线订立流程规范》指出：“通过第三方（电子合同服务提供商）的电子合同订立系统中订立电子合同，才能保证其过程的公正性和结果的有效性”。

《电子签名法》第13、14条规定：电子签名同时符合下列条件的，视为可靠的电子签名：

• 1、电子签名制作数据用于电子签名时，属于电子签名人专有。

解读：针对这一点，网上签合同采取的应对措施：人脸生物科技识别、银行卡要素等多重技术手段实名认证，确保颁发电子签名为专人所有。所以网上签合同的有效性必须包括签约人，签约人身份实名认证，充分保证了签约人是具备相应民事行为能力的自然人且意思表示真实。

• 2、签署时电子签名制作数据仅由电子签名人控制。

解读：网上签合同有效性措施：加密登陆，预留手机随机动态密码确保签署行为为签署人控制。系统下发验证码到电子签名人提供的手机或邮箱，或提供验证码生成器给电子签名人，通过电子签名人回填验证码的方式确保数字证书由电子签名人控制，充分保证了该电子签名人的真实意愿。

• 3、签署后对电子签名的任何改动能够被发现。

解读：网上签合同能做到真实有效，采取的措施：国家权威机构颁发CA证书，并确保证书指纹唯一性型，使篡改无效并可识别签名真实有效性。实际上人们可以否认曾对一个文件签过名，且笔迹鉴定的准确率并非 100%，但却难以否认一个数字签名。因为数字签名的生成需要使用私有密钥，其对应的公开密钥则用以验证签名，再加上目前已有一些方案，如数字证书，就是把一个实体(法律主体)的身份同一个私有密钥和公开密钥对绑定在一起，使得这个主体很难否认数字签名。

• 4、签署后对数据电文内容和形式的任何改动能够被发现。

解读：网上签合同是否安全有效，可以看签署过程中，合同文档是否转换为防篡改PDF，加盖国家授时中心时间戳，并由权威司法鉴定中心、平台双方联合存证，合同真实性可校验。

电子合同是如何保障使用过程中的信息安全呢？
一、电子合同防篡改
众所周知，电子数据本身就具有易丢失和易篡改的特点，那放心签是采用什么办法解决电子合同签署及存证过程中的篡改问题呢？防篡改技术。

放心签电子合同采用国际通用哈希值技术固化原始电子合同文件数据，可识别文件是否被人恶意篡改。
第三方取时技术，也称时间戳。放心签可实现为电子签名添加时间属性，以确认合同生成的时间以及文件内容的不可篡改性。

区块链存证技术。放心签将电子合同与区块链技术深度融合，电子合同的签署时间、签署主体等数字信息一经存储，任何一方都无法篡改，实现电子证据链的防篡改。
通过以上三种技术，放心签可以有效确保合同内容的完整性与可靠性，企业用户们可以放心签署。
二、电子合同防泄密
为确保电子合同不被泄密，放心签对电子合同数据进行多重加密存储。从电子合同签署发送开始，电子合同的传输、存储过程中均采取了高强度加密技术，确保合同文件仅对本人可见，其他人都无法查看到合同内容。放心签作为电子签名行业资质认证完备的电子合同服务商，先后通过了信息系统安全等级保护三级认证、ISO27001信息安全管理体系认证。
相比纸质合同存在的易损坏、丢失、被篡改的痛点，放心签在产品和技术上不断创新，打造了一套完整的电子合同全生态服务，在防篡改、防泄密上采用先进的技术手段，切实保障合同安全性，让企业用户们使用得更加放心。

密信电子合同签署服务仅支持数字方式签署方式，不提供电子方式签署，因为我们认为仅验证合同签署人的邮箱是不够的，特别是对于不见面的网上电子合同签署。密信电子合同签署服务采用数字方式签署，验证每个签署人的真实身份，并自动为每个签署人配置Adobe全球信任和国密合规的双PDF签名证书用于数字签名合同文件。密信文档数字签名服务也仅提供数字方式签名，验证文档签名者真实身份，并自动为每个签名者配置Adobe全球信任和国密合规的双PDF签名证书用于数字签名各种PDF文档。
密信电子签名服务全部采用Adobe全球信任的PDF签名证书用于数字签名和附署Adobe全球信任的时间戳签名，数字签名支持Adobe 签名长期有效(LTV)技术，已保证已签名的文档的签名长期有效。所有完成的电子合同签署和电子文档签名都采用RSA证书和国密证书实现双证书双签名和双时间戳，确保每一份电子合同和电子文档的数字签名全球信任和国密合规。无论是合同签署服务还是文档数字签名服务，每个签名者的真实身份将由权威第三方CA (沃通CA)负责按照国际标准和国家标准完成身份鉴证。不仅签名者身份可信，而且每张用于数字签名的RSA证书含有签名者身份信息是Adobe全球信任的，每张用于数字签名的SM2证书含有签名者身份信息是国密合规的。

电子签名是电子合同的基础和核心，电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。电子签名的应用可保障签署后的电子文件具备法律有效性，同时，使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。

---

温泉县15140583350： 电子合同如何保证安全性? - ？
茅强尼群： 电子合同比传统的纸质合同具有更高的安全性.电子合同的安全性保障主要来自于电子印章技术和数字证书.一方面,电子合同的内容在盖了电子印章后不可更改,而且电子印章不能分拆出来使用.另一方面,数字证书是一个网上的身份证,它可以确保合同的签订方和合同本身是可信任的.此外,电子合同采用了密码验证和在传输过程加密的办法,以保证其安全性.

温泉县15140583350： 电子签名协议书是怎样保障合法有效的? - ？
茅强尼群： 协议书是合同的一种叫法,采用电子签名的协调议书其合法有效性取决于内容的合法性和电子签名的有效性.今天我们说一下什么样的电子签名才会被法律认可.《电子签名法》第十三条规定 “电子签名同时符合下列条件的,视为可靠:1、...

温泉县15140583350： 如何保障电子签名的可信性 - ？
茅强尼群： 《中华人民共和国电子签名法》对此有明确的规定.其中涉及到数据电文的原件形式和可靠的电子签名问题.原件形式是保障内容完整、未被篡改的要件,可靠的电子签名需要同时符合下列条件:(一)电子签名制作数据用于电子签名时,属于...

温泉县15140583350： 电子合同是怎么保障信息安全的?？
茅强尼群： 电子合同数据保护,需要构建全链路、全周期的保护体系.而可靠的第三方平台将从数据链路、结构化数据存储、文件存储、秘钥管理、用户数据权限、用户账户管理、数据审计、运维管理等多个角度,保障用户数据安全.1、 数据链路:可靠...

温泉县15140583350： 电子签名是怎样保证安全有效的? - ？
茅强尼群： 实现电子签名的技术手段很多,如果用户只是单纯使用这一功能,那么直接使用第三方电子签名平台提供的服务就是很好的选择. 以我们为例,有些第三方电子签名平台,拥有以下几项技术,能够锁定签约主体真实身份、有效防止文件篡改、...

温泉县15140583350： 签名是如何保证信息安全的 - ？
茅强尼群： 可靠的电子签名(《中华人民共和国电子签名法》对此有明确定义)需具备防篡改和不可抵赖性,前者可保证数据的一致性、防止数据被篡改,后者可建立有效的责任机制、防止用户否认其行为.那么,纸质合同拍照/扫描后是否可视为电子合同?当然不是.事实上,数字签名不可等同于书面签名的数字图像化,它是通过密码技术对电子文档进行的电子形式签名. 注:电子认证与电子签名一样,都是电子商务中的安全保障机制,是由特定的机构提供的,对电子签名及其签署者的真实性进行验证的服务.(

温泉县15140583350： 电子合同安全性如何保障? - ？
茅强尼群： 在互联网时代,用户通过可靠的电子签名来签署电子合同,即可获得相关的法律保障.CA机构颁发CA证书/eID认证系统:采用国家权威机构颁发的CA证书,确保电子合同签署主体真实身份;防篡改技术:采用国际通用哈希值技术固化原始电子文件数据,轻松识别文件是否被篡改精确记录签约时间.基于《中华人民共和国电子签名法》,通过将传统纸质合同转变成电子合同、将传统手写签名转变为可靠电子签名的方式,使得电子合同与纸质合同具有同等的法律效力.

温泉县15140583350： 电子签名安全可信的依据是什么? - ？
茅强尼群： 电子签名通过“可信任的第三方”,即“认证机构”签发认证证书,将某一公共钥匙明白无误地归属于某一特定身份,使用“识别”、“时间戳”等方法来进行个人或企业的身份认证.交易双方通过电子签名可以追查到实际的交易者;这种电子...

温泉县15140583350： 电子签名的安全可靠性需要满足哪些条件? - ？
茅强尼群： 电子合同中的可靠电子签名是指满足以下三个条件的签名: 锁定签约主体真实身份 有效防止文件篡改 精确记录签约时间 只有满足以上三个条件的电子签名才能算是电子合同中安全可靠的电子签名