電子檔案簽名元數(shù)據(jù)淺析

◆王兵 李海濤 張曉路

（1.91977 部隊 北京 100841；2.海軍檔案館 北京 100841）

1 引言

電子檔案的真實(shí)性、完整性是其安全管理中的核心問題，一直制約著電子檔案信息系統(tǒng)的建設(shè)與發(fā)展，采用電子簽名技術(shù)可以保證用戶簽發(fā)的電子文件真實(shí)完整、不可否認(rèn)，它為電子檔案的管理保存提供了有效手段和方法?！吨腥A人民共和國電子簽名法》第十四條為可靠的電子簽名賦予了法律效力。2019 年發(fā)布的《國務(wù)院關(guān)于在線政務(wù)服務(wù)的若干規(guī)定》第八條再次確認(rèn)和強(qiáng)調(diào)了電子簽名與手寫簽名或者蓋章具有同等法律效力。因而，運(yùn)用電子簽名技術(shù)構(gòu)建電子檔案管理系統(tǒng)已成為目前檔案信息化建設(shè)的最佳途徑。

2 電子簽名概述

電子簽名是指數(shù)據(jù)文件中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)[1]。電子簽名本質(zhì)上屬于公鑰密碼技術(shù)中的數(shù)字簽名，是對待發(fā)布的文件進(jìn)行簽名運(yùn)算，生成的信息附加在原文件上一起傳遞和保存。該信息類似現(xiàn)實(shí)中的手寫簽名或印章，接收方可對其進(jìn)行驗(yàn)證，判斷原文真?zhèn)?，用以認(rèn)證文件來源并核實(shí)其內(nèi)容是否發(fā)生修改變化。因此電子簽名可為電子檔案提供數(shù)據(jù)完整性和不可否認(rèn)性保護(hù)。

電子簽名的生成、驗(yàn)證往往需要第三方提供支撐服務(wù)，《電子簽名法》規(guī)定了可靠的電子簽名必須同時符合的四項(xiàng)條件，也規(guī)定了提供電子認(rèn)證服務(wù)應(yīng)具備的六項(xiàng)條件，單靠電子簽名的應(yīng)用系統(tǒng)很難達(dá)到這些條件要求，電子簽名認(rèn)證服務(wù)平臺的建設(shè)運(yùn)行則可解決這些基礎(chǔ)性問題。《國務(wù)院關(guān)于在線政務(wù)服務(wù)的若干規(guī)定》中明確，國家政務(wù)服務(wù)平臺應(yīng)“建設(shè)全國統(tǒng)一身份認(rèn)證系統(tǒng)，為各地區(qū)、部門政務(wù)服務(wù)平臺提供統(tǒng)一身份認(rèn)證服務(wù)”[1]，這將為基于電子簽名的電子文件管理提供權(quán)威統(tǒng)一的支撐環(huán)境和平臺，為實(shí)行“單套制”電子檔案管理創(chuàng)造有利條件。

3 電子檔案的電子簽名結(jié)構(gòu)

依照電子簽名法規(guī)定，提供電子認(rèn)證服務(wù)的技術(shù)和設(shè)備應(yīng)當(dāng)符合國家安全標(biāo)準(zhǔn)，電子檔案所采用的電子簽名應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的要求。GB/T25064-2010《電子簽名格式規(guī)范》將電子簽名按格式分為5 類，包括：基本電子簽名（BES）、帶時間戳的電子簽名（ES-T）、帶完全驗(yàn)證數(shù)據(jù)的電子簽名（ES-C）、帶擴(kuò)展的驗(yàn)證數(shù)據(jù)的電子簽名（ES-X）、帶歸檔時間戳的電子簽名（ES-A）。帶擴(kuò)展的驗(yàn)證數(shù)據(jù)的電子簽名（ES-X）又可以分為ES-X0、ES-X1、ES-X2、ES-X3、ES-X4五種組成格式[2]。上述簽名格式類型中，“帶歸檔時間戳的電子簽名（ES-A）”是一種為信息長期歸檔保存而設(shè)置的電子簽名，是在其他各類電子簽名的基礎(chǔ)上相應(yīng)添加時間戳，以保證電子簽名的長期安全性。ES-A 簽名類型為電子檔案長期保存中的數(shù)據(jù)鑒定、轉(zhuǎn)儲和遷移提供了有效工具。

為方便簽名驗(yàn)證數(shù)據(jù)的獲取，電子檔案的簽名格式應(yīng)盡量包含完整的驗(yàn)證信息和數(shù)據(jù)，以免在需要審核驗(yàn)證電子檔案真實(shí)性、完整性時增加時間或資源上的成本開銷。針對電子檔案長期管理保存的特殊需求，其電子簽名格式可采取基于ES-X0 的ES-A 電子簽名格式，其組成結(jié)構(gòu)如圖1 所示。

圖1 電子檔案的簽名（ES-A）結(jié)構(gòu)

圖1 體現(xiàn)了電子檔案的電子簽名（ES-A）與ES-X0、ES-C、ES-T、BES 間的包含組成關(guān)系。其中，BES 是包括了基本數(shù)據(jù)信息的電子簽名，主要包括簽名策略標(biāo)識、數(shù)字簽名和簽名者提供的簽名屬性。數(shù)字簽名可以證實(shí)簽署人的身份，通過驗(yàn)證該數(shù)字簽名可以證實(shí)相應(yīng)電子文件由簽名者簽發(fā)。

“數(shù)字簽名的時間戳”是數(shù)字簽名形成時由TSA 簽發(fā)的時間戳。通過驗(yàn)證該時間戳可以獲得電子檔案完整性以及簽發(fā)時間上的第三方確認(rèn)，保證了在證書有效期內(nèi)電子檔案的法律有效性。如果電子文件形成時沒有創(chuàng)建該時間戳，則后期的電子檔案接收審核環(huán)節(jié)應(yīng)為其創(chuàng)建時間戳，使其記錄的時間盡可能接近BES 的形成時間。

“完整的證書和證書撤銷參考信息”和“完整的證書和證書撤銷數(shù)據(jù)”是驗(yàn)證電子簽名時驗(yàn)證者需要獲得的必要信息，主要是各相關(guān)簽名者的證書信息、CRL、證書狀態(tài)信息、網(wǎng)址參考信息等，驗(yàn)證者使用這些信息可以方便地完成電子簽名的驗(yàn)證，如果這些信息不夠完善，將增加驗(yàn)證環(huán)節(jié)的操作成本，在電子檔案形成環(huán)節(jié)完善該部分信息，對長期保存后電子檔案的審核驗(yàn)證來說格外重要。

“歸檔時間戳”是為長期保存電子檔案，對整個電子簽名創(chuàng)建的時間戳。由于認(rèn)證服務(wù)平臺使用的各種算法、數(shù)據(jù)，其安全性都會隨技術(shù)進(jìn)步而逐漸降低，各種證書也有確定的有效期，要長期保存電子檔案，就需在這些相關(guān)元素安全性降低前對整個電子簽名再創(chuàng)建一次時間戳，該數(shù)據(jù)也會因時間戳的增加而擴(kuò)展。初始的歸檔時間戳由收集者在將電子文件轉(zhuǎn)化為電子檔案環(huán)節(jié)創(chuàng)建，后續(xù)添加新的歸檔時間戳則需根據(jù)認(rèn)證服務(wù)平臺的服務(wù)約定和電子檔案的保存規(guī)劃確定時機(jī)。

電子簽名的驗(yàn)證環(huán)節(jié)不僅要驗(yàn)證BES 內(nèi)容，還要檢驗(yàn)簽名結(jié)構(gòu)各部分的完整程度。沒有提供BES 的電子文件，無法驗(yàn)證其真實(shí)完整，應(yīng)不予接收；簽名者沒有提供的簽名元素內(nèi)容，接收者應(yīng)根據(jù)簽名中的參考信息向認(rèn)證服務(wù)系統(tǒng)查詢獲取，并為整個簽名結(jié)構(gòu)（ES-X0）創(chuàng)建初始的歸檔時間戳后形成ES-A。在簽名者與驗(yàn)證者對電子檔案內(nèi)容發(fā)生爭議時，可以依據(jù)內(nèi)容完善的ES-A 電子簽名作出明確的裁定。

4 電子檔案的簽名元數(shù)據(jù)結(jié)構(gòu)及封裝

雖然不同類型電子文件形成的電子檔案在設(shè)計相應(yīng)元數(shù)據(jù)方案時會有所不同，但都應(yīng)包含電子簽名元數(shù)據(jù)，且電子簽名元數(shù)據(jù)的子元素設(shè)置應(yīng)當(dāng)統(tǒng)一，與電子文件類型無關(guān)。DA/T 46-2009《文書類電子文件元數(shù)據(jù)方案》中對文書類電子文件元數(shù)據(jù)方案進(jìn)行了規(guī)定，參照GB/T 25064-2010 的電子檔案電子簽名元數(shù)據(jù)設(shè)計如表1 所示。

表1 電子檔案的電子簽名元數(shù)據(jù)元素

表1 中除“簽名人”和“簽名時間”外的各元數(shù)據(jù)元素與前節(jié)描述的電子簽名各部分?jǐn)?shù)據(jù)內(nèi)容一一對應(yīng)。由于沒有電子簽名的電子文件不具保存價值和法律效力，作為電子簽名基本內(nèi)容的“簽名策略標(biāo)識符”、“簽名屬性”、“數(shù)字簽名”、和“歸檔時間戳”四項(xiàng)元數(shù)據(jù)元素的約束性設(shè)定為“必選”。電子簽名的另外三項(xiàng)元數(shù)據(jù)元素若被缺省，則可在適當(dāng)時機(jī)向相應(yīng)認(rèn)證服務(wù)機(jī)構(gòu)查詢獲取，其約束性設(shè)定為“可選”。

電子簽名中包含了簽名人身份及其證書信息，表1 中“簽名人”元素內(nèi)容可在形成電子檔案時從電子簽名數(shù)據(jù)中解析獲取。專門設(shè)置“簽名人”元素是為了方便電子檔案管理利用時的檢索查詢，防止頻繁進(jìn)行解析電子簽名的操作，但要注意的是其必須與電子簽名中包含的簽名人身份及其證書信息相一致，若發(fā)生不一致則應(yīng)以電子簽名中的內(nèi)容為準(zhǔn)。

“數(shù)字簽名時間戳”內(nèi)綁定的時間是電子文件形成時的可信時間，相關(guān)方都應(yīng)認(rèn)可，表1“簽名時間”元素的時間內(nèi)容應(yīng)當(dāng)從“數(shù)字簽名時間戳”解析獲取，該元素的設(shè)置也是為了方便電子檔案管理利用時的檢索查詢，防止頻繁進(jìn)行解析時間戳的操作，同樣要注意其必須與數(shù)字簽名時間戳中所包含的時間信息相一致，若發(fā)生不一致則應(yīng)以數(shù)字簽名時間戳中的時間為準(zhǔn)。由于基本數(shù)字簽名形成時可能受條件影響未獲取相應(yīng)的時間戳，則“簽名時間”元素的時間內(nèi)容應(yīng)當(dāng)從初始?xì)w檔時間戳中解析獲取，并保持一致。

DA/T48-2009《基于 XML 的電子文件封裝規(guī)范》參照DA/T46-2009 的元數(shù)據(jù)方案對基于XML 的電子文件封裝格式進(jìn)行了規(guī)定，其中電子簽名相關(guān)的元數(shù)據(jù)的設(shè)置也需要按照表1 進(jìn)行相應(yīng)的調(diào)整。主要是取消“簽名標(biāo)識符”（M234）和“鎖定簽名”（M236）元數(shù)據(jù)元素，電子簽名元數(shù)據(jù)其余部分的元素應(yīng)與表1 相一致。

取消“簽名標(biāo)識符”主要是因?yàn)閷?shí)際工作中沒有合適的條件和時機(jī)來創(chuàng)建該項(xiàng)內(nèi)容，如果是出于方便電子檔案管理利用時檢索查詢，可以組合“簽名人”和“簽名時間”兩元素進(jìn)行數(shù)據(jù)庫檢索查詢操作，也可以在形成電子檔案時為電子簽名分配一個序列號以便檢索，但該序列號只在本地系統(tǒng)中有效，不能作為簽名唯一標(biāo)識。取消“鎖定簽名”主要是因?yàn)闅w檔時間戳可以起到替代作用，且其中包含可信的時間，功能性更強(qiáng)，與電子簽名其他部分封裝時結(jié)構(gòu)上更顯簡潔高效，而原“鎖定簽名”則無法解決簽名時間的不可否認(rèn)。

按表 1 及相應(yīng)設(shè)計，使 DA/T48-2009、DA/T46-2009、GB/T25064-2010 在電子簽名結(jié)構(gòu)上取得基本一致，鑒于電子檔案的簽名元數(shù)據(jù)結(jié)構(gòu)及封裝對數(shù)字檔案信息系統(tǒng)開發(fā)建設(shè)的基礎(chǔ)性作用，其結(jié)構(gòu)設(shè)計還應(yīng)作進(jìn)一步的探討和實(shí)踐，使其更加科學(xué)合理、標(biāo)準(zhǔn)規(guī)范，能經(jīng)得起實(shí)踐檢驗(yàn)。

5 結(jié)語

檔案信息系統(tǒng)建設(shè)依托電子簽名技術(shù)能有效保證檔案原始信息的真實(shí)與完整，提高可用性、安全性和管理效益。有關(guān)部門應(yīng)當(dāng)加強(qiáng)宏觀統(tǒng)籌規(guī)劃，論證確定解決電子檔案管理的模式方法和技術(shù)途徑；積極協(xié)同有關(guān)電子認(rèn)證服務(wù)系統(tǒng)平臺和上位信息系統(tǒng)的建設(shè)論證，明確提出電子檔案管理的特定需求，推動符合行業(yè)需求的信息系統(tǒng)開發(fā)建設(shè)。