電子印章風險及防范措施探析

趙改俠

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003 年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文160 多篇，出版專著20 多本。

信息安全管理系列之六十六

電子印章已普遍應用于各電子文件中，但電子版本容易被修改，因此需要通過技術手段保證電子印章的可靠性。下文中，從電子印章的概念講起，梳理了與電子印章相關的概念，分析了可能存在的風險，并重點針對電子印章申請審核方式、電子印章密鑰存儲方式、電子印章使用授權等給出風險防控措施。

謝宗曉（特約編輯）

摘要：主要介紹電子印章的概念，分析了電子印章運用過程中的風險，并對電子印章申請環(huán)節(jié)、存儲環(huán)節(jié)和使用環(huán)節(jié)面臨的風險給出風險控制措施。

關鍵詞：數(shù)字證書 數(shù)字簽名 電子簽名 電子印章 電子簽章 用戶參與驗證 風險

Abstract： This paper mainly introduces the concept of electronic seal， ananlyzes the risk in the process of using electronic seal， and gives the risk control measures for the application， storage and use of electronic seal.

Key words：? digital certificate， digital signature， electronic seal， electronic stamp， electronic seal signature， user interactive audit， risk

1 引言

近年來，盡管我國各行各業(yè)在互聯(lián)網(wǎng)應用方面取得了顯著成績，尤其是互聯(lián)網(wǎng)金融、消費金融等實施網(wǎng)上在線業(yè)務，對電子印章應用的需求更加凸顯;同時，國家從政策層面上對電子印章也多次給予支持和肯定，如國務院辦公廳《關于深化商事制度改革進一步為企業(yè)松綁減負激發(fā)企業(yè)活力的通知》（國辦發(fā)〔2020〕29號）提出，在加強監(jiān)管、保障安全前提下，大力推進電子營業(yè)執(zhí)照、電子發(fā)票、電子印章在更廣領域運用。然而在運用電子印章的過程中，很多人對電子印章認識存在一些誤解，電子印章本身也存在一些風險因素，對此筆者對電子印章的概念進行了梳理，從技術層面、管理層面分析了電子印章可能存在的風險，提出風險防范措施建議。

2 電子印章定義剖析

2.1 電子印章是一種信物

印章在我國有著悠久的歷史，其作為一種信物，起印證、認可的作用，從玉璽、藝術品章等，發(fā)展到現(xiàn)在的企業(yè)公章、業(yè)務章、法人章、人名章等各類印章，廣泛應用于各種業(yè)務往來中。隨著互聯(lián)網(wǎng)應用的發(fā)展，越來越多的業(yè)務及場景從線下搬到線上，傳統(tǒng)的紙質文書合約載體逐步向電子形式過度，為了保持人們對印章的感官及習慣，出現(xiàn)一種電子印章的概念。

2.2 權威資料對電子印章的定義

我們搜索各類資料發(fā)現(xiàn)，截至目前業(yè)界沒有一個統(tǒng)一的權威的電子印章定義。

國家標準GB/T 38540—2020《信息安全技術 安全電子簽章密碼技術規(guī)范》對電子印章定義：一種由電子印章制章者數(shù)字簽名的安全數(shù)據(jù)。注：包括電子印章所有者信息和圖形化內容的數(shù)據(jù)，用于安全簽署電子文件。電子簽章定義：使用電子印章簽署電子文件的過程。注：電子簽章可實現(xiàn)與紙質文件蓋章操作相似的可視效果，可保障數(shù)據(jù)來源的真實性、數(shù)據(jù)完整性以及簽名人行為的不可否認性。在第5章的概述中所述：通過數(shù)字簽名，將印章圖像數(shù)據(jù)與簽章者等印章屬性進行安全綁定，形成安全電子印章。

北京市公安局《關于電子印章管理工作意見》的通知中指出：電子印章是指電子數(shù)據(jù)表現(xiàn)形式的公章和具有法律效力的個人名章。電子印章的圖形化特征與實物印章的印模完全一致。在加強制作管理中提出電子印章由經公安機關許可的公章制作單位制作，其規(guī)格、式樣、存儲介質要符合國家有關規(guī)定，電子印章應當存儲于符合國家密碼管理要求的專用設備中，嚴格保管。

《上海市電子印章管理暫行辦法》中指出：電子印章，是可靠電子簽名的可視化表現(xiàn)形式，以密碼技術為核心，將數(shù)字證書、簽名密鑰與實物印章圖像有效綁定，用于實現(xiàn)各類電子文檔完整性、真實性和不可抵賴性的圖形化電子簽名制作數(shù)據(jù)。電子印章綁定的數(shù)字證書，應由依法設立的電子認證服務機構提供。

以上三個相對權威的文件中，出現(xiàn)了數(shù)字證書、數(shù)字簽名、電子簽名、電子印章、電子簽章，由于簽名和印章都具有信物的屬性，而數(shù)字證書、數(shù)字簽名是實現(xiàn)“電子信物”的一種技術手段，因此我們也經?？吹礁鞣N文章將這幾個概念關聯(lián)在一起或者混淆在一起，對于普通大眾很難理解之間的區(qū)別。

2.3 數(shù)字證書與數(shù)字簽名技術屬性

數(shù)字證書、數(shù)字簽名是技術術語，其適用面更廣泛，可以利用數(shù)字證書、數(shù)字簽名技術，實現(xiàn)業(yè)務場景信息的安全防護，其重點在于技術防護。例如，使用openssl工具產生一個自簽名數(shù)字證書，用這個數(shù)字證書對私人文檔進行加密保存，或者對電子文檔做數(shù)字簽名，防止電子文檔被攻擊后篡改。再比如比特幣、區(qū)塊鏈技術也用到了數(shù)字簽名技術，使用擁有公私密鑰對做數(shù)字簽名及驗證，證明簽名者擁有私鑰即可。這類應用場景，法律相對關系通常比較弱。

2.4 電子簽名可靠屬性

在《中華人民共和國電子簽名法》（以下簡稱《電子簽名法》）第二條中規(guī)定：本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。要如何落實這句話，《電子簽名法》第二章數(shù)據(jù)電文，提出了很具體的法律要求;同時在第三章電子簽名與認證章節(jié)中，明確提出了可靠電子簽名必須同時具備的四個條件，以及對認證機構的相關要求?！峨娮雍灻ā肺疵鞔_指定實現(xiàn)電子簽名的具體技術，但基于PKI體系可以實現(xiàn)鑒別、加密、完整性和不可否認性等功能，在審批電子認證服務機構時，審核的是公鑰管理體制的基礎設施。因此，基于PKI體系所執(zhí)行的電子簽名天然具有可靠屬性。

2.5 電子印章與電子簽章

分析《上海市電子印章管理暫行辦法》中對電子印章的定義，更符合《電子簽名法》中可靠電子簽名的相關要素，是一種印章圖形與可靠電子簽名的結合。而《北京市電子印章管理辦法》中的電子印章定義則相對簡單，沒有對電子印章本身的防篡改要求。電子簽章則需要基于可靠電子印章，體現(xiàn)簽署動作的真實性、意愿性，重點在簽署動作上。北京市的電子印章定義對普通大眾來說容易理解。比如一份電子文檔通知上的紅色印章;再比如某些大型金融機構通過內部印控系統(tǒng)在電子文本上加蓋與實務印章圖形一致的電子印章。這種電子印章通常出現(xiàn)在通知、公告或者集團內部、組織內部之間的業(yè)務場景中，接收電子印章的人無需質疑印章及電文內容的真假。但這種所謂的電子印章，由于從技術上無法保證電子印章真實性、完整性，存在很大的風險，可能導致假借官方名義發(fā)布通知、謠言，或者假借公司名義簽署虛假的電子合同、融資計劃等“蘿卜章”事件。

通過以上梳理，筆者認為電子印章實際上是可靠電子簽名的圖像展示。

3 電子印章應用風險分析

信息安全管理體系通常將風險劃分為兩大類，一類統(tǒng)稱為技術風險，即由于信息技術所導致的安全風險，例如，操作系統(tǒng)被植入木馬、數(shù)據(jù)在傳輸或存儲時被篡改;一類統(tǒng)稱為業(yè)務風險，即業(yè)務運營和管理過程中由于業(yè)務流程設計或者管理不善導致的風險，例如，審批機制不嚴格、驗證機制存在漏洞、人為干預等，下面將從技術風險和業(yè)務風險兩方面來深度剖析電子印章在應用過程中可能存在的風險。

3.1 技術風險

（1）操作系統(tǒng)風險

電子印章的制作和驗證一般通過電子印章系統(tǒng)實現(xiàn)，操作系統(tǒng)是電子印章系統(tǒng)運行的基礎環(huán)境，無論是PC環(huán)境還是移動設備，其操作系統(tǒng)的可靠性、安全性至關重要，對于操作系統(tǒng)的病毒、木馬攻擊以及竊取操作系統(tǒng)ROOT、越獄等行為都可能導致電子印章系統(tǒng)安全性降低。隨著電子印章應用影響力的擴大，尤其是金融、電子商務應用領域，很可能一些不法分子專門針對操作系統(tǒng)的漏洞，攻擊電子印章系統(tǒng)，造成重大風險。

（2）信息傳輸風險

網(wǎng)絡安全（Network Security ）是現(xiàn)如今“互聯(lián)網(wǎng)+”類業(yè)務的核心安全之一，必須予以保障，黑客或不法分子可利用中間人發(fā)起攻擊，在電子印章數(shù)據(jù)傳輸過程中篡改、替換，這將導致所見非所簽或所簽非所見，對業(yè)務安全運營影響極大。

（3）電子印章數(shù)據(jù)存儲風險

電子印章數(shù)據(jù)指的是數(shù)字證書、電子印章圖片數(shù)據(jù)以及電子簽章數(shù)據(jù)，由于存儲不善，可能會導致數(shù)字證書被復制、電子簽章數(shù)據(jù)被篡改、替換、偽造等，尤其是電子簽章數(shù)據(jù)通?；旌显赑DF、WORD等版式文件中，從技術上講，可以通過修改和再編輯版式文件達到篡改電子簽章的目的，如果沒有可靠的數(shù)據(jù)存儲和校驗機制，電子印章很可能在存儲階段被攻擊。

（4）電子印章系統(tǒng)風險

電子印章系統(tǒng)本身的安全性也至關重要，如果印章系統(tǒng)沒有完備的安全防護措施，被木馬替換，威脅也比較大;再比如電子印章系統(tǒng)所使用的密碼算法本身存在技術漏洞，也可能造成攻擊;同時，業(yè)務系統(tǒng)與電子印章系統(tǒng)的接口安全性、協(xié)議安全性、中間件和數(shù)據(jù)庫等的安全性也至關重要。應用系統(tǒng)被攻擊所導致的風險是多方面的，輕則導致系統(tǒng)癱瘓，重則直接透過系統(tǒng)竊取和篡改業(yè)務數(shù)據(jù)，這將影響到電子印章應用的所有環(huán)節(jié)。

3.2 業(yè)務風險

（1）業(yè)務流程風險

電子印章的應用流程包括電子印章申請、制作、簽章、驗章等環(huán)節(jié)。在印章申請環(huán)節(jié)，對印章申請人的身份真實性、申請信息準確性及意愿性審核至關重要。隨著互聯(lián)網(wǎng)商務發(fā)展，越來越多個人信息、企業(yè)信息被暴露在網(wǎng)上，甚至一些不法分子專門盜賣個人信息進行詐騙，而電子印章如果通過在線申請，申請人的意愿性很難保證，存在因申請環(huán)節(jié)身份審核不嚴格出現(xiàn)電子印章被冒領風險。

電子印章制作環(huán)節(jié)，可能存在未經過審核的制作操作，或者制作的電子印章與申請的電子印章不一致，造成風險;同時制章后，可能存在下發(fā)錯誤，比如將A的電子印章下發(fā)給了B，造成風險。

在簽章環(huán)節(jié)，如業(yè)務系統(tǒng)不驗證電子印章的有效性，可能導致使用電子印章業(yè)務的無效風險，比如某金融機構在使用電子簽章時，未對電子印章的有效性進行驗證，使用一個過期或者已經吊銷了的電子印章簽署電子合同，導致合同在出現(xiàn)糾紛時，不能作為一個有效的合約。如果電子印章存放在印章系統(tǒng)里，簽章時由系統(tǒng)自動調用，如未經過電子印章所有人授權或者驗證印章所有人身份，可能導致電子印章被盜用。在接收到電子印章后，應該對電子印章的有效性、完整性及簽章人身份是否匹配進行驗證，避免接收無效的電子合約。

根據(jù)最新的法律法規(guī)要求，各種在線業(yè)務流程，應做到明顯的提示、告知義務，同時業(yè)務流程上應做到邏輯正確，否則再強的技術保障都可能導致所簽署的電子文件法律上無效。比如一個業(yè)務系統(tǒng)先讓用戶申請到了電子印章，然后才向用戶提示、告知各種風險及獲取用戶授權，在出現(xiàn)法律糾紛時，法官可能會判決電子合同無效。電子印章具有時間敏感性，電子印章系統(tǒng)是否采用時間戳至關重要，若使用電子印章的電子文件出現(xiàn)無法解釋的時間誤差，可能導致所簽署的電子印章法律上失效。

（2）電子印章管理風險

電子印章的管理包含了電子印章申請管理、存放電子印章的密鑰載體的管理、電子印章用印管理、電子簽章數(shù)據(jù)存儲管理、印章系統(tǒng)權限、人員管理等。申請電子印章、用印管理應與實物印章管理等同;密鑰載體應該選用通過密碼檢測認證的產品，且定期關注密鑰有效期，及時進行更新;對電子簽章數(shù)據(jù)存儲、印章系統(tǒng)權限管理應與其他信息系統(tǒng)的管理一致，定期對數(shù)據(jù)進行備份，對印章系統(tǒng)進行漏洞掃描、操作審計等;保管電子印章的人員應該進行背景調查，定期進行安全教育培訓。

4 風險防范措施建議

針對電子印章系統(tǒng)所處的物理環(huán)境、操作系統(tǒng)環(huán)境以及人員的安全管理及防范措施，可采取通用的風險防范措施，比如病毒掃描、定期漏洞掃描、補丁更新、對應用系統(tǒng)簽名驗證、多級授權管理、定期人員安全培訓等，必要時可以輔助購買保險化解風險損失等措施。下面從電子印章申請審核、印章存儲、用印控制等環(huán)節(jié)給出風險防控措施建議。

4.1 設計用戶交互參與驗證實現(xiàn)審核目標

由于個人及企業(yè)的隱私信息可能已在網(wǎng)上多途徑泄露，單純通過個人及企業(yè)的官方證件信息、金融信息、公民身份庫、電信記錄等進行信息比對，已無法實現(xiàn)申請者的真實性、意愿性審核目標，因此可在通過以上幾要素信息比對準確性的基礎上，增加申請人參與驗證措施，以實現(xiàn)真實性、意愿性審核目標。

（1）交叉短信驗證碼

基于我國已全面實施了手機實名制，筆者認為向電子印章系統(tǒng)回填短信驗證碼的人即為印章申請人。針對企業(yè)授權的驗證，可以由電子印章系統(tǒng)通過權威的工商信息庫獲得企業(yè)法人信息，并發(fā)送短信驗證碼，提示企業(yè)法人向被授權人轉發(fā)短信驗證碼，由被授權人向系統(tǒng)回填驗證碼進行驗證。

（2）打款驗證

基于金融賬號的隱秘性和重要性考慮，筆者認為只有申請人自己能控制自己的銀行賬戶，因此可采取通過電子印章系統(tǒng)向申請人銀行卡賬號打款的方式，來確認申請人身份的真實性、意愿性。

（3）人臉識別

通過輔助活體檢測并與公民身份庫比對身份照片等方式實現(xiàn)真實性、意愿性審核。

（4）已有的智能密碼鑰匙

基于第三方認證中心發(fā)放的智能密碼鑰匙，已實施了真實性審核的目的，且智能密碼鑰匙由申請人控制的因素，可以通過驗證申請人控制的智能密碼鑰匙有效性實現(xiàn)真實性、意愿性審核目標。

以上各種交互參與方案是基于僅限申請人所擁有、所知曉、所控制的因素實現(xiàn)真實性、意愿性審核目標。同樣的也可以用郵箱、指紋、手機特征碼等方式來驗證，可根據(jù)電子印章業(yè)務影響，兼顧便利性選擇合適的方案。

4.2 電子印章存儲安全措施

當前最安全的電子印章存儲介質是通過密碼檢測認證的智能密碼鑰匙，具有控制便利、數(shù)據(jù)高度私有化，即插即用，與應用系統(tǒng)隔離的特點。但隨著移動應用的發(fā)展，智能密碼鑰匙也因為其與應用系統(tǒng)的分離特點造成了便利性差的特征，逐漸被集成于移動終端上的安全芯片所代替，同樣這種一體的方案也導致了安全性的降低，比如移動終端容易丟失而引發(fā)重大風險。

為了業(yè)務流暢性和易用性，大多數(shù)應用將用戶的電子印章保存在印章系統(tǒng)中，而電子印章系統(tǒng)應使用通過密碼檢測認證的硬件設備產生自身數(shù)字證書密鑰，并對產生的用戶電子印章、數(shù)字證書密鑰進行加密保存在數(shù)據(jù)庫中。當前業(yè)界還流行一種密鑰分離的存儲方案，這種方案是基于SM2密碼算法的特點實現(xiàn)的，由移動終端、服務端各存儲一半密鑰，提高電子印章所附密鑰的安全性。同時，筆者提出數(shù)字證書用途分離式方案，申請者可以申請一個專門用于身份審核的數(shù)字證書，放在智能密碼鑰匙中;同時申請電子印章數(shù)字證書，將電子印章圖片及其綁定的數(shù)字證書加密存儲在電子印章系統(tǒng)中，需要使用該電子印章時，插入專門用于審核身份的智能密碼鑰匙進行身份驗證，實現(xiàn)對存放在系統(tǒng)中的電子印章的調用授權、真實性、意愿性審核目標。

4.3 用印控制

用印控制可以采取審核環(huán)節(jié)的方案獲得用戶用印明確授權，但更重要的，在生成電子簽章數(shù)據(jù)時應執(zhí)行完整的校驗流程。首先驗證電子簽章數(shù)據(jù)的完整性，然后提取簽章證書，驗證簽章證書的時間有效性、頒發(fā)機構、證書吊銷情況，并對申請用印人與電子印章信息進行比對，保證兩者信息一致。

5 小結

電子印章的應用是未來各行各業(yè)提升工作效率的必然選擇，同時電子印章相關的風險也需要持續(xù)不斷的關注。本文所述的各種風險及防范措施基本涵蓋了當前電子印章應用過程中的突出風險和問題，但在不同的業(yè)務場景也一定會碰到多種不可預測的問題，未來更應該關注利用電子印章所從事的業(yè)務本身的風險，比如利用電子印章實施詐騙貸款、賭博、洗錢等違法犯罪活動。需要保持風險防范意識，不斷分析可能存在的風險，提前預防風險的發(fā)生，促進電子印章在各領域健康運用。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 國務院辦公廳. 國務院辦公廳關于深化商事制度改革進

一步為企業(yè)松綁減負激發(fā)企業(yè)活力的通知：國辦發(fā)

〔2020〕29號[A/OL]. （2020-09-10）[2020-12-23].http：//www.gov.cn/zhengce/content/2020-09/10/content_5542282.htm.

[2] 上海市人民政府辦公廳. 上海市電子印章管理暫行辦法：滬府辦規(guī)[2018]28號[A/OL].（2018-10-29）[2020-12-23].http：//www.shbtpm.com/view_news.php？NewsTypeID=27&NewsID=20083&LX=4&ShowRiqi=0.

[3] 北京市人民政府辦公廳. 轉發(fā)市公安局《關于電子印章管理工作意見》的通知：京政辦發(fā)[2019]8號[A/OL].（2019-04-19）[2020-12-25].http：//beijing.gov.cn/zhengce/zfwj/zfwj2016/bgtwj/201905/t20190522_61929.html.

[4] 全國信息安全標準化技術委員會. 信息安全技術 安全電子簽章密碼技術規(guī)范： GB/T 38540—2020[S].北京：中國標準出版社， 2020.

[5] 國家電子文件管理部際聯(lián)席會議辦公室. 黨政機關電子印章應用規(guī)范：GB/T 33481—2016[S]. 北京：中國標準出版社， 2016.