从概念上讲,数字签名(digital signature)与电子签名(electronic signature)是不同的。电子签名是一般化的概念,凡是具有签名功能的电子手段均可称之为电子签名。而数字签名,由于历史的原因,已经被特指为利用公钥密码和散列算法而生成的签名。数字签名是电子签名的一种特定形式。之所以会产生这两个概念,有其历史的原因和现实的意义。
数字签名的概念最早产生于学术界,并广泛应用于科学技术领域。早在1976年Diffie提出公钥密码思想的时候(New Directions in Cryptography),就认为“签名”是公钥密码的一个重要应用,只是当时并未叫数字签名,而是称之为“单向鉴别”(One-way authentication)。
在正规的技术规范和学术论文中,都使用了“数字签名”这一术语。如在著名的国际标准——安全体系结构ISO7498-2中,对数字签名做了如下定义:附加在数据单元上的一些数据, 或是对数据单元所作的密码变换, 这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性, 并保护数据, 防止被人(例如接收者)进行伪造。
美国的数字签名标准(DSS,FIPS186-2)对数字签名做了如下解释:利用一套规则和一个参数集对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性。在工业界和学术界,上述对数字签名的解释已经得到了广泛的认同,尽管在定义上可能会略有差异,但只是换个说法而已,即通过密码变换对数据进行运算,以确认数据的来源(或称签名者的身份)和数据的完整性。
电子签名的概念是随着电子商务法的发展而提出的,尽管在早期的法律文献中依旧使用“数字签名”这一概念(如北美律师协会1996年撰写的“Digital Signature Guidelines”),但在当前的法律中全部使用了“电子签名”,如联合国贸法会的《电子签名示范法》(以下简称《示范法》)、欧盟的《电子签名共同框架指令》(以下简称《指令》)、美国的《全球及全国电子签名法》和《中华人民共和国电子签名法》等。
在法律上之所以要提出电子签名的概念,主要是基于立法方面的考虑。保持技术中立性是立法的一个基本原则,因为没有任何理由说明公钥密码理论是生成“签名”的唯一技术,因此有必要规定一个更一般的概念,以适应今后技术的发展。电子签名就是为了满足这一需求而提出的,以区别数字签名。
从法律上讲,签名有两个基本功能:即标识签名人和表示签名人对文件内容的认可。凡是满足这两个条件的电子手段,均可认为是电子签名,因而《示范法》中对电子签名做了如下定义:指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。电子签名定义的特点是只指明签名的形式和功能,对实现技术不作任何规定。
值得注意的是,不同法律对电子签名的定义可能会有所不同。在我国的电子签名法中,规定电子签名是“指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”,比《示范法》中的规定稍微严格一些,去掉了“逻辑上相联系”的规定。
欧盟《指令》中如下定义电子签名:以电子形式所附或在逻辑上与其它电子数据相关的数据,作为一种鉴别的方法。这个定义与《示范法》的不同在于:这里没有强调签名人对数据的认可。依此定义,任何一种电子鉴别方法都可认为是电子签名,而签名人的认可则需要其他方式来完成,如特定的签名策略。
电子签名的概念虽然获得了技术中立性,但也带来了使用上的不便,因此,法律上有对电子签名进行了进一步的规定,如《示范法》和我国《电子签名法》中定义了“可靠电子签名”、《指令》中定义了“高级电子签名”,以获得更好的应用安全性。
在可靠(或高级)电子签名定义中,实际上就规定了数字签名的功能,并附加了一些安全要求,如签名人对签名制作数据的独占控制等,使其更有利于实际应用。
如我国《电子签名法》第十三条规定符合下列条件的签名为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
从中我们不难看出,除了数字签名的固有特性(数据和签名的完整性),这里又对签名的生成过程做了进一步的规定,即在签名的生成过程中,电子签名制作数据由电子签名人专有,并且签名是在签名人的单独控制下完成的,不能受控于他人。这正是从应用的角度对数字签名作了补充要求,也对电子签名设备和应用程序提出了基本安全要求。
目前,具有实际意义的电子签名技术只有基于公钥密码理论的数字签名技术。而数字签名的有效实施必须依赖于电子认证服务,因此,电子签名法还对认证服务提供者的要求及各方所应承担的权利义务关系进行了规定,在此不再赘述。
综上所述,数字签名是特指应用公钥密码理论而生成的签名,电子签名是按照技术中立性原则在法律上提出的一般化概念,数字签名是电子签名的一种特定实现。法律上所规定的可靠(高级)电子签名,目前只有数字签名才能满足(完整性)要求。可靠电子签名对签名的实现过程也提出了安全性要求,使电子签名更适合于实际应用。
