信息安全技术 安全电子签章密码技术规范
Information security technology -- Technical specification secure electronic seal signature cryptography
1 范围
本标准规定了采用密码技术实现电子印章和电子签章的数据结构定义,以及相应的生成与验证
流程。
本标准适用于电子印章系统的开发和使用,也可用于指导该类系统的检测。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20518 信息安全技术 公钥基础设施 数字证书格式
GB/T 20520 信息安全技术 公钥基础设施 时间戳规范
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 33560 信息安全技术 密码应用标识规范
GB/T 35276 信息安全技术 SM2密码算法使用规范
3 术语和定义
下列术语和定义适用于本文件。
3.1
电子印章
一种由电子印章制章者数字签名的安全数据。
注:包括电子印章所有者信息和图形化内容的数据,用于安全签署电子文件。
3.2
电子签章
使用电子印章签署电子文件的过程。
注:电子签章可实现与纸质文件盖章操作相似的可视效果,可保障数据来源的真实性、数据完整性以及签名人行为的不可否认性。
3.3
原文
需要进行电子签章或数字签名处理的电子文件。
3.4
电子签章数据
电子签章过程产生的包含电子印章、原文信息和数字签名等信息的数据。
3.5
电子印章系统
电子印章管理系统和电子签章软件的统称。
注1:电子印章管理系统具有电子印章制作与管理、安全审计等功能。
注2:电子签章软件是对电子文件加盖电子印章或添加数字签名的软件。
3.6
制章者
电子印章系统中具有电子印章制作和管理权限的机构。
注:电子印章中的图像和相关信息应经制章者进行数字签名,电子印章中的制章者证书应是该机构的单位证书。
3.7
签章者
电子印章的所有者,是具备电子印章法定使用权限的实体。
3.8
SM2算法
由GB/T 32918定义的一种椭圆曲线密码算法。
3.9
SM3算法
由GB/T 32905定义的一种杂凑算法。
4 缩略语
下列缩略语适用于本文件。
ASN.1:抽象语法记法
BMP:位图(Bitmap)
DER:非典型编码规则
GIF:图形交换格式
JPG:联合图像专家组的文件格式
OID:对象标识符
PKI:公钥基础设施
SVG:可缩放的矢量图形
5 概述
安全电子签章是通过采用PKI公钥密码技术,将数字图像处理技术与电子签名技术进行结合,以
电子形式对加盖印章图像数据的电子文档进行数字签名,以确保文档来源的真实性以及文档的完整性,
防止对文档未经授权的篡改,并确保签章行为的不可否认性。
为了确保电子印章的完整性、不可伪造性,以及合法用户才能使用,需要定义一个安全的电子印章
数据格式。通过数字签名,将印章图像数据与签章者等印章属性进行安全绑定,形成安全电子印章。在使用印章过程中,应对电子印章进行安全性验证。
在使用电子印章对各种文档进行电子签章过程中,签章者通过数字签名对文档数据进行签章处理,
从而达到与传统纸质文件盖章操作相同的可视化效果,同时又利用数字签名技术保障了文档数据的真实性、完整性以及签章者行为的不可否认性。
6 电子印章
6.1 数据格式
6.1.1 印章数据结构
电子印章由印章信息、制章者证书、签名算法标识、签名值等部分组成,其数据结构如图1所示。
6.1.2 印章信息
6.1.2.1 数据结构
印章信息eSealInfo由印章头、印章标识、印章属性、印章图像数据、自定义数据等部分组成,其数据结构如图2所示。
6.1.2.2 印章头
印章头由头标识、版本号和厂商标识等组成,其数据结构如图3所示。
6.1.2.3 印章标识
esID:区分电子印章的唯一标识编码,用于查找和索引其他信息。
6.1.2.4 印章属性
印章属性由印章类型、印章名称、签章者证书信息类型、签章者证书信息列表、制作时间、有效期起始时间、有效期终止时间等部分组成,其结构如图4所示。
6.1.2.5 印章图像数据
印章图像数据由图像类型、图像数据、图像显示宽度和图像显示高度等部分组成,其数据结构如
6.1.2.6 自定义数据
自定义数据包含一系列自定义属性字段,可用于支持电子印章扩展特性,其ASN.1定义为:
6.1.3 制章者证书
cert:对电子印章进行签名的制章者的数字证书,应符合GB/T 20518中Certificate定义,按DER
编码格式存放。
6.1.4 签名算法标识
signAlgID:代表签名算法OID标识,应符合GB/T 33560的规定。
示例:基于SM2算法和SM3算法的签名OID为1.2.156.10197.1.501。
6.1.5 签名值
signedValue:制章者对电子印章格式中印章信息域SES_SealInfo,按SEQUENCE方式组成的信
息内容进行数字签名所得的结果。
如果签名算法使用SM2,应符合GB/T 35276的规定。
6.2 电子印章生成流程
电子印章生成流程如下:
a) 按6.1.2定义的数据格式,将印章头、印章标识、印章属性、印章图像数据、自定义数据等数据
按SEQUENCE方式组成印章信息;
b) 根据签名算法标识signAlgID,对上述步骤a)的印章信息域进行数字签名运算,形成签名值;
c) 将上述步骤a)和b)的数据以及制章者证书、签名算法标识组成6.1.1定义的电子印章数据
格式。
6.3 电子印章验证流程
电子印章验证流程如下:
a) 验证电子印章数据格式的正确性
按照电子印章格式解析电子印章,验证是否符合6.1定义的电子印章数据格式。
如果电子印章数据格式不正确,则验证失败,返回错误代码并退出验证流程。
b) 验证电子印章签名值是否正确
根据印章信息、制章者证书、签名算法标识来验证电子印章中的签名值是否正确。
如果电子印章签名验证失败,返回错误代码并退出验证流程。
c) 验证电子印章制章者证书的有效性
验证制章者证书的有效性,验证项至少包括:制章者证书信任链验证、制章者证书有效期验证、
制章者证书是否被撤销、密钥用法是否正确。
如果制章者证书验证失败,返回错误代码并退出验证流程。
d) 验证电子印章的有效期
根据印章属性中的印章有效期起始时间和有效期终止时间,验证电子印章是否过期。
如果电子印章已过期,则验证失败,返回错误代码并退出验证流程。
如果上述步骤都验证成功,则电子印章验证正确有效,可正常退出验证流程。
评论
发表评论