可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。什麼是可靠的電子簽名呢?簽名法原文摘要如下。
電子簽名同時符合下列條件的,視為可靠的電子簽名:
- 電子簽名製作數據用於電子簽名時,屬於電子簽名人專有;
- 簽署時電子簽名製作數據僅由電子簽名人控制;
- 簽署後對電子簽名的任何改動能夠被發現;
- 簽署後對數據電文內容和形式的任何改動能夠被發現。
以上四條就是電子簽名的基礎條件,通俗的解釋是:合同上簽名是我自己的,籤的時候是我自願的,我簽署後內容是改不了(改不了簽名、改不了合同內容)。簡稱為“真實身份、真實意願、簽名未改、原文未改”。後續若產生糾紛,也需要從這四個維度提供電子合同的完整證據鏈。下面三個維度闡述下。
3.1 真實身份
這個是通過個人實名認證、企業實名認證來完成的,而在網絡上如何完成個人實名認證或企業實名認證呢?
個人認證,涉及到的要素有個人姓名、身份證號、銀行卡、手機號碼、短信驗證、人臉識別。通常是通過多種認證要素組合完成個人實名認證。
企業認證,涉及到的要素有企業名稱、工商證件號碼、法人姓名、法人身份證、企業銀行信息、對公打款、法人代表授權等要素。通常也是多個要素組合完成認證。
通過認證,能夠確保網絡上虛擬的賬號是你所專有的。
3.2 真實意願
簽署的時候,都要對簽署人進行確認,確保簽署人是用戶本人。基礎的意願就是用戶登錄系統的用戶名和密碼,只是這個容易洩露或盜取從而被他人控制。微博上經常上演發表不適言論後,然後刪微博再闢謠說賬號被盜。所以系統登錄的用戶名、密碼不能從法律角度代表當事人的真實意願,需要對真實意願的認證進行強化,通常常見的方式有:人臉識別、指紋校驗、短信認證、UKey、動態口令牌等方式。
對企業來說,嚴謹的做法是UKey或動態口令牌+委託人的人臉識別校驗,這種認證方式耍不了賴,具有法律效應。要是再說Ukey丟了等說法,法律角度是不認可的。就跟打官司時,假如發現紙質合同對自己不利時,說公司印章丟了一樣。這是時候只要合同上蓋的是真實印章,即使印章真的丟了引起的,也要負責相應後果。
3.3 簽名未改、原文未改
簽名未改、原文未改,背後對應的是電子簽名技術。電子簽名技術的實現需要使用到非對稱加密(RSA算法)和報文摘要(HASH算法)。
先說下報文摘要。報文摘要利用HASH算法對任何要傳輸的信息進行運算,生成固定位數(比如128位)的報文摘要,而不同內容的信息一定會生成不同的報文摘要,因此報文摘要就成了電子信息的“指紋”(源於百度百科)。任何不同的數據經過哈希算法後得到的哈希值都是不同的,而任何相同的數據經過哈希算法後得到的哈希值都是相同的。
再說非對稱加密。說非對稱加密就要提對稱加密,對稱加密採用了對稱密碼編碼技術,它的特點是文件加密和解密使用相同的密鑰。與對稱加密方式不同,非對稱加密算法需要兩個密鑰:公開密鑰(publickey)和私有密鑰(privatekey),兩個秘鑰都可以加密或解密。為通俗易懂,下面舉一個小學生能理解的例子供大家參考。
對稱加密。原文數字為204。比如我們把秘鑰設定成1.5。加密後的文件變為306。我們光知道306不知道秘鑰時,原文多少是未知的。當我們知道秘鑰後,我們用306÷1.5,就知道原文是204了。這裡面加密和解密用的都是1.5這個秘鑰。(加密算法是*,解密算法是÷)
非對稱加密。原文數字204。這裡公開秘鑰91進行處理。204*91=18564,這時候我們把564傳遞出去,他人是不知道原文多少的。這時候我們用91的秘鑰去解密也解密不了的。這裡的需要用到私鑰11進行處理,564*11=6204,後面三位數字就是原文數字啦。這裡面公鑰、私鑰是不一樣的,分別為91、11(加密算法與解密算法都是*)。這就是數學小魔術:你任意想一個3位數,並把這個數和91相乘,然後告訴我乘積的最後三位數,我就可以猜出你想的是什麼數字啦!(這裡面的秘密在哪?請看留言區)。
非對稱加密有兩種用法,一種是加密傳輸,另一種就是數字簽名。
一個文件,通過非對稱加密算法中的公鑰對文件加密,那麼只有掌握私鑰的人可以打開,傳遞過程中,就不用擔心信息被竊取。
一個文件,通過非對稱加密算法中的私鑰對文件加密,那麼當某個公鑰(對應人為A)剛好能夠解密這個文件時,代表這個文件是由A發出來的,這就是電子簽名。
理解了上面內容後,下面解釋下電子合同原理,直接上圖【本文核心內容】:
文字說明:
- 電子合同需要經過甲乙雙方對合同原文進行數字簽名,簽名所用的私鑰只有自己擁有。
- 數字簽名都是針對哈希值,只要合同原文改了,哈希值就會產生變化,從而導致簽名無效。
- 關於時間戳,簽訂時間同樣是電子簽名成立和有效性關鍵環節。國家授時中心對每一份電子合同的創建過程進行授時與守時檢測,一旦檢測到被修改的痕跡,該合同簽署即被視為無效,從而保障時間戳證書中的時間準確性和唯一性。
- 簽訂方的公鑰需要由第三方認證機構認證(公鑰與私鑰是一一匹配的,公鑰能夠解密的合同,就說明肯定是經過私鑰擁有方認可的合同),認證機構頒發的就是數字證書,數字證書通常包括證書發佈機構、證書有效期、公鑰、簽名所用算法、證書擁有者等信息。
