应用PKI——数字签名的合法性：综合全球指南

业务流程的数字化需要可靠的电子手写签名来执行合同和协议。随着个人和组织采用无纸化工作流程，数字签名的采用近年来呈爆炸式增长。然而，不同数字签名标准的合法性和接受程度在不同地区存在很大差异。本综合指南探讨了全球主要市场中基于PKI的数字签名法律和法规的有效性。

目录——

1、美国
2、欧洲
3、英国
4、 中国
5、 印度
6、日本
7、新加坡
8、拉美地区
8.1、墨西哥
8.2、秘鲁
8.3、哥伦比亚
8.4、阿根廷

1、美国

概述——

在美国，数字签名在联邦和州层面享有完全的法律效力和可执行性。

国会于2000年颁布的《全球和国家商务电子签名 (ESIGN) 法案》正式授予电子合同和数字签名与传统纸质文档和手写签名相同的法律地位。该法律为美国合法有效的电子签名提供了基本框架。

此外，几乎所有州都颁布了立法，承认其管辖范围内的商业和政府交易数字签名的合法性。任何基于PKI的数字签名方法只要满足ESIGN中概述的特定身份验证和安全标准，就可以在美国合法有效。

数字签名标准——

美国最常用的数字签名标准是：

• Adobe批准的信任列表 (AATL)：AATL提供数字证书颁发和签名的行业指南和技术规范。大多数证书颁发机构都遵守AATL规则，以便其证书能够与Adobe产品和桌面签名工作流程无缝协作。
• 使用AATL兼容证书和Adobe产品（如Acrobat）应用的签名在州和联邦层面均被认为是安全且在ESIGN下具有法律强制执行性的。

2、欧洲

概述——

电子签名和数字合同的合法性在整个欧盟范围内统一通过eIDAS（电子识别、认证和信任服务）。

欧盟议会于2014年通过的eIDAS法规定义了所有成员国必须采用的电子识别方法、信托服务和电子交易标准。它保证了单一市场中某些类型的安全数字签名的跨境法律有效性。

数字签名标准——

eIDAS为高级和合格数字签名定义了特定的PKI标准。以下是欧盟法律认可的签名类型：

• 高级电子签名 (AES)：AES是指满足签名者身份验证和文档完整性技术要求的所有数字签名。它们保证签名属于签名者，并且文档自签名后没有更改。
• 合格电子签名 (QES)：QES是指使用由经过认可和审核的信任服务提供商颁发的合格签名证书创建的高级数字签名。由于需要高水平的安全性和身份验证，QES与欧盟法律下的手写签名享有完全的法律等同性。

QES采用欧盟认可的三种标准格式，以促进跨境多方数字交易：

• PAdES：PDF文档的QES
• XAdES：XML文档的QES
• CAdES：用于高级签名的增强型CMS标准

因此，使用合格的签名证书按照这些规范应用的任何数字签名与欧盟内的湿签名（手写签名）具有相同的有效性。

3、英国

英国脱欧后，英国的电子签名法规与欧盟略有不同，但仍保持高标准的安全性和可执行性。

即使使用的签名密钥位于欧盟，符合eIDAS技术规范的高级 (AES) 和合格数字签名 (QES) 在英国仍然有效。

4、中国

中国自主研发了与世界不同的加密算法和PKI标准。这些包括：

• SM2加密算法
• GM/T 0013 – 使用SM2公钥/私钥加密的电子签名标准。

在中国，根据国家电子签名法，使用具有SM2算法的证书颁发机构证书申请的数字签名具有法律效力和可执行性。外国访客可能需要获得兼容的CA证书才能具有法律效力。

5、印度

早在2000年，印度就颁布了《2000年信息技术法》，这是第一批管理数字签名的全国性法律之一。该法为使用经过许可的印度CA的数字签名授予了法律效力。

2008年法律的更新还承认满足某些技术标准的电子签名具有法律效力。然而，只有获得印度信息技术部许可的认证机构控制者颁发的数字签名在该国才具有完全的法律地位。

6、日本

日本也是数字签名法的早期先驱。日本2001年通过的《电子签名法》第3条赋予使用公钥密码技术生成的高级电子签名与手写签名同等的法律效力。

因此，使用符合签名者身份验证安全规范的日本许可颁发CA应用的数字签名被认为在该国具有完全的法律约束力。

7、新加坡

根据新加坡2010年《电子交易法》，只要数字签名是使用获得许可的证书颁发机构颁发的证书生成的，则数字签名与湿签名（手写签名）具有相同的法律地位。

该国已经在不同的垂直领域指定了标准，详细说明了数字签名必须满足的技术要求才能在该领域或交易类型中获得法律效力。这些特定部门框架的运作符合总体电子交易法。

8、拉美地区

许多拉丁美洲国家已颁布电子交易法，赋予数字签名与手动签名相同的有效性：

8.1墨西哥——

墨西哥于2003年更新了《墨西哥商业法》，明确允许个人和公司使用电子签名和数字证书以数字方式签署所有类型的商业协议、合同和交易。

根据《商业法》第89条，如果满足某些技术和安全检查，高级或可靠的数字签名与墨水签名具有完全的法律等同性，包括：

• 签名者的唯一性
• 有待独立验证的能力
• 检测后续变化

8.2 秘鲁——

秘鲁早在2000年就制定了数字认证和电子签名的立法标准。最高法令N° 019-2002-JUS规定了使用秘鲁授权CA生成的数字签名必须满足的技术标准才能获得完全的法律效力。

法律要求签名使用公钥/私钥加密标准X.509版本3和哈希函数SHA-1。能够证明签名者身份、真实性和完整性的合格数字签名与手工签名具有相同的有效性。

8.3 哥伦比亚——

在哥伦比亚，1999年颁布的第527号法律明确规定，个人和法人实体都可以通过使用数字签名来执行具有约束力的法律协议，保证与手稿签名相同的有效性。

哥伦比亚政府还建立了国家电子认证系统，以监管允许生成用于在该国合法有效的数字签名的数字身份证和证书的颁发机构。

8.4 阿根廷——

阿根廷关于数字签名的第25,506号法律于2001年颁布。该法律建立了一个法律框架，管理授权的认证机构，允许在该国颁发数字签名证书。

使用此类受监管证书并符合规定技术标准的数字或电子签名与根据传统签名法签署的纸质合同具有完全的法律效力。

结论

全球有一个明显的趋势，即承认电子签名在发达国家和发展中国家都具有法律效力。

虽然各国的具体情况各不相同，但数字证书、公钥/私钥加密、哈希函数、可信身份验证和篡改证据等PKI标准为在大多数司法管辖区获得法律效力提供了技术支柱。

通过从受信任的 CA选择正确的文档签名证书，并实施正确的方法来使用该证书应用数字签名，组织可以在全球范围内安全地采用无纸化工作流程，并大规模应用与湿签名（手写签名）具有相同合法性的数字签名。

来源｜ssl.com
编辑｜公钥密码开放社区
重要声明：本文来自公钥密码开放社区，经授权转载，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。