单套制背景下电子签名应用的困境与思考

■许振哲

一、引言

2016年4月1日，国家档案局印发《全国档案事业发展“十三五”规划纲要》，提出“在有条件的部门开展电子档案单套制（即电子设备生成的档案仅以电子方式保存）、单轨制（即不再生成纸质档案）管理试点”，掀起了电子档案单套制的研究热潮。

然而与“单套制研究热”相对应的，则是“电子签名研究冷”，笔者分别以“单套制”“单轨制”“电子签名”“数字签名”为关键词在中国知网进行篇名检索，汇总了2002—2021年档案领域论文研究成果：

如图1所示，自电子档案单套制提出以来，单套制与单轨制的论文成果从2017年起急剧增多，呈井喷之势；而电子签名与数字签名的相关研究却严重不足，2005年《电子签名法》施行之时出现过一个峰值，之后持续走低，这显然是不合理的。电子签名作为电子档案真实性、完整性、可靠性、安全性的有力保障，可谓电子档案单套制的技术核心。抛开电子签名研究电子档案单套制管理，无异于建造空中楼阁。一些电子档案单套制研究对电子签名相关内容有所提及，然而探讨不够深入甚至存在谬误。此外，电子签名第三方CA认证机构应当如何选取？电子签名中的非可信时间戳能否被认同？数字证书到期或CA机构停运，电子签名应当如何维护？电子档案归档后，是否有必要维持电子签名重新生效的能力？这些电子档案单套制管理可能遇到的实际问题，目前相关学术研究十分匮乏。由此可见，单套制研究热潮的背后，已逐步显现出理论研究脱离实际建设的趋势，如不及时扭转，未来必然会影响电子档案单套制建设进程。

图1 2002-2021年单套制与电子签名研究成果图

二、电子签名概述

（一）电子签名与数字签名概念辨析

在电子档案相关研究中，电子签名和数字签名是频繁出现的一组概念，然而很多文章未能很好地对二者做出区分，甚至将二者混为一谈。蔡盈芳认为，电子签名是利用密码运算实现“手写签名”效果的一种技术，它通过某种数字变换来实现对数字内容的签名和盖章，有的文献也称之为数字签名。姜志伟认为，电子签名是更一般化的概念，数字签名是电子签名的一种特殊形式，法律上所规定的可靠(高级)电子签名，指的就是数字签名。闫伟认为，电子签名就是能够在电子文件中识别起草人身份、保证传输安全、起到与手写签名或者盖章同等作用的电子技术手段，基于PKI的电子签名被称作“数字签名”，数字签名只是电子签名的一种特定形式。

根据《电子签名法》（2019）第二条的描述，“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”《电子签名法》秉承技术中立原则，实现电子签名有多种技术手段，其中包括基于非对称加密体制的数字签名、生理特征签名、触摸屏手写签名等。数字签名是基于PKI公钥基础设施的一种技术手段，利用特定算法生成一串由符号及数字组成的字符串来代替书写签名或印章，且这个字符串可以在技术上通过算法进行验证。

根据上述定义不难看出：电子签名是一段电子数据，而数字签名则是一种技术手段，二者是性质截然不同的一组概念，只是由于《电子签名法》规定的可靠电子签名，需要具备签名人身份真实、意愿真实，签名及数据电文均不可改的特性，而目前可实现此要求的只有基于非对称加密体制的数字签名技术，因此在很多研究中，容易将二者混淆。通俗来说，电子签名就好比签署在纸质文件上的姓名，是一串字迹；而数字签名、生理特征签名等技术就好比使用黑色水笔或圆珠笔进行签名，是一种工具或手段。黑色水笔只是用来签名最为普遍的一种方式，并不能等同于签名本身。有些学者认为“通过数字签名技术签署的电子签名”就是数字签名，从而将数字签名视作电子签名的一种特殊形式，严格来说，这种观点是不正确的。数字签名与电子签名性质迥异，不存在隶属关系，更不能等同，这是研究电子签名需要明确的首要问题。

（二）电子签名的分级结构

GB/T25064-2010《电子签名格式规范》将电子签名按格式分为 5 类，包括：基本电子签名（BES）、带时间戳的电子签名（ES-T）、带完全验证数据的电子签名（ES-C）、带扩展的验证数据的电子签名（ES-X）、带归档时间戳的电子签名（ES-A），其中带归档时间戳的电子签名（ES-A）是在其他各类电子签名的基础上相应添加时间戳，以保证电子签名的安全性的电子签名，可以归档保存供长期查验，其结构如图2所示。

图2 ES-A电子签名结构示意图

一个完整的电子签名，其结构应该逐级嵌套、层层递进，随着层级的增加，包含的数据和验证信息愈发完整，对外在验证环境的依赖性就越低，保管成本与难度也会随之提升。但所有电子签名，都应包含BES及归档时间戳四个基本要素，否则无法进行验证。在实际工作中，想要完整具备所有元素，保证电子签名的可验证性非常困难，困难不仅源自技术层面，也源自管理和协调层面。一些部门在归档过程中抛弃了电子签名的原始数据，将签名文件转化为图片，仅保存签名、签章的影像，这无疑摒弃了电子签名的验证功能，是对维护电子文件证据价值、守护历史责任的一种逃避。

（三）电子签名的运作流程

电子签名能够体现签名人的身份，签名人对文件内容的认可，以及电子文件内容的真实、完整性，而可信时间戳则能证明数据电文(电子文件）在一个时间点是已经存在的、完整的、可验证的，确定电子文件产生的准确时间，防止电子文件的篡改和事后抵赖。电子签名与可信时间戳的运作流程如图3所示。

图3 电子签名与可信时间戳运作流程图

当用户准备传递电子文件时，首先会对这个电子文件进行一次哈希运算，生成电文摘要，也即哈希值A；接着，用户将哈希值A发送给联合信任时间戳服务中心(UTSA)，申请加盖时间戳,UTSA会将收到电文摘要的日期和时间数据与哈希值A绑定，生成一个以.tsa为后缀的文件，这个文件即可信时间戳。时间戳生成后，UTSA使用私钥对之进行加密，生成一个电子签名，并将之返还给用户。用户使用UTSA的公钥对电子签名进行解密，得到可信时间戳文件，再将时间戳文件与哈希值A两个文件一起用私钥加密，生成用户的电子签名，最后将需要传输的电子文件与电子签名一起发送给收件部门。

收件部门收到文件后，首先使用用户公钥对电子签名进行解密，得到哈希值A和时间戳文件，时间戳文件可直接到UTSA官方网站进行核验，接着用户对电子文件原文进行哈希运算，得到哈希值B，最后将哈希值A与B进行比对，看是否一致，若二者一致，则说明电子数据在时间戳生成之时内容真实可靠，若不一致，则说明电子文件可能受到篡改。

三、电子签名应用的困境与思考

电子签名目前存在的问题，一方面源自理论研究的缺失，另一方面则是对实际建设中可能遇到的困境预估不足。《电子签名法》只对电子签名的法律效力、认证机构等关键问题做了原则性规定，在配套规章制度和实施细则方面还存在大量空白，档案领域更是缺乏明确的符合档案管理要求的电子签名操作规范。因此，电子签名在实际应用环节面临一系列困境。

（一）CA市场饱和，难以互认

CA是Certification Authority的简称，也即数字证书认证中心。现阶段的电子签名，主要依托于PKI公钥基础设施，通过数字签名技术来实现。CA是PKI的核心，也是电子档案单套制管理架构中的重要枢纽，然而档案界对CA的相关研究并不多，对当前CA市场的复杂性认知严重不足。

早在2008年，就有相关统计研究指出：我国有CA认证机构140多家，还有不断增建的趋势，根据国家工业和信息化部政务服务平台的最新数据，截至2021年11月30日，获得电子认证服务行政许可的CA中心共54家，而在电子商务发达的美国，只有两三个大型的认证中心。由此可见，国内CA机构重复建设现象严重，CA供给远远超出了市场的需求，处于过度饱和状态。大量未经许可、不具备认证资质的CA机构对市场秩序形成了冲击，即便是获得认证服务行政许可的54家CA，也呈现出明显的行业、地域分化趋势，如图4所示，我国目前34个省级行政区中，有28个行政区拥有具备认证资质的CA机构；甘肃、青海、西藏、香港、澳门、台湾6个行政区至今没有具备认证资质的CA机构；除北京、广东、江苏外，各地CA机构的规模普遍偏小，大部分地区仅有一家CA。从行业的角度来看：服务于电子商务、通信等领域的行业性CA居多，符合电子档案单套制管理规范的综合性CA偏少。这也就意味着，如果电子档案单套制管理全面落实，为保证电子归档的依法合规，诸多地市必然面临寻求外地CA机构进行签名认证的窘境。

图4 CA地域分布图

《电子签名法》的技术中立原则为CA市场早期繁荣奠定了基础，然而却为后续发展埋下了隐患。江艳霞和左明在文章中指出：“尽管我国目前CA中心众多，但是在严格意义却没有符合电子商务规定，特别是安全电子交易（SET）协议规定的认证中心；CA之间的认证必须通过唯一的根CA，但是我国并没有自己的根CA，这就导致不同品牌CA间各自为政，缺乏互联互通，相互认证困难。”《电子签名法》第二十三条规定：“电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。”技术标准、算法机制的差异性，注定了一旦某家CA停止运营，其他CA无法对它的数字证书进行二次认证，业务承接不具备实现的可能性，届时甚至会出现数以百万计的数字证书一朝废弃的场景。

想要解决CA之间相互认证的问题，目前只有两种途径：一是由国家颁布相关规章，敦促实现CA之间的交叉认证。以上文所述54家CA为例，光是实现交叉互认就需要互相发放1431张证书，这还只是具备认证资质的CA机构，随着获得资质的机构越来越多，这个数字也将不断扩大，无法从根本上解决问题。另一种方式则是建立一个国家层面的根CA作为认证根基，在此基础上实现所有CA的统一认证。然而根CA的建立是一个漫长的过程，在根CA建成之前，CA之间无法相互认证的问题仍将长期存在。目前，我国电子签名技术指标尚未统一，配套法规不够完善，CA前景亦不明朗，在此背景下推进电子档案单套制管理，未免有些操之过急。

（二）可信时间戳与非可信时间戳的混用

一份完整的电子文件，应当兼具内容信息、签名人信息以及时间信息三个基本要素。电子签名可以保证文件的内容信息与签名人信息不能修改，但无法确保时间信息的真实可靠性。因此需要引入时间戳，用于防止电子文件的篡改和事后抵赖，确定电子文件产生的准确时间。

时间戳是一个经加密后形成的独立的具有标准格式的电子文件，提供时间戳设备及服务的机构被称为时间戳服务中心。时间戳分为可信时间戳和非可信时间戳，可信时间戳是由权威可信时间戳服务中心签发的一个能证明数据电文(电子文件）在一个时间点是已经存在的、完整的、可验证的，具备法律效力的电子凭证。由此可见，可信时间戳与非可信时间戳的区别在于是否由权威可信时间戳服务中心签发。中国科学院国家授时中心（以下简称“国家授时中心”），是我国唯一的专门、全面从事时间频率基础研究和应用研究的科研机构，承担着我国国家标准时间（北京时间）的产生、保持和发布任务。2005年9月，联合信任与国家授时中心共同建设了联合信任时间戳服务中心(UTSA)，UTSA也因此成为我国权威可信时间戳服务中心，由该中心签发的时间戳方被视作可信时间戳，其他机构提供的时间戳均为非可信时间戳。

目前我国具备电子认证资质的54家CA，主要是由吉大正元、格尔软件等商密产品生产商负责承建。其中吉大正元承建了河南CA、湖北CA、山西CA、江西CA等，格尔软件承建了浙江CA、安徽CA、福建CA、云南CA等。由吉大正元承建的CA具备时间戳服务器架设，可以在进行电子签名的同时提供时间戳服务，出于方便工作考虑，河南、湖北等地必然更加倾向于使用吉大正元自带的非可信时间戳，而格尔软件承建的浙江、安徽等地CA由于没有时间戳功能，只能应用UTSA的可信时间戳，时间戳的使用也因此呈现出地域化特征。

可信时间戳与非可信时间戳的混用，给实际工作带来了一些问题：电子文件若只在省内流转尚可，一旦有重要电子文件涉及跨省异地备份或向国家专门档案馆移交，电子档案所含非可信时间戳能否被异地档案部门所认同？非可信时间戳如何跨CA认证？专门档案馆面对来自不同地区、不同CA的海量非可信时间戳，又当如何逐一进行校验？电子档案单套制管理需要尽快出台可信时间戳的强制性规范，遏制非可信时间戳的泛滥趋势，否则未来随着电子文件规模的不断扩大，可能会衍化出类似CA的认证危机。

（三）电子签名归档处理方案缺失

有学者指出：国内对如何应用电子签名来增加电子文件或电子档案可信度的研究较多，归档后电子签名如何处理以符合电子档案管理要求的研究较少。在纸质文件时代，文件与签名存于纸质载体，具有相同的生命周期。而在单套制背景下，电子文件和电子签名的生命周期不再同步，电子签名成为独立于电子文件之外的一串数据电文，电子文件可以永久保存，电子签名却不可能具有相同的认证周期。电子文件归档后，电子签名是否也应归档？电子签名重新验证的能力是否需要维护？

刘越男、杨建梁、张洋洋在文章中对比分析了国内外关于电子签名归档保存的具体方案：美国国家档案与文件署(NARA)、澳大利亚国家档案馆(NAA)、加拿大图书与档案馆(LAC)一致表示不会采取任何技术措施维护电子签名的可验证性。中国在国家层面则尚未颁布专门针对电子签名文件的归档保存指南。

对于纸质文件而言，由于文件内容和签名信息依托于物理载体而存在，对纸质文件的任何改动，都能轻易通过肉眼识别，文件转化为档案入库后，可以通过物理手段防止外界的接触和篡改。电子文件时代，各式各样的网络攻击层出不穷，针对电子文件信息的窃取和篡改更加隐秘，难以发觉。电子签名是确保电子文件真实可靠性的唯一凭据，电子文件移交入库绝不意味着电子签名使命终结，单套制背景下更是如此。电子文件面临的风险，不仅源于移交过程中的信息窃取，也包括归档入库后的信息篡改。如不维护电子签名重新验证的能力，馆藏电子档案遭到篡改档案部门甚至有可能一无所知。

目前维护电子签名重新生效的办法只有两种：一是签名到期后由签名人重新签名，但有可能碰到签名人不配合或者归档部门撤并的问题；另一种方式是给签名到期的文件添加时间戳，但这并没有从根本上解决电子签名失效的问题，同时也会给档案部门带来额外的经济成本和工作负担。档案部门应当对电子签名的实际价值与维护成本做出权衡，尽早出台电子签名文件归档处理方案。