◆王兵 李海濤 張曉路

（1.91977 部隊(duì) 北京 100841；2.海軍檔案館 北京 100841）

1 引言

電子檔案的真實(shí)性、完整性是其安全管理中的核心問題，一直制約著電子檔案信息系統(tǒng)的建設(shè)與發(fā)展，采用電子簽名技術(shù)可以保證用戶簽發(fā)的電子文件真實(shí)完整、不可否認(rèn)，它為電子檔案的管理保存提供了有效手段和方法?！吨腥A人民共和國電子簽名法》第十四條為可靠的電子簽名賦予了法律效力。2019 年發(fā)布的《國務(wù)院關(guān)于在線政務(wù)服務(wù)的若干規(guī)定》第八條再次確認(rèn)和強(qiáng)調(diào)了電子簽名與手寫簽名或者蓋章具有同等法律效力。因而，運(yùn)用電子簽名技術(shù)構(gòu)建電子檔案管理系統(tǒng)已成為目前檔案信息化建設(shè)的最佳途徑。

2 電子簽名概述

電子簽名是指數(shù)據(jù)文件中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)[1]。電子簽名本質(zhì)上屬于公鑰密碼技術(shù)中的數(shù)字簽名，是對待發(fā)布的文件進(jìn)行簽名運(yùn)算，生成的信息附加在原文件上一起傳遞和保存。該信息類似現(xiàn)實(shí)中的手寫簽名或印章，接收方可對其進(jìn)行驗(yàn)證，判斷原文真?zhèn)危靡哉J(rèn)證文件來源并核實(shí)其內(nèi)容是否發(fā)生修改變化。因此電子簽名可為電子檔案提供數(shù)據(jù)完整性和不可否認(rèn)性保護(hù)。

電子簽名的生成、驗(yàn)證往往需要第三方提供支撐服務(wù)，《電子簽名法》規(guī)定了可靠的電子簽名必須同時(shí)符合的四項(xiàng)條件，也規(guī)定了提供電子認(rèn)證服務(wù)應(yīng)具備的六項(xiàng)條件，單靠電子簽名的應(yīng)用系統(tǒng)很難達(dá)到這些條件要求，電子簽名認(rèn)證服務(wù)平臺的建設(shè)運(yùn)行則可解決這些基礎(chǔ)性問題。《國務(wù)院關(guān)于在線政務(wù)服務(wù)的若干規(guī)定》中明確，國家政務(wù)服務(wù)平臺應(yīng)“建設(shè)全國統(tǒng)一身份認(rèn)證系統(tǒng)，為各地區(qū)、部門政務(wù)服務(wù)平臺提供統(tǒng)一身份認(rèn)證服務(wù)”[1]，這將為基于電子簽名的電子文件管理提供權(quán)威統(tǒng)一的支撐環(huán)境和平臺，為實(shí)行“單套制”電子檔案管理創(chuàng)造有利條件。

3 電子檔案的電子簽名結(jié)構(gòu)

依照電子簽名法規(guī)定，提供電子認(rèn)證服務(wù)的技術(shù)和設(shè)備應(yīng)當(dāng)符合國家安全標(biāo)準(zhǔn)，電子檔案所采用的電子簽名應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的要求。GB/T25064-2010《電子簽名格式規(guī)范》將電子簽名按格式分為5 類，包括：基本電子簽名（BES）、帶時(shí)間戳的電子簽名（ES-T）、帶完全驗(yàn)證數(shù)據(jù)的電子簽名（ES-C）、帶擴(kuò)展的驗(yàn)證數(shù)據(jù)的電子簽名（ES-X）、帶歸檔時(shí)間戳的電子簽名（ES-A）。帶擴(kuò)展的驗(yàn)證數(shù)據(jù)的電子簽名（ES-X）又可以分為ES-X0、ES-X1、ES-X2、ES-X3、ES-X4五種組成格式[2]。上述簽名格式類型中，“帶歸檔時(shí)間戳的電子簽名（ES-A）”是一種為信息長期歸檔保存而設(shè)置的電子簽名，是在其他各類電子簽名的基礎(chǔ)上相應(yīng)添加時(shí)間戳，以保證電子簽名的長期安全性。ES-A 簽名類型為電子檔案長期保存中的數(shù)據(jù)鑒定、轉(zhuǎn)儲(chǔ)和遷移提供了有效工具。

為方便簽名驗(yàn)證數(shù)據(jù)的獲取，電子檔案的簽名格式應(yīng)盡量包含完整的驗(yàn)證信息和數(shù)據(jù)，以免在需要審核驗(yàn)證電子檔案真實(shí)性、完整性時(shí)增加時(shí)間或資源上的成本開銷。針對電子檔案長期管理保存的特殊需求，其電子簽名格式可采取基于ES-X0 的ES-A 電子簽名格式，其組成結(jié)構(gòu)如圖1 所示。

圖1 電子檔案的簽名（ES-A）結(jié)構(gòu)

圖1 體現(xiàn)了電子檔案的電子簽名（ES-A）與ES-X0、ES-C、ES-T、BES 間的包含組成關(guān)系。其中，BES 是包括了基本數(shù)據(jù)信息的電子簽名，主要包括簽名策略標(biāo)識、數(shù)字簽名和簽名者提供的簽名屬性。數(shù)字簽名可以證實(shí)簽署人的身份，通過驗(yàn)證該數(shù)字簽名可以證實(shí)相應(yīng)電子文件由簽名者簽發(fā)。

“數(shù)字簽名的時(shí)間戳”是數(shù)字簽名形成時(shí)由TSA 簽發(fā)的時(shí)間戳。通過驗(yàn)證該時(shí)間戳可以獲得電子檔案完整性以及簽發(fā)時(shí)間上的第三方確認(rèn)，保證了在證書有效期內(nèi)電子檔案的法律有效性。如果電子文件形成時(shí)沒有創(chuàng)建該時(shí)間戳，則后期的電子檔案接收審核環(huán)節(jié)應(yīng)為其創(chuàng)建時(shí)間戳，使其記錄的時(shí)間盡可能接近BES 的形成時(shí)間。

“完整的證書和證書撤銷參考信息”和“完整的證書和證書撤銷數(shù)據(jù)”是驗(yàn)證電子簽名時(shí)驗(yàn)證者需要獲得的必要信息，主要是各相關(guān)簽名者的證書信息、CRL、證書狀態(tài)信息、網(wǎng)址參考信息等，驗(yàn)證者使用這些信息可以方便地完成電子簽名的驗(yàn)證，如果這些信息不夠完善，將增加驗(yàn)證環(huán)節(jié)的操作成本，在電子檔案形成環(huán)節(jié)完善該部分信息，對長期保存后電子檔案的審核驗(yàn)證來說格外重要。

“歸檔時(shí)間戳”是為長期保存電子檔案，對整個(gè)電子簽名創(chuàng)建的時(shí)間戳。由于認(rèn)證服務(wù)平臺使用的各種算法、數(shù)據(jù)，其安全性都會(huì)隨技術(shù)進(jìn)步而逐漸降低，各種證書也有確定的有效期，要長期保存電子檔案，就需在這些相關(guān)元素安全性降低前對整個(gè)電子簽名再創(chuàng)建一次時(shí)間戳，該數(shù)據(jù)也會(huì)因時(shí)間戳的增加而擴(kuò)展。初始的歸檔時(shí)間戳由收集者在將電子文件轉(zhuǎn)化為電子檔案環(huán)節(jié)創(chuàng)建，后續(xù)添加新的歸檔時(shí)間戳則需根據(jù)認(rèn)證服務(wù)平臺的服務(wù)約定和電子檔案的保存規(guī)劃確定時(shí)機(jī)。

電子簽名的驗(yàn)證環(huán)節(jié)不僅要驗(yàn)證BES 內(nèi)容，還要檢驗(yàn)簽名結(jié)構(gòu)各部分的完整程度。沒有提供BES 的電子文件，無法驗(yàn)證其真實(shí)完整，應(yīng)不予接收；簽名者沒有提供的簽名元素內(nèi)容，接收者應(yīng)根據(jù)簽名中的參考信息向認(rèn)證服務(wù)系統(tǒng)查詢獲取，并為整個(gè)簽名結(jié)構(gòu)（ES-X0）創(chuàng)建初始的歸檔時(shí)間戳后形成ES-A。在簽名者與驗(yàn)證者對電子檔案內(nèi)容發(fā)生爭議時(shí)，可以依據(jù)內(nèi)容完善的ES-A 電子簽名作出明確的裁定。

4 電子檔案的簽名元數(shù)據(jù)結(jié)構(gòu)及封裝

雖然不同類型電子文件形成的電子檔案在設(shè)計(jì)相應(yīng)元數(shù)據(jù)方案時(shí)會(huì)有所不同，但都應(yīng)包含電子簽名元數(shù)據(jù)，且電子簽名元數(shù)據(jù)的子元素設(shè)置應(yīng)當(dāng)統(tǒng)一，與電子文件類型無關(guān)。DA/T 46-2009《文書類電子文件元數(shù)據(jù)方案》中對文書類電子文件元數(shù)據(jù)方案進(jìn)行了規(guī)定，參照GB/T 25064-2010 的電子檔案電子簽名元數(shù)據(jù)設(shè)計(jì)如表1 所示。

表1 電子檔案的電子簽名元數(shù)據(jù)元素

表1 中除“簽名人”和“簽名時(shí)間”外的各元數(shù)據(jù)元素與前節(jié)描述的電子簽名各部分?jǐn)?shù)據(jù)內(nèi)容一一對應(yīng)。由于沒有電子簽名的電子文件不具保存價(jià)值和法律效力，作為電子簽名基本內(nèi)容的“簽名策略標(biāo)識符”、“簽名屬性”、“數(shù)字簽名”、和“歸檔時(shí)間戳”四項(xiàng)元數(shù)據(jù)元素的約束性設(shè)定為“必選”。電子簽名的另外三項(xiàng)元數(shù)據(jù)元素若被缺省，則可在適當(dāng)時(shí)機(jī)向相應(yīng)認(rèn)證服務(wù)機(jī)構(gòu)查詢獲取，其約束性設(shè)定為“可選”。

電子簽名中包含了簽名人身份及其證書信息，表1 中“簽名人”元素內(nèi)容可在形成電子檔案時(shí)從電子簽名數(shù)據(jù)中解析獲取。專門設(shè)置“簽名人”元素是為了方便電子檔案管理利用時(shí)的檢索查詢，防止頻繁進(jìn)行解析電子簽名的操作，但要注意的是其必須與電子簽名中包含的簽名人身份及其證書信息相一致，若發(fā)生不一致則應(yīng)以電子簽名中的內(nèi)容為準(zhǔn)。

“數(shù)字簽名時(shí)間戳”內(nèi)綁定的時(shí)間是電子文件形成時(shí)的可信時(shí)間，相關(guān)方都應(yīng)認(rèn)可，表1“簽名時(shí)間”元素的時(shí)間內(nèi)容應(yīng)當(dāng)從“數(shù)字簽名時(shí)間戳”解析獲取，該元素的設(shè)置也是為了方便電子檔案管理利用時(shí)的檢索查詢，防止頻繁進(jìn)行解析時(shí)間戳的操作，同樣要注意其必須與數(shù)字簽名時(shí)間戳中所包含的時(shí)間信息相一致，若發(fā)生不一致則應(yīng)以數(shù)字簽名時(shí)間戳中的時(shí)間為準(zhǔn)。由于基本數(shù)字簽名形成時(shí)可能受條件影響未獲取相應(yīng)的時(shí)間戳，則“簽名時(shí)間”元素的時(shí)間內(nèi)容應(yīng)當(dāng)從初始?xì)w檔時(shí)間戳中解析獲取，并保持一致。

DA/T48-2009《基于 XML 的電子文件封裝規(guī)范》參照DA/T46-2009 的元數(shù)據(jù)方案對基于XML 的電子文件封裝格式進(jìn)行了規(guī)定，其中電子簽名相關(guān)的元數(shù)據(jù)的設(shè)置也需要按照表1 進(jìn)行相應(yīng)的調(diào)整。主要是取消“簽名標(biāo)識符”（M234）和“鎖定簽名”（M236）元數(shù)據(jù)元素，電子簽名元數(shù)據(jù)其余部分的元素應(yīng)與表1 相一致。

取消“簽名標(biāo)識符”主要是因?yàn)閷?shí)際工作中沒有合適的條件和時(shí)機(jī)來創(chuàng)建該項(xiàng)內(nèi)容，如果是出于方便電子檔案管理利用時(shí)檢索查詢，可以組合“簽名人”和“簽名時(shí)間”兩元素進(jìn)行數(shù)據(jù)庫檢索查詢操作，也可以在形成電子檔案時(shí)為電子簽名分配一個(gè)序列號以便檢索，但該序列號只在本地系統(tǒng)中有效，不能作為簽名唯一標(biāo)識。取消“鎖定簽名”主要是因?yàn)闅w檔時(shí)間戳可以起到替代作用，且其中包含可信的時(shí)間，功能性更強(qiáng)，與電子簽名其他部分封裝時(shí)結(jié)構(gòu)上更顯簡潔高效，而原“鎖定簽名”則無法解決簽名時(shí)間的不可否認(rèn)。

按表 1 及相應(yīng)設(shè)計(jì)，使 DA/T48-2009、DA/T46-2009、GB/T25064-2010 在電子簽名結(jié)構(gòu)上取得基本一致，鑒于電子檔案的簽名元數(shù)據(jù)結(jié)構(gòu)及封裝對數(shù)字檔案信息系統(tǒng)開發(fā)建設(shè)的基礎(chǔ)性作用，其結(jié)構(gòu)設(shè)計(jì)還應(yīng)作進(jìn)一步的探討和實(shí)踐，使其更加科學(xué)合理、標(biāo)準(zhǔn)規(guī)范，能經(jīng)得起實(shí)踐檢驗(yàn)。

5 結(jié)語

檔案信息系統(tǒng)建設(shè)依托電子簽名技術(shù)能有效保證檔案原始信息的真實(shí)與完整，提高可用性、安全性和管理效益。有關(guān)部門應(yīng)當(dāng)加強(qiáng)宏觀統(tǒng)籌規(guī)劃，論證確定解決電子檔案管理的模式方法和技術(shù)途徑；積極協(xié)同有關(guān)電子認(rèn)證服務(wù)系統(tǒng)平臺和上位信息系統(tǒng)的建設(shè)論證，明確提出電子檔案管理的特定需求，推動(dòng)符合行業(yè)需求的信息系統(tǒng)開發(fā)建設(shè)。