电子签名无法避免的漏洞
来源:互联网 发布:5.4数据库 编辑:程序博客网 时间:2024/05/07 22:16
2004年8月28日,中国正式颁布了<电子签名法>,2005年4月1日生效。
两年前在一个课题组,专门研究电子签名、电子合同等,当时课题组还有很多专家,有几个就是电子签名法的起草者。
三年的时间,得到很多成果。从签名理论、技术到取证、举证、质证、证据采纳等各个方面都进行了研究,并发表了很多论文。
然而,现在不得不说说当时研究发现的电子签名的一些弊端。
一、你所签署的并不是你所看到的(以假乱真)
电子签名的过程在技术上无非是PKI技术,虽然电子签名法采取了技术中立原则,但现在还没找到其他的技术可以实现。
技术底层实现过程是:
调用签名接口—〉传入要签名的数据—〉输入PIN码—〉签名成功
用户的操作:
阅读未签名的合同—〉激发签名—签名成功(提示或盖个电子公章)等等。
漏洞在哪里?
漏洞就在于计算机程序太灵活了,黑客完全可以草拟出一份“假合同”(用户想要的,给用户看的)放在屏幕的最前端,而这份假合同后面是“真合同”(黑客想要的,真正要签名的),用户对假合同完全满意了,点击黑客为他提供的签名按钮(完全模仿真的电子签名软件),而在后台黑客调用真实的签名接口,弹出真实的输入PIN码框,客户输入PIN码后,对黑客想要的真合同进行了签名,而客户还因为对自己看到的合同签了名。
这种技术并不难。
其他以后再说
两年前在一个课题组,专门研究电子签名、电子合同等,当时课题组还有很多专家,有几个就是电子签名法的起草者。
三年的时间,得到很多成果。从签名理论、技术到取证、举证、质证、证据采纳等各个方面都进行了研究,并发表了很多论文。
然而,现在不得不说说当时研究发现的电子签名的一些弊端。
一、你所签署的并不是你所看到的(以假乱真)
电子签名的过程在技术上无非是PKI技术,虽然电子签名法采取了技术中立原则,但现在还没找到其他的技术可以实现。
技术底层实现过程是:
调用签名接口—〉传入要签名的数据—〉输入PIN码—〉签名成功
用户的操作:
阅读未签名的合同—〉激发签名—签名成功(提示或盖个电子公章)等等。
漏洞在哪里?
漏洞就在于计算机程序太灵活了,黑客完全可以草拟出一份“假合同”(用户想要的,给用户看的)放在屏幕的最前端,而这份假合同后面是“真合同”(黑客想要的,真正要签名的),用户对假合同完全满意了,点击黑客为他提供的签名按钮(完全模仿真的电子签名软件),而在后台黑客调用真实的签名接口,弹出真实的输入PIN码框,客户输入PIN码后,对黑客想要的真合同进行了签名,而客户还因为对自己看到的合同签了名。
这种技术并不难。
其他以后再说
- 电子签名无法避免的漏洞
- 电子签名的技术实现
- XML 电子签名的使用
- 电子签名
- 电子签名
- 电子签名
- 电子签名的优势有哪些,电子签名比较纸质签名签合同的好处
- 关于Active控件的电子签名
- 电子签名的c#实现方法
- 移动端的canvas电子签名
- 对于电子签名、CA、证书的理解
- 中华人民共和国电子签名法
- [原创]认识电子签名
- 中华人民共和国电子签名法
- 电子签名与网上交易
- 电子签名和数字签名
- 简易电子签名插件
- 电子签名法全文
- Green Day 《Boulevard Of Broken Dreams》
- 利用春节长假,好好调整
- CSDN社区从即日起废除升三星、四星、五星
- 关于xml解析器
- 关闭XP不需要的服务 XP
- 电子签名无法避免的漏洞
- 用API得到局域网中可用SqlServer服务器列表
- Adsl共享备忘录
- javascript函数库
- cygwin下使用中文
- 首次使用blog
- 网页设计常用代码精选,如屏蔽【复制、选择、右键菜单】等...
- 一个消息提示托盘程序的开发历程(采用socket技术,附源代码)一
- [转贴]汉武帝太子刘据的悲剧