2004年中国颁布《电子签名法》,此前课题组对电子签名等进行研究并取得成果。但电子签名存在弊端,其技术底层基于PKI,黑客可利用计算机程序灵活性,用“假合同”迷惑用户,让用户在不知情下对“真合同”签名。
2004年8月28日,中国正式颁布了<电子签名法>,2005年4月1日生效。
两年前在一个课题组,专门研究电子签名、电子合同等,当时课题组还有很多专家,有几个就是电子签名法的起草者。
三年的时间,得到很多成果。从签名理论、技术到取证、举证、质证、证据采纳等各个方面都进行了研究,并发表了很多论文。
然而,现在不得不说说当时研究发现的电子签名的一些弊端。
一、你所签署的并不是你所看到的(以假乱真)
电子签名的过程在技术上无非是PKI技术,虽然电子签名法采取了技术中立原则,但现在还没找到其他的技术可以实现。
技术底层实现过程是:
调用签名接口—〉传入要签名的数据—〉输入PIN码—〉签名成功
用户的操作:
阅读未签名的合同—〉激发签名—签名成功(提示或盖个电子公章)等等。
漏洞在哪里?
漏洞就在于计算机程序太灵活了,黑客完全可以草拟出一份“假合同”(用户想要的,给用户看的)放在屏幕的最前端,而这份假合同后面是“真合同”(黑客想要的,真正要签名的),用户对假合同完全满意了,点击黑客为他提供的签名按钮(完全模仿真的电子签名软件),而在后台黑客调用真实的签名接口,弹出真实的输入PIN码框,客户输入PIN码后,对黑客想要的真合同进行了签名,而客户还因为对自己看到的合同签了名。
这种技术并不难。
其他以后再说
两年前在一个课题组,专门研究电子签名、电子合同等,当时课题组还有很多专家,有几个就是电子签名法的起草者。
三年的时间,得到很多成果。从签名理论、技术到取证、举证、质证、证据采纳等各个方面都进行了研究,并发表了很多论文。
然而,现在不得不说说当时研究发现的电子签名的一些弊端。
一、你所签署的并不是你所看到的(以假乱真)
电子签名的过程在技术上无非是PKI技术,虽然电子签名法采取了技术中立原则,但现在还没找到其他的技术可以实现。
技术底层实现过程是:
调用签名接口—〉传入要签名的数据—〉输入PIN码—〉签名成功
用户的操作:
阅读未签名的合同—〉激发签名—签名成功(提示或盖个电子公章)等等。
漏洞在哪里?
漏洞就在于计算机程序太灵活了,黑客完全可以草拟出一份“假合同”(用户想要的,给用户看的)放在屏幕的最前端,而这份假合同后面是“真合同”(黑客想要的,真正要签名的),用户对假合同完全满意了,点击黑客为他提供的签名按钮(完全模仿真的电子签名软件),而在后台黑客调用真实的签名接口,弹出真实的输入PIN码框,客户输入PIN码后,对黑客想要的真合同进行了签名,而客户还因为对自己看到的合同签了名。
这种技术并不难。
其他以后再说
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
