电子印章风险及防范措施探析
2021-04-01赵改侠
赵改侠
谢宗晓 博士
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003 年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文160 多篇,出版专著20 多本。
信息安全管理系列之六十六
电子印章已普遍应用于各电子文件中,但电子版本容易被修改,因此需要通过技术手段保证电子印章的可靠性。下文中,从电子印章的概念讲起,梳理了与电子印章相关的概念,分析了可能存在的风险,并重点针对电子印章申请审核方式、电子印章密钥存储方式、电子印章使用授权等给出风险防控措施。
谢宗晓(特约编辑)
摘要:主要介绍电子印章的概念,分析了电子印章运用过程中的风险,并对电子印章申请环节、存储环节和使用环节面临的风险给出风险控制措施。
关键词:数字证书 数字签名 电子签名 电子印章 电子签章 用户参与验证 风险
Abstract: This paper mainly introduces the concept of electronic seal, ananlyzes the risk in the process of using electronic seal, and gives the risk control measures for the application, storage and use of electronic seal.
Key words: digital certificate, digital signature, electronic seal, electronic stamp, electronic seal signature, user interactive audit, risk
1 引言
近年来,尽管我国各行各业在互联网应用方面取得了显著成绩,尤其是互联网金融、消费金融等实施网上在线业务,对电子印章应用的需求更加凸显;同时,国家从政策层面上对电子印章也多次给予支持和肯定,如国务院办公厅《关于深化商事制度改革进一步为企业松绑减负激发企业活力的通知》(国办发〔2020〕29号)提出,在加强监管、保障安全前提下,大力推进电子营业执照、电子发票、电子印章在更广领域运用。然而在运用电子印章的过程中,很多人对电子印章认识存在一些误解,电子印章本身也存在一些风险因素,对此笔者对电子印章的概念进行了梳理,从技术层面、管理层面分析了电子印章可能存在的风险,提出风险防范措施建议。
2 电子印章定义剖析
2.1 电子印章是一种信物
印章在我国有着悠久的历史,其作为一种信物,起印证、认可的作用,从玉玺、艺术品章等,发展到现在的企业公章、业务章、法人章、人名章等各类印章,广泛应用于各种业务往来中。随着互联网应用的发展,越来越多的业务及场景从线下搬到线上,传统的纸质文书合约载体逐步向电子形式过度,为了保持人们对印章的感官及习惯,出现一种电子印章的概念。
2.2 权威资料对电子印章的定义
我们搜索各类资料发现,截至目前业界没有一个统一的权威的电子印章定义。
国家标准GB/T 38540—2020《信息安全技术 安全电子签章密码技术规范》对电子印章定义:一种由电子印章制章者数字签名的安全数据。注:包括电子印章所有者信息和图形化内容的数据,用于安全签署电子文件。电子签章定义:使用电子印章签署电子文件的过程。注:电子签章可实现与纸质文件盖章操作相似的可视效果,可保障数据来源的真实性、数据完整性以及签名人行为的不可否认性。在第5章的概述中所述:通过数字签名,将印章图像数据与签章者等印章属性进行安全绑定,形成安全电子印章。
北京市公安局《关于电子印章管理工作意见》的通知中指出:电子印章是指电子数据表现形式的公章和具有法律效力的个人名章。电子印章的图形化特征与实物印章的印模完全一致。在加强制作管理中提出电子印章由经公安机关许可的公章制作单位制作,其规格、式样、存储介质要符合国家有关规定,电子印章应当存储于符合国家密码管理要求的专用设备中,严格保管。
《上海市电子印章管理暂行办法》中指出:电子印章,是可靠电子签名的可视化表现形式,以密码技术为核心,将数字证书、签名密钥与实物印章图像有效绑定,用于实现各类电子文档完整性、真实性和不可抵赖性的图形化电子签名制作数据。电子印章绑定的数字证书,应由依法设立的电子认证服务机构提供。
以上三個相对权威的文件中,出现了数字证书、数字签名、电子签名、电子印章、电子签章,由于签名和印章都具有信物的属性,而数字证书、数字签名是实现“电子信物”的一种技术手段,因此我们也经常看到各种文章将这几个概念关联在一起或者混淆在一起,对于普通大众很难理解之间的区别。
2.3 数字证书与数字签名技术属性
数字证书、数字签名是技术术语,其适用面更广泛,可以利用数字证书、数字签名技术,实现业务场景信息的安全防护,其重点在于技术防护。例如,使用openssl工具产生一个自签名数字证书,用这个数字证书对私人文档进行加密保存,或者对电子文档做数字签名,防止电子文档被攻击后篡改。再比如比特币、区块链技术也用到了数字签名技术,使用拥有公私密钥对做数字签名及验证,证明签名者拥有私钥即可。这类应用场景,法律相对关系通常比较弱。
2.4 电子签名可靠属性
在《中华人民共和国电子签名法》(以下简称《电子签名法》)第二条中规定:本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。要如何落实这句话,《电子签名法》第二章数据电文,提出了很具体的法律要求;同时在第三章电子签名与认证章节中,明确提出了可靠电子签名必须同时具备的四个条件,以及对认证机构的相关要求。《电子签名法》未明确指定实现电子签名的具体技术,但基于PKI体系可以实现鉴别、加密、完整性和不可否认性等功能,在审批电子认证服务机构时,审核的是公钥管理体制的基础设施。因此,基于PKI体系所执行的电子签名天然具有可靠属性。
2.5 电子印章与电子签章
分析《上海市电子印章管理暂行办法》中对电子印章的定义,更符合《电子签名法》中可靠电子签名的相关要素,是一种印章图形与可靠电子签名的结合。而《北京市电子印章管理办法》中的电子印章定义则相对简单,没有对电子印章本身的防篡改要求。电子签章则需要基于可靠电子印章,体现签署动作的真实性、意愿性,重点在签署动作上。北京市的电子印章定义对普通大众来说容易理解。比如一份电子文档通知上的红色印章;再比如某些大型金融机构通过内部印控系统在电子文本上加盖与实务印章图形一致的电子印章。这种电子印章通常出现在通知、公告或者集团内部、组织内部之间的业务场景中,接收电子印章的人无需质疑印章及电文内容的真假。但这种所谓的电子印章,由于从技术上无法保证电子印章真实性、完整性,存在很大的风险,可能导致假借官方名义发布通知、谣言,或者假借公司名义签署虚假的电子合同、融资计划等“萝卜章”事件。
通过以上梳理,笔者认为电子印章实际上是可靠电子签名的图像展示。
3 电子印章应用风险分析
信息安全管理体系通常将风险划分为两大类,一类统称为技术风险,即由于信息技术所导致的安全风险,例如,操作系统被植入木马、数据在传输或存储时被篡改;一类统称为业务风险,即业务运营和管理过程中由于业务流程设计或者管理不善导致的风险,例如,审批机制不严格、验证机制存在漏洞、人为干预等,下面将从技术风险和业务风险两方面来深度剖析电子印章在应用过程中可能存在的风险。
3.1 技术风险
(1)操作系统风险
电子印章的制作和验证一般通过电子印章系统实现,操作系统是电子印章系统运行的基础环境,无论是PC环境还是移动设备,其操作系统的可靠性、安全性至关重要,对于操作系统的病毒、木马攻击以及窃取操作系统ROOT、越狱等行为都可能导致电子印章系统安全性降低。随着电子印章应用影响力的扩大,尤其是金融、电子商务应用领域,很可能一些不法分子专门针对操作系统的漏洞,攻击电子印章系统,造成重大风险。
(2)信息传输风险
网络安全(Network Security )是现如今“互联网+”类业务的核心安全之一,必须予以保障,黑客或不法分子可利用中间人发起攻击,在电子印章数据传输过程中篡改、替换,这将导致所见非所签或所签非所见,对业务安全运营影响极大。
(3)电子印章数据存储风险
电子印章数据指的是数字证书、电子印章图片数据以及电子签章数据,由于存储不善,可能会导致数字证书被复制、电子签章数据被篡改、替换、伪造等,尤其是电子签章数据通常混合在PDF、WORD等版式文件中,从技术上讲,可以通过修改和再编辑版式文件达到篡改电子签章的目的,如果没有可靠的数据存储和校验机制,电子印章很可能在存储阶段被攻击。
(4)电子印章系统风险
电子印章系统本身的安全性也至关重要,如果印章系统没有完备的安全防护措施,被木马替换,威胁也比较大;再比如电子印章系统所使用的密码算法本身存在技术漏洞,也可能造成攻击;同时,业务系统与电子印章系统的接口安全性、协议安全性、中间件和数据库等的安全性也至关重要。应用系统被攻击所导致的风险是多方面的,轻则导致系统瘫痪,重则直接透过系统窃取和篡改业务数据,这将影响到电子印章应用的所有环节。
3.2 业务风险
(1)业务流程风险
电子印章的应用流程包括电子印章申请、制作、签章、验章等环节。在印章申请环节,对印章申请人的身份真实性、申请信息准确性及意愿性审核至关重要。随着互联网商务发展,越来越多个人信息、企业信息被暴露在网上,甚至一些不法分子专门盗卖个人信息进行诈骗,而电子印章如果通过在线申请,申请人的意愿性很难保证,存在因申请环节身份审核不严格出现电子印章被冒领风险。
电子印章制作环节,可能存在未经过审核的制作操作,或者制作的电子印章与申请的电子印章不一致,造成风险;同时制章后,可能存在下发错误,比如将A的电子印章下发给了B,造成风险。
在签章环节,如业务系统不验证电子印章的有效性,可能导致使用电子印章业务的无效风险,比如某金融机构在使用电子签章時,未对电子印章的有效性进行验证,使用一个过期或者已经吊销了的电子印章签署电子合同,导致合同在出现纠纷时,不能作为一个有效的合约。如果电子印章存放在印章系统里,签章时由系统自动调用,如未经过电子印章所有人授权或者验证印章所有人身份,可能导致电子印章被盗用。在接收到电子印章后,应该对电子印章的有效性、完整性及签章人身份是否匹配进行验证,避免接收无效的电子合约。
根据最新的法律法规要求,各种在线业务流程,应做到明显的提示、告知义务,同时业务流程上应做到逻辑正确,否则再强的技术保障都可能导致所签署的电子文件法律上无效。比如一个业务系统先让用户申请到了电子印章,然后才向用户提示、告知各种风险及获取用户授权,在出现法律纠纷时,法官可能会判决电子合同无效。电子印章具有时间敏感性,电子印章系统是否采用时间戳至关重要,若使用电子印章的电子文件出现无法解释的时间误差,可能导致所签署的电子印章法律上失效。
(2)电子印章管理风险
电子印章的管理包含了电子印章申请管理、存放电子印章的密钥载体的管理、电子印章用印管理、电子签章数据存储管理、印章系统权限、人员管理等。申请电子印章、用印管理应与实物印章管理等同;密钥载体应该选用通过密码检测认证的产品,且定期关注密钥有效期,及时进行更新;对电子签章数据存储、印章系统权限管理应与其他信息系统的管理一致,定期对数据进行备份,对印章系统进行漏洞扫描、操作审计等;保管电子印章的人员应该进行背景调查,定期进行安全教育培训。
4 风险防范措施建议
针对电子印章系统所处的物理环境、操作系统环境以及人员的安全管理及防范措施,可采取通用的风险防范措施,比如病毒扫描、定期漏洞扫描、补丁更新、对应用系统签名验证、多级授权管理、定期人员安全培训等,必要时可以辅助购买保险化解风险损失等措施。下面从电子印章申请审核、印章存储、用印控制等环节给出风险防控措施建议。
4.1 设计用户交互参与验证实现审核目标
由于个人及企业的隐私信息可能已在网上多途径泄露,单纯通过个人及企业的官方证件信息、金融信息、公民身份库、电信记录等进行信息比对,已无法实现申请者的真实性、意愿性审核目标,因此可在通过以上几要素信息比对准确性的基础上,增加申请人参与验证措施,以实现真实性、意愿性审核目标。
(1)交叉短信验证码
基于我国已全面实施了手机实名制,笔者认为向电子印章系统回填短信验证码的人即为印章申请人。针对企业授權的验证,可以由电子印章系统通过权威的工商信息库获得企业法人信息,并发送短信验证码,提示企业法人向被授权人转发短信验证码,由被授权人向系统回填验证码进行验证。
(2)打款验证
基于金融账号的隐秘性和重要性考虑,笔者认为只有申请人自己能控制自己的银行账户,因此可采取通过电子印章系统向申请人银行卡账号打款的方式,来确认申请人身份的真实性、意愿性。
(3)人脸识别
通过辅助活体检测并与公民身份库比对身份照片等方式实现真实性、意愿性审核。
(4)已有的智能密码钥匙
基于第三方认证中心发放的智能密码钥匙,已实施了真实性审核的目的,且智能密码钥匙由申请人控制的因素,可以通过验证申请人控制的智能密码钥匙有效性实现真实性、意愿性审核目标。
以上各种交互参与方案是基于仅限申请人所拥有、所知晓、所控制的因素实现真实性、意愿性审核目标。同样的也可以用邮箱、指纹、手机特征码等方式来验证,可根据电子印章业务影响,兼顾便利性选择合适的方案。
4.2 电子印章存储安全措施
当前最安全的电子印章存储介质是通过密码检测认证的智能密码钥匙,具有控制便利、数据高度私有化,即插即用,与应用系统隔离的特点。但随着移动应用的发展,智能密码钥匙也因为其与应用系统的分离特点造成了便利性差的特征,逐渐被集成于移动终端上的安全芯片所代替,同样这种一体的方案也导致了安全性的降低,比如移动终端容易丢失而引发重大风险。
为了业务流畅性和易用性,大多数应用将用户的电子印章保存在印章系统中,而电子印章系统应使用通过密码检测认证的硬件设备产生自身数字证书密钥,并对产生的用户电子印章、数字证书密钥进行加密保存在数据库中。当前业界还流行一种密钥分离的存储方案,这种方案是基于SM2密码算法的特点实现的,由移动终端、服务端各存储一半密钥,提高电子印章所附密钥的安全性。同时,笔者提出数字证书用途分离式方案,申请者可以申请一个专门用于身份审核的数字证书,放在智能密码钥匙中;同时申请电子印章数字证书,将电子印章图片及其绑定的数字证书加密存储在电子印章系统中,需要使用该电子印章时,插入专门用于审核身份的智能密码钥匙进行身份验证,实现对存放在系统中的电子印章的调用授权、真实性、意愿性审核目标。
4.3 用印控制
用印控制可以采取审核环节的方案获得用户用印明确授权,但更重要的,在生成电子签章数据时应执行完整的校验流程。首先验证电子签章数据的完整性,然后提取签章证书,验证签章证书的时间有效性、颁发机构、证书吊销情况,并对申请用印人与电子印章信息进行比对,保证两者信息一致。
5 小结
电子印章的应用是未来各行各业提升工作效率的必然选择,同时电子印章相关的风险也需要持续不断的关注。本文所述的各种风险及防范措施基本涵盖了当前电子印章应用过程中的突出风险和问题,但在不同的业务场景也一定会碰到多种不可预测的问题,未来更应该关注利用电子印章所从事的业务本身的风险,比如利用电子印章实施诈骗贷款、赌博、洗钱等违法犯罪活动。需要保持风险防范意识,不断分析可能存在的风险,提前预防风险的发生,促进电子印章在各领域健康运用。
(注:本文仅做学术探讨,与作者所在单位观点无关)
参考文献
[1] 国务院办公厅. 国务院办公厅关于深化商事制度改革进
一步为企业松绑减负激发企业活力的通知:国办发
〔2020〕29号[A/OL]. (2020-09-10)[2020-12-23].http://www.gov.cn/zhengce/content/2020-09/10/content_5542282.htm.
[2] 上海市人民政府办公厅. 上海市电子印章管理暂行办法:沪府办规[2018]28号[A/OL].(2018-10-29)[2020-12-23].http://www.shbtpm.com/view_news.php?NewsTypeID=27&NewsID=20083&LX=4&ShowRiqi=0.
[3] 北京市人民政府办公厅. 转发市公安局《关于电子印章管理工作意见》的通知:京政办发[2019]8号[A/OL].(2019-04-19)[2020-12-25].http://beijing.gov.cn/zhengce/zfwj/zfwj2016/bgtwj/201905/t20190522_61929.html.
[4] 全国信息安全标准化技术委员会. 信息安全技术 安全电子签章密码技术规范: GB/T 38540—2020[S].北京:中国标准出版社, 2020.
[5] 国家电子文件管理部际联席会议办公室. 党政机关电子印章应用规范:GB/T 33481—2016[S]. 北京:中国标准出版社, 2016.
