中国电子签名法以及相关规定
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PKI/CA提供的数字签名服务,可以满足其要求
6
数据电文的发送
数据电文有下列情形之一的,视为发件人发送:
经发件人授权发送的 发件人的信息系统自动发送的
病毒、木马等等,都可认为是发件人发送?
收件人按照发件人认可的方法对数据电文进行验证后结果相符的
病毒、木马发送的数字签名,也可以通过验证? 盗窃私钥的数字签名,也可以通过验证?
不一定是使用PKI。例如,PGP的方式、对于对称密码设备进行一定改造,也可以
8
使用PKI/CA的电子签名
PKI/CA在《电子签名法》中的描述是:
电子签名需要第三方认证的,由依法设立的电子认证服务提 供者提供认证服务
CPS方面-CA应该有完整的CPS
电子认证服务提供者应当制定、公布符合国家有关规定的电 子认证业务规则,并向国务院信息产业主管部门备案。
4
有效的数据电文
数据电文,在《电子签名法》也就是指包含有电子签名 的数据信息
能够有效地表现所载内容并可供随时调取查用 能够可靠地保证自最终形成《电子签名法》中,并没有强制性地要求使用第三方 认证服务(也就是CA)
具有一定的技术中立性
但是,就目前而言,能够很好地满足《电子签名法》要求的, 就应该使用非对称密码算法
也就是说,签名人应该及时申请撤销证书。
10
CA的责任
电子签名人或者电子签名依赖方因依据电子认证服务提 供者提供的电子签名认证服务从事民事活动遭受损失, 电子认证服务提供者不能证明自己无过错的,承担赔偿 责任。
11
安全技术、管理的相关规定
《电子签名法》对于CA的要求:
具有符合国家安全标准的技术和设备; 具有国家密码管理机构同意使用密码的证明文件; 从事电子认证服务,应当向国务院信息产业主管部门提出申请
3
电子签名法
《电子签名法》适用范围
民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用 或者不使用电子签名、数据电文。
当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子 签名、数据电文的形式而否定其法律效力。
前款规定不适用下列文书:
涉及婚姻、收养、继承等人身关系的; 涉及土地、房屋等不动产权益转让的; 涉及停止供水、供热、供气、供电等公用事业服务的; 法律、行政法规规定的不适用电子文书的其他情形。
相应规定
国家密码管理局《电子认证服务密码管理办法》 信息产业部《电子认证服务管理办法》
12
《电子认证服务密码管理办法》
主要是从密码管理、安全技术方面进行规定 国家密码管理局
电子认证服务系统使用商用密码。
使用商用密码,就要遵守商用密码的各种规定
具有符合《证书认证系统密码及其相关安全技术规范》的电子认证服 务系统
PKI技术
双证书体系
我们知道,双证书体系的出现,其重要的原因是因为法 律、法规要求
用户的需求比较小
用户可能会要求Key Recovery 完全可以自行备份
下面,简单介绍中国与PKI/CA相关的法律法规
2
中国的主要相关规定
中华人民共和国电子签名法 国家密码管理局《电子认证服务密码管理办法》 信息产业部《电子认证服务管理办法》
电子认证业务规则应当包括责任范围、作业操作规范、信息 安全保障措施等事项。
9
关于撤销
电子签名人知悉电子签名制作数据已经失密或者可能已经失密,
未及时告知有关各方、并终止使用电子签名制作数据, 未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他
过错, 给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
当事人对前款规定的事项另有约定的,从其约定。
幸好还可以另有约定。呵呵
7
电子签名
可靠的电子签名
电子签名制作数据用于电子签名时,属于电子签名人专有 签署时电子签名制作数据仅由电子签名人控制
与发送规定不一样,病毒代为发送是有效的发送? 病毒代为签名,则是无效的签名?
签署后对电子签名的任何改动能够被发现 签署后对数据电文内容和形式的任何改动能被发现 可以选择使用符合其约定的可靠条件的电子签名
14
《电子认证服务管理办法》
电子认证服务机构应当保证提供下列服务:
制作、签发、管理电子签名认证证书; 确认签发的电子签名认证证书的真实性; 提供电子签名认证证书目录信息查询服务; 提供电子签名认证证书状态信息查询服务。
15
PKI技术
系统由具有商用密码产品生产资质的单位承建; 系统采用的商用密码产品是国家密码管理局认定的产品; 系统通过国家密码管理局安全性审查。
13
《电子认证服务管理办法》
信息产业部
具有独立的企业法人资格; 从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和
客户服务人员不少于三十名; 注册资金不低于人民币三千万元; 具有固定的经营场所和满足电子认证服务要求的物理环境; 具有符合国家有关安全标准的技术和设备; 具有国家密码管理机构同意使用密码的证明文件; 法律、行政法规规定的其他条件。
6
数据电文的发送
数据电文有下列情形之一的,视为发件人发送:
经发件人授权发送的 发件人的信息系统自动发送的
病毒、木马等等,都可认为是发件人发送?
收件人按照发件人认可的方法对数据电文进行验证后结果相符的
病毒、木马发送的数字签名,也可以通过验证? 盗窃私钥的数字签名,也可以通过验证?
不一定是使用PKI。例如,PGP的方式、对于对称密码设备进行一定改造,也可以
8
使用PKI/CA的电子签名
PKI/CA在《电子签名法》中的描述是:
电子签名需要第三方认证的,由依法设立的电子认证服务提 供者提供认证服务
CPS方面-CA应该有完整的CPS
电子认证服务提供者应当制定、公布符合国家有关规定的电 子认证业务规则,并向国务院信息产业主管部门备案。
4
有效的数据电文
数据电文,在《电子签名法》也就是指包含有电子签名 的数据信息
能够有效地表现所载内容并可供随时调取查用 能够可靠地保证自最终形成《电子签名法》中,并没有强制性地要求使用第三方 认证服务(也就是CA)
具有一定的技术中立性
但是,就目前而言,能够很好地满足《电子签名法》要求的, 就应该使用非对称密码算法
也就是说,签名人应该及时申请撤销证书。
10
CA的责任
电子签名人或者电子签名依赖方因依据电子认证服务提 供者提供的电子签名认证服务从事民事活动遭受损失, 电子认证服务提供者不能证明自己无过错的,承担赔偿 责任。
11
安全技术、管理的相关规定
《电子签名法》对于CA的要求:
具有符合国家安全标准的技术和设备; 具有国家密码管理机构同意使用密码的证明文件; 从事电子认证服务,应当向国务院信息产业主管部门提出申请
3
电子签名法
《电子签名法》适用范围
民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用 或者不使用电子签名、数据电文。
当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子 签名、数据电文的形式而否定其法律效力。
前款规定不适用下列文书:
涉及婚姻、收养、继承等人身关系的; 涉及土地、房屋等不动产权益转让的; 涉及停止供水、供热、供气、供电等公用事业服务的; 法律、行政法规规定的不适用电子文书的其他情形。
相应规定
国家密码管理局《电子认证服务密码管理办法》 信息产业部《电子认证服务管理办法》
12
《电子认证服务密码管理办法》
主要是从密码管理、安全技术方面进行规定 国家密码管理局
电子认证服务系统使用商用密码。
使用商用密码,就要遵守商用密码的各种规定
具有符合《证书认证系统密码及其相关安全技术规范》的电子认证服 务系统
PKI技术
双证书体系
我们知道,双证书体系的出现,其重要的原因是因为法 律、法规要求
用户的需求比较小
用户可能会要求Key Recovery 完全可以自行备份
下面,简单介绍中国与PKI/CA相关的法律法规
2
中国的主要相关规定
中华人民共和国电子签名法 国家密码管理局《电子认证服务密码管理办法》 信息产业部《电子认证服务管理办法》
电子认证业务规则应当包括责任范围、作业操作规范、信息 安全保障措施等事项。
9
关于撤销
电子签名人知悉电子签名制作数据已经失密或者可能已经失密,
未及时告知有关各方、并终止使用电子签名制作数据, 未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他
过错, 给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
当事人对前款规定的事项另有约定的,从其约定。
幸好还可以另有约定。呵呵
7
电子签名
可靠的电子签名
电子签名制作数据用于电子签名时,属于电子签名人专有 签署时电子签名制作数据仅由电子签名人控制
与发送规定不一样,病毒代为发送是有效的发送? 病毒代为签名,则是无效的签名?
签署后对电子签名的任何改动能够被发现 签署后对数据电文内容和形式的任何改动能被发现 可以选择使用符合其约定的可靠条件的电子签名
14
《电子认证服务管理办法》
电子认证服务机构应当保证提供下列服务:
制作、签发、管理电子签名认证证书; 确认签发的电子签名认证证书的真实性; 提供电子签名认证证书目录信息查询服务; 提供电子签名认证证书状态信息查询服务。
15
PKI技术
系统由具有商用密码产品生产资质的单位承建; 系统采用的商用密码产品是国家密码管理局认定的产品; 系统通过国家密码管理局安全性审查。
13
《电子认证服务管理办法》
信息产业部
具有独立的企业法人资格; 从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和
客户服务人员不少于三十名; 注册资金不低于人民币三千万元; 具有固定的经营场所和满足电子认证服务要求的物理环境; 具有符合国家有关安全标准的技术和设备; 具有国家密码管理机构同意使用密码的证明文件; 法律、行政法规规定的其他条件。