單套制背景下電子簽名應(yīng)用的困境與思考

■許振哲

一、引言

2016年4月1日，國家檔案局印發(fā)《全國檔案事業(yè)發(fā)展“十三五”規(guī)劃綱要》，提出“在有條件的部門開展電子檔案單套制（即電子設(shè)備生成的檔案僅以電子方式保存）、單軌制（即不再生成紙質(zhì)檔案）管理試點”，掀起了電子檔案單套制的研究熱潮。

然而與“單套制研究熱”相對應(yīng)的，則是“電子簽名研究冷”，筆者分別以“單套制”“單軌制”“電子簽名”“數(shù)字簽名”為關(guān)鍵詞在中國知網(wǎng)進(jìn)行篇名檢索，匯總了2002—2021年檔案領(lǐng)域論文研究成果：

如圖1所示，自電子檔案單套制提出以來，單套制與單軌制的論文成果從2017年起急劇增多，呈井噴之勢；而電子簽名與數(shù)字簽名的相關(guān)研究卻嚴(yán)重不足，2005年《電子簽名法》施行之時出現(xiàn)過一個峰值，之后持續(xù)走低，這顯然是不合理的。電子簽名作為電子檔案真實性、完整性、可靠性、安全性的有力保障，可謂電子檔案單套制的技術(shù)核心。拋開電子簽名研究電子檔案單套制管理，無異于建造空中樓閣。一些電子檔案單套制研究對電子簽名相關(guān)內(nèi)容有所提及，然而探討不夠深入甚至存在謬誤。此外，電子簽名第三方CA認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)如何選??？電子簽名中的非可信時間戳能否被認(rèn)同？數(shù)字證書到期或CA機(jī)構(gòu)停運(yùn)，電子簽名應(yīng)當(dāng)如何維護(hù)？電子檔案歸檔后，是否有必要維持電子簽名重新生效的能力？這些電子檔案單套制管理可能遇到的實際問題，目前相關(guān)學(xué)術(shù)研究十分匱乏。由此可見，單套制研究熱潮的背后，已逐步顯現(xiàn)出理論研究脫離實際建設(shè)的趨勢，如不及時扭轉(zhuǎn)，未來必然會影響電子檔案單套制建設(shè)進(jìn)程。

圖1 2002-2021年單套制與電子簽名研究成果圖

二、電子簽名概述

（一）電子簽名與數(shù)字簽名概念辨析

在電子檔案相關(guān)研究中，電子簽名和數(shù)字簽名是頻繁出現(xiàn)的一組概念，然而很多文章未能很好地對二者做出區(qū)分，甚至將二者混為一談。蔡盈芳認(rèn)為，電子簽名是利用密碼運(yùn)算實現(xiàn)“手寫簽名”效果的一種技術(shù)，它通過某種數(shù)字變換來實現(xiàn)對數(shù)字內(nèi)容的簽名和蓋章，有的文獻(xiàn)也稱之為數(shù)字簽名。姜志偉認(rèn)為，電子簽名是更一般化的概念，數(shù)字簽名是電子簽名的一種特殊形式，法律上所規(guī)定的可靠(高級)電子簽名，指的就是數(shù)字簽名。閆偉認(rèn)為，電子簽名就是能夠在電子文件中識別起草人身份、保證傳輸安全、起到與手寫簽名或者蓋章同等作用的電子技術(shù)手段，基于PKI的電子簽名被稱作“數(shù)字簽名”，數(shù)字簽名只是電子簽名的一種特定形式。

根據(jù)《電子簽名法》（2019）第二條的描述，“電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。”《電子簽名法》秉承技術(shù)中立原則，實現(xiàn)電子簽名有多種技術(shù)手段，其中包括基于非對稱加密體制的數(shù)字簽名、生理特征簽名、觸摸屏手寫簽名等。數(shù)字簽名是基于PKI公鑰基礎(chǔ)設(shè)施的一種技術(shù)手段，利用特定算法生成一串由符號及數(shù)字組成的字符串來代替書寫簽名或印章，且這個字符串可以在技術(shù)上通過算法進(jìn)行驗證。

根據(jù)上述定義不難看出：電子簽名是一段電子數(shù)據(jù)，而數(shù)字簽名則是一種技術(shù)手段，二者是性質(zhì)截然不同的一組概念，只是由于《電子簽名法》規(guī)定的可靠電子簽名，需要具備簽名人身份真實、意愿真實，簽名及數(shù)據(jù)電文均不可改的特性，而目前可實現(xiàn)此要求的只有基于非對稱加密體制的數(shù)字簽名技術(shù)，因此在很多研究中，容易將二者混淆。通俗來說，電子簽名就好比簽署在紙質(zhì)文件上的姓名，是一串字跡；而數(shù)字簽名、生理特征簽名等技術(shù)就好比使用黑色水筆或圓珠筆進(jìn)行簽名，是一種工具或手段。黑色水筆只是用來簽名最為普遍的一種方式，并不能等同于簽名本身。有些學(xué)者認(rèn)為“通過數(shù)字簽名技術(shù)簽署的電子簽名”就是數(shù)字簽名，從而將數(shù)字簽名視作電子簽名的一種特殊形式，嚴(yán)格來說，這種觀點是不正確的。數(shù)字簽名與電子簽名性質(zhì)迥異，不存在隸屬關(guān)系，更不能等同，這是研究電子簽名需要明確的首要問題。

（二）電子簽名的分級結(jié)構(gòu)

GB/T25064-2010《電子簽名格式規(guī)范》將電子簽名按格式分為 5 類，包括：基本電子簽名（BES）、帶時間戳的電子簽名（ES-T）、帶完全驗證數(shù)據(jù)的電子簽名（ES-C）、帶擴(kuò)展的驗證數(shù)據(jù)的電子簽名（ES-X）、帶歸檔時間戳的電子簽名（ES-A），其中帶歸檔時間戳的電子簽名（ES-A）是在其他各類電子簽名的基礎(chǔ)上相應(yīng)添加時間戳，以保證電子簽名的安全性的電子簽名，可以歸檔保存供長期查驗，其結(jié)構(gòu)如圖2所示。

圖2 ES-A電子簽名結(jié)構(gòu)示意圖

一個完整的電子簽名，其結(jié)構(gòu)應(yīng)該逐級嵌套、層層遞進(jìn)，隨著層級的增加，包含的數(shù)據(jù)和驗證信息愈發(fā)完整，對外在驗證環(huán)境的依賴性就越低，保管成本與難度也會隨之提升。但所有電子簽名，都應(yīng)包含BES及歸檔時間戳四個基本要素，否則無法進(jìn)行驗證。在實際工作中，想要完整具備所有元素，保證電子簽名的可驗證性非常困難，困難不僅源自技術(shù)層面，也源自管理和協(xié)調(diào)層面。一些部門在歸檔過程中拋棄了電子簽名的原始數(shù)據(jù)，將簽名文件轉(zhuǎn)化為圖片，僅保存簽名、簽章的影像，這無疑摒棄了電子簽名的驗證功能，是對維護(hù)電子文件證據(jù)價值、守護(hù)歷史責(zé)任的一種逃避。

（三）電子簽名的運(yùn)作流程

電子簽名能夠體現(xiàn)簽名人的身份，簽名人對文件內(nèi)容的認(rèn)可，以及電子文件內(nèi)容的真實、完整性，而可信時間戳則能證明數(shù)據(jù)電文(電子文件）在一個時間點是已經(jīng)存在的、完整的、可驗證的，確定電子文件產(chǎn)生的準(zhǔn)確時間，防止電子文件的篡改和事后抵賴。電子簽名與可信時間戳的運(yùn)作流程如圖3所示。

圖3 電子簽名與可信時間戳運(yùn)作流程圖

當(dāng)用戶準(zhǔn)備傳遞電子文件時，首先會對這個電子文件進(jìn)行一次哈希運(yùn)算，生成電文摘要，也即哈希值A(chǔ)；接著，用戶將哈希值A(chǔ)發(fā)送給聯(lián)合信任時間戳服務(wù)中心(UTSA)，申請加蓋時間戳,UTSA會將收到電文摘要的日期和時間數(shù)據(jù)與哈希值A(chǔ)綁定，生成一個以.tsa為后綴的文件，這個文件即可信時間戳。時間戳生成后，UTSA使用私鑰對之進(jìn)行加密，生成一個電子簽名，并將之返還給用戶。用戶使用UTSA的公鑰對電子簽名進(jìn)行解密，得到可信時間戳文件，再將時間戳文件與哈希值A(chǔ)兩個文件一起用私鑰加密，生成用戶的電子簽名，最后將需要傳輸?shù)碾娮游募c電子簽名一起發(fā)送給收件部門。

收件部門收到文件后，首先使用用戶公鑰對電子簽名進(jìn)行解密，得到哈希值A(chǔ)和時間戳文件，時間戳文件可直接到UTSA官方網(wǎng)站進(jìn)行核驗，接著用戶對電子文件原文進(jìn)行哈希運(yùn)算，得到哈希值B，最后將哈希值A(chǔ)與B進(jìn)行比對，看是否一致，若二者一致，則說明電子數(shù)據(jù)在時間戳生成之時內(nèi)容真實可靠，若不一致，則說明電子文件可能受到篡改。

三、電子簽名應(yīng)用的困境與思考

電子簽名目前存在的問題，一方面源自理論研究的缺失，另一方面則是對實際建設(shè)中可能遇到的困境預(yù)估不足。《電子簽名法》只對電子簽名的法律效力、認(rèn)證機(jī)構(gòu)等關(guān)鍵問題做了原則性規(guī)定，在配套規(guī)章制度和實施細(xì)則方面還存在大量空白，檔案領(lǐng)域更是缺乏明確的符合檔案管理要求的電子簽名操作規(guī)范。因此，電子簽名在實際應(yīng)用環(huán)節(jié)面臨一系列困境。

（一）CA市場飽和，難以互認(rèn)

CA是Certification Authority的簡稱，也即數(shù)字證書認(rèn)證中心。現(xiàn)階段的電子簽名，主要依托于PKI公鑰基礎(chǔ)設(shè)施，通過數(shù)字簽名技術(shù)來實現(xiàn)。CA是PKI的核心，也是電子檔案單套制管理架構(gòu)中的重要樞紐，然而檔案界對CA的相關(guān)研究并不多，對當(dāng)前CA市場的復(fù)雜性認(rèn)知嚴(yán)重不足。

早在2008年，就有相關(guān)統(tǒng)計研究指出：我國有CA認(rèn)證機(jī)構(gòu)140多家，還有不斷增建的趨勢，根據(jù)國家工業(yè)和信息化部政務(wù)服務(wù)平臺的最新數(shù)據(jù)，截至2021年11月30日，獲得電子認(rèn)證服務(wù)行政許可的CA中心共54家，而在電子商務(wù)發(fā)達(dá)的美國，只有兩三個大型的認(rèn)證中心。由此可見，國內(nèi)CA機(jī)構(gòu)重復(fù)建設(shè)現(xiàn)象嚴(yán)重，CA供給遠(yuǎn)遠(yuǎn)超出了市場的需求，處于過度飽和狀態(tài)。大量未經(jīng)許可、不具備認(rèn)證資質(zhì)的CA機(jī)構(gòu)對市場秩序形成了沖擊，即便是獲得認(rèn)證服務(wù)行政許可的54家CA，也呈現(xiàn)出明顯的行業(yè)、地域分化趨勢，如圖4所示，我國目前34個省級行政區(qū)中，有28個行政區(qū)擁有具備認(rèn)證資質(zhì)的CA機(jī)構(gòu)；甘肅、青海、西藏、香港、澳門、臺灣6個行政區(qū)至今沒有具備認(rèn)證資質(zhì)的CA機(jī)構(gòu)；除北京、廣東、江蘇外，各地CA機(jī)構(gòu)的規(guī)模普遍偏小，大部分地區(qū)僅有一家CA。從行業(yè)的角度來看：服務(wù)于電子商務(wù)、通信等領(lǐng)域的行業(yè)性CA居多，符合電子檔案單套制管理規(guī)范的綜合性CA偏少。這也就意味著，如果電子檔案單套制管理全面落實，為保證電子歸檔的依法合規(guī)，諸多地市必然面臨尋求外地CA機(jī)構(gòu)進(jìn)行簽名認(rèn)證的窘境。

圖4 CA地域分布圖

《電子簽名法》的技術(shù)中立原則為CA市場早期繁榮奠定了基礎(chǔ)，然而卻為后續(xù)發(fā)展埋下了隱患。江艷霞和左明在文章中指出：“盡管我國目前CA中心眾多，但是在嚴(yán)格意義卻沒有符合電子商務(wù)規(guī)定，特別是安全電子交易（SET）協(xié)議規(guī)定的認(rèn)證中心；CA之間的認(rèn)證必須通過唯一的根CA，但是我國并沒有自己的根CA，這就導(dǎo)致不同品牌CA間各自為政，缺乏互聯(lián)互通，相互認(rèn)證困難?！薄峨娮雍灻ā返诙龡l規(guī)定：“電子認(rèn)證服務(wù)提供者擬暫停或者終止電子認(rèn)證服務(wù)的，應(yīng)當(dāng)在暫停或者終止服務(wù)六十日前向國務(wù)院信息產(chǎn)業(yè)主管部門報告，并與其他電子認(rèn)證服務(wù)提供者就業(yè)務(wù)承接進(jìn)行協(xié)商，作出妥善安排?！奔夹g(shù)標(biāo)準(zhǔn)、算法機(jī)制的差異性，注定了一旦某家CA停止運(yùn)營，其他CA無法對它的數(shù)字證書進(jìn)行二次認(rèn)證，業(yè)務(wù)承接不具備實現(xiàn)的可能性，屆時甚至?xí)霈F(xiàn)數(shù)以百萬計的數(shù)字證書一朝廢棄的場景。

想要解決CA之間相互認(rèn)證的問題，目前只有兩種途徑：一是由國家頒布相關(guān)規(guī)章，敦促實現(xiàn)CA之間的交叉認(rèn)證。以上文所述54家CA為例，光是實現(xiàn)交叉互認(rèn)就需要互相發(fā)放1431張證書，這還只是具備認(rèn)證資質(zhì)的CA機(jī)構(gòu)，隨著獲得資質(zhì)的機(jī)構(gòu)越來越多，這個數(shù)字也將不斷擴(kuò)大，無法從根本上解決問題。另一種方式則是建立一個國家層面的根CA作為認(rèn)證根基，在此基礎(chǔ)上實現(xiàn)所有CA的統(tǒng)一認(rèn)證。然而根CA的建立是一個漫長的過程，在根CA建成之前，CA之間無法相互認(rèn)證的問題仍將長期存在。目前，我國電子簽名技術(shù)指標(biāo)尚未統(tǒng)一，配套法規(guī)不夠完善，CA前景亦不明朗，在此背景下推進(jìn)電子檔案單套制管理，未免有些操之過急。

（二）可信時間戳與非可信時間戳的混用

一份完整的電子文件，應(yīng)當(dāng)兼具內(nèi)容信息、簽名人信息以及時間信息三個基本要素。電子簽名可以保證文件的內(nèi)容信息與簽名人信息不能修改，但無法確保時間信息的真實可靠性。因此需要引入時間戳，用于防止電子文件的篡改和事后抵賴，確定電子文件產(chǎn)生的準(zhǔn)確時間。

時間戳是一個經(jīng)加密后形成的獨(dú)立的具有標(biāo)準(zhǔn)格式的電子文件，提供時間戳設(shè)備及服務(wù)的機(jī)構(gòu)被稱為時間戳服務(wù)中心。時間戳分為可信時間戳和非可信時間戳，可信時間戳是由權(quán)威可信時間戳服務(wù)中心簽發(fā)的一個能證明數(shù)據(jù)電文(電子文件）在一個時間點是已經(jīng)存在的、完整的、可驗證的，具備法律效力的電子憑證。由此可見，可信時間戳與非可信時間戳的區(qū)別在于是否由權(quán)威可信時間戳服務(wù)中心簽發(fā)。中國科學(xué)院國家授時中心（以下簡稱“國家授時中心”），是我國唯一的專門、全面從事時間頻率基礎(chǔ)研究和應(yīng)用研究的科研機(jī)構(gòu)，承擔(dān)著我國國家標(biāo)準(zhǔn)時間（北京時間）的產(chǎn)生、保持和發(fā)布任務(wù)。2005年9月，聯(lián)合信任與國家授時中心共同建設(shè)了聯(lián)合信任時間戳服務(wù)中心(UTSA)，UTSA也因此成為我國權(quán)威可信時間戳服務(wù)中心，由該中心簽發(fā)的時間戳方被視作可信時間戳，其他機(jī)構(gòu)提供的時間戳均為非可信時間戳。

目前我國具備電子認(rèn)證資質(zhì)的54家CA，主要是由吉大正元、格爾軟件等商密產(chǎn)品生產(chǎn)商負(fù)責(zé)承建。其中吉大正元承建了河南CA、湖北CA、山西CA、江西CA等，格爾軟件承建了浙江CA、安徽CA、福建CA、云南CA等。由吉大正元承建的CA具備時間戳服務(wù)器架設(shè)，可以在進(jìn)行電子簽名的同時提供時間戳服務(wù)，出于方便工作考慮，河南、湖北等地必然更加傾向于使用吉大正元自帶的非可信時間戳，而格爾軟件承建的浙江、安徽等地CA由于沒有時間戳功能，只能應(yīng)用UTSA的可信時間戳，時間戳的使用也因此呈現(xiàn)出地域化特征。

可信時間戳與非可信時間戳的混用，給實際工作帶來了一些問題：電子文件若只在省內(nèi)流轉(zhuǎn)尚可，一旦有重要電子文件涉及跨省異地備份或向國家專門檔案館移交，電子檔案所含非可信時間戳能否被異地檔案部門所認(rèn)同？非可信時間戳如何跨CA認(rèn)證？專門檔案館面對來自不同地區(qū)、不同CA的海量非可信時間戳，又當(dāng)如何逐一進(jìn)行校驗？電子檔案單套制管理需要盡快出臺可信時間戳的強(qiáng)制性規(guī)范，遏制非可信時間戳的泛濫趨勢，否則未來隨著電子文件規(guī)模的不斷擴(kuò)大，可能會衍化出類似CA的認(rèn)證危機(jī)。

（三）電子簽名歸檔處理方案缺失

有學(xué)者指出：國內(nèi)對如何應(yīng)用電子簽名來增加電子文件或電子檔案可信度的研究較多，歸檔后電子簽名如何處理以符合電子檔案管理要求的研究較少。在紙質(zhì)文件時代，文件與簽名存于紙質(zhì)載體，具有相同的生命周期。而在單套制背景下，電子文件和電子簽名的生命周期不再同步，電子簽名成為獨(dú)立于電子文件之外的一串?dāng)?shù)據(jù)電文，電子文件可以永久保存，電子簽名卻不可能具有相同的認(rèn)證周期。電子文件歸檔后，電子簽名是否也應(yīng)歸檔？電子簽名重新驗證的能力是否需要維護(hù)？

劉越男、楊建梁、張洋洋在文章中對比分析了國內(nèi)外關(guān)于電子簽名歸檔保存的具體方案：美國國家檔案與文件署(NARA)、澳大利亞國家檔案館(NAA)、加拿大圖書與檔案館(LAC)一致表示不會采取任何技術(shù)措施維護(hù)電子簽名的可驗證性。中國在國家層面則尚未頒布專門針對電子簽名文件的歸檔保存指南。

對于紙質(zhì)文件而言，由于文件內(nèi)容和簽名信息依托于物理載體而存在，對紙質(zhì)文件的任何改動，都能輕易通過肉眼識別，文件轉(zhuǎn)化為檔案入庫后，可以通過物理手段防止外界的接觸和篡改。電子文件時代，各式各樣的網(wǎng)絡(luò)攻擊層出不窮，針對電子文件信息的竊取和篡改更加隱秘，難以發(fā)覺。電子簽名是確保電子文件真實可靠性的唯一憑據(jù)，電子文件移交入庫絕不意味著電子簽名使命終結(jié)，單套制背景下更是如此。電子文件面臨的風(fēng)險，不僅源于移交過程中的信息竊取，也包括歸檔入庫后的信息篡改。如不維護(hù)電子簽名重新驗證的能力，館藏電子檔案遭到篡改檔案部門甚至有可能一無所知。

目前維護(hù)電子簽名重新生效的辦法只有兩種：一是簽名到期后由簽名人重新簽名，但有可能碰到簽名人不配合或者歸檔部門撤并的問題；另一種方式是給簽名到期的文件添加時間戳，但這并沒有從根本上解決電子簽名失效的問題，同時也會給檔案部門帶來額外的經(jīng)濟(jì)成本和工作負(fù)擔(dān)。檔案部門應(yīng)當(dāng)對電子簽名的實際價值與維護(hù)成本做出權(quán)衡，盡早出臺電子簽名文件歸檔處理方案。