信息安全技术-安全电子签章密码技术规范(征求意见稿)

中华人民共和国国家标准GB/TXXXXX—XXXX信息安全技术安全电子签章密码技术规范Informationsecuritytechnology-Secureelectronicsealcryptographytechnicalspecification（征求意见稿）在提交反馈意见时，请将您知道的相关专利连同支持文件一并附上XXXX-XX-XX发布XXXX-XX-XX实施ICS35.040L80GB/TXXXXX—XXXXI目次前言..................................................................................II1范围.................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................14符号和缩略语.........................................................................25电子签章密码应用概述.................................................................26电子签章密码应用协议.................................................................26.1电子印章.........................................................................26.1.1数据格式.....................................................................26.1.2电子印章验证流程.............................................................66.2电子签章.........................................................................66.2.1数据格式.....................................................................66.2.2电子签章生成流程.............................................................76.2.3电子签章验证流程.............................................................7GB/TXXXX—XXXXII前言本标准依据GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。本标准由国家密码管理局提出。本标准由全国信息安全标准化技术委员会（SAC/TC260）归口。本标准起草单位：北京数字认证股份有限公司、中安网脉（北京）技术股份有限公司、兴唐通信科技有限公司、上海格尔软件股份有限公司、长春吉大正元信息技术股份有限公司、卫士通信息产业股份有限公司、北京海泰方圆科技股份有限公司、北京三未信安科技发展有限公司、上海市数字证书认证中心有限公司、上海颐东网络信息有限公司。本标准主要起草人：傅大鹏、刘岩、谢峰、徐惠清、朱亚飞、张金铭、陈中林、郑强、赵丽丽、罗俊、蒋红宇、高志权、许永欣、韩玮、夏东山、王文昌、张妍等。GB/TXXXXX—XXXX1信息安全技术安全电子签章密码技术规范1范围本标准规定了采用密码技术实现安全电子印章和安全电子签章的数据结构定义，以及相应的密码处理流程。本标准适用于指导电子印章系统的开发和电子签章应用。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20518信息安全技术公钥基础设施数字证书格式GB/T20520信息安全技术公钥基础设施时间戳规范GB/T32905信息安全技术SM3密码杂凑算法GB/T32918信息安全技术SM2椭圆曲线公钥密码算法GB/T33560信息安全技术密码应用标识规范GB/T35276信息安全技术SM2密码算法使用规范3术语和定义下列术语和定义适用于本文件。3.1电子印章electronicstamp一种由制作者签名的包括持有者信息和图形化内容的数据，可用于签署电子文件。3.2电子签章electronicseal使用电子印章签署电子文件的过程。3.3电子签章数据electronicsealdata电子签章过程产生的包含电子印章信息和签名信息的数据。3.4电子印章系统electronicsealsystemGB/TXXXX—XXXX2电子印章系统包含电子印章管理系统和电子签章软件，其中电子印章管理系统包括印章管理员管理、电子印章制作与管理、电子印章验证服务以及安全审计等功能。电子签章软件是使用电子印章对各类电子文档进行电子签章的软件。3.5制章者electronicstampmaker制章者即电子印章系统中具有电子印章制作和管理权限的机构。制章者证书应是该机构的单位证书，电子印章中的图片和信息应经制章者进行数字签名。3.6签章者electronicsealsigner签章者即电子印章的所有者，是具备电子印章法定使用权限的实体。4符号和缩略语下列缩略语适用于本文件。BMP：位图（Bitmap）GIF：一种图像交换格式（GraphicsInterchangeFormat）JPG：一种图像文件格式（JointPhotographicExpertsGroup）OID：对象标识符（ObjectIdentifier）PKI：公钥基础设施（PublicKeyInfrastructure）5安全电子签章密码技术概述安全电子签章是通过采用PKI公钥密码技术，将印章图片处理技术与电子签名技术进行结合，以电子形式对加盖印章图片的电子文档进行数字签名，以确保文档来源的真实性以及文档的完整性，防止对文档未经授权的篡改，并确保签章行为的不可否认性。为了确保电子印章的完整性、不可伪造性、以及合法用户才能使用，需要定义一个安全的电子印章数据格式。通过数字签名，将印章图像数据与签章使用者以及印章属性进行安全绑定，形成安全电子印章，在使用印章过程中，也能够很方便地对电子印章进行安全性验证。在使用电子印章对各种文档进行电子签章过程中，签章者通过数字签名对文档数据进行签章处理，从而达到与传统纸质文件盖章操作相同的可视化效果，同时又利用数字签名技术保障了文档数据的真实性、完整性以及签章者行为的不可否认性。6安全电子签章密码协议6.1电子印章6.1.1数据格式电子印章数据的逻辑结构如图1所示：GB/TXXXXX—XXXX3头信息印章标识印章属性信息印章图片信息自定义数据制章者证书签名算法标识签名值图1电子印章数据的逻辑结构电子印章数据的ASN.1定义为：SESeal::=SEQUENCE{esealInfoSES_SealInfo，--印章信息signDataBITSTRING--制章者对印章信息的签名值}上述电子印章数据结构由esealInfo，signData两个域构成：a）esealInfo域是电子印章基本域。b）signData域包含了制章者对esealInfo域进行数字签名的结果。其中印章信息esealInfo结构定义如下：SES_SealInfo::=SEQUENCE{headerSES_Header,--头信息esIDIA5String,--电子印章标识，电子印章数据的唯一标识编码propertySES_ESPropertyInfo,--印章属性信息pictureSES_ESPictrueInfo,--电子印章图片数据，机构的电子印章宜采用相关国家管理部门指定的印章印模extDatasExtensionDatasOPTIONAL,--自定义数据certOCTETSTRING,--制章者证书signatureAlgorithmOBJECTIDENTIFIER--签名算法标识}esealInfo域是电子印章基本域，包含了印章头信息、印章标识、印章属性信息、电子印章图片数据、自定义数据、制章者证书、签名算法标识等基本信息。6.1.1.1印章头信息印章头信息的结构如图2所示：标识版本号厂商ID图2电子印章头信息头信息的ASN.1定义为：SES_Header::=SEQUENCE{IDIA5String，--电子印章数据标识versionINTEGER，--电子印章数据版本号标识VidIA5String--电子印章厂商ID}其中：ID：固定值“ES”；Version：电子印章数据版本号，数值为5，代表当前版本为v5；Vid：电子印章厂商ID，在互联互通时，用于识别不同的软件厂商实现；6.1.1.2印章标识GB/TXXXX—XXXX4esID：区分电子印章数据的唯一标识编码，用于查找和索引其它信息。6.1.1.3印章属性信息印章属性信息的结构如图3所示：印章类型印章名称签章者证书列表类型签章者证书列表信息制作日期有效起始日期有效终止日期图3印章属性信息结构印章属性信息的ASN.1定义为：SES_ESPropertyInfo::=SEQUENCE{typeINTEGER，--印章类型nameUTF8String，--印章名称certListTypeINTEGER，--签章者证书列表类型certListSES_CertList，--签章者证书列表信息，是签章者证书列表或签章者证书杂凑列表createDateGeneralizedTime，--印章制作日期validStartGeneralizedTime，--印章有效起始日期validEndGeneralizedTime--印章有效终止日期}其中：type：代表印章类型，如1-单位专用印章，2-财务专用章，3-税务专用章，4-合同专用章，5-法定代表人名章等；name：印章名称，如“XXXX公司财务专用章”，对于在公安部门进行备案的印章，其印章名称与备案的名称保持一致；certListType：签章者证书列表类型，1-证书列表，2-证书杂凑列表certList：签章者证书列表信息，签章者证书列表或签章者证书杂凑列表；createDate：印章制作日期validStart：印章有效期起始时间validEnd：印章有效期终止时间SES_CertList::=CHOICE{certsCertInfoList,--签章者证书certDigestListCertDigestList--签章者证书杂凑}CertInfoList::=SEQUENCEOFCertcertDigestList=SEQUENCEOFCertDigestCert::=OCTETSTRINGCert符合GB/T20518中Certificate定义。CertDigestObj::=SEQUENCE{typeObjType,--自定义类型valueCertDigestValue--证书杂凑值GB/TXXXXX—XXXX5}ObjType::=PrintableStringCertDigestValue::=OCTETSTRING6.1.1.4印章图片信息印章图片信息的结构如图4所示：图片类型图片数据图片显示的宽度和高度图4印章图片信息结构印章图片信息的ASN.1定义为：SES_ESPictrueInfo::=SEQUE