可靠的电子签名与手写签名或者盖章具有同等的法律效力。什么是可靠的电子签名呢?签名法原文摘要如下。
电子签名同时符合下列条件的,视为可靠的电子签名:
- 电子签名制作数据用于电子签名时,属于电子签名人专有;
- 签署时电子签名制作数据仅由电子签名人控制;
- 签署后对电子签名的任何改动能够被发现;
- 签署后对数据电文内容和形式的任何改动能够被发现。
以上四条就是电子签名的基础条件,通俗的解释是:合同上签名是我自己的,签的时候是我自愿的,我签署后内容是改不了(改不了签名、改不了合同内容)。简称为“真实身份、真实意愿、签名未改、原文未改”。后续若产生纠纷,也需要从这四个维度提供电子合同的完整证据链。下面三个维度阐述下。
3.1 真实身份
这个是通过个人实名认证、企业实名认证来完成的,而在网络上如何完成个人实名认证或企业实名认证呢?
个人认证,涉及到的要素有个人姓名、身份证号、银行卡、手机号码、短信验证、人脸识别。通常是通过多种认证要素组合完成个人实名认证。
企业认证,涉及到的要素有企业名称、工商证件号码、法人姓名、法人身份证、企业银行信息、对公打款、法人代表授权等要素。通常也是多个要素组合完成认证。
通过认证,能够确保网络上虚拟的账号是你所专有的。
3.2 真实意愿
签署的时候,都要对签署人进行确认,确保签署人是用户本人。基础的意愿就是用户登录系统的用户名和密码,只是这个容易泄露或盗取从而被他人控制。微博上经常上演发表不适言论后,然后删微博再辟谣说账号被盗。所以系统登录的用户名、密码不能从法律角度代表当事人的真实意愿,需要对真实意愿的认证进行强化,通常常见的方式有:人脸识别、指纹校验、短信认证、UKey、动态口令牌等方式。
对企业来说,严谨的做法是UKey或动态口令牌+委托人的人脸识别校验,这种认证方式耍不了赖,具有法律效应。要是再说Ukey丢了等说法,法律角度是不认可的。就跟打官司时,假如发现纸质合同对自己不利时,说公司印章丢了一样。这是时候只要合同上盖的是真实印章,即使印章真的丢了引起的,也要负责相应后果。
3.3 签名未改、原文未改
签名未改、原文未改,背后对应的是电子签名技术。电子签名技术的实现需要使用到非对称加密(RSA算法)和报文摘要(HASH算法)。
先说下报文摘要。报文摘要利用HASH算法对任何要传输的信息进行运算,生成固定位数(比如128位)的报文摘要,而不同内容的信息一定会生成不同的报文摘要,因此报文摘要就成了电子信息的“指纹”(源于百度百科)。任何不同的数据经过哈希算法后得到的哈希值都是不同的,而任何相同的数据经过哈希算法后得到的哈希值都是相同的。
再说非对称加密。说非对称加密就要提对称加密,对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥。与对称加密方式不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey),两个秘钥都可以加密或解密。为通俗易懂,下面举一个小学生能理解的例子供大家参考。
对称加密。原文数字为204。比如我们把秘钥设定成1.5。加密后的文件变为306。我们光知道306不知道秘钥时,原文多少是未知的。当我们知道秘钥后,我们用306÷1.5,就知道原文是204了。这里面加密和解密用的都是1.5这个秘钥。(加密算法是*,解密算法是÷)
非对称加密。原文数字204。这里公开秘钥91进行处理。204*91=18564,这时候我们把564传递出去,他人是不知道原文多少的。这时候我们用91的秘钥去解密也解密不了的。这里的需要用到私钥11进行处理,564*11=6204,后面三位数字就是原文数字啦。这里面公钥、私钥是不一样的,分别为91、11(加密算法与解密算法都是*)。这就是数学小魔术:你任意想一个3位数,并把这个数和91相乘,然后告诉我乘积的最后三位数,我就可以猜出你想的是什么数字啦!(这里面的秘密在哪?请看留言区)。
非对称加密有两种用法,一种是加密传输,另一种就是数字签名。
一个文件,通过非对称加密算法中的公钥对文件加密,那么只有掌握私钥的人可以打开,传递过程中,就不用担心信息被窃取。
一个文件,通过非对称加密算法中的私钥对文件加密,那么当某个公钥(对应人为A)刚好能够解密这个文件时,代表这个文件是由A发出来的,这就是电子签名。
理解了上面内容后,下面解释下电子合同原理,直接上图【本文核心内容】:
文字说明:
- 电子合同需要经过甲乙双方对合同原文进行数字签名,签名所用的私钥只有自己拥有。
- 数字签名都是针对哈希值,只要合同原文改了,哈希值就会产生变化,从而导致签名无效。
- 关于时间戳,签订时间同样是电子签名成立和有效性关键环节。国家授时中心对每一份电子合同的创建过程进行授时与守时检测,一旦检测到被修改的痕迹,该合同签署即被视为无效,从而保障时间戳证书中的时间准确性和唯一性。
- 签订方的公钥需要由第三方认证机构认证(公钥与私钥是一一匹配的,公钥能够解密的合同,就说明肯定是经过私钥拥有方认可的合同),认证机构颁发的就是数字证书,数字证书通常包括证书发布机构、证书有效期、公钥、签名所用算法、证书拥有者等信息。
