数字签名
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
规划Office 2010 的数字签名设置
更新:2010 年7 月8 日
您可以使用Microsoft Excel 2010、Microsoft PowerPoint 2010 和Microsoft Word 2010 对文档进行数字签名。还可以使用Excel 2010、Microsoft InfoPath 2010 和Word 2010 添加签名行和签名戳。Microsoft Office 2010 包括XAdES(XML 高级电子签名)支持,这是XML-DSig 标准的一组扩展。最早在2007 Microsoft Office system 中支持此功能。
本文内容:
∙什么是数字签名?
∙数字证书:自签名或者由 CA 颁发
∙使用数字签名
什么是数字签名?
对纸质文档进行手写签名的情况,同样也适用于对文档进行数字签名。通过使用加密算法,数字签名用于帮助对数字信息(如文档、电子邮件和宏)的创建者的身份进行身份验证。
数字签名基于数字证书。数字证书是受信任第三方颁发的身份验证程序,受信任第三方也就是证书颁发机构(CA)。它的作用类似于使用纸质身份证件。例如,受信任第三方,如政府实体或雇主,颁发身份证书—如驾驶证、护照和员工ID 卡—其他人要依靠这些身份证书来验证一个人是否确实是他/她所声明的身份。
数字签名有什么作用
数字签名可帮助确立下列身份验证措施:
∙真实性数字签名及其基础数字证书可帮助确保签名者符合其真实的身份。这样有助于阻止其他人假冒某个证书的原始所有者(相当于伪造纸质证书)。
∙完整性数字签名有助于确保内容在进行数字签名以后未经更改或篡改。这样有助于防止文档在原始所有者不知情的情况下被拦截和更改。
∙不可否认性数字签名有助于向所有各方证明签名内容的来源。―否认‖指签名者否认与签名内容有任何关联的行为。这样可以证明文档的原始所有者就是真正的所有者,而不是任何其他人,无论签名者声称自己的身份是什么。如果签名者不否认其数字密钥,就不能否认对文档的签名,因此,也不能否认用该密钥签名的其他文档。
数字签名的要求
若要建立这些条件,内容创建者必须通过创建满足以下条件的签名来对内容进行数字签名:
∙数字签名有效。受操作系统信任的CA 必须对数字签名所基于的数字证书进行签名。
∙与数字签名关联的证书没有过期,或者包含指示证书在签名时有效的时间戳。
∙与数字签名关联的证书未被注销。
∙签名者或组织(也就是发布者)是受接收者信任的。
Word 2010、Excel 2010 和PowerPoint 2010 为您检测这些条件,如果有数字签名似乎有问题,会向您发出警告。在Office 2010 应用程序中显示的证书任务窗格中可轻松地查看关于有问题的证书的信息。Office 2010 应用程序允许您向同一个文档添加多个数字签名。
公司环境中的数字签名
以下案例说明如何在公司环境中使用文档的数字签名:
1.员工使用Excel 2010 创建费用报表。然后员工创建三个签名行:一个是员工自己的签名行,
一个是经理的签名行,还有一个是会计部门的签名行。这些签名行用于确定该员工是文档的原始所有者,在文档转移到经理和会计部门的过程中文档不会发生更改,并且可以证明经理和会计部门都收到文档并进行了审查。
2.经理收到文档,将她自己的数字签名添加到文档,确认她已经审查并批准文档。然后她将文
档转发给会计部门进行付款。
3.会计部门的工作人员收到文档,然后对其进行签名,确认收到文档。
此示例说明可以将多个签名添加到一个Office 2010 文档。除了数字签名,文档的签名者还可以添加其实际签名的图形,或使用Tablet PC 将签名手写到文档中的签名行。部门可使用一个名为―橡皮章‖的功能,它表示特定部门的某个成员已收到文档。
兼容性问题
Office 2010 与2007 Office system 一样,使用XML-DSig 格式进行数字签名。此外,Office 2010 已添加了对XAdES(XML 高级电子签名)的支持。XAdES 是XML-DSig 的一组分层扩展。其级别基于早期版本,以提供更可靠的数字签名。有关Office 2010 中支持的XAdES 级别的详细信息,请参阅本文后面的使用数字签名。有关XAdES 的详细信息,请参阅XML 高级电子签名 (XAdES)(该链接可能指向英文页面)(/fwlink/?linkid=186631&clcid=0x804)(该链接可能指向英文页面)的规范。
很重要的一点是,要知道Office 2010 中创建的数字签名与早于2007 Office system 的Microsoft Office 版本不兼容。例如,如果文档是使用Office 2010 或2007 Office system 中的应用程序进行签名,并使用安装了Office 兼容包的Microsoft Office 2003 中的应用程序打开,则用户将被告知该文档是用更新版本的Microsoft Office 签名的,而且数字签名将丢失。
下图显示警告,使用Office 早期版本打开文档时将删除数字签名。
另外,如果XAdES 用于Office 2010 中的数字签名,则数字签名不会与2007 Office system 兼容,除非您配置组策略设置―不将XAdES 引用对象包含在指令清单中‖,然后将其设为―禁用‖。有关数字签名组策略设置的详细信息,请参阅本文后面的配置数字签名。
如果您需要Office 2010 中创建的数字签名与Office 2003 及其早期版本兼容,可以配置组策略设置―旧式格式签名‖,然后将其设为―启用‖。此组策略设置位于―用户配置‖\―管理模
板‖\―(ADM\ADMX)‖\―Microsoft Office 2010‖\―签名‖下。此设置设为―启用‖后,Office 2010 应用程序使用Office 2003 二进制格式将数字签名用于Office 2010 中创建的Office 97–2003 二进制文档。
数字证书:自签名或者由CA 颁发
数字证书可以自签名或由组织中的CA 颁发,如运行Active Directory 证书服务的Windows Server 2008 计算机或公共CA,如VeriSign 或Thawte。自签名证书通常由个人以及不希望在其组织中设置公钥基础结构(PKI) 且不希望购买商业证书的小型公司使用。
使用自签名证书的主要缺点是,它只有在您与其他私下认识您并且确信您是文档的实际原始所有者的人交换文档时才有用。使用自签名证书时,没有第三方来验证您的证书的真实性。收到签名文档的每个人都必须手动地确定是否信任您的证书。
对于较大的组织,可以使用两种主要方法来获得数字证书:使用公司PKI 创建的证书和商业证书。希望仅在组织的其他员工中共享签名文档的组织可能更愿意使用公司PKI,以减少成本。希望与组织之外的人共享签名文档的组织可能更愿意使用商业证书。
使用公司PKI 创建的证书
组织可以选择创建自己的PKI。如果是这样,公司将设置一个或多个可为公司内的计算机及用户创建数字证书的证书颁发机构(CA)。与Active Directory 目录服务结合使用时,公司可以创建完整的PKI 解决方案,这样公司管理的所有计算机都安装公司CA 链接,用户和计算机都自动被分配文档的数字证书,以便进行文档签名和加密。从而使公司的所有员工都能自动信任来自公司其他员工的数字证书(因此,信任有效的数字签名)。
有关详细信息,请参阅Active Directory 证书服务
(/fwlink/?linkid=119113&clcid=0x804)。
商业证书
商业证书是从业务范围为销售数字证书的公司购买的。使用商业证书的主要优点是商业证书供应商的根CA 证书自动安装在Windows 操作系统上,从而使那些计算机能自动信任这些CA。与公司PKI 解决方案不同,商业证书允许您与不属于您所在组织的用户共享您的签名文档。