¿Cómo pueden las empresas garantizar la seguridad de la información mediante firmas electrónicas?
En pocas palabras, la firma electrónica es una tecnología que utiliza algoritmos hash y algoritmos de cifrado para firmar y sellar directamente documentos electrónicos. Para garantizar que los documentos electrónicos firmados tengan validez legal, los documentos electrónicos firmados con firma electrónica también deben tener las características de identificar la identidad del firmante y el contenido de la firma no puede ser manipulado.
Sin embargo, la explicación de los términos técnicos anteriores no puede explicar el principio de la firma electrónica de manera intuitiva y sencilla. La siguiente es una introducción a cómo las firmas electrónicas garantizan la seguridad y la confidencialidad a través del proceso de restauración de firmas electrónicas:
Escenario: debido a necesidades comerciales, usted y yo debemos firmar un acuerdo de cooperación. Para su comodidad, puede enviarme el texto del contrato electrónico en línea para que lo firme.
¿Cómo asegurar que solo yo pueda ver el contrato y que otros no lo roben maliciosamente? ¿Cómo puedo estar seguro de que el remitente del archivo eres tú? Punto clave 1: aparecen la clave pública y la clave privada
Para cumplir con los requisitos de confidencialidad del contenido del contrato electrónico y la autenticación del remitente, aprendimos sobre el método de cifrado asimétrico.
Cifrado asimétrico: Tiene un par único de claves secretas, una clave pública y una clave privada. La clave pública es visible para todos, pero la clave privada solo es visible para usted.
El cifrado asimétrico tiene las siguientes características: los archivos cifrados con la clave pública sólo se pueden descifrar con la clave privada, mientras que los archivos cifrados con la clave privada sólo se pueden descifrar con la clave pública.
Al enviar un contrato, usted cifra el contrato electrónico preparado con su propia clave privada y lo envía al recibir el contrato, si se puede descifrar usando su clave pública, significa que el documento fue enviado; tú.
Pero ¿cómo puedo saber tu clave pública? Punto clave 2: el gobierno ha emitido una CA para ayudar
Me enteré de que el gobierno ha autorizado a una organización autorizada llamada CA para proporcionar servicios de autenticación de identidad de red.
CA (Autoridad de Certificación): El nombre completo es agencia de gestión de certificados, que es la autoridad de solicitud, emisión y gestión de certificados digitales. Sus principales funciones son: generar pares de claves, generar certificados digitales, distribuir claves, gestión de claves, etc.
Certificado digital: Es un certificado emitido por una organización CA. Contiene la clave pública, el nombre del propietario de la clave pública, la firma digital de la CA, el período de validez, el nombre del autorizado. centro, el número de serie del certificado y otra información. Puede entenderse fácilmente como Un individuo o empresa tiene una "tarjeta de identificación en línea".
Solicito a la organización CA obtener su clave pública y usarla para descifrar el contrato electrónico. Si el descifrado se realiza correctamente, significa que el remitente es usted. Una vez confirmada la identidad del remitente del documento, ¿cómo podemos garantizar que el contrato electrónico no ha sido manipulado durante la transmisión? Punto clave 3: aparecen los hermanos hash
Algunos técnicos recomendaron un algoritmo hash (algoritmo de resumen), que puede probar si el contrato electrónico ha sido manipulado durante el proceso de transmisión.
Algoritmo hash: el contenido del texto se genera en un fragmento de código mediante un algoritmo de cifrado, es decir, un resumen de información. Su característica principal es que el proceso de cifrado no requiere una clave y los datos cifrados. no se puede restaurar a la inversa. En otras palabras, sólo dos contratos idénticos pueden obtener el mismo resumen si se ejecutan mediante el mismo algoritmo hash.
Cuando envías el contrato, me envías el texto del contrato electrónico original y el resumen hash juntos. Al recibir el contrato, obtienes un nuevo resumen al realizar la misma operación hash en el texto del contrato original, y Compare los dos conjuntos de resúmenes. Si son consistentes o no, puede probar si el archivo que recibí ha sido manipulado.
Pero, ¿qué pasa si el texto original y el resumen del archivo se reemplazan al mismo tiempo durante? el proceso de transmisión? Punto clave 4: cifrado simétrico para ayudar
Además del algoritmo hash, el cifrado asimétrico y la CA mencionados anteriormente, para garantizar que el contrato cumpla con tres requisitos desde el envío hasta la recepción, a saber: enviado por usted , enviado solo a Dado que no puede ser manipulado, también debemos aplicar un nuevo método de cifrado: cifrado simétrico.
Cifrado simétrico: Utilizando el método de cifrado de un criptosistema de clave única, sólo se puede utilizar la misma contraseña para cifrar y descifrar la información.
Al enviar un archivo:
1. Obtienes el resumen del texto original mediante hash y lo cifras con tu clave privada para obtener tu firma digital, y luego combinas la firma digital con la texto original del contrato. Cifrado simétrico, obtenga el texto cifrado A: cifre el texto original
2. Luego obtenga mi clave pública a través de CA y realice el cifrado asimétrico en la clave de cifrado simétrica en los pasos anteriores. mi "sobre digital" ”——Cifre la clave secreta
3. Envíeme el texto cifrado A junto con mi sobre digital
Firma digital: use el algoritmo hash para extraer el resumen del archivo fuente y utilizar el contenido cifrado con la clave privada del remitente.
Sobre digital: utiliza la clave pública del destinatario para cifrar la clave secreta simétrica”, que se denomina “sobre digital para B”.
Al recibir un archivo:
1. Utilicé mi clave privada para descifrar el sobre digital y obtuve la clave secreta simétrica. Si puedo descifrarla, significa que fue enviada a yo
2. Luego use la clave secreta simétrica para descifrar el texto cifrado A y obtenga el texto original con su firma digital
3. el resumen del texto original en la firma: —Si se puede descifrar, significa que el remitente es usted
4 Utilice el mismo algoritmo de resumen para obtener el resumen del texto original y compárelo con el resumen descifrado. firma: si el resumen es coherente, significa que el texto original no ha sido alterado
Además del hecho de que el contenido del documento no puede ser alterado, también es muy importante registrar con precisión la firma tiempo y fijar el período de vigencia del contrato ¿Cómo garantizar que el tiempo de firma del contrato no pueda ser alterado en el entorno de red? Punto clave 5: Marca de tiempo para demostrar
Pregunté nuevamente a los expertos y resulta que nuestro país también tiene un centro de cronometraje legal que determina específicamente el tiempo. Puede sellar una "huella de tiempo" en los documentos que firmamos. es decir, marca de tiempo.
Marca de tiempo: la hora en que se firma un documento escrito la escribe el propio firmante, mientras que la marca de tiempo digital la agrega una unidad de certificación de terceros (DTS) al momento en que DTS recibe el documento. . Como base, es más preciso y más creíble.
En este punto, el momento en que firmamos el contrato se registra con precisión, el contenido del contrato no puede ser alterado y las identidades de ambas partes son verdaderas y válidas. ¡Ahora no hay problema! ¿Pero cómo almacenar el contrato electrónico firmado? No importa quién lo haya firmado, futuras disputas inevitablemente pondrán en duda la seguridad del contrato durante el almacenamiento. Punto clave 6: encontrar un tercero autorizado para depositar los certificados
Escuché que existen agencias de depósito de certificados de datos electrónicos de terceros especializadas que pueden guardar los datos del contrato electrónico firmado cuando ambos usuarios tienen disputas sobre el contenido del contrato. Puede solicitar un certificado creíble.
El último problema a la hora de firmar el contrato: ¡el problema del almacenamiento también se ha solucionado! Pero el único inconveniente es: ¡el proceso de firma es demasiado problemático! Para garantizar la validez de los contratos electrónicos, utilizamos cifrado asimétrico, operaciones hash, marcas de tiempo y otras tecnologías, así como la asistencia de agencias de CA, notarías y otras instituciones;
Cómo firmar un contrato válido contratar más fácil y rápidamente ¿Qué pasa con los contratos electrónicos? Punto clave 7: Elija una plataforma de contratación electrónica de terceros confiable
Según la “Ley de Firma Electrónica”, los contratos electrónicos firmados con firma electrónica confiable tienen el mismo estatus legal que los contratos en papel con firma manuscrita o sello. Potencia.
Según la “Ley de Firma Electrónica”, se considera confiable una firma electrónica que cumpla las siguientes condiciones:
1) Cuando los datos de producción de la firma electrónica se utilizan para la firma electrónica , pertenece al firmante electrónico Propietario
2) Los datos de producción de la firma electrónica sólo son controlados por el firmante electrónico al firmar
3) Cualquier cambio en la firma electrónica después de la firma puede ser descubierto
4) Cualquier cambio en el contenido y la forma del mensaje de datos después de la firma puede ser descubierto
Con base en el proceso de firma de contrato electrónico anterior, podemos resumir que los contratos electrónicos efectivos deben Preste atención a los siguientes puntos centrales: confidencialidad del contenido, el contenido es a prueba de manipulaciones, la identidad de la firma y el momento de la firma son claros.
Al mismo tiempo, para garantizar la capacidad de los contratos electrónicos para usarse como prueba escrita, todo el proceso de firma del contrato debe ser almacenado y certificado ante notario por una organización externa autorizada.
El Ministerio de Comercio señaló en las “Especificaciones del Proceso para la Formulación en Línea de Contratos Electrónicos”: “Sólo mediante la celebración de un contrato electrónico en el sistema de establecimiento de contratos electrónicos de un tercero (proveedor de servicios de contratos electrónicos) ¿Se puede garantizar la equidad y los resultados del proceso?