信息安全技術(shù)安全電子簽章密碼技術(shù)規(guī)范

GB/TXXXXX—XXXXGB/TXXXX—XXXXPAGEPAGE8信息安全技術(shù)安全電子簽章密碼技術(shù)規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了采用密碼技術(shù)實現(xiàn)安全電子印章和安全電子簽章的數(shù)據(jù)結(jié)構(gòu)定義，以及相應(yīng)的密碼處理流程。本標(biāo)準(zhǔn)適用于指導(dǎo)電子印章系統(tǒng)的開發(fā)和電子簽章應(yīng)用。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20518信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T20520信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范GB/T32905信息安全技術(shù)SM3密碼雜湊算法GB/T32918信息安全技術(shù)SM2橢圓曲線公鑰密碼算法GB/T33560信息安全技術(shù)密碼應(yīng)用標(biāo)識規(guī)范GB/T35276信息安全技術(shù)SM2密碼算法使用規(guī)范術(shù)語和定義下列術(shù)語和定義適用于本文件。電子印章electronicstamp一種由制作者簽名的包括持有者信息和圖形化內(nèi)容的數(shù)據(jù)，可用于簽署電子文件。電子簽章electronicseal使用電子印章簽署電子文件的過程。電子簽章數(shù)據(jù)electronicsealdata電子簽章過程產(chǎn)生的包含電子印章信息和簽名信息的數(shù)據(jù)。電子印章系統(tǒng)electronicsealsystem電子印章系統(tǒng)包含電子印章管理系統(tǒng)和電子簽章軟件，其中電子印章管理系統(tǒng)包括印章管理員管理、電子印章制作與管理、電子印章驗證服務(wù)以及安全審計等功能。電子簽章軟件是使用電子印章對各類電子文檔進(jìn)行電子簽章的軟件。制章者electronicstampmaker制章者即電子印章系統(tǒng)中具有電子印章制作和管理權(quán)限的機(jī)構(gòu)。制章者證書應(yīng)是該機(jī)構(gòu)的單位證書，電子印章中的圖片和信息應(yīng)經(jīng)制章者進(jìn)行數(shù)字簽名。簽章者electronicsealsigner簽章者即電子印章的所有者，是具備電子印章法定使用權(quán)限的實體。符號和縮略語下列縮略語適用于本文件。BMP：位圖（Bitmap）GIF：一種圖像交換格式（GraphicsInterchangeFormat）JPG：一種圖像文件格式（JointPhotographicExpertsGroup）OID：對象標(biāo)識符（ObjectIdentifier）PKI：公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）安全電子簽章密碼技術(shù)概述安全電子簽章是通過采用PKI公鑰密碼技術(shù)，將印章圖片處理技術(shù)與電子簽名技術(shù)進(jìn)行結(jié)合，以電子形式對加蓋印章圖片的電子文檔進(jìn)行數(shù)字簽名，以確保文檔來源的真實性以及文檔的完整性，防止對文檔未經(jīng)授權(quán)的篡改，并確保簽章行為的不可否認(rèn)性。為了確保電子印章的完整性、不可偽造性、以及合法用戶才能使用，需要定義一個安全的電子印章數(shù)據(jù)格式。通過數(shù)字簽名，將印章圖像數(shù)據(jù)與簽章使用者以及印章屬性進(jìn)行安全綁定，形成安全電子印章，在使用印章過程中，也能夠很方便地對電子印章進(jìn)行安全性驗證。在使用電子印章對各種文檔進(jìn)行電子簽章過程中，簽章者通過數(shù)字簽名對文檔數(shù)據(jù)進(jìn)行簽章處理，從而達(dá)到與傳統(tǒng)紙質(zhì)文件蓋章操作相同的可視化效果，同時又利用數(shù)字簽名技術(shù)保障了文檔數(shù)據(jù)的真實性、完整性以及簽章者行為的不可否認(rèn)性。安全電子簽章密碼協(xié)議電子印章數(shù)據(jù)格式電子印章數(shù)據(jù)的邏輯結(jié)構(gòu)如圖1所示：頭信息印章標(biāo)識印章屬性信息印章圖片信息自定義數(shù)據(jù)制章者證書簽名算法標(biāo)識簽名值圖1電子印章數(shù)據(jù)的邏輯結(jié)構(gòu)電子印章數(shù)據(jù)的ASN.1定義為：SESeal::=SEQUENCE{esealInfoSES_SealInfo， --印章信息signDataBITSTRING --制章者對印章信息的簽名值}上述電子印章數(shù)據(jù)結(jié)構(gòu)由esealInfo，signData兩個域構(gòu)成：a）esealInfo域是電子印章基本域。b）signData域包含了制章者對esealInfo域進(jìn)行數(shù)字簽名的結(jié)果。其中印章信息esealInfo結(jié)構(gòu)定義如下：SES_SealInfo::=SEQUENCE{headerSES_Header, --頭信息esIDIA5String, --電子印章標(biāo)識，電子印章數(shù)據(jù)的唯一標(biāo)識編碼propertySES_ESPropertyInfo, --印章屬性信息pictureSES_ESPictrueInfo, --電子印章圖片數(shù)據(jù)，機(jī)構(gòu)的電子印章宜采用相關(guān)國家管理部門指定的印章印模extDatas ExtensionDatasOPTIONAL, --自定義數(shù)據(jù)certOCTETSTRING, --制章者證書signatureAlgorithmOBJECTIDENTIFIER --簽名算法標(biāo)識}esealInfo域是電子印章基本域，包含了印章頭信息、印章標(biāo)識、印章屬性信息、電子印章圖片數(shù)據(jù)、自定義數(shù)據(jù)、制章者證書、簽名算法標(biāo)識等基本信息。印章頭信息印章頭信息的結(jié)構(gòu)如圖2所示：標(biāo)識版本號廠商ID圖2電子印章頭信息頭信息的ASN.1定義為：SES_Header::=SEQUENCE{ID IA5String， --電子印章數(shù)據(jù)標(biāo)識version INTEGER， --電子印章數(shù)據(jù)版本號標(biāo)識Vid IA5String --電子印章廠商ID}其中：ID ：固定值“ES”；Version ：電子印章數(shù)據(jù)版本號，數(shù)值為5，代表當(dāng)前版本為v5；Vid ：電子印章廠商ID，在互聯(lián)互通時，用于識別不同的軟件廠商實現(xiàn)；印章標(biāo)識esID：區(qū)分電子印章數(shù)據(jù)的唯一標(biāo)識編碼，用于查找和索引其它信息。印章屬性信息印章屬性信息的結(jié)構(gòu)如圖3所示：印章類型印章名稱簽章者證書列表類型簽章者證書列表信息制作日期有效起始日期有效終止日期圖3印章屬性信息結(jié)構(gòu)印章屬性信息的ASN.1定義為：SES_ESPropertyInfo::=SEQUENCE{type INTEGER， --印章類型name UTF8String， --印章名稱certListType INTEGER， --簽章者證書列表類型certList SES_CertList， --簽章者證書列表信息，是簽章者證書列表或簽章者證書雜湊列表createDate GeneralizedTime， --印章制作日期validStart GeneralizedTime， --印章有效起始日期validEnd GeneralizedTime --印章有效終止日期}其中：type：代表印章類型，如1-單位專用印章，2-財務(wù)專用章，3-稅務(wù)專用章，4-合同專用章，5-法定代表人名章等；name：印章名稱，如“XXXX公司財務(wù)專用章”，對于在公安部門進(jìn)行備案的印章，其印章名稱與備案的名稱保持一致；certListType ：簽章者證書列表類型，1-證書列表，2-證書雜湊列表certList ：簽章者證書列表信息，簽章者證書列表或簽章者證書雜湊列表；createDate ：印章制作日期validStart ：印章有效期起始時間validEnd ：印章有效期終止時間SES_CertList::=CHOICE{certsCertInfoList,--簽章者證書certDigestListCertDigestList--簽章者證書雜湊}CertInfoList::=SEQUENCEOFCertcertDigestList=SEQUENCEOFCertDigestCert::=OCTETSTRINGCert符合GB/T20518中Certificate定義。CertDigestObj::=SEQUENCE{typeObjType,--自定義類型valueCertDigestValue--證書雜湊值}ObjType::=PrintableStringCertDigestValue::=OCTETSTRING印章圖片信息印章圖片信息的結(jié)構(gòu)如圖4所示：圖片類型圖片數(shù)據(jù)圖片顯示的寬度和高度圖4印章圖片信息結(jié)構(gòu)印章圖片信息的ASN.1定義為：SES_ESPictrueInfo::=SEQUENCE{type IA5String， --圖片類型data OCTETSTRING, --圖片數(shù)據(jù)width INTEGER, --圖片顯示寬度height INTEGER --圖片顯示高度}其中：type ：代表印章圖片類型，如GIF、BMP、JPG等data ：印章圖片數(shù)據(jù)width ：圖片顯示寬度（單位為毫米mm）height ：圖片顯示高度（單位為毫米mm）自定義數(shù)據(jù)自定義數(shù)據(jù)的ASN.1定義為：ExtensionDatas::=SEQUENCESIZE(0..MAX)OFExtDataExtData::=SEQUENCE{extnIDOBJECTIDENTIFIER, --自定義擴(kuò)展字段標(biāo)識criticalBOOLEANDEFAULTFALSE, --自定義擴(kuò)展字段是否關(guān)鍵extnValueOCTETSTRING --自定義擴(kuò)展字段數(shù)據(jù)值}制章者證書cert ：代表對電子印章數(shù)據(jù)進(jìn)行簽名的制章者證書簽名算法標(biāo)識signatureAlgorithm ：代表簽名算法OID標(biāo)識，遵循GB/T33560。例如，基于SM2算法和SM3算法的簽名OID為1.2.156.10197.1.501。簽名值signData ：代表制章者對電子印章格式中印章信息SES_SealInfo，按SEQUENCE方式組成的信息內(nèi)容的數(shù)字簽名。如果簽名算法使用SM2，則遵循GB/T35276。電子印章驗證流程電子印章驗證流程如下：驗證電子印章數(shù)據(jù)格式的正確性按照電子印章格式，解析電子印章，驗證是否符合本標(biāo)準(zhǔn)6.1.1定義的電子印章格式。如果電子印章數(shù)據(jù)格式不正確，則驗證失敗，返回失敗原因并退出驗證流程。驗證電子印章簽名值是否正確根據(jù)印章信息數(shù)據(jù)、制章者證書、簽名算法標(biāo)識驗證電子印章簽名信息中的簽名值是否正確。如果電子印章簽名驗證失敗，返回失敗原因并退出驗證流程。驗證電子印章制章者證書的有效性驗證制章者證書的有效性，驗證項至少包括：制章者證書信任鏈驗證、制章者證書有效期驗證、制章者證書是否被吊銷、密鑰用法是否正確。如果制章者證書驗證失敗，返回失敗原因并退出驗證流程。驗證電子印章的有效期。根據(jù)印章屬性中的印章有效起始日期和有效終止日期，驗證電子印章是否過期。如果電子印章已過期，則驗證失敗，返回失敗原因并退出驗證流程。如果上述步驟都驗證成功，則電子印章驗證正確有效，可正常退出驗證流程。電子簽章數(shù)據(jù)格式電子簽章數(shù)據(jù)由版本號、電子印章、時間信息、原文雜湊值、原文屬性信息、自定義數(shù)據(jù)、簽章者證書、簽名算法標(biāo)識及簽名值等組成。電子簽章數(shù)據(jù)的邏輯結(jié)構(gòu)如圖5所示：版本號電子印章時間信息原文雜湊值原文屬性信息自定義數(shù)據(jù)簽章者數(shù)字證書簽名算法標(biāo)識簽名值圖5電子簽章數(shù)據(jù)的邏輯結(jié)構(gòu)電子簽章數(shù)據(jù)的ASN.1定義為：SES_Signature::=SEQUENCE{toSign TBS_Sign， --待電子簽章數(shù)據(jù)signature BITSTRING --電子簽章中簽名值}TBS_Sign::=SEQUENCE{version INTEGER， --版本信息eseal SESeal， --電子印章timeInfo OCTETSTRING， --簽章時間信息dataHash BITSTRING， --原文雜湊值propertyInfo IA5String， --原文數(shù)據(jù)的屬性信息extDatas ExtensionDatasOPTIONAL, --自定義數(shù)據(jù)cert OCTETSTRING， --簽章者對應(yīng)的簽名證書signatureAlgorithmOBJECTIDENTIFIER --簽名算法標(biāo)識}其中：version ：代表簽章數(shù)據(jù)結(jié)構(gòu)版本號；eseal ：代表生成電子簽章使用的電子印章數(shù)據(jù)；timeInfo ：代表電子簽章對應(yīng)的時間信息，可以是時間戳，也可以是GeneralizedTime時間，如果采用時間戳，應(yīng)遵循GB/T20520；dataHash ：代表待簽名原文的雜湊值；propertyInfo ：代表原文數(shù)據(jù)的屬性信息，如文檔ID、日期、段落、原文內(nèi)容的字節(jié)數(shù)、指示信息、簽名保護(hù)范圍信息等，此部分受簽名保護(hù)，propertyInfo的具體結(jié)構(gòu)可自行定義，但至少應(yīng)包含簽名保護(hù)范圍信息；extDatas ：代表廠商自定義數(shù)據(jù)；cert ：代表執(zhí)行本次簽章操作的簽章者數(shù)字證書；signatureAlgorithm ：代表簽名算法OID，遵循GB/T33560；例如，使用SM2簽名的OID為1.2.156.10197.1.501；signature ：代表簽章者對電子簽章數(shù)據(jù)格式中版本號、電子印章、時間信息、原文雜湊值、原文屬性信息、證書、簽名算法標(biāo)識組成的待簽章數(shù)據(jù)TBS_Sign進(jìn)行數(shù)字簽名；如果簽名算法使用SM2，則遵循GB/T35276；原文雜湊值所采用的雜湊算法應(yīng)與電子簽章簽名算法保持一致，如果簽名算法是SM2，則雜湊算法應(yīng)采用SM3算法，遵循GB/T32905。電子簽章生成流程電子簽章生成流程如下：選擇擬進(jìn)行電子簽章的簽章者證書，并驗證簽章者證書有效性。驗證項至少包括：證書信任鏈驗證、證書有效期驗證、證書是否被吊銷、密鑰用法是否正確。如果簽章者證書驗證失敗，返回失敗原因并退出生成流程；獲取電子印章，按照6.1.2電子印章驗證流程驗證印章的正確性和有效性；根據(jù)類型，如果是證書列表，則比對證書。如果是雜湊，則比對雜湊。提取電子印章中的簽章者證書列表，使用步驟a）中的簽章者證書逐一進(jìn)行證書數(shù)據(jù)二進(jìn)制比對，確認(rèn)簽章者證書是否在簽章者證書列表中。1）如果比對失敗或證書不在列表當(dāng)中，返回失敗原因并退出生成流程；2）如果是因為簽章者證書執(zhí)行更新、重簽發(fā)等操作而導(dǎo)致證書比對失敗，此時需要重新制作印章，再重新進(jìn)行簽章生成流程。按照propertyInfo信息中的簽名保護(hù)范圍信息來準(zhǔn)備待簽名原文；將待簽名原文數(shù)據(jù)進(jìn)行雜湊運算，形成原文雜湊值；按照電子簽章數(shù)據(jù)格式組裝待簽名數(shù)據(jù)。待簽名數(shù)據(jù)包括：版本號、電子印章、時間信息、原文雜湊值、原文屬性信息、簽章者證書、簽名算法標(biāo)識；簽章者對待簽名數(shù)據(jù)進(jìn)行數(shù)字簽名，生成電子簽章簽名值；按照電子簽章數(shù)據(jù)格式，把以上數(shù)據(jù)打包形成電子簽章數(shù)據(jù)。電子簽章驗證流程電子簽章驗證流程如下：驗證電子簽章數(shù)據(jù)格式的正確性根據(jù)6.2.1數(shù)據(jù)格式來解析電子簽章數(shù)據(jù)；按照6.1.2流程來驗證上述電子簽章中的電子印章的正確性；3）如果電子簽章或電子印章數(shù)據(jù)格式不正確，則驗證失敗并退出驗證流程。驗證電子簽章簽名值是否正確1）從電子簽章數(shù)據(jù)格式提取待驗證數(shù)據(jù)，待驗證數(shù)據(jù)包括：版本號、電子印章、時間信息、原文雜湊值、原文屬性信息、簽章者證書、簽名算法標(biāo)識，驗證電子簽章簽名值是否正確； 2）如果簽名值驗證不正確則驗證失敗，并將失敗原因返回上層應(yīng)用并退出驗證流程。驗證簽章者證書是否存在于簽章者列表中從電子簽章數(shù)據(jù)中提取簽章者數(shù)字證書和電子印章數(shù)據(jù)，并從中提取簽章者證書列表類型、簽章者證書列表信息；根據(jù)上述簽章者證書列表類型，如果是類型是證書列表，則比對證書。將電子印章中簽章者證書列表與電子簽章簽章者數(shù)字證書逐一進(jìn)行證書數(shù)據(jù)二進(jìn)制比對，確認(rèn)簽章者證書是否存在于簽章者證書列表中，若不存在，則驗證失敗并退出驗證流程；根據(jù)上述簽章者證書列表類型，如果是雜湊，則比對雜湊。將電子簽章中簽章者數(shù)字證書進(jìn)行雜湊，再與電子印章中簽章者證書列表雜湊值逐一進(jìn)行比對，確認(rèn)簽章者證書是否存在于簽章者證書列表中，若不存在，則驗證失敗并退出驗證流程。驗證簽章者數(shù)字證書有效性1)從電子簽章數(shù)據(jù)獲得簽章者數(shù)字證書，驗證簽章者證書有效性