文件签名的意义及在取证中的应用

摘要 本文基本介绍了什么是文件签名，以及适用文件签名后，我们的生活将会发生怎么样的变化。文章的侧重点在于使用文件签名以后，在电子取证中的意义与应用

关键字：文件签名，电子取证，电子签名法，网络安全

引言 如果有一天，各个领域的电子合同完全取代纸质合同，我们的生活将发生哪些变 化.....如今，我们已经严重依赖互联网络，互联网已经渗透进工作、生活的各个角落，随着需求的兴起，网银交易、网上购物、电子商务、电子病例、外贸管理等等这些网上的行为方式实际上已经改变了我们的生活和工作模式。

问题的提出 可以想象，有一天我们的纸质合同将可能被电子合同取代，相关的手工盖章和签字也将转变 为电子签名。然而随之也带来了可信身份确认、 操作行为的防抵赖性、纠纷以及犯罪行为的 取证调查等诸多问题。与此同时，随着相关 司法案件越来越多，对数字取证的需求也越 来越强烈，目前看来最好的解决办法就是数 字证书。其实我们对数字证书的一般理解是 安全作用，但渐渐的无论 IT 界还是法律界的专家都越发认为数字证书的法律效力已经到了不容忽视的地步。

分析问题 要讨论文件签名，首先要解决的问题是什么是文件签名。经过百度百科的查询所谓文件签名就是文件的数字签名，是加密技术中不可缺少的一种技术

　　提到数字签名就离不开公开密码系统和散列技术。

其基本协议 ：

　　(1) A 用他的私钥对文件加密，从而对文件签名。

　　(2) A 将签名的文件传给B。

　　(3) B用A的公钥解密文件，从而验证签名。

　　这个协议中，只需要证明A的公钥的确是他的。如果B不能完成第（3）步，那么他知道签名是无效的。

　　这个协议也满足以下特征：

　　(1) 签名是可信的。当B用A的公钥验证信息时，他知道是由A签名的。

　　(2) 签名是不可伪造的。只有A知道她的私钥。

　　(3) 签名是不可重用的。签名是文件的函数，并且不可能转换成另外的文件。

　　(4) 被签名的文件是不可改变的。如果文件有任何改变，文件就不可能用A的公钥验证。

　　(5) 签名是不可抵赖的。B不用A的帮助就能验证A的签名。

　　在实际应用中，因为公共密码算法的速度太慢，签名者往往是对消息的散列签名而不是对消息本身签名。这样做并不会降低签名的可信性。

在理论上，数字签名技术是成熟的，但是将数字签名应用与实际的生活，又是怎样实现其法律效力的呢？

1、数字证书如何实现法律效力 《中华人民共和国电子签名法》（以下简称《电子签名法》）在 2004 年的颁布解决 了一个大问题，把互联网世界的行为、实体和现实世界对应了起来。《电子签名法》通过给现实世界的人或相应设备、主体发放电子身份证，实现了现实世界和虚拟世界中主体的对应，同时，《电子签名法》有一个很核心的思想，明确了电子化数据（包括电子记录）可以作为法律认可的证据。

《电子签名法》的实施确定了电子签名的法律效力，确立了认证服务机构的法律地位和市场准入制度，增强了网上交易的信用，为网络信任体系建设奠定了基本的法律基础。只要在互联网上有过操作，包括留下一些痕迹或记录，通过一些方式抽取或者追查的记录，就可以作为行为的证据。

《电子签名法》里有一个比较明确的约定，就是说明什么样的数据和记录可以作为法律的有效证据。同时，针对电子签名，也做了比较切实的约定，比如满足一定条件的电子签名跟手写签名具有同等的法律效力，即在互联网世界，电子化的数据放上可靠的电子签名后跟手写签名具有同等的法律效力，也就是说， 只要做了可靠的电子签名，就可以把这些数据或者记录作为法律证据。

《电子签名法》对可靠电子签名又做了相应的约定，不是任何一个电子签名都是有效的，要做到可靠有4个方面的规定：一是这种电子签名的专有性，即做电子签名的， 要么是个人主体，要么是机构主体自身，这是容易保证的；二是这种电子签名，自己要能做到直接可控；三是对于电子签名本身，如果发生修改时，通过一种方式能够很快辨别出来，可以很容易知道并应对；四是如果对数据或文档做过电子签名，一旦发生被改变，可以检查出来。这4点实际上对应到现实世界也是一样的，比如签上自己的名字，别人没办法模仿，这是自己特有的签字习惯，是自己可以控制的。所以在《电子签名法》 里约定，如果满足这 4 个条件就是可靠的电子签名，一旦签了可靠的电子签名，这一电子数据就可以作为有效的法律证据来出示，即便将来出现纠纷或者打官司，只要加载可靠电子签名的数据，就是具有法律 效力的电子证据。《电子签名法》比较明确地约定了这一点。

2000 年实际上是网络比较发达的时候，但同时也是网络泡沫的时候，那时，有很多电子商务平台或网站建立起来，在做这些交易的时候，实际上存在很多安全风险，这些安全风险怎么解决？在防火墙技术、检测技术之外，还有更重要的一个需求，那就是在网络上怎样对某一个人的身份进行确认，或者怎样对其行为操作进行抗抵赖，采取哪些相应的防抵赖手段，那时这种需求还是比较大的。

相对来说，目前依据国家《电子认证服务管理办法》，一些具有认证资格的公司面向公众提供第三方电子认证服务。 实现可靠电子签名有 4 个约定，目前电子签名在技术上有很多种，比如指纹技术、密码技术，还有一些其他方面的技术， 但目前在国内外比较通行的技术就是密码运算。这些技术实际上有一个专业术语—PKI CA 技术，通过发放“电子身份证”——— 数字证书，带着相应的密码运算，能够解决电子签名的 4 个特定要求。基于这个技术，提供了发放“电子身份证” 的服务，通过有效的途径或方式把证书发给用户，首先可以确保这个证书是用户自己持有的，其次是自己可以控制的，第三，这个证书本身带着密码运算，可以保证用户所做的第一次电子 签名是自己的行为。发给用户之后，除非在用户授权的范围， 别人不可能使用。用户用数字证书去对一个文档做签名的时候， 签名本身会留下痕迹，如果签名本身被别人假冒或者修改，通过这个密码运算的技术，对方很容易就能辨别出来。

具有认证资格的公司就是给用户发基于密码技术的电子化身份证，这 些电子化的身份证有相应的一些功能，可以判断虚拟世界中的用户身份，也可以对电子文档做数字签名。举个简单的例子，比如传统意义上的公司盖章，这个章是要由特定部门发的，那么这些公司网上发一个同样的“章”。现实中的纸质文档盖章以后，又对文档做了修改，司法鉴定可以鉴定出来，也可通过特定的机构进行鉴证，但会经过比较复杂的程序。在电子世界，这个鉴定过程相对来说就变得比较简单，通过一套标准的电子取证技术很容易就能辨别出来。

2.电子签名如何取证和保存数据

计算机取证实际上范围比较广，电子签名取证属于计算机 取证里的一个重要部分，就是做的电子签名要有法律效力，来提供这方面的取证服务。比如，用甲方的数字证书，对某个电子文件签完名后交给乙方，乙方点击那个电子签名，自动进行验证，即点击时，通过签章工具很容易看到这个名是谁签的， 签的信息是哪一段，电子签名本身以及所签的信息有没有被别人篡改过，很容易就能够被发现。

电子签名的取证实际上是要解决 4 个方面的问题：文件的真实性、文件本身内容的真实性、文件内容有没有被篡改、防止抵赖的行为。这 4 个问题可以用电子签名的技术去实现。在互联网上做任何操作，只要它是关键的、敏感的操作，加载上电子签名，都可以被保存，同时操作或留下的痕迹都具有法律效力。 一般的取证环节有：

一是事前环节，就是为用户提供签名工具的环节和服务，要做电子签名如果没有相应的工具是没办法做的，而一些有资格的认证公司可以提供。事前的环节就是给用户发一个电子身份证，用户用这个电子身份证和相应的工具，对电子文档做电子签名。

二是服务环节，实际上就是用户对文件签名的过程。比如用户已经对电子文档产生电子签名，但是这个电子签名怎么传输给业务合作的对方？如何保存起来？会有跟行为相应的工具，可以为实体用户提供相应的工具、接口、技术支撑，更关键的是产生了这些电子签名后，用户可能传输了，最后电子签 名的结果保存在什么地方。第三方电子签名数据的保全系统，就是做了电子签名，用户可以再通过一个安全途径，传到第三方，第三方帮助保存起 来。同时，在用户传来相关信息时，会做一个数字封装，第三方看不到信息的明文和暗文，只有取证的时候才能看出来。

三是记录环节，就是用户传来信息时，第三方会加一个时间标记，比如什么时候传递的，传的信息大概是什么样，谁传过来的，保存的时间多长等等，会做一个记录，给用户保存起来。

四是事后取证过程的服务环节，目前取证服务有两种，一方面是对电子签名提供取证服务，另一方面是用户使用取证工具，在应用系统里做了电子化的签名，一些具有取证资格的单位可以提供工具和相应的人员在电子签名的应用系统里做取证的工作，然后依据用户保全在第三方认证公司的数据中心的这些记录，做相应的梳理和分析工作，最后作出相应的报告。这种可信的电子支撑系统跟以前的IDS或防火墙等所做的分 析有什么不同呢？最大的区别在于两点：一 是这种技术本身是基于《电子签名法》的一些规定所产生的，或者说取证的这些信息，将来可以得到法律上的认可。二是，比如 防火墙、IDS 分析，其实是更具体的一种，而且做起来更容易， 比如分析防火墙的信息，要对硬盘进行还原等等这些手段也可以提取一些证据，但工作量或所做的操作时间会更长，而如果加载了电子签名，则之后对电子签名本身去做取证，会变得非常容易。

结论与展望

电子认证服务的国内外应用情况：电子认证服务的用户范围，包括全国范围电子商务方面的，比如支付宝、阿里巴巴、方正、视频网、商务网站；还有一些行业用户，包括网银、 证券期货、电子政务等，目前的用户已经涵盖个人、企业、机构、 网站等诸多方面，有效用户现在有15万左右。还有10万左右是试用用户或免费用户。

传统意义上供应商与经销商之间的订单是通过传真的方式，做起来很麻烦，所以这家公司全部改成了网上模式，经销商只需要用第三方发的电子证书，对自己的订单做一个电子签名，在网上发给供应商，供应商就可以按照这个电子订单供货了。同时，有了电子签名以后，就可以确保这个订单是真实有效的， 经销商不能否认与抵赖。供应商就对某个经销商有取证的需求，经销商下的订单，是不是有效的？是不是确实是经销商自己的行为？或者订单本身的内容有没有被别 篡改过？目前很多企业里面都存在这方面的应用和需求。另外，相关的一些机构，比如税务、工商到企业查帐、查税时，传统意义上只针对纸质合同，随着电子化的普及，这类取证趋势也是必然的。

国外20 世纪80年代计算机取证就已经很普及了，国外对于计算机系统的普及使用和依赖比我国早。我国电子信息化发展确实也很快，但完全依赖于信息系统还不是大多数，比如我国现在税票还是纸质的，但是国外已经电子化了，我们的一些病例现在虽然开始变成电子病例了，但是以前的病例一定是纸质的，只有纸质的才有法律效力，应用起来电子化的工具还不是特别多。同样，工商做检查的时候，还要看纸质的合同，电子化的还没有用起来，所以这种取证的需求发展比较慢，但随着需求的驱动，电子签名取证的需求也越来越紧迫、越来越明确，比如对目前最 大的一块—网银的取证，现阶段还不是很完善。针对数字签名的取证国内还比较少。尽管数字证书目前已经广泛应用于报税、报关、外贸管理、 网络银行、网上证券、网上支付、电子病例等政务、商务、生 活的各个领域，并具有广阔的前景。但不可否认，针对数字签名的取证，目前国内提供的还比较少，这也是一个新兴业务。 国内有很多公司已经提供计算机取证方面的服务，比如司法机构方面也有很多授牌的数据恢复中心，电子数据鉴定中心也有很多，但他们的取证都很广，大部分是对电子数据做比如痕迹的审查、追踪等等，针对电子签名的取证目前还是比较少的。原因应归结为电子签名的应用，虽然《电子签名法》已经颁布 了 5 年，但是对《电子签名法》的应用还没有完全普及起来， 目前可以看到，网上银行、支付宝、资讯网这类网站使用电子 签名较多，但是更多的一些网站、平台实际上还没有加载电子 签名，导致对这种基于电子签名本身的取证需求还不多。

随着我国法律法规的健全，比如《电子签名法》相应配套 法规的健全，《电子签名法》相应主管部门对电子认证、电子签 名的普及和推广，更多的人会明白它的意义。从目前来看，现在 的应用环境比 5 年前好了很多，只是用这个工具，大家现在看到 的作用仅仅还是一部分，还没有看到安全背后的法律效力这个方 面。

很多用户，包括企业用户、个人用户，一旦看到用数字证书 所做的电子签名，在能够保障安全的同时，还能保证用户的行为受到法律保护，那时候会有更多的人用，对于数字证书取证的需求就会更多。目前我国对于电子签名的取证已经有了一些服务业 务，但是更多的还是在前期的探索阶段，主管部门和一些公司围绕着电子签名本身，以及电子签名的取证问题，也进行着相应的研究，并做着国家课题。有一个课题就是对可信电子记录的一个支撑系统，这个支撑系统做好之后，用户拿过去把自己的系统和第三方的系统一对接，那么用户系统上做的所有行为，或者传输 的一些数据，都可以加载上电子签名，之后，这个可信电子记录支撑系统会把相应的电子签名的一些证据信息保存起来，当将来 出现纠纷时，可以作为法律认可的证据。

文件签名的意义及在取证中的作用