国家出台电子签章标准，三分钟为你详解电子签章应用流程！

近日，国内出台了电子签章技术国家标准--GB/T 38540-2020《信息安全技术 安全电子签章密码技术规范》，此技术标准将于10月1日正式实施。本标准有全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。

本标准由多个单位协同起草，规定了采用密码技术实现电子印章和电子签章的数据结构定义，以及相应的生成与验证流程，同时，适用于电子印章的开发和使用，也可以用于指导该类系统的检测。

《标准》中给出了电子签章相关术语的定义：

1、电子印章：一种由电子印章制章者数字签名的安全数据。

2、电子签章：使用电子印章签署电子文件的过程。

3、电子签章数据：电子签章过程产生的包含电子印章、原文信息和数字签名等信息的数据。

4、电子印章系统：电子印章管理系统和电子签章软件的统称。

安全电子签章是通过采用PKI公钥密码技术，将数字图像处理技术与电子签名技术进行结合，以电子形式对加盖印章图像数据的电子文档进行数字签名，以确保文档来源的真实性以及文档的完整性，防止对文档未经授权的篡改，并确保签章行为的不可否认性。

为了确保电子印章的完整性，不可伪造性，以及合法用户才能使用，需要定义一个安全的电子印章数据格式。通过数字签名将印章图像数据与签章者等印章属性进行安全绑定，形成安全电子印章。在使用印章过程中，应对电子印章进行安全性验证。

在使用电子印章对各种文档进行电子签章过程中，签章者通过数字签名对文档数据进行签章处理，从而达到与传统纸质文件盖章操作相同的可视化效果，同时又利用数字签名技术保障了文档数据的真实性，完整性以及签章者行为的不可否认性。

《标准》中给出了详细的电子印章生成流程、验证流程，以及对应的标准，电子签章也是一样。电子签章的流程也比较复杂，我们简化一下，电子签章生成流程分为两大步，又有9个小步：

一、准备电子印章，并验证电子印章的正确性和有效性：

1.验证电子印章；

2.验证签章者证书的有效性，包括证书有效期、证书密钥等等；

3.根据电子印章中的签章者证书列表类型，提取电子印章中的签章者证书信息列表，并用来验证证书有效性。

二、对原文进行电子签章，步骤如下：

1.按照propertyinfo中的签名保护范围来准备待签名原文；

2.将待签名原文数据进行杂凑运算，形成原文杂凑值；

3.按照电子签章数据格式组成签章信息；

4.签章者对签章信息进行数字签名，生成签名值；

5.如果需要加盖时间戳，则利用上述签名值产生相应的时间戳；

6.将步骤3、4、5以及签章者信息，签名算法标识组成电子签章数据。

最后，我们来大体上梳理一下电子签章是如何验证的：

一、验证电子签章数据格式的正确性；

二、验证电子签章签名值是否正确；

三、验证签章者证书与电子印章的匹配性；

四、验证电子印章的有效性；

五、验证签章者证书有效性；

六、验证签章时间的有效性；

七、验证原文杂凑；

八、验证时间戳有效性。

虽然电子签章的应用流程看上去很复杂，但是在实际使用上，用户是不需要去考虑流程问题的，因为第三方电子签章平台已经将流程全部放在后台运行，电子签章在文件上的表现只是一个图片。

以放心签电子合同平台为例，我们看下用户是如何进行电子签章的。

首先，用户登录放心签电子合同平台，进行实名认证获取唯一身份标识的数字证书；

其次，在线制作电子印章/电子签名，输入公章横向文（例如“合同章”），并给该公章命名，系统就会生成以认证企业名称+横向文组合的电子印章；

最后，用户上传需签署的文件或使用模板生成专属合同文件，填写相关信息，在签署页面添加签章和签署日期，完成手机验证码签署/刷脸签署/指纹签署过程；

电子签章的数据验证其实已经在后台验证完毕，大家只需要按照平台指导进行使用，就可以签署一份安全的电子合同了。