要确保电子档案具备法律效力,必须严格对应《电子签名法》第十三条关于“可靠电子签名”的规定。在技术落地层面,这要求我们必须构建一个包含“原文摘要”、“数字签名”和“可信时间戳”的完整证据链。只有当这三个要素同时存在且验证通过时,电子档案才能在司法实践中被认定为未经篡改的原始文件。
本文将使用 OpenSSL(业界标准的加密工具库)和 Bash 脚本,手把手演示从零构建一套符合法律效力要求的电子档案签署与验证流程。此方案不依赖任何昂贵的商业中间件,完全基于国际通用的密码学标准。
在开始操作前,必须确保系统中已安装 OpenSSL 工具。OpenSSL 是实现非对称加密、哈希摘要和数字签名的底层核心工具。
1. Linux/macOS 系统安装:
大多数 Unix-like 系统已预装。如需安装或升级,请执行以下命令:
brew install opensslsudo apt-get update && sudo apt-get install opensslsudo yum install openssl2. Windows 系统安装:
访问 OpenSSL 官方提供的 Windows 二进制分发版(推荐使用 Git for Windows 自带的 Git Bash,或直接下载 Light 版本)。下载地址:https://slproweb.com/products/Win32OpenSSL.html。下载后安装并将 bin 目录添加至系统环境变量 PATH 中。
3. 验证安装:
在终端执行 openssl version,若返回版本号(如 OpenSSL 1.1.1 或 3.0.x),则说明环境就绪。
在实际生产环境中,应向第三方权威 CA(如中国金融认证中心 CFCA)申请证书。为了本指南的可操作性,我们将在本地模拟一个根 CA,并用它签发一张用户证书。这完全符合密码学原理,验证逻辑与真实 CA 一致。
1. 生成根 CA 私钥(2048位 RSA):
执行以下命令生成根私钥,设置密码为 123456:
2. 生成根 CA 自签发证书:
根证书用于后续验证用户证书的合法性。有效期设置为 3650 天(10年)。
```bash openssl req -x509 -new -nodes -key root_ca.key -sha256 -days 3650 \ -out root_ca.crt \ -subj "/C=CN/ST=Beijing/L=Beijing/O=MyTechCompany/OU=IT Dept/CN=My Root CA" ```3. 生成用户私钥:
这是代表“签署人”身份的私钥,必须严格保密。
```bash openssl genrsa -out user.key 2048 ```4. 生成用户证书签名请求(CSR):
```bash openssl req -new -key user.key -out user.csr \ -subj "/C=CN/ST=Beijing/L=Beijing/O=MyTechCompany/OU=Finance/CN=ZhangSan" ```5. 使用根 CA 签发用户证书:
这一步建立了信任链。生成的 user.crt 将用于对文件进行签名。
假设我们有一份重要的财务合同 contract.pdf。为了确保其法律效力,我们需要依次完成:计算摘要、生成签名、申请时间戳。
1. 准备测试文件:
如果手头没有 PDF,请创建一个测试文件:
```bash echo "This is a legally binding electronic contract document." > contract.txt ```
2. 计算文件数字指纹(SHA-256 摘要):
哈希算法用于保证原文完整性。任何对原文的修改都会导致摘要值剧烈变化。
```bash openssl dgst -sha256 -binary contract.txt > file_hash.bin ```3. 对摘要进行数字签名:
使用用户私钥对摘要进行加密,生成签名文件。这一步绑定了“操作者身份”与“文件内容”。
```bash openssl rsautl -sign -inkey user.key -in file_hash.bin -out signature.bin ```4. 申请可信时间戳(关键步骤):
时间戳是证明“文件在某个时间点已经存在且未被篡改”的法律基石。这里使用 DigiCert 提供的免费测试时间戳服务器进行实操演示。
将签名文件封装为时间戳请求(Time Stamp Request,RFC 3161 格式):
```bash openssl ts -query -data contract.txt -no_nonce -out request.tsq ```向时间戳服务器发送请求并获取响应(Time Stamp Reply):
```bash curl -s -H "Content-Type: application/timestamp-query" \ --data-binary @request.tsq \ http://timestamp.digicert.com > response.tsr ```如果命令执行成功,response.tsr 文件中将包含由 TSA 签发的、包含精确时间的令牌。
为了方便后续验证和移交,我们需要将“原文”、“签名”、“时间戳”和“证书链”打包。在实际系统中,通常会将这些元数据嵌入 PDF(如 PAdES 标准)或存入数据库。这里我们演示如何打包为一个标准的 ZIP 包,这是最通用的归档方式。
```bash mkdir -p archive_output cp contract.txt archive_output/original_file.txt cp signature.bin archive_output/signature.bin cp response.tsr archive_output/timestamp_token.tsr cp user.crt archive_output/signer_cert.crt cp root_ca.crt archive_output/root_ca.crt 打包 zip -r -e legal_evidence_archive.zip archive_output 设置打包密码: 888888 ```此时生成的 legal_evidence_archive.zip 即为具备完整法律效力的电子档案包。
验证环节是证明法律效力的逆过程。假设在未来的某一天(如法庭举证时),我们需要证明该档案未被篡改。
1. 解压档案包:
```bash unzip -P 888888 legal_evidence_archive.zip -d verify_folder cd verify_folder ```2. 验证数字签名(身份与完整性):
我们需要用用户证书(signer_cert.crt)验证签名(signature.bin)是否匹配原文(original_file.txt)。
从签名中恢复摘要:
```bash openssl rsautl -verify -inkey signer_cert.crt -certin -in signature.bin -out recovered_hash.bin ```重新计算原文摘要:
```bash openssl dgst -sha256 -binary original_file.txt > current_hash.bin ```对比两个摘要值:
```bash diff recovered_hash.bin current_hash.bin ``>如果 diff 命令没有输出任何差异,说明签名验证通过,文件内容未被篡改,且是由该证书持有者签署。
3. 验证可信时间戳(时间真实性):
验证时间戳令牌是否由受信任的 TSA 签发,且是否包含原文的哈希值。
```bash openssl ts -verify -data original_file.txt -in timestamp_token.tsr \ -CAfile root_ca.crt -untrusted signer_cert.crt ``>命令输出 Verification OK 即表示时间戳有效。该步骤证明了在时间戳令牌生成的时间点,该文件的电子指纹就已经存在,从而防止了“事后伪造”文件的风险。
在将上述技术方案落地到实际业务系统时,必须严格遵守以下安全规范,否则可能导致法律效力失效:
user.key)绝对不能以明文形式存储在服务器磁盘或代码中。在生产环境中,必须使用硬件安全模块(HSM)或云厂商的 KMS(密钥管理服务)来管理私钥,签名操作必须在 KMS 内部完成。-sm2, -sm3)。
微信咨询
电话联系
QQ客服
微信咨询一对一服务