史 珺

(上海市信息安全行业协会， 上海 201306)

0 引言

2019年3月，公安部召开专题新闻发布会宣布将启用芯片防伪印章作为二代印章防伪的主要技术手段[1]，芯片防伪印章开始在试点省份进行推广。同时，随着全国的电子政务的应用推广，多个省市先后发布了关于电子印章推广和使用的行动方案和管理办法但这些省市的技术方案，都是采用将数字证书、签名密钥与“实物印章图像”有效绑定的方式，也就是说，与实物印章的关联仅靠实物印章的印文图像，由于印文图像可以轻易地通过扫描等方式伪造，基于实体印章图像的电子印章签章人完全有可能在未得到印章使用权的情况下发出“电子签章”，从而给企业或机构带来隐患。因此，现有市面上所有的电子印章的做法将使得电子印章与实物印章完全脱节，等于企业内部有两套互不关联的印章，一套是实物印章，一套是网络世界的电子印章的密钥载体(往往以U盾的形式体现)，而这种所谓的“电子印章”实际上只是一个电子签名。如果不尽快对目前的技术路线予以调整和规范，不仅会给今后的印章防伪工作造成较大困难，更会给电子商务与电子政务服务的预防犯罪工作带来较大的漏洞。

1 数字印章技术应用方案

1.1 数字印章的定义

数字印章其实是真正意义上的电子印章，之所以称之为“数字印章”，是为了区别于现有市面上的电子印章而言。

本文所述的数字印章，是基于芯片防伪印章再采用加密算法[4]，对印章的安全芯片内部的序列号形成的一个数字证书作为数字印章的虚拟印章，用这个虚拟印章来为各类电子文件包括合同、证明、图片、视频等实行电子签章[5]。由于该数字印章的签章行为是基于芯片防伪印章内部全球唯一序列号形成的，无法仿造，再通过加密算法加上时间印记，就使得该数字印章在网络世界中具有与现实世界的公章同样的法律效力。而且，由于数字证书是基于芯片防伪印章的安全芯片形成的，签章人如果未获得实物印章的使用权，就无法在网络世界进行数字印章的“电子签章”，这使得数字印章不仅具备了实物印章的“行政授权”功能，而且在使用时也必须获得实物印章，才能够签发出“电子印章”。作为数字印章载体的芯片防伪印章，完美地将实体印章和虚拟印章结合在一起，不仅实现对实物印章的防伪功能，而且能够使得“电子印章”(或“虚拟印章”)具有实体印章一样的防伪和盖章授权等效能，这是目前市面上其他任何形式的所谓的“电子印章”无法具备的。

1.2 基于芯片防伪印章的数字印章的作用

1.2.1 数字印章的虚拟印章生成与签章

(1)虚拟印章的生成方法

图1给出了基于芯片防伪印章的数字印章中的“虚拟印章”的形成过程。用印章验证终端读取芯片防伪印章的全球唯一序列码之后，采用SM2标准的256位椭圆算法[2]并加入时间戳记对其进行加密运算，得到一个数字证书，这个数字证书就是“虚拟印章”，也就是网络空间的数字印章。没有实体印章在手中，无法得到芯片的序列码，就无法产生这个虚拟印章，而由于在用SM2算法加密时，加入了产生时间的时间戳记(TIME STAMP)，因此，这个“虚拟印章”一经产生只能使用一次，如果有人再次复制，时间戳记就无法对应数字证书。因此，这个虚拟印章是无法伪造的。

图1 数字印章的“虚拟印章”的生成方法

SM2算法是我国国家密码管理局于2010年12月17日发布的基于特殊的可逆模幂运算的椭圆曲线公钥密码算法，在我国商用密码体系中被用来替换RSA算法。与RSA算法相比，SM2算法密码复杂度可以达到完全指数级(RSA为亚指数级)，而处理速度较RSA算法快百倍以上，加密和解密速度都较快，而且机器性能消耗更小。

(2)合同等电子档文件的电子签章方法

利用数字印章的虚拟印章即可实现对合同、证明、图片、承诺函等各种形式的电子文件的电子签章。电子签章的生成过程见图2。

图2 数字印章的电子签章生成过程

如图2所见，数字印章的电子签章过程是先用印章验证终端读取芯片防伪印章的芯片，即可得到数字印章的虚拟印章、印章信息(印章名称、编号等)、印章所属企业的注册信息等，然后用将这些信息与需要签章的电子文件一同合并成一个文件后，用SM3密码杂凑(哈希)算法[3]进行加密运算。SM3是我国采用的一种密码散列函数标准，由国家密码管理局于2010年12月17日发布，相关标准为“GM/T 0004—2012 《SM3密码杂凑算法》”。SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等，很适合用做电子签章算法。采用SM3算法运算后可得到一个哈希文件，该文件即含有数字印章的虚拟签章。同时，还可生成一个二维码，用户只要用手机等扫描二维码即可得到该印章的相关信息，以及一个实体印章的图像，加盖在电子文档的盖章位置(包括骑缝章)，以适应传统习惯。

2.2.2 数字印章的电子签章的验证方法

经过电子签章的文件验证方法见图3。

图3 电子签章文件中虚拟印章的验证方法

图3中，先对经过电子签章的文件进行分解，然后用国密SM3算法对其中加密形成的哈希文件[6]进行逆运算，即可得到一份包含数字签章的文件，文件中有可视的印章图像和一个加密的二维码，还有一份虚拟印章。虚拟印章可以通过3种方式验证：第一，用发送者的公钥解密后送到数字印章签验平台或公安部印章治安管理信息系统进行验证；第二，对可视文件上的二维码进行扫描，可以得到该印章的登记信息(印章名称、印章编号)，以及印章所属企业登记信息；第三，对印章图像进行视觉识别。这3种方式中，最关键和最可靠的是第一种方式。由于发送者的公钥是由公安机关的全国印章治安管理信息系统进行验证的，因此，经过该公钥解密后，可以确认虚拟印章是真实的，这也表明印章最权威是具有法律效力的认证。

与现有的其他“电子印章”方式[6]相比，数字印章是采用芯片防伪印章替代传统的旧印章，同时基于芯片防伪印章生成数字印章替代现在的伪“电子印章”，就能迅速实现我国印章的升级换代，能够完成实体印章的彻底防伪，一劳永逸地解决印章防伪问题。其次，数字印章能够从实体印章防伪、盖在文件上的印文防伪、互联网上的网络签章和网上鉴定等多方面满足印章防伪的根本需求，同时又保留了实体印章的防伪和权属的本性。

2 数字印章签验平台的功能与作用

随着互联网电子商务、电子政务的业务量逐年呈指数增加，今后，在网络空间的“虚拟签章”和“网上验章”的需求一定会超过实体印章的验证业务的需求量。为此，最佳的印章防伪验证的解决方案是建立一个“数字印章签验平台”，将所有的相关功能集成到这个平台上，用户登录平台后，只需用最简单的操作就可以实现各个功能，能够保证为企业、电子商务平台和电子政务平台提供更加便捷、安全、高效的服务。

2.1 数字印章签验平台的主要功能

“数字印章签验平台”是一个能够实现对企业的身份验证、实体印章验证、电子商务和电子政务网络业务中的企业电子签章及验证的网络平台。该平台将各电商平台与电子政务平台的验章需求抽取并整合，再与公安部的印章验证平台进行联网，开展印章的实体现场验证、实体印章的远程验证、印文的网络验证和电子商务和电子政务过程中的“网上签章”和验证等业务。“数字印章签验平台”还能够保存所有交易记录，包括网络签章的合同、证明等文件的签署、验证记录。

“数字印章签验平台”可以完成以下几个功能：

(1)开展各种身份验证、数字公证等与印章或者“虚拟印章”有关的业务，促进互联网领域的诚信生态的建立。

(2)配合政府的电子政务服务，通过平台积极开展全国领域的芯片防伪印章的网络开通办理和印章的网上验证服务。

(3)与国内外各大电商平台、电子政务平台和其他专业平台，如银行、公证、社保等第三方平台进行网际联通，在所有这些第三方平台内开通企业印章和印文的查验功能模块，杜绝目前电商平台中虚拟世界的网络欺诈行为。

(4)可在网络上完成合同、证明等文件的签章、合同的鉴证以及网络公证等服务。

2.2 “数字印章签验平台”的框架结构

图4为数字印章签验平台架构图。

图4 数字印章签验平台架构图

整个系统按照功能分为4个子系统：人机界面子系统、印章子系统、文件子系统、数据库和通讯接口子系统。其中，印章子系统负责处理印章登记、虚拟印章的生成和验证等业务；文件子系统负责电子签章和签章文件的验证等业务；数据库分为印章数据库和文件数据库两部分，后者是为用户提供需要的签章文件备案存储功能；通讯接口子系统分为前台和后台模块，其中前台通讯接口模块是与各电商平台、政务平台以及各种企业的线上平台进行通讯，后台通讯接口模块是与公安部的全国印章治安管理信息系统以及全国印章综合服务平台进行通讯。

2.3 数字印章签验平台的应用场景

数字印章签验平台的应用场景如图5所示。由图5中可见，平台的后台与公安部的“全国印章治安管理信息系统”和(或)“全国印章综合服务平台”相连，处理虚拟印章的验证业务；前台与广大的电子商务平台、电子政务平台相连，接收这些平台的各类与身份和印章验证、文件认证、文件保存、查询等相关的业务请求，经过软件加密解密、文件分离、文件保存处理后，将与印章备案、查询与验证相关的数据剥离出来，发往后台系统进行查询、验证，再将后台系统返回的验证数据或查询结果传递给各平台或各平台的用户。数字印章签验平台在为各类电子商务、电子政务平台提供对客户的印章的查询验证、电子签章、合同认证[8]、文件保管、签章授权情况的查询和验证服务，也可为用户提供网上数字公证服务。

图5 数字印章签验平台的应用场景

在使用时，用户只要登录平台，并且用自己的印章验证终端通过蓝牙、USB口连接电脑后，即可自动登录平台，无需经过繁琐的信息输入。然后按照平台界面的提示进行各种操作即可。

2.4 “数字印章签验平台”的作用

(1)从根本上解决印章防伪问题

基于芯片防伪印章的数字印章能够彻底解决实物印章的真伪验证问题，但对于纸面文件上所盖的印文进行真伪验证则需要通过平台才能更方便地完成[9]；此外，平台还能够解决互联网时代电子商务和电子政务平台上对于企业网上签章及验证；有利于在互联网上的电子商务和政务活动中建立虚拟社会空间的诚信体系。

(2)有利于降低打击制贩假印章的社会成本

以“数字印章签验平台”与网络空间的电子商务和电子政务平台对接，如与人力资源和社会保障、工商、税务、质检、银监、保监等部门的电子政务服务平台进行对接，也可在其系统界面中内嵌印章验证有关的功能，自动解决这些政务平台中的“网上签章”问题，可以大大简化企业与政府间的各种项目申报、备案和审批的流程，减少审批成本，也便于各部门横向协作；还能够共筑阻断假冒印章的“防火墙”，从源头铲除假印章的犯罪空间和土壤，大大降低印章治安管理的社会成本。

(3)平台可大大减轻企业负担

“数字印章签验平台”建成后，将免费为用户及各电子商务平台提供印章验证服务；对于其他增值业务，如合同网上公证、签章数字证书的办理、印文验证等服务的费用，将比目前线下有关服务的收费水平大大降低。不仅降低企业用户的相关成本，还能够避免涉及假印章的经济犯罪带来的损失。

3 结语

基于芯片防伪印章的数字印章是把实体印章作为自身的天然载体，使得数字印章的虚拟印章与实体印章成为密不可分的一体，虚拟印章完全具备了实体印章的“盖章”行为所需要的“行政授权”属性，这是现在所有其他形式的“电子印章”所不具备的。本文所述的数字印章，不仅能够彻底解决现实空间的印章及文件的防伪，还可广泛应用于互联网上各类电子商务和电子政务的电子签章及网络验证。而采用“数字证书签验平台”的方式为广大企业提供

电子商务活动和电子政府服务中的实体印章的验证、电子印章的签章和验证服务，企业和政府机构都能够放心而且便捷地进行网上签约、授权、网上提供证明文件、合同公证、交易支付、合同保管及查阅等多种电子商务和电子政务活动。对于从根本上打击制贩假印章、降低企业交易成本、建立社会诚信体系，尤其是网络空间虚拟社会的诚信体系具有重要的作用。