基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求（征求意見稿）編制說明

任務(wù)來源及編制單位根據(jù)國家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，國家標(biāo)準(zhǔn)《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求》由中國電子信息產(chǎn)業(yè)發(fā)展研究院牽頭起草，標(biāo)準(zhǔn)計(jì)劃號是20130326-T-469，技術(shù)歸口單位是全國信息安全技術(shù)標(biāo)準(zhǔn)委員會(huì)。標(biāo)準(zhǔn)編制單位由中國電子信息產(chǎn)業(yè)發(fā)展研究院、北京數(shù)字認(rèn)證股份有限公司、上海格爾軟件股份有限公司組成。中國電子信息產(chǎn)業(yè)發(fā)展研究院是工信部直屬的國家一級科研事業(yè)單位，在信息產(chǎn)業(yè)與信息化等研究領(lǐng)域具有豐富的經(jīng)驗(yàn)和雄厚的實(shí)力；院下屬的信息安全研究所是中國電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟秘書處的具體承擔(dān)單位，多年來致力于信息安全、電子認(rèn)證研究工作。北京數(shù)字認(rèn)證股份有限公司是國內(nèi)較早成立和規(guī)模最大的電子認(rèn)證服務(wù)機(jī)構(gòu)之一，擁有完善的電子認(rèn)證產(chǎn)品體系、專業(yè)人才隊(duì)伍和深厚的技術(shù)積累。上海格爾軟件股份有限公司是商用密碼產(chǎn)品定點(diǎn)生產(chǎn)與銷售單位，在國內(nèi)較早研制和推出電子認(rèn)證軟硬件產(chǎn)品，是全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的核心成員單位。三家單位都曾牽頭或參與過多項(xiàng)標(biāo)準(zhǔn)制定工作。編制目的和意義為貫徹落實(shí)《中華人民共和國電子簽名法》，實(shí)現(xiàn)《電子認(rèn)證服務(wù)業(yè)“十二五”發(fā)展規(guī)劃》目標(biāo)和任務(wù)，促進(jìn)可靠電子簽名的應(yīng)用普及，推動(dòng)電子認(rèn)證服務(wù)業(yè)的健康有序發(fā)展，依據(jù)《中華人民共和國電子簽名法》對可靠電子簽名的相關(guān)規(guī)定，編制《基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求》。編制意義主要體現(xiàn)在以下三個(gè)方面：一是貫徹落實(shí)《中華人民共和國電子簽名法》的重要途徑?！吨腥A人民共和國電子簽名法》規(guī)定只有可靠電子簽名具有與手寫簽名同等的法律效力，并明確數(shù)據(jù)電文作為證據(jù)必須確保生成、存儲(chǔ)或傳遞數(shù)據(jù)電文的方法的可靠性、保持內(nèi)容完整性的方法的可靠性、用以鑒別發(fā)件人的方法的可靠性等。如何從技術(shù)上保證電子簽名是可靠的，如何確保數(shù)據(jù)電文生成、傳遞、接收、保存、提取、鑒定等各環(huán)節(jié)是可靠的，是目前亟待解決的問題。按照《中華人民共和國電子簽名法》對可靠電子簽名和數(shù)據(jù)電文的相關(guān)要求，研究制定《基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求》，是貫徹落實(shí)《中華人民共和國電子簽名法》的重要途徑。二是構(gòu)建網(wǎng)絡(luò)信任體系的根本保障。隨著經(jīng)濟(jì)社會(huì)活動(dòng)對網(wǎng)絡(luò)依賴性不斷提高，建立網(wǎng)絡(luò)秩序，營造可信、安全的網(wǎng)絡(luò)空間的需求日益迫切。當(dāng)前，電子商務(wù)、電子政務(wù)等領(lǐng)域都提出了應(yīng)用可靠電子簽名的要求，同時(shí)諸如電子合同、電子憑證、電子記錄等應(yīng)用中都要求確保數(shù)據(jù)電文的可靠性。網(wǎng)絡(luò)身份認(rèn)證、行為責(zé)任認(rèn)定、資源權(quán)屬維護(hù)、交易風(fēng)險(xiǎn)防范、交易糾紛仲裁已經(jīng)成為網(wǎng)絡(luò)用戶關(guān)注的焦點(diǎn)。研究和制定《基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求》，可為實(shí)現(xiàn)網(wǎng)絡(luò)行為的追蹤與管理、為保障權(quán)益、追究責(zé)任提供重要依據(jù)，是構(gòu)建網(wǎng)絡(luò)信任體系的基礎(chǔ)和保障。三是推廣可靠電子簽名應(yīng)用的有力支撐。目前，電子商務(wù)、電子政務(wù)等對可靠電子簽名應(yīng)用需求的不斷增長與可靠電子簽名標(biāo)準(zhǔn)規(guī)范缺乏的矛盾越來越突出。通過開展《基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求》的研究，初步形成可靠電子簽名生成及驗(yàn)證規(guī)范和流程，促進(jìn)可信電子合同、可信電子憑證、可信電子記錄等應(yīng)用技術(shù)取得突破性進(jìn)展，為電子取證、司法鑒定和法律訴訟提供支持，為可靠電子簽名和可信數(shù)據(jù)電文的推廣應(yīng)用奠定基礎(chǔ)。編制原則本標(biāo)準(zhǔn)屬于信息安全技術(shù)要求類的標(biāo)準(zhǔn)，以自主編寫的方式完成。標(biāo)準(zhǔn)緊扣《中華人民共和國電子簽名法》規(guī)定的可靠電子簽名應(yīng)同時(shí)符合的四項(xiàng)條件，結(jié)合我國對密碼技術(shù)和產(chǎn)品以及電子認(rèn)證服務(wù)業(yè)的監(jiān)管規(guī)定進(jìn)行編制，為基于數(shù)字證書可靠電子簽名相關(guān)系統(tǒng)、應(yīng)用的開發(fā)提供指導(dǎo)，為相關(guān)產(chǎn)品、服務(wù)標(biāo)準(zhǔn)的制定提供參考。主要工作過程《基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求》課題始于2012年4月，標(biāo)準(zhǔn)編制期間召開了3次10名以上專家參會(huì)的大型研討會(huì)，十余次小型研討會(huì)，電話、郵件溝通討論百余次，根據(jù)研討結(jié)果進(jìn)行了幾次較大規(guī)模的修訂和反復(fù)的推敲琢磨。參與標(biāo)準(zhǔn)編制和研討的專家超過30人，主要來自工業(yè)和信息化部、國家密碼管理局、國家信息技術(shù)安全研究中心、國家信息中心、中國科學(xué)院、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院、北京數(shù)字證書認(rèn)證中心、上海格爾軟件股份有限公司、中國金融認(rèn)證中心、東方新誠信數(shù)字認(rèn)證中心、北京天威誠信電子商務(wù)服務(wù)有限公司等。編制過程主要分為三個(gè)階段：（一）課題啟動(dòng)經(jīng)過前期調(diào)研，2012年4月，《基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求》標(biāo)準(zhǔn)項(xiàng)目上報(bào)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)；2012年12月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)批準(zhǔn)立項(xiàng)，所屬工作組為WG4。（二）編制初稿2013年1月，開始初稿編制工作。參考的國外標(biāo)準(zhǔn)主要包括歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)的《CMS高級電子簽名》、《發(fā)放合格證書的證書認(rèn)證機(jī)構(gòu)策略要求》以及歐洲標(biāo)準(zhǔn)委員會(huì)的《簽名生成應(yīng)用程序安全需求》、《電子簽名驗(yàn)證通用指南》、《作為安全簽名生成設(shè)備的智能卡應(yīng)用接口》、《管理電子簽名證書的可信系統(tǒng)安全要求》等，參考的國內(nèi)標(biāo)準(zhǔn)主要包括《數(shù)字證書格式》、《時(shí)間戳規(guī)范》、《電子簽名格式規(guī)范》、《簽名生成應(yīng)用程序的安全要求》等。三家起草單位首先各自編制初稿，通過多次共同研究和反復(fù)討論，2013年7月，三份初稿合并形成統(tǒng)一的標(biāo)準(zhǔn)初稿。（三）標(biāo)準(zhǔn)修訂標(biāo)準(zhǔn)初稿完成后，編制組分別于2013年7月、11月和2014年3月組織召開了3次大型研討會(huì)及多次小型研討會(huì)，征求專家意見。編制組充分吸取各方專家意見，對標(biāo)準(zhǔn)反復(fù)討論，多次修訂，2014年4月，形成較為完善成熟的修訂稿，并得到專家的肯定。2014年6月15日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG4工作組召開組內(nèi)評審會(huì)議，對標(biāo)準(zhǔn)進(jìn)行了評審，編制組按照評審專家給出的修改意見對標(biāo)準(zhǔn)進(jìn)行了修改。2014年7月11日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織對項(xiàng)目進(jìn)行中期評審，編制組根據(jù)專家意見對標(biāo)準(zhǔn)進(jìn)行了修改，形成標(biāo)準(zhǔn)草案再次提交WG4工作組。2015年3月7日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG4工作組召開專家審查會(huì)，專家組同意該標(biāo)準(zhǔn)（草案）通過審查。會(huì)后編制組對專家意見進(jìn)行匯總處理，提交WG4工作組成員單位進(jìn)行征求意見和表決。2015年9月9日，收到WG4工作組反饋的征求意見，編制組對征求意見進(jìn)行匯總處理，形成征求意見稿，進(jìn)行網(wǎng)上公開征求意見。標(biāo)準(zhǔn)的主要內(nèi)容（一）本標(biāo)準(zhǔn)的主要內(nèi)容《基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求》主要包括以下幾個(gè)方面的內(nèi)容：1.可靠電子簽名生成及驗(yàn)證系統(tǒng)架構(gòu)通過對可靠電子簽名生成及驗(yàn)證邏輯框架的分析，明確可靠電子簽名生成與驗(yàn)證過程涉及的對象，確定實(shí)現(xiàn)可靠電子簽名需要對六個(gè)方面提出要求或規(guī)定：電子認(rèn)證服務(wù)提供者、簽名人身份、電子簽名相關(guān)數(shù)據(jù)、電子簽名生成設(shè)備、電子簽名生成過程與應(yīng)用程序、電子簽名驗(yàn)證過程與應(yīng)用程序。2.電子認(rèn)證服務(wù)提供者的要求電子認(rèn)證服務(wù)提供者CSP應(yīng)提供證書注冊、證書生成、證書發(fā)布、證書撤銷、時(shí)間戳等電子認(rèn)證服務(wù)并滿足安全要求。3.簽名人身份的要求簽名者需要擁有真實(shí)的實(shí)體身份，其身份的真實(shí)性由電子認(rèn)證服務(wù)提供者進(jìn)行鑒證。4.電子簽名相關(guān)數(shù)據(jù)的要求電子簽名相關(guān)數(shù)據(jù)的要求包括待簽數(shù)據(jù)的要求和電子簽名數(shù)據(jù)格式的要求。待簽數(shù)據(jù)包括簽名人文件和簽名屬性，電子簽名數(shù)據(jù)格式應(yīng)符合GB/T25064-2010的要求。5.電子簽名生成設(shè)備的要求電子簽名生成設(shè)備應(yīng)使用安全簽名生成設(shè)備。電子簽名生成設(shè)備的要求包括功能要求和安全要求兩部分，其中安全要求包括設(shè)備芯片的要求和對簽名人的鑒別要求。6.電子簽名生成過程與應(yīng)用程序要求電子簽名生成過程與應(yīng)用程序要求分別對電子簽名生成過程與電子簽名生成應(yīng)用程序的功能和安全能力提出要求。電子簽名生成過程的要求包括電子簽名生成應(yīng)用程序與生成設(shè)備建立連接過程要求、電子簽名數(shù)據(jù)準(zhǔn)備過程要求、電子簽名制作數(shù)據(jù)使用鑒別過程要求、產(chǎn)生簽名過程要求、簽名輸出過程要求五個(gè)部分。電子簽名生成應(yīng)用程序要求包括對電子簽名生成應(yīng)用程序的功能要求和安全要求兩個(gè)部分。7.電子簽名驗(yàn)證過程與應(yīng)用程序要求電子簽名驗(yàn)證過程與應(yīng)用程序要求分別對電子簽名驗(yàn)證過程與電子簽名驗(yàn)證應(yīng)用程序的功能和安全能力提出要求。電子簽名驗(yàn)證過程應(yīng)能有效地對簽名人文件的完整性、額外驗(yàn)證數(shù)據(jù)的簽名策略符合性、相關(guān)證書及額外驗(yàn)證數(shù)據(jù)的有效性等進(jìn)行驗(yàn)證。電子簽名驗(yàn)證應(yīng)用程序要求包括功能要求和安全要求兩個(gè)部分。（二）標(biāo)準(zhǔn)框架本標(biāo)準(zhǔn)主要框架如下：1范圍2規(guī)范性引用文件3術(shù)語和定義4縮略語5可靠電子簽名生成及驗(yàn)證系統(tǒng)架構(gòu)6電子認(rèn)證服務(wù)提供者的要求7簽名人身份的要求8電子簽名相關(guān)數(shù)據(jù)的要求9電子簽名生成設(shè)備的要求10電子簽名生成過程與應(yīng)用程序要求11電子簽名驗(yàn)證過程與應(yīng)用程序要求參考文獻(xiàn)與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)外相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)。本標(biāo)準(zhǔn)依據(jù)《中華人民共和國電子簽名法》規(guī)定的可靠電子簽名應(yīng)符合的條件，基于公鑰基礎(chǔ)設(shè)施的具體技術(shù)實(shí)現(xiàn)，結(jié)合我國對密碼技術(shù)和產(chǎn)品以及電子認(rèn)證服務(wù)業(yè)的監(jiān)管規(guī)定編制。本標(biāo)準(zhǔn)結(jié)合我國現(xiàn)有電子簽名相關(guān)技術(shù)標(biāo)準(zhǔn)，在此基礎(chǔ)上，提出可靠電子簽名應(yīng)滿足的技術(shù)要求。本標(biāo)準(zhǔn)依據(jù)GB/T1.1-2009規(guī)定編制。本標(biāo)準(zhǔn)中涉及的電子簽名，采用GB/T25064-2010《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式規(guī)范》規(guī)定的格式；本標(biāo)準(zhǔn)中涉及的簽名屬性，采用GB/T25065-2010《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施簽名生成應(yīng)用程序的安全要求》中的規(guī)定；本標(biāo)準(zhǔn)中對時(shí)間戳服務(wù)的安全要求，采用GB/T20520-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范》中的相關(guān)規(guī)定。標(biāo)準(zhǔn)編制過程中，還參考了下列國內(nèi)外相關(guān)標(biāo)準(zhǔn)：GB/T16264.8-2005信息技術(shù)開放系統(tǒng)互聯(lián)目錄第8部分：公鑰和屬性證書框架.GB/T19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范.GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求.GB/T25069-2010信息安全技術(shù)術(shù)語.ETSITS101456Policyrequirementsforcertificationauthoritiesissuingqualifiedcertificates（發(fā)放合格證書的證書認(rèn)證機(jī)構(gòu)策略要求）.ETSITS101733CMSAdvancedElectronicSignatures(CAdES)（CMS高級電子簽名）.CWA14170-2004Securityrequirementsforsignaturecreationapplications（簽名生成應(yīng)用程序安全需求）.CWA14171-2004Generalguidelinesforelectronicsignatureverification（電子簽名驗(yàn)證通用指南）.EN14890-1,ApplicationInterfaceforsmartcardsusedasSecureSignatureCreationDevices-Part1:Basicservices（作為安全簽名生成設(shè)備的智能卡應(yīng)用接口-第一部分：基本服務(wù)）.ETSITS102280,X.509V.3CertificateProfileforCertificatesIssuedtoNaturalPersons（自然人證書輪廓）.CWA14167-1,2004,SecurityRequirementsforTrustworthySystemsManagingCertificatesforElectronicSignatures-Part1:SystemSecurityRequirements（管理電子簽名證書的可信系統(tǒng)安全要求-第1部分：系統(tǒng)安全要求）.有關(guān)問題的說明編制組在標(biāo)準(zhǔn)編制過程中，進(jìn)行了內(nèi)部討論、專家論證評審等過程。編制組對國內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)草案編制工作。在整個(gè)過程中，編制組遵循編制原則，對專家提出的意見和建議做出認(rèn)真的應(yīng)答和處理，不斷對標(biāo)準(zhǔn)草案進(jìn)行完善。本標(biāo)準(zhǔn)