數字印章技術 (轉)

數字印章技術 (轉)[@more@]

數字印章技術:namespace prefix = o ns = "urn:schemas--com::office" />

 

為了鑑別或書信的真偽，傳統的做法是相關人員在檔案或書信上親筆簽名或印章。它們起到，核准，生效的作用。一般地印章能夠滿足以下五個原則：

（1）  印章是可以被確認的。即當檔案上有你的印章時，別人確信這個檔案是經你發出的；

（2）  印章是無法偽造的，即印章是蓋章者的憑證；

（3）  印章是無法被重複使用的，即任何人無法用你在別處的印章挪到該檔案；

（4）  檔案被蓋章後是無法被篡改的；

（5）  印章具有不可否認性，即蓋章者無法否認自己在檔案上的蓋章行為。

 

事實上這幾條都無法被100%滿足。手寫簽名和印章都是可以被偽造的，可以從一個檔案移到另一個檔案上，蓋章後的檔案也可以被篡改。我們本能上希望這些作弊手段的實施都困難重重，而且易被發現。但實際的情況是除手寫簽名的仿造還具有一定難度外，印章的仿造已經變成一件小學生都可以輕而易舉完成的事情了。針對國內大量習慣於用蓋章來確認檔案真偽的使用方式，如何防止印章偽造是一個巨大的現實問題。

  目前在印章刻制、使用上的種種管理和限制措施都是捨本逐末的方法。未來唯一可行的出路就是採取“數字簽名”技術。

 

數字簽名

 

¨  概念

 

  在數字簽名技術出現之前，曾經出現過一種“數字化簽名”技術，簡單地說就是在手寫板上簽名，然後將影像傳輸到電子文件中，這種“數字化簽名”可以被剪下，然後貼上到任意文件上，這樣複製變得非常容易，所以這種簽名的方式是不的。數字簽名技術與數字化簽名技術是兩種截然不同的安全技術，數字簽名與的姓名和手寫簽名形式毫無關係，它實際使用了資訊傳送者的私有金鑰變換所需傳輸的資訊。對於不同的文件資訊，傳送者的數字簽名並不相同。沒有私有金鑰,任何人都無法完成非法複製。從這個意義上來說，“數字簽名”是透過一個單向對要傳送的報文進行處理得到的，用以認證報文來源並核實報文是否發生變化的一個字母數字串。

該技術在具體工作時，首先傳送方對資訊施以數學變換，所得的資訊與原資訊惟一對應；在接收方進行逆變換，得到原始資訊。只要數學變換方法優良，變換後的資訊在傳輸中就具有很強的安全性，很難被破譯、篡改。這一個過程稱為，對應的反變換過程稱為。

現在有兩類不同的加密技術，一類是對稱加密，雙方具有共享的金鑰,只有在雙方都知道金鑰的情況下才能使用，通常應用於孤立的環境之中，比如在使用自動取款機（ATM）時，使用者需要輸入使用者識別號碼（PIN），銀行確認這個號碼後，雙方在獲得密碼的基礎上進行交易，如果使用者數目過多，超過了可以管理的範圍時，這種機制並不可靠。

另一類是非對稱加密，也稱為公開金鑰加密，金鑰是由公開金鑰和私有金鑰組成的金鑰對，用私有金鑰進行加密，利用公開金鑰可以進行解密，但是由於公開金鑰無法推算出私有金鑰，所以公開的金鑰並不會損害私有金鑰的安全，公開金鑰無須保密，可以公開傳播，而私有金鑰必須保密，丟失時需要報告鑑定中心及。

 

¨  功能

 

顧名思義，與“手寫簽名”類似，數字簽名也具有上述的五大特徵，可以解決否認、偽造、篡改及冒充等問題。具體的實施要求是：傳送者事後不能否認傳送的報文簽名、接收者能夠核實傳送者傳送的報文簽名、接收者不能偽造傳送者的報文簽名、接收者不能對傳送者的報文進行部分篡改、中的某一使用者不能冒充另一使用者作為傳送者或接收者。

因此數字簽名的應用範圍十分廣泛，在保障電子資料（EDI）的安全性上是一個突破性的進展，凡是需要對使用者的身份進行判斷的情況都可以使用數字簽名，比如加密信件、商務信函、定貨購買、金融交易、自動處理等等。

數字簽名的引入過程中不可避免地會帶來一些新問題，需要進一步加以解決，數字簽名需要相關法律條文的支援。 

（1）  需要立法機構對數字簽名技術有足夠的重視，並且在立法上加快腳步，迅速制定有關法律，以充分實現數字簽名具有的特殊鑑別作用，有力地推動電子商務以及其他網上事務的發展。

（2）  如果傳送方的資訊已經進行了數字簽名，那麼接收方就一定要有數字簽名，這就要求軟體具有很高的普及性。

（3）  假設某人傳送資訊後脫離了某個組織，被取消了原有數字簽名的，以往傳送的數字簽名在鑑定時只能在取消確認列表中找到原有確認資訊，這樣就需要鑑定中心結合時間資訊進行鑑定。

（4）  基礎設施（鑑定中心、線上存取資料庫等）的費用，是採用公共資金還是在使用期內向使用者收費？如果在使用期內收費，會不會影響到這項技術的全面推廣？

 

¨  實施

 

實現數字簽名有很多方法，目前採用較多的是非對稱加密技術和對稱加密技術。雖然這兩種技術實施步驟不盡相同，但大體的工作是一樣的。 使用者首先可以或者購買數字簽名軟體，然後在個人上。在產生金鑰對後，軟體自動向外界傳送公開金鑰。由於公共金鑰的需要，所以需要建立一個鑑定中心（CA）完成個人資訊及其金鑰的確定工作。鑑定中心是一個政府參與管理的第三方成員，以便保證資訊的安全和集中管理。使用者在獲取公開金鑰時，首先向鑑定中心請求數字確認，鑑定中心確認使用者身份後，發出數字確認，同時鑑定中心向資料庫傳送確認資訊。然後使用者使用私有金鑰對所傳資訊簽名，保證資訊的完整性、真實性，也使傳送方無法否認資訊的傳送，之後發向接收方；接收方接收到資訊後，使用公開金鑰確認數字簽名，進入資料庫檢查使用者確認資訊的狀況和可信度；最後資料庫向接收方返回使用者確認狀態資訊。不過，在使用這種技術時，簽名者必須注意保護好私有金鑰，因為它是公開金鑰體系安全的重要基礎。如果金鑰丟失，應該立即報告鑑定中心取消認證，將其列入確認取消列表之中。其次，鑑定中心必須能夠迅速確認使用者的身份及其金鑰的關係。一旦接收到使用者請求，鑑定中心要立即認證資訊的安全性並返回資訊。

目前我國數字簽名的應用並沒有達到“人儘可用”的地步，至少我還沒有把這玩意用到生活中，諸位有誰在發電子時使用數字簽名嗎？或者是否聽說過著名的PGP？

但是可以預見的是，隨著Inte對人們生活的逐步滲透，數字簽名的普及是遲早的事，尤其是用於商業，所有在商業中需要手動簽名、蓋章的地方，都可以用到數字簽名，而且很多地方你還不得不用，比如電子資料交換EDI，美國政府用EDI來購物並提供服務，在這種情況下，好像手寫簽名就不靈了。

美國在2000年已經透過數字簽名法，我國正在草擬有關數字簽名法案，可以說數字簽名在我們國家的未來就是它在美國現在的樣子。目前1024位RSA演算法的安全性已經足夠高了，截至目前還沒有哪個組織聲稱能夠該長度的金鑰。

 

 

印章中的數字簽名

 

雖然數字世界中的“數字簽名技術”已經具有足夠高的安全性了，破解一個512位元長度的金鑰估計要耗盡100個博士的腦髓（JUST KIDDING），但是普通印章就不是這麼回事了。任何一個有手的人，似乎都可以找個蘿蔔，刻製出象模象樣的印章出來（不知諸位是否嘗試過？）,如同中關村大街上隨處可見的大嫂們所宣稱的。

目前國內有種種防止印章偽造的方法，比如在印章設計方面有：改變標準字型的某些特徵；或增設隨機點、網紋，在環線上，隨機或按錶盤時針指點的位置設定缺口並可編碼；或增設一體的或分體的隱形程式碼、條形碼、暗記，甚至指紋、照片與密碼等等。在印油與印泥防偽方面，則使用熒光防偽印油印泥等。

但是說老實話，這些措施只能看成是皇帝的新衣，瞞得了君子，瞞不住小孩。目前印章偽造現象的泛濫，主管部門似乎也是束手無策，不外乎做做表面文章，搞得刻一個普通章子也需要刻章人好心地勸你去公安局報到後再說。

既然這樣，那麼一個很自然的想法就是我們實際上可以將“數字簽名”應用到普通印章上，也就是常說的“數字印章”的實現方法，其原理就是利用數字簽名的不可偽造性來保證防偽技術的安全性。

“數字印章”的實施，可以克服目前的數字簽名技術只能應用於電子檔案，對普通檔案則無能為力的缺點。在目前電子商務還不普及的情況下，大多數的正規文件和仍然需要物理性質的蓋章，這使得數字簽名的應用收到了極大的限制。一個可行的解決方案就是利用數字水印技術將數字簽名無縫地融合到“數字印章”中，從而使得“數字簽名”以數字或紙質形態存在與檔案之上。

那麼技術上面臨的問題是如何保證數字簽名資訊能夠在影像失真、文件的列印、掃描、傳輸過程中保持完整，換句話說，就是如何使得所應用的數字水印演算法具有較高的魯棒性（ROBUSTNESS,就是健壯的意思）。從原理上講，如果技術路線可行的話，那麼在“數字簽名法案”得以實施的今天，我們能實現列印和傳真的檔案與源件（所謂的紅標頭檔案啦）一樣具有法律效力。

從這點上講，印章中的數字簽名保證了傳統印章的安全性。

就羅嗦這麼多了，算是拋磚引玉，一家之言。

 

 

HUNNISH

阿須數碼