一、什么是電子合同？

電子合同是兩方或多方當(dāng)事人之間根據(jù)電子信息技術(shù)數(shù)據(jù)網(wǎng)絡(luò)以電子的的方式完成的建立、變動(dòng)、中止自然增值民事權(quán)利責(zé)任關(guān)系合同協(xié)議。

二、電子合同的實(shí)效性

電子合同的實(shí)效性源于簽章。《中國(guó)人民共和國(guó)電子簽名法》第14條明文規(guī)定：可信的電子簽章與紙質(zhì)蓋章是具備同樣的法律效力，另外該法第13條表述了什么叫可信的電子簽章：

（一）電子合同制做數(shù)據(jù)信息用作簽章時(shí)，歸屬于簽章人專有權(quán)；

（二）簽訂合同時(shí)，簽章數(shù)據(jù)信息僅由發(fā)起人進(jìn)行操作；

（三）簽訂后對(duì)簽章的所有變動(dòng)可以被發(fā)現(xiàn)；

（四）簽訂后對(duì)數(shù)據(jù)信息電文內(nèi)容的方式所有變動(dòng)都可以被發(fā)覺(jué)。

這四點(diǎn)簡(jiǎn)稱為“真實(shí)性身份信息、真實(shí)性意愿、簽名未改、原文未改”。

三、電子合同的技術(shù)原理

1.真實(shí)性身份信息

對(duì)簽約合作方真實(shí)性身份信息的證實(shí)，是根據(jù)多種多樣實(shí)名制的方式來(lái)實(shí)現(xiàn)的保障。以下為各種不同的實(shí)名制方式表：

2.真實(shí)性意愿

每一次簽訂前對(duì)客戶身份信息實(shí)現(xiàn)證實(shí)，確保客戶自個(gè)可以進(jìn)行操作。常用的驗(yàn)證方式涉及：客戶帳號(hào)密碼登錄、指紋識(shí)別登錄、驗(yàn)證碼短信登錄、語(yǔ)音驗(yàn)證碼登錄、面部識(shí)別登錄。

3.簽名未改和原文未改

簽名未改和原文未改是根據(jù)電子簽名+數(shù)字證書來(lái) 保障和實(shí)現(xiàn)的，其中涉及到非對(duì)稱加密和hash算法。

非對(duì)稱加密：

數(shù)據(jù)加密和破譯的產(chǎn)品密鑰一樣，歸屬于對(duì)稱加密。產(chǎn)品密鑰在傳輸中被中間人截取就能破譯。

非對(duì)稱加密把產(chǎn)品密鑰劃分為公鑰和私鑰，公鑰是公開(kāi)化的任何人都能夠獲得，私鑰是絕密的只有一個(gè)人得知。私鑰和公鑰是匹配的，相互之間用作數(shù)據(jù)加密和破譯。假設(shè)A發(fā)送一封郵件給B，他不想讓任何人得知郵件內(nèi)容，先用B的公鑰給郵件數(shù)據(jù)加密，只有B才能用自個(gè)的私鑰才能破譯。假如有人冒充A給B發(fā)送了封郵件，并且也用B的公鑰數(shù)據(jù)加密，導(dǎo)致B無(wú)法區(qū)分是否是A發(fā)送的郵件。此時(shí)A可以用自個(gè)的私鑰數(shù)據(jù)加密，那么B受到郵件后用A的公鑰實(shí)現(xiàn)破譯。

總結(jié)一下就是：公鑰用作內(nèi)容數(shù)據(jù)加密， 保障不被他人獲得；私鑰用作證明內(nèi)容的來(lái)源。

電子簽名：

對(duì)內(nèi)容已經(jīng)用公鑰數(shù)據(jù)加密，又要用私鑰數(shù)據(jù)加密，這是個(gè)耗時(shí)過(guò)程。本身私鑰數(shù)據(jù)加密只證明內(nèi)容的來(lái)源，可以簡(jiǎn)化為一個(gè)電子簽名。

1.A先對(duì)郵件執(zhí)行hash運(yùn)算得到hash值，簡(jiǎn)稱“引言”，取名h1；

2.接著A用自個(gè)的私鑰對(duì)引言數(shù)據(jù)加密，轉(zhuǎn)化的東西就叫“電子簽名”；

3.接著把電子簽名加在使用B的公鑰數(shù)據(jù)加密的Email正文后邊，一同發(fā)送到B；

4.B收到郵件后用A的公鑰對(duì)A的電子簽名破譯，成功表示是A發(fā)送來(lái)的，另外獲得h1，失敗則有人冒充；

5.B用自己的私鑰對(duì)文件進(jìn)行解密，獲取電子郵件正文；

6.B對(duì)電子郵件正文實(shí)行hash計(jì)算獲取hash值，命名為h2；

7.B對(duì)比第四步獲取的h1和自己計(jì)算出來(lái)的h2，一致則表示電子郵件未被篡改。

（由于一切不一樣的的動(dòng)態(tài)數(shù)據(jù)經(jīng)歷哈希算法后獲取的哈希值基本都是不一樣的的，而一切完全相同的動(dòng)態(tài)數(shù)據(jù)經(jīng)歷哈希算法后獲取的哈希值基本都是完全相同的。）

數(shù)字簽名的作用就是驗(yàn)證數(shù)據(jù)來(lái)源以及數(shù)據(jù)完整性。但這個(gè)流程擁有一個(gè)缺陷。就是公鑰是公開(kāi)的，C可以偷偷在B電腦中用自己的公鑰替換A的公鑰，然后用自己的私鑰給B發(fā)郵件，這時(shí)B仍然能解密，但是發(fā)覺(jué)不了這是C發(fā)來(lái)的電子郵件。這就衍生出了數(shù)字證書。

數(shù)字證書：

既然A的公鑰容易被替換，那么就找一個(gè)權(quán)威機(jī)構(gòu)（也就是certificateauthority，簡(jiǎn)稱CA）來(lái)認(rèn)證公鑰。

1.A去找CA做公鑰認(rèn)證。資格證書中心用自己的私鑰，對(duì)A的公鑰和一些信息一起加密，生成數(shù)字證書。

2.A在發(fā)郵件時(shí)，除了附上數(shù)字簽名，再加上這個(gè)數(shù)字證書。

3.B受到電子郵件后用CA的公鑰解密這份數(shù)字證書，然后拿到A的公鑰，然后驗(yàn)證數(shù)字簽名，然后就和之前一樣。

其中要注意的是：數(shù)字證書也可能篡改，要先驗(yàn)證CA的數(shù)字簽名從而信任CA，然后再用CA的公鑰解密數(shù)字證書，這就落入一個(gè)循環(huán)，可以有人偽造CA，所以最重要的前提是找絕對(duì)權(quán)威和社會(huì)絕對(duì)認(rèn)可的CA。

4.加密傳輸流程示意圖

四、電子合同的流程示意圖

簽訂合同往往會(huì)有簽訂時(shí)間的要求，可信時(shí)間戳是通過(guò)電子簽名提供確實(shí)的簽署時(shí)間，解決簽署時(shí)間不可信的問(wèn)題。

可信時(shí)間戳的可信度主要是呈現(xiàn)在時(shí)間源可信度和當(dāng)前時(shí)間資格證書可信度。在國(guó)內(nèi)，僅有的法定性時(shí)間源來(lái)自于中國(guó)科學(xué)院國(guó)家授時(shí)（NTSC），該組織擔(dān)負(fù)著我國(guó)國(guó)際標(biāo)準(zhǔn)時(shí)間的出現(xiàn)、維持和發(fā)播。可信時(shí)間戳服務(wù)保障是國(guó)家授時(shí)時(shí)間服務(wù)保障的延展，一個(gè)國(guó)家只可以擁有一個(gè)時(shí)間源，一個(gè)可信時(shí)間戳服務(wù)平臺(tái)，以 保障可信時(shí)間戳服務(wù)保障的權(quán)威。我國(guó)僅有權(quán)威可信時(shí)間戳服務(wù)保障組織則是聯(lián)合信任當(dāng)前時(shí)間服務(wù)平臺(tái)（TSA）。

五、電子合同的功能流程圖