| 计世网综合消息 很难说为什么,人们总是对当下发生的事比较漠然,就像电子签名法的通过,大多数人今天的态度可能是:看不出它同自己有什么关系。但 相信若干年之后,我们中的大多数一定能够体会到,“世界因它而改变”。 前不久,有报道说,中国科技大学少年班的学生马蕾蕾,抢先从信箱里窃取了另外一名同学获得的美国明尼苏达大学入学邀请信,然后用E-mail与美国校方联系,以同学的名义拒绝了留学邀请,同时推荐了自己。其同学因迟迟没有收到正式邀请,于是发信询问美国校方,才发现自己被人冒名了。 此事一出,立刻在网上掀起了有关道德教育的探讨。但有一点,却被很多人忽略掉,那就是如何从技术角度防范网络冒名。对同一系统中的人来说,冒名发送电子邮件是一件再容易不过的事情,要杜绝此类事件,电子签名无疑是目前最有效,也最可行的解决之道。只要每个人都在网上进行身份认证,在发送重要信函的时候,利用电子签名证明自己的身份,冒名顶替的事情自然也就很难发生。 网络上有太多地方需要我们步步为营。从投递简历到企业签约,从军事信息传送到政府签发公文,有哪个能承担得起被窥探与篡改的风险?甚至于业务报告的提交,如果不幸被某个不良同事窃取,同样会令人痛心疾首。 不少小额网络消费现在是通过手机划账的,但有哪一次,在划账之前,消费者做过确认?每每月底结算时,你会发现自己的手机账单中,多了几笔无头账,追根究底浪费不起时间,一笔带过,又心有怀疑:不会有账目划错了吧,我不记得有过这么多消费呀。电信公司也有话说:我们也没办法,作为用户,有几个是有电子签名让我们确认的? 看看左右,有太多的地方需要电子签名来为我们的网上行为保驾护航。 世界因你而改变 地产大亨潘石屹说,电子签名法通过后,估计北京就不堵车了。 这个联想很有趣,也很贴切。如果你采访跑在路上的开车人,十个估计有五个会说自己是去银行办交涉,或是去工商税务办手续。设想一下,如果所有这些商业活动,全部在网络上进行,只须操作几下键盘就可完成,还会有谁愿意奔波于大街小巷?电子签名法的通过,给了我们这样一个基础,理论上允许我们把原本需要面对面的商业活动,全部挪转到网络上。 这首先会帮助我们节省大量时间。书生电子公司副总裁韩庆军举了这样一个例子,一个企业要进行法人变更,需要所有董事签名,然后递交工商部门审核处理。如果按照过去的方式办理,可能要几个星期甚至几个月才能完成。因为一般来说,企业的董事很有可能出差在外,要凑齐这些人的签名,不是一件容易的事。但如果利用电子签名,问题将变得很简单,每位董事只需通过网络递交自己的签名就可以。收集全部签名,估计用不了半小时。天威诚信副总裁李延昭说:“纯粹通过网络签合同,与传统方式相比,成本可以降低很多。单从时间上看,过去签一份合同,来来回回可能要十几天,现在只需要半个小时就可以搞定。2003年,联想开始在上下游供应商范围应用电子签名,事实证明,使用后运营成本,尤其是时间成本显著降低。”  电子签名也将简化很多业务手续。包括给个人生活带来很大便利。经常会听到同事说,今天要去趟银行交房贷,明天要去保险公司交车险;抛开时间上的浪费不说,单就那份麻烦,就已经让人心烦意乱。如果利用电子签名,在网上进行转账,将使一切变得很方便,当然前提是一切的网上活动有据可查,有法可依。在电子签名法通过之前,其实很多银行已经提供了网上转账服务,但大多数银行为用户发放的数字证书是银行自己签发。需要注意的是,这种类型的证书得不到法律的保护。对银行来说,转由第三方为用户发放数字证书,将是其下一步必然的选择。 电子签名还可以使我们的业务更安全,也更有章可循。每天有关网络病毒、垃圾邮件的消息层出不穷,让人对网络缺乏信任感。但不要忘了,网下伪造图章和签名的事件也时有发生。而电子签名因为有着极为严密的加密过程,它使得任何仿造和截取变得非常困难,可以很好地杜绝各种伪造案件的发生。 通过电子签名,一些口头约定与确认,也可以变得有章可循。例如一家航空售票公司,目前大约有几万个会员。业务量很大,但承担的风险也不小。常有会员订了票,最后又取消掉,因为只是电话和网上订单,违约责任不好确定。结果。这家会员公司只好自己来承担违约责任,单单违约金一笔,该公司每个月就要损失几十万元。电子签名法出台后,这家公司非常兴奋,表示要建立一套会员的电子签名体系,到时要求会员今后全部用电子签名来确认订单,一旦出了问题,就可以要求违约者自己承担责任。 应用之开篇 经典时空CEO刘谊昌说,电子签名从本质上讲,就是信任机制的传递。 理论上讲,有了电子签名,一切网下商业活动,都可以转移到网络上来。现在已经或将要应用的领域,无疑只能算作是大海中的一朵小浪花。下面就让我们看看已经应用电子签名的领域有哪些。 应用一 电子合同 在电子签名法出台之后,网上签合同成为被讨论最多的应用。不少用户表示,自己会首先在上下游供应商之间,建立电子签名体系,完成电子合同的签订。 其实早在电子签名法出台之前,很多企业就已建立了自己的电子商务应用体系,如MIS系统和CRM系统。但因为没有法律保障,大多企业采用的是网上网下两套体系,网上发挥的仅仅是传递信息的作用,最后签合同,还是要打印出来,盖上公章,然后通过EMS或其他形式传递到对方手上。算下来,企业原本期望的降低成本、提高效率的目标非但没有实现,反而增加了网络系统维护的费用,效率也没有得到提高。现在,电子签名可以使签约过程变得很简捷。 就天威诚信已做过认证的企业而言,大多电子签名系统是在上下游供应商之间、可控的范围内建立的。但除此之外,在不熟悉的企业与企业,企业与个人之间的商务往来,更是电子商务的主体。譬如一些跨地域跨国家的业务,利用电子签名,将大大降低企业间的签约成本。在电子签名法通过后,阿里巴巴公关部经理陶然说:“一些会员开始咨询这个事,我们现在正在研究电子签名,希望它能很快为我们的会员带来确实的好处。” 应用二 服务器认证 对系统本身的认证,也是电子签名最先应用的领域。仿冒网页,进行诈骗已经成为一种非常常见的犯罪行为。因此,对服务器本身进行认证变得非常必要。据李延昭介绍,大多网络银行的服务器都是经过认证的。作为消费者,在登陆银行网站的时候,应首先查看其网页,如果发现一个小锁头的标志,双击小锁头,就可以看到该服务器是由哪家CA认证的。在操作过程中,认证后的服务器可以进行响应,并自动传送网站的数字证书给用户,用于鉴别网站真伪。用户的网页浏览器程序会产生一把唯一的“会话钥匙码”,用以对网站之间所有的通讯过程进行加密。使用者的浏览器以网站的公钥对会话钥匙码进行加密,以便只有合法的网站才能阅读此会话钥匙码。 除了网上银行,不少普通网站也都经过CA的认证。如果留意的话,你会发现,当我们登陆上一些网站时,首先会弹出一个对话框,问你是否信任这个网站,这其实也是一个电子签名。点击详情,你会看到该网站通过了某CA的认证。如果你信任这个CA,就可以信任这个网站。 应用三 软件、图书认证 不少软件也会进行认证,以便用户判断是否可以放心地使用该软件。如很多和微软合作的开发商,微软首先会要求他们到国际认证机构做身份认证,之后微软才会与之合作。为了避免病毒泛滥在手机系统上重演,微软还要求每一个基于其Smartphone OS开发软件的手机软件开发商,必须通过微软的认证,用户不能随便从网络上下载没有经过微软认证的软件,以保证Smartphone手机的安全。 另外,很多企业在其内部也早开始应用电子签名。如经典时空的电子图书,当作者在其小说网上发表自己的著作时,可以得到经典时空的认证,证明该图书是在哪个时间上传的,作者是谁,以免日后发生版权纠纷。 除了已经实施的,可以期待的领域还有很多。如网络实名制呼声很高,但因为没有一个机制来约束,很难真正应用起来。现在,通过电子签名,实名制也将变得很容易。 对电子签名的前景,无论是用户还是供应商普遍持乐观态度,但具体到眼下,李延昭说:“我只能说审慎乐观,就拿中国500强企业来说,虽然大多企业搭建了MIS系统,但真正用好MIS系统的企业可能只有1%,而电子签名需要建立在良好的MIS应用之上。与国外相比,中国在电子签名的应用方面差距非常大,同等类型的证书,美国如果发放几十万张的话,中国可能就只有几百张。真正应用电子签名,还需要一个很长的时间”  不少网站在登陆后,会出现一个如图所示的对话框,这实际上是在告诉用户,该网站已经在某CA公司做过认证。 鉴定CA 李延昭说,CA是电子签名体系的主角。 在整个电子签名的体系中,CA无疑扮演着最重要的角色,它将作为整个供应链中的上游企业,为使用者提供身份认证,同时为电子签名提供系统支持。据中国信息安全测评认证中心提供的数据,中国目前一共有32个CA认证中心。在这些CA中,主要可分为两大类:行业性的和区域性的。行业性CA有:中国金融认证中心(CFCA)、中国电信认证中心(CTCA)等;区域性CA大多以地方政府为背景,以公司机制来运作,如上海CA认证中心、广东CA认证中心等。 国外CA中,VerySign是最大的一家,大约占据60%的市场份额。国内CA与国际接轨是必然趋势。例如阿里巴巴的用户,他们与世界各地的商家做生意。因此,国内外的CA需要形成互动,按照同样的规范进行认证,才能在这些用户之间搭建桥梁。 电子签名是否能够普及,成本是一个很关键的问题。目前大多数CA的收费标准是每个电子签名收取年费几百元,一个大致拥有几千个注册用户的系统本身费用约为30-40万。 由于电子签名本身比较难理解。书生电子利用其独特的图形技术和数字纸张技术,成为电子签名供应链中坚力量。书生电子首先从CA公司获得授权,用户可以将自己的资料递交到书生电子,书生通过技术手段,与CA的数字证书结合,为用户生成可视化的电子印章,使电子签名变得容易理解,且符合中国人的使用习惯,存储在U盘中或其他介质上。用户可以从书生电子免费下载一个电子印章的阅读软件,利用软件,就可以打开文件,察看和校验图章的真伪。 ■  【名词解释】 数字证书 数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。 一个数字证书一般包括下列内容:你的公钥;你的名字和电子邮件地址;公钥的有效期限;发证机构的名称 ;数字证书的序列号;发证机构的数字签名。 数字证书密钥对 密钥是一对钥匙,一把用于锁门来保证安全,即加密;而另一把用于开门,即解密。 当申请一个数字证书时,浏览器生成一个私钥和一个公钥。私钥只被证书申请者使用,而公钥会成为数字证书的一部分。在数字证书中包含了用于加密信息的公钥。别人给你发送信息时会使用你的公钥对信息进行加密。只有你才能够解密用你的公钥加密的信息。同样的,当你想要向别人发送加密的信息,你必须首先获得他们的公钥。CA系统在签发证书的同时会将该证书发布到公开的目录服务器中供其他客户查询、下载用。 数字签名实现过程 当使用一个程序对信息进行数字签名时,至少要将数字证书的公共部分和其他信息加在一起,才能确认邮件信息的完整性。 在邮件信息和数字证书发送之前,信息要经过算术处理产生一个特征序列,产生的序列叫做信息摘要。散列算法只能单向快速的运行,但很难逆向运算恢复原文。 程序产生信息摘要之后,就用发送者的私钥对信息摘要加密。 当接受方收到邮件时,用发送方的数字证书(公钥)解密信息摘要进行验证。然后程序用相同的散列算法计算邮件的信息摘要,并比较结果。如果产生的信息摘要和邮件所含的信息摘要是相同的,那么说明邮件在传输过程中没有被篡改,由此保证了信息确实是由验证该信息对应的公钥持有者(证书持有者)发送的。 |