基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求（征求意見(jiàn)稿）編制說(shuō)明

任務(wù)來(lái)源及編制單位根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求》由中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院牽頭起草，標(biāo)準(zhǔn)計(jì)劃號(hào)是20130326-T-469，技術(shù)歸口單位是全國(guó)信息安全技術(shù)標(biāo)準(zhǔn)委員會(huì)。標(biāo)準(zhǔn)編制單位由中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院、北京數(shù)字認(rèn)證股份有限公司、上海格爾軟件股份有限公司組成。中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院是工信部直屬的國(guó)家一級(jí)科研事業(yè)單位，在信息產(chǎn)業(yè)與信息化等研究領(lǐng)域具有豐富的經(jīng)驗(yàn)和雄厚的實(shí)力；院下屬的信息安全研究所是中國(guó)電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟秘書(shū)處的具體承擔(dān)單位，多年來(lái)致力于信息安全、電子認(rèn)證研究工作。北京數(shù)字認(rèn)證股份有限公司是國(guó)內(nèi)較早成立和規(guī)模最大的電子認(rèn)證服務(wù)機(jī)構(gòu)之一，擁有完善的電子認(rèn)證產(chǎn)品體系、專業(yè)人才隊(duì)伍和深厚的技術(shù)積累。上海格爾軟件股份有限公司是商用密碼產(chǎn)品定點(diǎn)生產(chǎn)與銷售單位，在國(guó)內(nèi)較早研制和推出電子認(rèn)證軟硬件產(chǎn)品，是全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的核心成員單位。三家單位都曾牽頭或參與過(guò)多項(xiàng)標(biāo)準(zhǔn)制定工作。編制目的和意義為貫徹落實(shí)《中華人民共和國(guó)電子簽名法》，實(shí)現(xiàn)《電子認(rèn)證服務(wù)業(yè)“十二五”發(fā)展規(guī)劃》目標(biāo)和任務(wù)，促進(jìn)可靠電子簽名的應(yīng)用普及，推動(dòng)電子認(rèn)證服務(wù)業(yè)的健康有序發(fā)展，依據(jù)《中華人民共和國(guó)電子簽名法》對(duì)可靠電子簽名的相關(guān)規(guī)定，編制《基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求》。編制意義主要體現(xiàn)在以下三個(gè)方面：一是貫徹落實(shí)《中華人民共和國(guó)電子簽名法》的重要途徑?！吨腥A人民共和國(guó)電子簽名法》規(guī)定只有可靠電子簽名具有與手寫簽名同等的法律效力，并明確數(shù)據(jù)電文作為證據(jù)必須確保生成、存儲(chǔ)或傳遞數(shù)據(jù)電文的方法的可靠性、保持內(nèi)容完整性的方法的可靠性、用以鑒別發(fā)件人的方法的可靠性等。如何從技術(shù)上保證電子簽名是可靠的，如何確保數(shù)據(jù)電文生成、傳遞、接收、保存、提取、鑒定等各環(huán)節(jié)是可靠的，是目前亟待解決的問(wèn)題。按照《中華人民共和國(guó)電子簽名法》對(duì)可靠電子簽名和數(shù)據(jù)電文的相關(guān)要求，研究制定《基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求》，是貫徹落實(shí)《中華人民共和國(guó)電子簽名法》的重要途徑。二是構(gòu)建網(wǎng)絡(luò)信任體系的根本保障。隨著經(jīng)濟(jì)社會(huì)活動(dòng)對(duì)網(wǎng)絡(luò)依賴性不斷提高，建立網(wǎng)絡(luò)秩序，營(yíng)造可信、安全的網(wǎng)絡(luò)空間的需求日益迫切。當(dāng)前，電子商務(wù)、電子政務(wù)等領(lǐng)域都提出了應(yīng)用可靠電子簽名的要求，同時(shí)諸如電子合同、電子憑證、電子記錄等應(yīng)用中都要求確保數(shù)據(jù)電文的可靠性。網(wǎng)絡(luò)身份認(rèn)證、行為責(zé)任認(rèn)定、資源權(quán)屬維護(hù)、交易風(fēng)險(xiǎn)防范、交易糾紛仲裁已經(jīng)成為網(wǎng)絡(luò)用戶關(guān)注的焦點(diǎn)。研究和制定《基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求》，可為實(shí)現(xiàn)網(wǎng)絡(luò)行為的追蹤與管理、為保障權(quán)益、追究責(zé)任提供重要依據(jù)，是構(gòu)建網(wǎng)絡(luò)信任體系的基礎(chǔ)和保障。三是推廣可靠電子簽名應(yīng)用的有力支撐。目前，電子商務(wù)、電子政務(wù)等對(duì)可靠電子簽名應(yīng)用需求的不斷增長(zhǎng)與可靠電子簽名標(biāo)準(zhǔn)規(guī)范缺乏的矛盾越來(lái)越突出。通過(guò)開(kāi)展《基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求》的研究，初步形成可靠電子簽名生成及驗(yàn)證規(guī)范和流程，促進(jìn)可信電子合同、可信電子憑證、可信電子記錄等應(yīng)用技術(shù)取得突破性進(jìn)展，為電子取證、司法鑒定和法律訴訟提供支持，為可靠電子簽名和可信數(shù)據(jù)電文的推廣應(yīng)用奠定基礎(chǔ)。編制原則本標(biāo)準(zhǔn)屬于信息安全技術(shù)要求類的標(biāo)準(zhǔn)，以自主編寫的方式完成。標(biāo)準(zhǔn)緊扣《中華人民共和國(guó)電子簽名法》規(guī)定的可靠電子簽名應(yīng)同時(shí)符合的四項(xiàng)條件，結(jié)合我國(guó)對(duì)密碼技術(shù)和產(chǎn)品以及電子認(rèn)證服務(wù)業(yè)的監(jiān)管規(guī)定進(jìn)行編制，為基于數(shù)字證書(shū)可靠電子簽名相關(guān)系統(tǒng)、應(yīng)用的開(kāi)發(fā)提供指導(dǎo)，為相關(guān)產(chǎn)品、服務(wù)標(biāo)準(zhǔn)的制定提供參考。主要工作過(guò)程《基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求》課題始于2012年4月，標(biāo)準(zhǔn)編制期間召開(kāi)了3次10名以上專家參會(huì)的大型研討會(huì)，十余次小型研討會(huì)，電話、郵件溝通討論百余次，根據(jù)研討結(jié)果進(jìn)行了幾次較大規(guī)模的修訂和反復(fù)的推敲琢磨。參與標(biāo)準(zhǔn)編制和研討的專家超過(guò)30人，主要來(lái)自工業(yè)和信息化部、國(guó)家密碼管理局、國(guó)家信息技術(shù)安全研究中心、國(guó)家信息中心、中國(guó)科學(xué)院、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院、北京數(shù)字證書(shū)認(rèn)證中心、上海格爾軟件股份有限公司、中國(guó)金融認(rèn)證中心、東方新誠(chéng)信數(shù)字認(rèn)證中心、北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司等。編制過(guò)程主要分為三個(gè)階段：（一）課題啟動(dòng)經(jīng)過(guò)前期調(diào)研，2012年4月，《基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求》標(biāo)準(zhǔn)項(xiàng)目上報(bào)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)；2012年12月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)批準(zhǔn)立項(xiàng)，所屬工作組為WG4。（二）編制初稿2013年1月，開(kāi)始初稿編制工作。參考的國(guó)外標(biāo)準(zhǔn)主要包括歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)的《CMS高級(jí)電子簽名》、《發(fā)放合格證書(shū)的證書(shū)認(rèn)證機(jī)構(gòu)策略要求》以及歐洲標(biāo)準(zhǔn)委員會(huì)的《簽名生成應(yīng)用程序安全需求》、《電子簽名驗(yàn)證通用指南》、《作為安全簽名生成設(shè)備的智能卡應(yīng)用接口》、《管理電子簽名證書(shū)的可信系統(tǒng)安全要求》等，參考的國(guó)內(nèi)標(biāo)準(zhǔn)主要包括《數(shù)字證書(shū)格式》、《時(shí)間戳規(guī)范》、《電子簽名格式規(guī)范》、《簽名生成應(yīng)用程序的安全要求》等。三家起草單位首先各自編制初稿，通過(guò)多次共同研究和反復(fù)討論，2013年7月，三份初稿合并形成統(tǒng)一的標(biāo)準(zhǔn)初稿。（三）標(biāo)準(zhǔn)修訂標(biāo)準(zhǔn)初稿完成后，編制組分別于2013年7月、11月和2014年3月組織召開(kāi)了3次大型研討會(huì)及多次小型研討會(huì)，征求專家意見(jiàn)。編制組充分吸取各方專家意見(jiàn)，對(duì)標(biāo)準(zhǔn)反復(fù)討論，多次修訂，2014年4月，形成較為完善成熟的修訂稿，并得到專家的肯定。2014年6月15日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG4工作組召開(kāi)組內(nèi)評(píng)審會(huì)議，對(duì)標(biāo)準(zhǔn)進(jìn)行了評(píng)審，編制組按照評(píng)審專家給出的修改意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行了修改。2014年7月11日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織對(duì)項(xiàng)目進(jìn)行中期評(píng)審，編制組根據(jù)專家意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行了修改，形成標(biāo)準(zhǔn)草案再次提交WG4工作組。2015年3月7日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG4工作組召開(kāi)專家審查會(huì)，專家組同意該標(biāo)準(zhǔn)（草案）通過(guò)審查。會(huì)后編制組對(duì)專家意見(jiàn)進(jìn)行匯總處理，提交WG4工作組成員單位進(jìn)行征求意見(jiàn)和表決。2015年9月9日，收到WG4工作組反饋的征求意見(jiàn)，編制組對(duì)征求意見(jiàn)進(jìn)行匯總處理，形成征求意見(jiàn)稿，進(jìn)行網(wǎng)上公開(kāi)征求意見(jiàn)。標(biāo)準(zhǔn)的主要內(nèi)容（一）本標(biāo)準(zhǔn)的主要內(nèi)容《基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求》主要包括以下幾個(gè)方面的內(nèi)容：1.可靠電子簽名生成及驗(yàn)證系統(tǒng)架構(gòu)通過(guò)對(duì)可靠電子簽名生成及驗(yàn)證邏輯框架的分析，明確可靠電子簽名生成與驗(yàn)證過(guò)程涉及的對(duì)象，確定實(shí)現(xiàn)可靠電子簽名需要對(duì)六個(gè)方面提出要求或規(guī)定：電子認(rèn)證服務(wù)提供者、簽名人身份、電子簽名相關(guān)數(shù)據(jù)、電子簽名生成設(shè)備、電子簽名生成過(guò)程與應(yīng)用程序、電子簽名驗(yàn)證過(guò)程與應(yīng)用程序。2.電子認(rèn)證服務(wù)提供者的要求電子認(rèn)證服務(wù)提供者CSP應(yīng)提供證書(shū)注冊(cè)、證書(shū)生成、證書(shū)發(fā)布、證書(shū)撤銷、時(shí)間戳等電子認(rèn)證服務(wù)并滿足安全要求。3.簽名人身份的要求簽名者需要擁有真實(shí)的實(shí)體身份，其身份的真實(shí)性由電子認(rèn)證服務(wù)提供者進(jìn)行鑒證。4.電子簽名相關(guān)數(shù)據(jù)的要求電子簽名相關(guān)數(shù)據(jù)的要求包括待簽數(shù)據(jù)的要求和電子簽名數(shù)據(jù)格式的要求。待簽數(shù)據(jù)包括簽名人文件和簽名屬性，電子簽名數(shù)據(jù)格式應(yīng)符合GB/T25064-2010的要求。5.電子簽名生成設(shè)備的要求電子簽名生成設(shè)備應(yīng)使用安全簽名生成設(shè)備。電子簽名生成設(shè)備的要求包括功能要求和安全要求兩部分，其中安全要求包括設(shè)備芯片的要求和對(duì)簽名人的鑒別要求。6.電子簽名生成過(guò)程與應(yīng)用程序要求電子簽名生成過(guò)程與應(yīng)用程序要求分別對(duì)電子簽名生成過(guò)程與電子簽名生成應(yīng)用程序的功能和安全能力提出要求。電子簽名生成過(guò)程的要求包括電子簽名生成應(yīng)用程序與生成設(shè)備建立連接過(guò)程要求、電子簽名數(shù)據(jù)準(zhǔn)備過(guò)程要求、電子簽名制作數(shù)據(jù)使用鑒別過(guò)程要求、產(chǎn)生簽名過(guò)程要求、簽名輸出過(guò)程要求五個(gè)部分。電子簽名生成應(yīng)用程序要求包括對(duì)電子簽名生成應(yīng)用程序的功能要求和安全要求兩個(gè)部分。7.電子簽名驗(yàn)證過(guò)程與應(yīng)用程序要求電子簽名驗(yàn)證過(guò)程與應(yīng)用程序要求分別對(duì)電子簽名驗(yàn)證過(guò)程與電子簽名驗(yàn)證應(yīng)用程序的功能和安全能力提出要求。電子簽名驗(yàn)證過(guò)程應(yīng)能有效地對(duì)簽名人文件的完整性、額外驗(yàn)證數(shù)據(jù)的簽名策略符合性、相關(guān)證書(shū)及額外驗(yàn)證數(shù)據(jù)的有效性等進(jìn)行驗(yàn)證。電子簽名驗(yàn)證應(yīng)用程序要求包括功能要求和安全要求兩個(gè)部分。（二）標(biāo)準(zhǔn)框架本標(biāo)準(zhǔn)主要框架如下：1范圍2規(guī)范性引用文件3術(shù)語(yǔ)和定義4縮略語(yǔ)5可靠電子簽名生成及驗(yàn)證系統(tǒng)架構(gòu)6電子認(rèn)證服務(wù)提供者的要求7簽名人身份的要求8電子簽名相關(guān)數(shù)據(jù)的要求9電子簽名生成設(shè)備的要求10電子簽名生成過(guò)程與應(yīng)用程序要求11電子簽名驗(yàn)證過(guò)程與應(yīng)用程序要求參考文獻(xiàn)與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)。本標(biāo)準(zhǔn)依據(jù)《中華人民共和國(guó)電子簽名法》規(guī)定的可靠電子簽名應(yīng)符合的條件，基于公鑰基礎(chǔ)設(shè)施的具體技術(shù)實(shí)現(xiàn)，結(jié)合我國(guó)對(duì)密碼技術(shù)和產(chǎn)品以及電子認(rèn)證服務(wù)業(yè)的監(jiān)管規(guī)定編制。本標(biāo)準(zhǔn)結(jié)合我國(guó)現(xiàn)有電子簽名相關(guān)技術(shù)標(biāo)準(zhǔn)，在此基礎(chǔ)上，提出可靠電子簽名應(yīng)滿足的技術(shù)要求。本標(biāo)準(zhǔn)依據(jù)GB/T1.1-2009規(guī)定編制。本標(biāo)準(zhǔn)中涉及的電子簽名，采用GB/T25064-2010《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式規(guī)范》規(guī)定的格式；本標(biāo)準(zhǔn)中涉及的簽名屬性，采用GB/T25065-2010《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施簽名生成應(yīng)用程序的安全要求》中的規(guī)定；本標(biāo)準(zhǔn)中對(duì)時(shí)間戳服務(wù)的安全要求，采用GB/T20520-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范》中的相關(guān)規(guī)定。標(biāo)準(zhǔn)編制過(guò)程中，還參考了下列國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)：GB/T16264.8-2005信息技術(shù)開(kāi)放系統(tǒng)互聯(lián)目錄第8部分：公鑰和屬性證書(shū)框架.GB/T19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范.GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求.GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ).ETSITS101456Policyrequirementsforcertificationauthoritiesissuingqualifiedcertificates（發(fā)放合格證書(shū)的證書(shū)認(rèn)證機(jī)構(gòu)策略要求）.ETSITS101733CMSAdvancedElectronicSignatures(CAdES)（CMS高級(jí)電子簽名）.CWA14170-2004Securityrequirementsforsignaturecreationapplications（簽名生成應(yīng)用程序安全需求）.CWA14171-2004Generalguidelinesforelectronicsignatureverification（電子簽名驗(yàn)證通用指南）.EN14890-1,ApplicationInterfaceforsmartcardsusedasSecureSignatureCreationDevices-Part1:Basicservices（作為安全簽名生成設(shè)備的智能卡應(yīng)用接口-第一部分：基本服務(wù)）.ETSITS102280,X.509V.3CertificateProfileforCertificatesIssuedtoNaturalPersons（自然人證書(shū)輪廓）.CWA14167-1,2004,SecurityRequirementsforTrustworthySystemsManagingCertificatesforElectronicSignatures-Part1:SystemSecurityRequirements（管理電子簽名證書(shū)的可信系統(tǒng)安全要求-第1部分：系統(tǒng)安全要求）.有關(guān)問(wèn)題的說(shuō)明編制組在標(biāo)準(zhǔn)編制過(guò)程中，進(jìn)行了內(nèi)部討論、專家論證評(píng)審等過(guò)程。編制組對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)草案編制工作。在整個(gè)過(guò)程中，編制組遵循編制原則，對(duì)專家提出的意見(jiàn)和建議做出認(rèn)真的應(yīng)答和處理，不斷對(duì)標(biāo)準(zhǔn)草案進(jìn)行完善。本標(biāo)準(zhǔn)