有没有这块的专业人士,可以给科普一下。最近在调研电子签章的东西(保险单证业务场景),但是业内的公司都是采购电子签章服务商提供的服务或者 SDK,配合授信的 CA 颁发证书,完成 PDF 的电子签章(数字签名+电子签章一起,也有叫域签章的)。
但我用程序完全可以实现啊,只要我购买了PDF签名证书,配合 PDF 库(比如 itext ),同样可以完成签章+数字签名的操作。
这样一来,还买这些厂商提供的电子签章服务干啥?直接买个证书一年几千块钱就搞定了, 数安 的 PDF 证书连 ADOBE 都信任,它不香吗?
你自己给自己签名时,承担了一个签名过程中最最重要角色「 CA 机构」,因为证书都是你自己颁发的。
因为当你自己是一个 CA 机构,你可以给自己颁发证书,给自己签名,同样,你也可以伪造别人的证书,毕竟证书里面信息就那几样,所以系统不会信任你。
验证的过程实际上就是,你拿着你签名的文件给系统验证,系统因为信任 CA 机构,所以信任了你的签名。
因为这些 CA 机构的证书已经在放在了系统里面,所以验证时,不再需要安装根证书,而你自己要想让系统信任,你就需要让使用者在他的电脑上安装你的根证书,这样系统就能够信任你,但是这对于用户来说是存在安全隐患的。
说到这里,就要考虑另一个问题:
系统一开始就信任了一部分 CA 机构,把他们的根证书放到了系统里面,那万一有 CA 机构从中作妖,乱发证书,怎么办,岂不是乱了,所以就需要一定的费用,这也就是为啥你找一些知名的 CA 机构签名,需要花钱的原因。一旦被发现乱发证书,系统就有可能移除其 CA 机构的根证书,导致其签名过的内容,全部不能验证,风险是极大的,除了主动以外还有被动的,比如:私钥泄露。
注:上文中提到的系统,仅为代名词,不一定是操作系统,可以是浏览器等。
思路是对的。事实上这是电子签章的2种应用方案,比较如下:
1,客户端软件。对于自己拥有签名证书和私钥可以使用客户端签名,这样无需上传可能是商业机密的文档到各个平台;验证时也可以使用签名文档阅读器软件在本地离线查看和验证电子签章。目前市面上很多客户端产品尚不支持国产密码算法的电子签章的验证,用户体验差强人意,于是SigReader签名文档阅读器应用而生,专业签署和验证国产电子签章。
SigReader签名文档阅读器 支持国产密码算法标准的电子发票、标准电子合同的 离线本地 验证。只要符合电子签名标准的电子签章,是可以在本地通过文档签名阅读器(SigReader)来验证的,好处是无需登录各个平台、上传签名文档等繁杂的方式,就可以验证签名合法性和文档的完整性。还有相对于web平台的签名和验证,客户端的体验会更直接和流畅。
2,WEB平台。通常需要用户注册、验证身份、上传待签署文件、指定签署人、下载签名文档。需要注意的是,通常平台会为用户生成签名证书和私钥,但用户无法获得代表签名人自身身份的私钥,等于平台保管代签,且无论签名和验证都需要上传文档,无法再本地完成签名和验证。
对用户而言,选择适合自己业务需求的电子签章软件,或者分不同业务,综合使用不同的签章软件即可。如果自己签署,可以使用专业电子签名软件SigReader签名文档阅读器,绿色小巧,签章直观简易。
2 回答2k 阅读
1 回答727 阅读✓ 已解决
1 回答226 阅读
极客观点
项目管理
HarmonyOS
证书只是数字签名,证明你的文件确实是你的主体签发的。但你要的不是签章么?
电子签章也跟实体公章一样,不是你自己刻一个长的一样的就有法律效应了呀。
如果你的签章是经过公证、有受到国家承认的互联网存证机构存证,那确实就用不着买第三方服务了。
但我了解的这种服务也不光是提供一个签章的功能吧?一般都有配套的权限管理啊、合同归档啊、审批工作流啊之类的配套服务的吧?
当然你也可以选择这些全都自己做,没人拦着你说不行。但人家卖的不就是因为很多企业没能力做这些 IT 服务建设、或者外包出去成本更低么?