GB/T 25065-2010 信息安全技术 公钥基础设施 签名生成应用程序的安全要求

　　ICS 35. 240. 40 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 25065—2010

　　信息安全技术 公钥基础设施签名生成应用程序的安全要求

　　Information securitytechnology—Publickeyinfrastructure—

　　Security requirementsforsignaturecreation applications

　　2010-09-02发布 2011-02-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　中 华 人 民 共 和 国

　　国 家 标 准

　　信息安全技术 公钥基础设施

　　签名生成应用程序的安全要求

　　GB/T 25065—2010

　　*

　　中 国 标 准 出 版 社 出 版 发 行

　　北京复兴门外三里河北街 16号

　　邮政编码 :100045

　　网址 www. spc. net. cn

　　电话 :68523946 68517548

　　中国标准出版社秦皇岛印刷厂印刷

　　各地新华书店经销

　　*

　　开本 880× 1230 1/16 印张 2. 75 字数 77 千字

　　2010年 12月第一版 2010年 12月第一次印刷

　　*

　　书号 : 155066 · 1-40583

　　如有印装差错 由本社发行中心调换

　　版权专有 侵权必究

　　举报电话 : (010)68533533

　　GB/T 25065—2010

　　目 次

　　前言 Ⅴ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 3

　　5 签名生成的功能模型 3

　　5. 1 签名生成的目标 3

　　5. 2 功能模型 3

　　5. 3 签名生成应用程序 5

　　5. 4 安全签名生成设备 6

　　5. 5 签名生成应用程序实例 7

　　5. 6 签名生成系统的控制和拥有 7

　　6 签名数据对象信息模型 7

　　6. 1 签名人文件 8

　　6. 2 签名属性 8

　　6. 3 待签数据 9

　　6. 4 格式化的待签数据 9

　　6. 5 待签数据表示 9

　　6. 6 可靠电子签名 9

　　6. 7 签名数据对象 9

　　6. 8 签名人鉴别数据 9

　　7 SCA 的总体安全要求 10

　　7. 1 基本要求 10

　　7. 2 可信路径 10

　　7. 3 分布式签名生成应用程序的要求 11

　　7. 4 对不可信进程和通信端口的要求 11

　　7. 5 签名数据对象的事后签名验证 11

　　7. 6 对待签数据的安全要求 11

　　8 SD表示组件 12

　　8. 1 功能 12

　　8. 2 分类 12

　　8. 3 数据内容类型的要求 12

　　8. 4 SD无歧义性要求 13

　　8. 5 对显示不敏感的 SD 的安全要求 14

　　8. 6 对隐藏文本和活动代码的要求 14

　　9 签名属性显示组件 14

　　10 签名人交互组件 15

　　10. 1 用户界面高层原理 15

　　Ⅰ

　　GB/T 25065—2010

　　10. 2 签名调用 15

　　10. 3 签名进程超时休止 16

　　10. 4 签名人控制功能 16

　　10. 5 签名人使用特征的获得 16

　　10. 6 用户界面 16

　　11 签名人鉴别组件 17

　　11. 1 总体要求 17

　　11. 2 获得签名人鉴别数据 17

　　11. 3 基于知识的签名人鉴别 17

　　11. 4 基于生物特征的签名人鉴别 17

　　11. 5 对错误的签名人鉴别数据的处理 18

　　11. 6 签名人鉴别数据的变更和计数器重置 18

　　11. 7 签名人鉴别数据用户界面 18

　　11. 8 签名人鉴别组件的安全要求 18

　　12 DTBS格式化组件 20

　　12. 1 DTBS格式化组件的功能 20

　　12. 2 对 DTBS格式化组件的安全要求 20

　　13 数据杂凑/散列组件 20

　　13. 1 数据杂凑/散列组件的功能 20

　　13. 2 DTBSR 的产生组件的输出结果 20

　　13. 3 电子签名输入的格式化 21

　　13. 4 对数据杂凑/散列组件的安全要求 21

　　14 SSCD/SCA通信组件 22

　　14. 1 交互序列 22

　　14. 2 建立物理通信连接 23

　　14. 3 SSCD令牌信息的读取 23

　　14. 4 在多应用平台上 SSCD功能的选择 24

　　14. 5 证书的获取 24

　　14. 6 电子签名制作数据的选择 24

　　14. 7 签名人鉴别的执行 25

　　14. 8 数字签名的计算 25

　　14. 9 签名 日志的记录 25

　　14. 10 对 SSCD/SCA通信组件的安全要求 25

　　15 SSCD/SCA鉴别组件 25

　　15. 1 SCA 与 SSCD之间的鉴别 25

　　15. 2 对 SSCD/SCA鉴别组件的安全要求 26

　　16 SD合成组件 26

　　17 SDO合成组件 26

　　18 输入/输出的外部接 口 27

　　18. 1 SCA 面临的风险 27

　　18. 2 证书的导入 27

　　18. 3 SD和签名属性的导入 27

　　18. 4 SCA组件的下载 27

　　Ⅱ

　　GB/T 25065—2010

　　18. 5 对输入控制的安全要求 27

　　附录 A (资料性附录) 签名数据对象通用指导 28

　　附录 B (资料性附录) 用户接口实现的指导 30

　　附录 C (资料性附录) 签名 日志组件(SLC) 35

　　参考文献 36

　　Ⅲ

　　GB/T 25065—2010

　　前 言

　　本标准凡涉及密码算法的相关内容 ,按国家有关法规实施 。

　　本标准中引用的 RSA 和 SHA-1密码算法为举例性说明 ,具体使用时均须采用国家密码管理机构批准的相应算法 。

　　本标准参考 EESSI标准《CWA14170-签名生成应用程序的安全要求》。

　　本标准中的附录 A、附录 B、附录 C是资料性附录 。

　　本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归 口 。

　　本标准起草单位 :北京 天 威 诚 信 电 子 商 务 服 务 有 限 公 司 、中 国 电 子 技 术 标 准 化 研 究 所 、北 京 邮 电大学 。

　　本标准主要起草人 :刘海龙 、唐志红 、宋美娜 、鄂海红 、王延鸣 、张海松 、杨真 、许蕾 、邵哲 。

　　Ⅴ

　　GB/T 25065—2010

　　信息安全技术 公钥基础设施签名生成应用程序的安全要求

　　1 范围

　　本标准规定了产生可靠电子签名的签名生成应用程序(SCA)的安全要求 , 内容包括 :定义一种签名生成环境的模型和签名生成应用程序的功能模型 ;规定适用于功能模型中所有功能模块的总体要求 ;规定签名生成应用程序中每个功能模块的安全要求 ,除了 SSCD。

　　本标准适用于所有用于生成可靠电子签名的签名生成应用程序 。

　　2 规范性引用文件

　　下列文件中的条款通过本标准的引用而成为本标准的条款 。凡是注 日期的引用文件 ,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准 ,然而 ,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本 。凡是不注日期的引用文件 ,其最新版本适用于本标准 。

　　GB/T 25064—2010 信息安全技术 公钥基础设施 电子签名格式规范

　　3 术语和定义

　　下列术语和定义适用于本标准 。

　　3. 1

　　可靠电子签名 reliableelectronicsignature

　　能符合以下条件的电子签名 : 电子签名制作数据用于电子签名时 ,属于电子签名人专有 ;签署时电子签名制作数据仅由电子签名人控制 ;签署后对电子签名的任何改动能够被发现 ;签署后对数据电文内容和形式的任何改动能够被发现 。

　　3. 2

　　证书标识符 certificate identifier

　　证书的一个明确标识符 。

　　3. 3

　　电子认证服务提供者 certification-service-provider

　　一个实体 ,或者是法人或自然人 ,颁发证书或提供与电子签名相关的其他服务 。

　　3. 4

　　加密设备 cryptographic token

　　能够执行加密操作的个人安全设备 。签名生成设备即是一种加密设备 。

　　3. 5

　　待签数据 data tobesigned

　　所要签署的完整电子数据 。

　　3. 6

　　格式化的待签数据 data tobesigned formatted

　　已经被格式化的 DTBS组成部件 ,并且按照签名人所选择 SDO类型的要求正确排序 。 3. 7

　　DTBS表示 DTBS-representation

　　由签名生成应用发送给签名生成设备的 、需要被签署的数据 。

　　1

　　GB/T 25065—2010

　　3. 8

　　电子签名 electronicsignature

　　数据电文中以电子形式所含 、所附用于识别签名人身份并表明签名人认可其中内容的数据 。 3. 9

　　对象标识符 objectidentifier

　　代表某一对象的 、唯一的 、永久的数字序列 。

　　3. 10

　　个人身份识别码 personalidentification number

　　被当作签名人的鉴别数据使用的数字 。

　　3. 11

　　安全签名生成设备 securesignaturecreation device

　　符合国家密码主管部门相关要求的签名生成设备 。

　　3. 12

　　签名人 signatory/signer

　　指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人 。

　　3. 13

　　签名属性 signatureattributes

　　与签名人文件一同被签署的附加信息 。

　　3. 14

　　签名生成应用程序 signaturecreation applications

　　签名生成系统中生成电子签名的应用程序 ,不包括 SSCD。

　　3. 15

　　电子签名制作数据 signaturecreation data

　　唯一的数据 ,如代码或私有密钥 ,被签名人用于生成电子签名 。

　　3. 16

　　签名生成设备 signaturecreation device

　　用于实现电子签名制作数据 、可配置的软件或硬件 。

　　3. 17

　　签名生成环境 signaturecreation environment

　　签名生成系统的物理 、地理和计算环境 。

　　3. 18

　　签名生成系统 signaturecreation system

　　由 SCA 和 SSCD/SCD组成的全部系统 ,可生成电子签名 。

　　3. 19

　　签名策略 signaturepolicy

　　生成和验证电子签名的规则集 ,其中定义了电子签名生成和验证过程中的技术和过程要求 , 以满足特定的商业要求 ,并说明在何种情况下可确定电子签名是有效的 。

　　3. 20

　　签名数据对象 signed data object

　　SCA签名进程的结果 ,包括签名文件的数字签名 、SD 或其杂凑/散列值(可选) 、签名属性 , 以签名人选择的签名数据对象类型所指定的格式 。

　　2

　　GB/T 25065—2010

　　3. 21

　　签名人鉴别数据 signer’s authentication data

　　指 SSCD用于鉴别签名人的数据(如 ,PIN、口令或生物数据) ,是允许使用 SSCD 中电子签名制作数据所必需的 。在其他文件中 ,可能称签名人鉴别数据为 “激活数据 ”。

　　3. 22

　　签名人文件 signer’s/signers’document

　　一个或多个签名人想要为其生成电子签名的文件 ,或者是已经生成电子签名的文件 。在不引起混淆的情况下 ,简称签名文件 。

　　3. 23

　　签名人界面 signer’s interface

　　签名人控制 SCA 和 SSCD来生成电子签名的人机界面 。

　　3. 24

　　可信路径 trusted path

　　在 SCA 中为两个实体或组件之间提供完整性 、真实性和保密性的路径 。

　　3. 25

　　验证者 verifier

　　验证电子签名的实体 ,可以是依赖方或有权验证电子签名的第三方 ,如仲裁者 。

　　4 缩略语

　　下列缩略语适用于本标准 :

　　CRL

　　证书撤销列表(Certification Revocation List)

　　CSP

　　电子认证服务提供者(Certification Service Provider)

　　DTBS

　　待签数据(Data ToBe Signed)

　　DTBSF

　　格式化后的待签数据(Data ToBe Signed Formatted)

　　DTBSR

　　待签数据表示(Data ToBe Signed Representation)

　　EDI

　　电子数据交换(Electronic Data Interchange)

　　OCSP

　　在线证书状态协议(Online Certificate Status Protocol)

　　PCMCIA

　　PC机内存卡国际联合会(PersonalComputerMemoryCard InternationalAssociation)

　　PIN

　　个人身份识别码(PersonalIdentification Number)

　　SCA

　　签名生成应用程序(Signature Creation Applications)

　　SCS

　　签名生成系统(Signature Creation System)

　　5 签名生成的功能模型

　　5. 1 签名生成的目标

　　签名生成应用程序的总体目标是产生可靠的电子签名 ,包含签名人文件 SD、签名人证书以及(如果可行)SD的数据类型 。

　　5. 2 功能模型

　　产生可靠电子签名的签名生成环境包含签名人和与其交互的签名生成系统 SCS。签名生成系统包括签名生成应用程序 SCA、安全签名生成设备 SSCD 以及相关证书 ,如图 1所示 。

　　3

　　GB/T 25065—2010

　　图 1 签名生成的功能模型

　　在签名生成环境中 ,签名生成应用程序是签名生成系统的一部分 。 图 1 示例说明了签名生成的功能和数据对象 , 以及与安全有关的接 口 。这里不区分硬件或软件实现 ,也未指出输入/输出的性质或不同功能模块之间的信息传输路径(可能采取直接输入/输出设备 、硬件线路连接或通信网连接的形式) 。该模型也未说明在不同的平台之上的功能分布 。这些方面的问题将在采用特定技术来实现签名生成系统时来具体化 。

　　SCA 和 SSCD 的目的是将签名人文件及相关签名属性形成待签数据 DTBS ,对 DTBS进行签名而生成可靠电子签名 ,作为最终结果产生签名数据对象 SDO。

　　SCA 的主要功能包含在 “可信的 ”和 “与应用相关的 ”SCA组件中 。这些功能的细节在 5. 3 中进 一步说明 。 除此之外 ,为支持签名进程或支持与签名生成无关但对安全要求有影响的其他功能 ,SCA 通常还包含下列功能 :

　　—SCA管理器 。它执行一系列功能来支持签名程序 ,包括对签名人界面的操作 、从签名人界面到 SSCD接口的信息传 递 、签 名 包 和 签 名 策 略 的 解 释 、获 得 签 名 策 略 信 息 和 证 书 、管 理 本 地存储 。

　　—SSCD接 口 。SSCD是 SCA 的外部构件 ,如果没有 SSCD 到签名人的直接用户界面 ,则 SSCD需要与 SCA交互 , 以接收签名人鉴别数据和 DTBS,并返回数字签名 。

　　—SCA本地存储 。在签署文件的过程中 ,SCA本地存储可能被用来暂时存放数据 ,这将有可能成为安全威胁的(攻击) 目标 。

　　SCA还可能包含与产生签名无关的其他功能 :

　　— 数据输入/输出端口和网络连接 ,这些可能成为安全威胁的目标 ;

　　— 硬件/软件进程 ,也可能是安全威胁的目标 。

　　在签名生成环境中使用下列信息对象(在第 6章中详细描述) :

　　4

　　GB/T 25065—2010

　　— 签名包 ;

　　— 签名属性 ;

　　— 电子签名制作数据 ;

　　— 签名人鉴别数据 ;

　　— 签名人证书 ;

　　— 签名数据对象 ;

　　— 签名人文件 。

　　下列接口和交互将对 SCA 的操作产生影响 :

　　— 被签署文件的选择 , 以允许签名人选择 SD;

　　— 签名属性的选择 , 以允许签名人依据所需签名的类型来选择适合的证书和其他签名属性 ;

　　— 所需签名数据对象类型的选择 , 以指明 SCA输出结果的形式和内容 ;

　　— 签名人鉴别数据的输入 ,如果需要 ,SCA将签名人鉴别数据由签名人传递至 SSCD;

　　— 安全显示能力 , 以允许签名人在调用签名进程之前检查 SD和签名属性 ;

　　— 与 CSP 的接 口 , 以获得证书 、证书吊销信息和签名策略 ;

　　— 签名调用 , 以允许使用者调用签名进程(有意行为) ;

　　—SSCD接 口 ,使 SCA 和 SSCD之间能够通过一条可信路径进行通信 ;

　　— 输出 , 由签名人所指定类型的签名数据对象 。

　　5. 3 签名生成应用程序

　　签名生成应用程序主要由可信 SCA组件和应用相关 SCA组件构成 ,如图 2所示 。

　　图 2 构成 SCA 的组件

　　可信 SCA组件是所有 SCA所必需的 ,其定义了所有 SCA所必须具备的功能 。应用相关 SCA 组件是依赖于应用系统的组件 ,其表示 、结构和功能都可能因应用系统而有所不同 。

　　可信 SCA组件包括 :

　　5

　　GB/T 25065—2010

　　— 签名人文件表示组件 ,该组件用于表示签名人所选择的 SD(通过签名人交互组件) ,对该组件的安全要求在第 8章中描述 。

　　— 签名属性显示组件 ,该组件用于显示签名人所选择的签名属性(通过签名人交互组件) ,这些属性信息将要与 SD一同被签名 ,该组件还应具备表示可能的 、与应用相关的特定签名人证书内容的能力 。对该组件的安全要求在第 9章描述 。

　　—DTBS格式化组件 ,该组件用于将 SD(或其杂凑/散列值) 及签名属性格式化并排序形成格式化的 DTBS(DTBSF) ,再将 DTBSF送给数据杂凑/散列组件 。对该组件的安全要求在第12章中描述 。

　　— 签名人交互组件 ,签名人通过该组件与 SCA 进行交互 , 以控制签名的生成过程 ,并且 SCA 通过该组件向签名人返回错误及状态信息 。该组件用于签名人和 SCA 之间的 所 有 交 互 , 包 括SD和签名属性的选择/输入 ,但不包含签名人鉴别数据 。对该组件的安全要 求 在 第 10章 中描述 。

　　— 签名人鉴别组件 ,该组件用于表示基于知识的签名人鉴别数据或生物特征 ,并对签名人鉴别数据进行预处理 ,使其能够与 SSCD 中的签名人鉴别数据进行比较 。对该组件的安全要求在第11章中描述 。

　　— 数据杂凑/散列组件 ,该组件用于产生 DTBS表示(可以是未杂凑/散列的 、半 杂 凑/散 列 的 或全部杂凑/散列的 ,根据 SSCD 的要求) ,如果 SSCD 中执行全部的杂凑/散列运算 ,则该组件的任务就是将 DTBS表示完整地传递至 SSCD。对该组件的安全要求在第 13章中描述 。

　　—SSCD/SCA通信组件 ,该组件用于管理 SCA 和 SSCD之间的交互 。对该组件的安全要求在第14章中描述 。

　　—SSCD/SCA鉴别模块 ,该组件在 SSCD 和 SCA 之间建立一条可信 路 径 。该 组 件 是 条 件 存 在的 , 即仅存在于 SCA在公共服务提供商的控制下且可信路径不能通过组织的方式建立 。对该组件的安全要求在第 15章中描述 。

　　应用相关 SCA组件包括 :

　　—SD合成组件 ,该组件用于创建 、输入或选择 SD,对该组件所合成信息的管理是通过签名人交互组件来实现的 ,对该组件的安全要求在第 16章中描述 ;

　　—SDO合成组件 ,该组件通常将 DTBSF与 SSCD输出的数字签名合成起来形成签名数据对象SDO,SDO 的类型由签名人指定 ,并符合 GB/T 25064 中所定义的电子签名类型 ,对该组件的安全要求在第 17章中描述 ;

　　— 签名 日志组件 ,该组件负责记录 SCA 近期所生成电子签名的细节过程 。对该组件的安全要求在附录 C 中给出 。

　　除此之外 ,第 18章中描述了 SCA与外部环境之间通信的安全要求 。

　　能够实现 SCA 的设备可以是 :

　　— 个人计算机 ;

　　— 笔记本电脑 ;

　　—PDA;

　　— 移动电话 。

　　5. 4 安全签名生成设备

　　安全签名生成设备 SSCD执行如下功能 :存放签名人的电子签名制作数据 ,验证签名人鉴别数据 ,使用电子签名制作数据产生电子签名 。SSCD可以是 :

　　6

　　GB/T 25065—2010

　　— 智能卡 ;

　　—USB令牌 ;

　　—PCMCIA令牌 。

　　SSCD应符合国家密码主管部门的相关要求 。

　　5. 5 签名生成应用程序实例

　　签名生成应用程序实例是 SCA组件的具体实现 ,在同一个物理单元中 ,如个人计算机 ,可以有一个或多个实例 ,如安全电子邮件或网上银行 ,这些实例可以共享一些 SCA组件 。

　　5. 6 签名生成系统的控制和拥有

　　在不同的签名生成环境中 ,对签名生成系统有两种基本的控制和拥有类型 :签名人控制和公共服务提供商控制 。对于这两种控制类型 ,需要采取不同级别的安全措施 ,如图 3所示 。

　　图 3 对 SCS的两种控制类型

　　第一种控制类型的典型环境可能是家庭或办公室 ,SCS直接在个人或公司的控制之下 。在这种情况下 ,安全要求可以通过组织的方法来满足 ,或者由签名人来管理 ,确认安全要求得到满足的技术方法较为简单 。例如 ,在极端情况下 ,签名人可以使用一台隔离的 、只能由签名人打开的计算机来实现签名 。

　　第二种控制类型的典型环境是 SCS位于公共环境 ,如车站 、银行或是其他 SCS 由服务提供商来提供且与签名人无关的情形 。如果没有进一步的技术安全措施 ,此类环境可能会带来其他的攻击 ,例如用虚假的 SCS来替代真实的 SCS。对于这种环境下的 SCS,其技术要求应更严格 。

　　虽然签名人所关注的总体安全要求是相同的 ,但不同的环境对 SCS的安全要求具有不同的影响 。这些安全要求需要以不同的方式来满足 。

　　6 签名数据对象信息模型

　　图 4 给出了构成电子签名的一些基本信息以及这些信息之间的关系 ,并指出了这些信息与 SCA 组件之间的关系 , 附录 A 给出关于这些信息对象的一些建议 。本章的每一条将描述这些信息对象 ,但并不说明如何处理这些信息对象 。

　　7

　　GB/T 25065—2010

　　图 4 生成电子签名的信息模型

　　6. 1 签名人文件

　　签名人文件 SD 即是用于产生可靠电子签名的文件 ,SD 与电子签名是相关联的 。 SD 由签名人通过使用 SD合成组件选取或组合 。某些情况下 ,可以使用 SD 的杂凑/散列值来代表完整的 SD 向签名进程提供 。

　　SD 中有一些重要的变量或部分会影响到签名的过程或状态 :

　　a) SD 的显示格式是可修改的 ,例如字处理文件或消息或可编辑文件 ,其表现形式依赖于显示设备的当前配置 ,且签名人所看到的 SD表现形式可能与验证者所看到的有所不同 ;

　　b) SD 的显示格式是不可修改的 ,SD 中包含了全部的显示规则 ,按照这些规则 ,可以保证签名人和验证者能看到相同的表现形式 ;

　　c) SD 中可能包含隐藏的编码信息(如宏 、隐藏文本 、计算组件或病毒) ,签名人在预览和验证签名时可能未看到这些信息 ,并且可能不知道他们的存在 ,SD 中这些潜在的不确定性视为一种安全威胁 ;

　　d) SD可能是一种不能在签名人或验证者面前直接显示的形式 , 或者其以不同的形式表示给签名人和 验 证 者 , 如 电 子 数 据 交 换 EDI消 息 、Web 网 页 、可 扩 展 标 记 语 言 XML 和 计 算 机 文件等 ;

　　e) SD 中可能包含内嵌的签名数据对象 ,该对象是由当前签名人以外的人或实体创建的 ;

　　f) SD 的格式是由数据内容类型(签名属性)所描述的 ,该属性精确表述了验证者应如何查看或解释 SD, 以及验证者应采用何种类型的应用或显示设备来查看或使用 SD。

　　6. 2 签名属性

　　签名属性是支持电子签名的信息条目 ,它与 SD一同被签署 。下面是强制的 、条件存在的或可选的签名属性 :

　　a) 签名人证书标识符(强制) , 即签名人证书的标识符或引用 , 该证书应是包含了与生成当前电子签名所使用的电子签名制作数据相对应的签名验证数据的证书 。该属性是必需的 ,原因在

　　8

　　GB/T 25065—2010

　　于对于相同的电子签名制作数据 ,签名人可能在当前或者是将来持有不同的证书 ,这样可以防止证书彼此替换 。如果签名人持有多张证书(对应不同的电子签名制作数据) ,这样可以指示验证者使用正确的签名验证数据 。

　　b) 签名策略引用(可选) ,如果签名上下文需要(如在指定进行贸易协议中) , 可包含签名策略引用 。在验证签名的过程中 ,该引用向验证者指出该使用哪个签名策略 。例如 ,在一个签名策略中明确地指出签名人针对当前 SD想要承担的角色和承诺 。

　　c) 数据内容类型(条件存在) ,该项指出 SD 的格式 ,并说明验证者应如何查看和使用 SD, 即按照签名人所期望的方式 。

　　d) 承诺类型(可选) ,该项指出在签名人所选择的签名策略中 ,签名所代表的确切含义(也就是说签名可表达签名人的不同意图) 。如果存在一个签名策略应用 ,承诺类型可在所选的签名策略所指定的范围内选择 。

　　e) 其他可选的签名属性 ,如签名人角色 、签名产生时签名人所在地 、时间戳 、归档的证书文件等 ,这些属 性 都 可 添 加 到 DTBS 中 , 以 支 持 签 名 的 目 的 和 解 释 规 则 。 详 细 的 签 名属 性 在GB/T 25064 中定义 。

　　签名属性的输入或选择是由签名人通过签名人交互组件 SIC来实现的 。

　　6. 3 待签数据

　　待签数据 DTBS是可靠电子签名所覆盖的信息对象 ,包括 :

　　— 签名人文件 SD;

　　— 由签名人所选择的 、与 SD一同被签署的签名属性 。

　　6. 4 格式化的待签数据

　　格式化的待签数据 DTBSF是经 DTBS格式化组件处理而形成的固定格式及顺序的 DTBS部件 。 DTBSF是数字签名所真正签署的信息对象 ,并被包含在签名数据对象 SDO 中 ,验证电子签名时也必须使用 DTBSF。SDO 的格式由签名人选定的 SDO类型来确定 。

　　6. 5 待签数据表示

　　待签数据表示 DTBSR是对 DTBSF进行杂凑/散列运算后形成的结果 ,杂凑/散列算法由签名包来指定 。DTBSR 由数据杂凑/散列组件计算产生 。为了使杂凑/散列值能够精确代表 DTBSF,杂凑/散列算法应具备足够的强度 , 即在签名生命期内找到碰撞在计算上不可行 。应提起注意的是 ,杂凑/散列算法的强度在将来可能会变弱 , 因而应采取附加的安全措施 ,如时间戳 。

　　6. 6 可靠电子签名

　　可靠电子签名由 SDO及签名人证书或其引用组成 ,证书中包含了正确的签名验证数据 。可靠电子签名应由签名人的安全签名生成设备 SSCD 产生 , 即使用 SSCD 中的电子签名制作数据对 DTBSR 进行计算而得 。

　　6. 7 签名数据对象

　　签名数据对象是 SCA 的最终输出结果 , 由 SDO合成组件来完成 ,并采用 SDO类型所对应的格式 。 SDO 中应包含如下信息 :

　　— 由签名人的电子签名制作数据所产生的数字签名 ;

　　— 签名人文件 ;

　　— 格式化的待签数据 ;

　　— 未被签署的附加属性和信息 ,如时间戳 ,依赖于具体的应用环境 。

　　6. 8 签名人鉴别数据

　　签名人鉴别数据在图 4 中并未显示 ,该信息在签名进行之前由签名人向签名生成设备提供 ,用以鉴别签名人 。

　　9

　　GB/T 25065—2010

　　7 SCA 的总体安全要求

　　7. 1 基本要求

　　在签名人的控制下 ,SCA应使用 SSCD来生成一个包括 SD 和签名属性的可靠电子签名 。 如果签名属性中包含了签名人生成电子签名时所代表的角色和承诺时 ,则包含签名属性是非常重要的 。

　　7. 2 可信路径

　　7. 2. 1 可信路径的基本要求

　　信任路径是对支持图 2所示签名组件的通用基础平台的要求 , 用以保护 DTBS组件中的 DTBSF和 DTBSR,不论是其在 SCA 中还是在向 SSCD传输的过程中 。可信路径对表 1所列威胁提供保护 。

　　表 1 可信路径的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 偶 然 的 或 者 恶 意 的 破 坏DTBS组件

　　SCA所使用 的 系 统 进 程 会 偶 然 的 或 恶意的更 改 DTBS、DTBSF或 DTBSR, 当它们 被 签 名 人 选 择 或 SCA 和 SSCD 之间所用协议调用时

　　SCA应保证如下信息的完整性 :

　　a) 签 名 人 所 提 供 的 DTBS、DTBSF、 DTBSR 以及其他所有信息

　　b) 在 SCA 和 SSCD 之 间 是 流 动 的 协议数据

　　b) 偶 然 的 或 恶 意 的 破 坏 签 名人鉴别 数 据 、DTBS组 件 或DTBSF的保密性

　　SCA 的系统 平 台 暴 露 或 拷 贝 签 名 人 鉴别数据 、DTBS组件或 DTBSF给未授权的人

　　SCA应保护 签 名 人 鉴 别 数 据 、DTBS组件和 DTBSF的保密性

　　7. 2. 2 公共 SCA 的要求

　　如果 SCA不是总在签名人的控制下 ,则需满足如下表 2所列要求 :

　　表 2 对公共签名生成系统的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 由 服 务 提 供 商 运 行 的 公 共SCS公 开 或 滥 用 签 名人 鉴别数据 、DTBS和 DTBSF

　　公共 SCS破 坏 签 名 人 鉴 别 数 据 、DTBS和 DTBSF的保密性

　　a) SCA 应 在 完 成 全 部 的 签 名 处 理 操作后安全删除所有与签名相关数据

　　b) 公 共 SCS不 应 保 留 这 些 元 素 或 将其复制 给 任 何 未 经 签 名 人 授 权 的实体

　　7. 2. 3 引用正确的签名人文件和签名属性

　　对于电子签名而言 ,能正确覆盖到签名人所选择的 DTBS组成部件是至关重要的 ,并且在签名人预览之后到 DBTSR产生之前 ,DTBS组成部件不应存在被偶然或恶意替换的可能性 。 引用 SD 和签名属性的安全要求如下表 3所列 :

　　表 3 引用 SD和签名属性的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 替 代 一 个 或 多 个 DTBS 或DTBSF组成部件

　　在完成签名过程之前 ,SCA 系统平 台 偶然或恶 意 替 代 由 签 名 人 选 择 的 DTBS和 DTBSF组成部件

　　a) SCA 应 该 确 保 展 现 在 签 名 人 眼 前的 DTBS与签名 人 所 选 择 的 DTBS是相同的

　　b) SCA应该确保用于产生 DTBSF和DTBSR 的 DTBS组成部件 ,与展现在签名人 眼 前 的 相 同 ,并 且 就 是 签名人所选择的

　　10

　　GB/T 25065—2010

　　7. 3 分布式签名生成应用程序的要求

　　组成 SCA 的程序可能分布在不同平台上 ,这意味着信息可能需要通过不可信的通信连接传输 ,或者是通过不可信系统的内部 API和软硬件模块提交签名人鉴别数据 、DTBS和 DTBSF,对这些数据的完整性 、真实性和保密性造成威胁 。为抵御这些威胁 ,应满足如下表 4所要求 :

　　表 4 对分布式 SCA 的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 在 SCA 组 件 中 传 递 签 名 人鉴别数据 时 , 其 完 整 性 或 保密性被破坏

　　签名人鉴别数 据 被 偶 然 或 恶 意 地 破 坏 、更 改 , 或 其 保 密 性 遭 到 破 坏 , 当 其 在SCA组件中传递时

　　任何需要在 SCA 的 分 布 式 组 件 中 传 递的签名人鉴别 数 据 , 都 应 通 过 可 信 路 径来传递 ,该可信 路 径 应 提 供 完 整 性 和 保密性

　　b) 当 DTBS或 DTBSF在 SCA的功 能 模 块 之 间 进 行 传 递时 , 其 完 整 性 或 保 密 性 被破坏

　　DTBS或 DTBSF被偶然或恶意地破坏 、更 改 , 或 其 保 密 性 遭 到 破 坏 , 当 其 在SCA组件中传递时

　　DTBS或 DTBSF在 分 布 式 组 件 中 传 递时 ,应通 过 可 信 路 径 来 传 递 , 该 可 信 路径应提供完整性和保密性

　　7. 4 对不可信进程和通信端口的要求

　　一些系统进程 、应用进程 、外围设备和通信信道 ,运行在与 SCA 相同的系统环境下 ,但它们不是签名生成过程所需的 ,应将其视为不可信的 , 因而会产生下列威胁和要求 。对不可信 SCA 组件的威胁和防护如下表 5所列 :

　　表 5 对不可信 SCA 组件的防护

　　威胁名称

　　威 胁

　　安全要求

　　a) 在 SCA 中 不 可 信 进 程 和 通信端口的冲突

　　SCA 中与 签 名 过 程 无 关 的 进 程 和 I/O端 口 , 可 能 会 破 坏 签 名人 鉴 别 数 据 、 DTBS 和 DTBSF 的 保 密 性 , 或 破 坏SCA本身的进程

　　对于所有不 是 SCA 所 必 需 的 不 可 信 系统进程 、应 用 进 程 、外 围 设 备 和 通 信 信道 ,都应防止其与签名进程发生冲突

　　在不同的环境下 ,对不可信组件的防护可以有不同的实现方式 。例如 ,如果 SCA 与通信网络隔离且只在家庭或办公环境中 , 或者 SCA 处在其他物理层安全的环境中 , 只要 SCA 在签名人的单独控制下 ,就没有必要对 SCA进行特别加固或关闭系统进程或应用进程 。但是 ,在公开环境下 ,对 SCA 的安全责任则要落到公开服务提供商身上 ,上述安全要求则需要通过技术或组织的方式得到满足 。 为了给签名人一定程度的信心 ,SCA应 显 示 出 服 务 提 供 商 的 名 称 , 并 且 声 明 此 SCA 适 用 于 可 靠 电 子 签 名的生成 。

　　7. 5 签名数据对象的事后签名验证

　　尽管在 SCA 中实现了所有的安全措施 ,但仍存在破坏 、替代 DTBS组件或 DTBSF 的可能性 。 因此强烈建议向签名人提供能够对电子签名进行验证的工具 , 以使签名人能够检查当前电子签名是对正确的签名人文件和签名属性进行计算而得到的结果 。

　　7. 6 对待签数据的安全要求

　　对于 DTBS,需要满足如下表 6所列安全要求 :

　　表 6 对 DTBS的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 产生不正确的签名

　　签名是对空文件进行运算的结果

　　DTBS应该包含一个签名人文件

　　b) 签名中所引用证书不准确

　　攻击者 可 将 签 名 与 签 名 人 的 另 一 证 书相联系 ,且该证 书 与 签 名 人 想 要 使 用 的证书具有不同的含义

　　DTBS应包含 签 名 人 所 选 择 的 证 书 , 该证书与 生 成 电 子 签 名的 电 子 签 名 制 作数据相联系 ,且 是 签 名 人 本 身 要 使 用 的证书

　　11

　　GB/T 25065—2010

　　表 6 (续)

　　威胁名称

　　威 胁

　　安全要求

　　c) 签名人文件的表示不准确

　　验证者 使 用 与 签 名 人 不 同 的 方 式 察 看SD, 由于验证者使用不同的数据内容类型来解释 SD。 当 应 用 或 安 全 策 略 允 许多个数据内容 类 型 时 ,这 种 情 形 就 有 可能发生

　　DTBS应该包含 SD 的数据内容类型 ,如果没有其他的方式指示出这方面信息

　　依赖于特定的应用 ,在 DTBS中还可能包含其他签名属性 。

　　8 SD表示组件

　　8. 1 功能

　　SD表示组件旨在提供合理的信任 :将要被签署的文件正是签名人想要签署的文件 ,并且该文件没有被 、也将不会被破坏或修改 。该组件通过安全地向签名人显示将要被签署的文件来实现此功能 ,显示时依据数据内容类型 。

　　安全的 SD 表示组件应具备显示有限数据内容类型的 SD 的能力 。 当签名人请求 SCA 签署一个SCA所不支持的数据内容类型的文档时 ,SD表示组件应发出警告 。但是为 SD选择一个适当的数据内容类型 ,完全是签名人的责任 ,并且签名人能够决定 SCA是否符合数据内容类型的要求 。

　　8. 2 分类

　　每个 SD都应隐式包含一个数据内容类型(或与之相联系) ,指出验证者应如何显示或使用该文件 。除此之外 ,针对文件的显示 ,可将 SD分为两类 :

　　a) 显示敏感的 SD:文件的语义依赖于文件的精确表示 ,在签名人和验证者显示不同时代表不同的含义 。字处理文件属于此类数据内容类型 。

　　b) 显示不敏感的 SD:文件的语义完全或部分地由 自动处理程序来解释 ,文件的显示不需在签名人和验证者面前一致 。这可能是因为使用 SD 的系统及软件的内在不同所造成的 ,也可能是缘于签名人和验证者均不需 “看见 ”文件 。EDI消息 、计算机文件 、HTML文件 、XML文件及其他基于标记语言的文件 ,属于此类数据内容类型 。

　　同时 ,组成 SD 的部件的来源可能是本地 ,或者是远程 。所有情况下 ,应满足下列要求 :

　　a) SD 的语义应明确 ,需要时附加签名属性 。这意味着 SD及签名属性应包含所有的相关信息 ,使得验证系统能够正确地解释其语义 。

　　b) SD表示组件应确保 SD 的句法与所指定的数据内容类型相一致 。

　　c) SD 中不应包含隐藏的 、加密的或 “激活的 ”代码如宏 ,这些代码能够在验证者解释 SD语义之前或过程中 ,改变或表面上改变文件信息 ;或者 ,SD表示组件具备无效隐藏代码的能力 。仅允许的例外包括 :

　　1) SD表示组件对任何类型的隐藏代码都向签名人发出警告 ;

　　2) 存在一个针对该文档格式的显示器 ,对于签名后的任何改动(不影响签名的有效性) ,该显示器都能够向验证者触发一个警告 。这种显示器一定是被广泛知晓的 ,并且由一个可靠的源来提供给验证者 ,验证者应具备确认其真实性和完整性的手段 。

　　d) 在一些情况下 ,SD表示组件可能无法精确 地 向 签 名 人 展 示 SD,此 时 SD 表 示 组 件 应 警 示 签名人 。

　　显示敏感的 SD和显示不敏感的 SD具有不同的安全要求 。在实际中 ,签名人应确认 SD表示组件工作正常 ,且上述条件得到满足 。

　　8. 3 数据内容类型的要求

　　SD 的语法信息由数据内容类型属性所指定 ,SCA要允许包含此属性 , 以确保验证者不致误解 SD。

　　12

　　GB/T 25065—2010

　　关于 SD 的内容对 SD表示组件的威胁和安全要求如下表 7所列 :

　　表 7 关于 SD 的内容对 SD表示组件的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 由 于 缺 乏 数 据 内 容 类 型 而导致的对 SD 的误解

　　验证者 可 能 会 误 解 SD, 如 果 其 使 用 与签名人不同的数据内容类型

　　SD表 示 组 件 应 允 许 包 含 数 据 内 容 类型 ,不论 是 隐 含 在 文 件 当 中 , 还 是 作 为一个确切的签名属性

　　b) 语法错误

　　文件不 遵 守 由 数 据 内 容 类 型 所 指 定 的语法

　　SD表示 组 件 应 警 示 签 名 人 实 际 情 况 ,并允许签名人中断签名过程

　　c) 签 署 文 件 时 采 用 了 错 误 的数据内容类型

　　签名人签署了 一 个 SCA 不 支 持 的 数 据内容类型 的 文 件 , 某 些 情 况 下 , 这 种 操作将导致不确定性

　　a) 厂商手册中应 说 明 SD 表 述 组 件 所支持的数据内容类型

　　b) 厂 商 手 册 中 应 说 明 如 果 签 名 人 采用了错 误 的 数 据 内 容 类 型 将 产 生的潜在后果

　　c) SD表示组件应警告签名人 , 当签名人为一个 SD表 示 组 件 不 支 持 的 数据内容类型的 SD产生签名时

　　d) 签署了错误的 SD

　　签名是对错误的 SD 的计算结果

　　SD表示组件 应 保 证 展 示 在 签 名 人 面 前的 SD,与在签名过程中即将被签署的文件相 同 , 并 且 与 签 名 人 所 选 择 的 文 件相同

　　e) 签署 SD 中错误的部分

　　签名人 在 不 知 情 的 情 况 下 签 署 了 其 他内嵌的错误签 名 数 据 对 象 , 或 者 是 由 其他人生成的无效签名

　　表示过程中应提示签名 人 在 SD 中 内 嵌了其 他 的 签 名 数 据 对 象 。 (SD 表 示 组件也可连接到 某 签 名 验 证 系 统 , 以 验 证这些签名)

　　f) 签名人意外修改 SD

　　在显示 SD 的 过 程 中 , 签 名 人 意 外 修 改了 SD

　　SD表示 组 件 应 不 允 许 签 名 人 修 改 SD的任何部分

　　g) 由于 SD表示组件的限制对SD显示不充分

　　由于 受 硬 件 、软 件 或 配 置 等 因 素 的 限制 ,SD表示 组 件 不 能 表 示 SD 的 全 部 ,这可能 会 导 致 签 名 人 不 能 知 道 所 要 签署 SD 的某些方面

　　SD表示 组 件 应 警 示 签 名 人 , 如 果 其 不能按照数据内容类型准 确 表 示 SD 的 全部内容

　　8. 4 SD 无歧义性要求

　　当 SD 的表示很重要时(即 SD 的表示形式是表达语义的一种方式) ,签名人应确信验证者收到了足够的信息 , 以能够正确地查看 SD,否则 SD可能存在歧义性 , 即验证者可能以与签名人不同的方式理解SD。 因此 ,对于显示敏感的 SD,为实现无歧义性 ,应通过数据内容类型来指明一些显示信息 ,表 8 只是示例性说明 。

　　表 8 显示敏感的 SD 的可变参数示例

　　字 体

　　表 格 设 计

　　分页

　　段落格式

　　声音

　　音频表演

　　图像

　　视频表演

　　13

　　GB/T 25065—2010

　　为确保 SD 的无歧义性 ,应符合如下表 9所列要求 :

　　表 9 对显示敏感 SD 的无歧义性安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) SD显示的不确定性

　　签名人签署一 份 文 件 ,该 文 件 可 以 有 不同的显示 方 式 , 并 表 达 不 同的 含 义 , 因而具有 不 确 定 性 。 验 证 者 可 能 会 以 另一种方式来理解 SD

　　SCA应允 许 在 DTBS 中 包 含 数 据 内 容类型属性 , 以确保 SD 的显示无歧义性

　　8. 5 对显示不敏感的 SD 的安全要求

　　当 SD 的语义不依赖于显示时 ,则必须在 SD 或签名属性中包含足够的信息 , 以确保其无歧义性 。下表 10所列要求适用于显示不敏感的 SD。

　　表 10 显示不敏感 SD 的无歧义性安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 不显示 SD 的不确定性

　　一个 SD可能会由于缺乏足够的结构描述信 息 和 语 义 解 释 信 息 而 具 有 不 确定性

　　SCA应允 许 在 DTBS 中 包 含 数 据 内 容类型属性 , 以 确 保 SD 在 语 义 上 只 能 有一种解释

　　8. 6 对隐藏文本和活动代码的要求

　　经过合成的 SD可能包含一些不能在(或不欲在)签名人或验证者面前显示的信息 ,如宏 、隐藏文本等 。此类信息依赖于产生 SD 的应用程序 ,但此类信息的存在可能会带来混乱或不确定性 ,例如宏可能会自动更新 SD 中的信息 。 因此 ,应采用如下表 11所列要求 :

　　表 11 对 SD 中隐藏文本、宏及活动代码的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) SD 的变更

　　SD 中可 能 包 含 隐 藏 代 码 , 该 代 码 能 够改变 SD 的显示 ,但不影响签名的(密码学) 有 效 性 , 这 样 就 会 欺 骗 验 证 者 和(或)签名人

　　应具备 允 许 签 名 人 只 对 静 态 文 件 格 式进行签名的 SD表 示 组 件 。如 果 没 有 此功能的组件 ,则 :

　　a) SD表 示 组 件 应 警 示 签 名 人 存 在 隐藏代码

　　b) 应具 备 SD 显 示 器 , 该 显 示 器 通 过可信的 源 获 得 , 并 对 签 署 后 的 SD的任何改动都能发出警告

　　9 签名属性显示组件

　　签名属性显示组件旨在通过显示签名属性 ,确保 SD 和签名意图无歧义性 。签名人应能够检查所有的签名属性 ,特别是针对下列内容 :

　　— 签名人的证书 ;

　　—SD 的数据内容类型(如果出现) ;

　　— 签名策略(如果出现) ;

　　— 承诺类型(如果出现) 。

　　使用已吊销的或是过期的证书是一种安全威胁 , 因为它能导致生成无效的签名 。 因此在签名之前 , SCA应检查证书的有效期和吊销状态 。这可通过访问电子认证服务提供者的证书撤销列表(CRL) 实现 ,或通过证书状态查询服务 OCSP实现 。具体对签名属性显示组件的安全要求如下表 12所列 :

　　14

　　GB/T 25065—2010

　　表 12 对签名属性显示组件的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 签署了错误的签名属性

　　签名中使用了错误的签名属性

　　a) 签名属性显示过程应允许签名人查看签名属性

　　b) 签 名 属 性 显 示 组 件 应 确 保 显 示 给签名人的签 名 属 性 , 与 签 名 过 程 中所要被签署 的 一 致 , 与 签 名 人 所 选择的一致

　　b) SCA 偶 然 或 恶 意 地 更 改 签名属性

　　SD 的意 义 有 所 改 变 , 因 偶 然 或 恶 意 更改一项或多项签名属性

　　a) 签名属性的完整性和真实性应得到保护

　　b) 对属性中 存 在 的 隐 藏 信 息 、宏 或 者活动代码 ,签名人应得到警示

　　c) 在 显 示 给 验 证 者 之 前 , 签 名属性可能自动变化

　　签名属性代码 中 包 含 活 动 组 件 ,会 更 改签名属性的显示或语义

　　a) 签名属性显示组件应警示签名人任何内嵌在签名属性中的隐藏或活动组件

　　b) 签 名 属 性 显 示 组 件 可 通 过 可 信 的源获得 ,并对 签 名 生 成 后 属 性 的 任何改变都能发出警告

　　d) 在 签 名 中 引 用 一 张 无 效 的证书

　　通过使用过期 的 或 者 被 撤 销 的 证 书 , 生成一个无效的签名

　　SCA应检查证书的 有 效 期 和 撤 销 状 态 ,如果发现无效 证 书 , 应 阻 止 签 名 人 使 用相关的 SSCD

　　特别地 ,签名属性显示组件应允许签名人检查包含在签名中的证书 。签名人可能拥有多张证书 ,适用于不同的任务和不同的角色 ,且不同的证书可能代表不同的含义 。 由于存在偶然选错证书的情形 ,故签名人需要确认使用了正确的证书 。

　　应符合如下表 13所列安全要求 :

　　表 13 证书显示的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 使用错误的证书

　　SD与错 误 的 签 名 人 证 书 相 关 联 , 导 致签名人做出了非本意的承诺

　　签名属 性 显 示 组 件 应 允 许 签 名 人 检 查包含在 DTBS内的证书的主要部分

　　10 签名人交互组件

　　10. 1 用户界面高层原理

　　在设计用户界面时 ,应遵从下列原理 :

　　— 任务适用 ;

　　— 风格一致 ;

　　— 和使用者的期望保持一致 ;

　　— 可控制 ;

　　— 容错性 ;

　　— 个人设置 ;

　　— 对签名人有足够的状态报告情况和错误提示信息 。

　　10. 2 签名调用

　　在生成签名之前 ,SCA应确定确实是签名人想要产生一个可靠电子签名 , 而不是受某种意外情况

　　15

　　GB/T 25065—2010

　　的影响 。这可以通过 SCA 与签名人之间的一系列交互来实现 ,交互过程由签名人交互组件来完成 。在本标准中将此过程称为 “签名调用 ”。

　　签名调用是由签名人通过签名人交互组件向 SCA 发送的一个信号 ,表示签名人认同 SCA 所引用的 SD和签名属性 ,并希望产生一个包括这些内容的可靠电子签名 ,也就是要签署文件 。

　　SCA应确认产生的每个签名都是一个明确的签名调用的结果 。应符合如下表 14所列要求 :

　　表 14 对签名调用的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 意外调用签名进程

　　用户可能会意外调用签名进程

　　在初始化签名 进 程 之 前 , 签 名 人 交 互 组件应请求签名 人 执 行 签 名 调 用 , 以 证 实这不是意外情况导致的结果

　　每次签名调用所能产生的签名数量由用户或用户组织的安全策略所决定 。 例如 , 一位医生 要 开150个处方 ,并没有必要在一个会话中执行 150次 签 名 调 用 , 但 这 150个 签 名 仍 应 视 为 同 一 意 愿 的 结果 。而对于签署高额合同 ,则可能每次签名都需执行签名调用 。

　　10. 3 签名进程超时休止

　　应避免在 SCA 和 SSCD 中发生下述情形 :签名人鉴别数据已经提供而签名人长时时间处于不活动状态 。例如 ,签名人已经从签名进程中转移 ,另一个人可能会对一个修改的或被替换的 SD 和签名属性完成签名过程 。非活动时限的安全要求如下表 15所列 :

　　表 15 非活动时限的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 不 被 注 意 的 SCA 允 许 未 被授权的签名产生

　　签名 人 提 供 签 名 人 鉴 别 数 据 给 SCA/ SSCD, 另 外 一 个 未 被 授 权 的 人 控 制SCA/SSCD,并生 成 一 个 未 被 授 权 的 电子签名

　　a) 签名人交互组件应设置一个空闲时限 , 即 SCA 既 不 与 签 名 人 交 互 , 也未执行相关过程

　　b) 如果空闲时限过去 ,则 SCA应重新鉴别签名人

　　10. 4 签名人控制功能

　　控制功能允许签名人控制签名生成环境及 SCA 的签名过程和活动 。SCA应提供下列控制功能 :

　　— 允许签名人选择 SD和签名属性 ;

　　— 允许签名人完成签名调用 , 以初始化 SSCD和 SCA之间的签名过程 ;

　　— 允许签名人为将要生成的签名选择正确的签名人证书 ;

　　— 允许签名人提供基于知识的或基于生物特征的签名人鉴别数据 ;

　　— 允许签名人改变签名人鉴别数据 ,依赖于策略 。

　　10. 5 签名人使用特征的获得

　　如果签名人想要使用安装在公共场所的 SCA,那么向 SCA 指明签名人的使用特征(习惯) 是有帮助的 ,如 :

　　— 语言使用习惯 ;

　　— 不可用信息的显示使用习惯 ,如果其与 SCA 的用户界面相关 。

　　对于用户控制下的 SCA,则此功能不是很重要 , 因为这些系统通常是根据用户的需求定制的 。

　　10. 6 用户界面

　　本条规定用户界面的基本要求 ,见表 16所列 ,进一步的建议在附录 B 中给出 。

　　用户界面的主要要求是 :

　　— 易用性 ;

　　16

　　GB/T 25065—2010

　　— 容错性 ,特别是抵御操作错误或提前结束签名过程的能力 ,并且不损害签名人个人数据的保密性 。

　　表 16 用户界面的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 签 名 人 的 行 为 破 坏 了 过 程的安全

　　被误导 的 签 名 人 可 能 以 错 误 的 方 式 执行操作或输入 数 据 , 因 此 黑 客 可 以 捕 获机密数据或盗取签名人的身份

　　签名人交互组 件 对 话 框 应 简 单 明 了 、易于实 现 , 以 防 止 签 名人 自 己 造 成 安 全漏洞

　　b) 由 于 签 名 过 程 被 中 断 而 泄露个人数据

　　当 用 户 离 开 签 名 现 场 时 , 他/她 的 私 人数据仍然能被未授权的他人看到

　　在签名人完成 正 常 的 操 作 之 后 , 屏 幕 应该清除签名人 的 私 人 数 据 , 显 示 私 人 数据的地方应填充 一 些 “无 意 义 ”的 数 据 ,以防止潜在的图片被读取

　　11 签名人鉴别组件

　　11. 1 总体要求

　　根据可靠电子签名定义的前两条 , 即 :

　　— 电子签名制作数据用于电子签名时 ,属于电子签名人专有 ;

　　— 签署时电子签名制作数据仅由电子签名人控制 。

　　因此 ,SSCD应执行一个鉴别过程 , 以确认请求生成电子签名的人就是 SSCD 的合法持有人 。有两种基本的签名人鉴别方式 :

　　— 基于知识的签名人鉴别(PIN码或口令) ;

　　— 基于生物特征的签名人鉴别 。

　　在签名人成功出示签名人鉴别数据(PIN、口令或指纹) 之后 ,SSCD 的 “安全状态 ”应设置为允许签名 。SSCD 的安全状态是否需要保持 ,依赖于合法签名人对 SSCD 的设置 。

　　在 SCA 中应提供专门的签名人鉴别组件以协助实现上述功能 。

　　11. 2 获得签名人鉴别数据

　　在产生可靠电子签名之前 ,SSCD应通过获得签名人鉴别数据来确认签名人就是 SSCD拥有者(或授权使用) 。在某些 SCA/SSCD的实现中 ,签名人鉴别数据是首先提交给 SCA,然后再由 SCA 转交给SSCD。对于这种实现方式 ,应符合表 17的相关要求 。

　　11. 3 基于知识的签名人鉴别

　　对于基于知识的鉴别过程 ,签名人向 SCA或 SSCD提供一个秘密 ,如 :

　　— 个人身份识别码 ;

　　— 口令 。

　　SSCD将签名人提供的秘密与保存在其中的参考值进行比较 ,如果匹配 ,则表示验证通过 。

　　为防止口令猜测和蛮力攻击 ,SSCD 中应设置相关安全措施 , 如设置尝试次数 。此外 ,对秘密值的修改 ,可通过 SCA进行 ,也可通过专用的 SSCD管理工具进行 。

　　11. 4 基于生物特征的签名人鉴别

　　对于基于生物特征的鉴别 ,签名人鉴别数据是由签名人的生物特征信息导出的 。

　　对于某些生物识别统计系统 ,如基于指纹的系统 ,生物特征提取是在生物识别终端内部进行的 。在注册阶段 ,完成对特征模板的提取 ,并将其保存在 SSCD 中 ,视为该生物特征与 SSCD持有人逻辑相关 。在鉴别时 ,需要将现场获取的生物特征与存储在 SSCD 中的生物特征进行比对 。

　　攻击可能发生在注册阶段(将用户与其他人的特征模板相关联) ,也可能发生在鉴别阶段(返回伪造的鉴别成功或失败响应消息) 。

　　17

　　GB/T 25065—2010

　　为了防止这些攻击 ,强烈建议在 SCA之外进行特征值的提取 、存储及比对 ,包括注册阶段或鉴别阶段 。特别地 ,可在 SSCD 的内部完成这些操作 ,或是在 SSCD及其读写设备内部完成 。核心问题是生物特征数据不要通过运行 SCA 的计算机 。

　　生物鉴别机制应能够保护电子签名制作数据 ,达到下述目的 :

　　— 通过伪造生物特征的假冒攻击 ,在实际中不可操作 ;

　　— 能对抗穷举攻击 ,如设置重试次数 ;

　　— 能对抗重放攻击 ,如生物特征的提取和比对完全在 SSCD 内部实现 ,不经过 SCA 或其他计算设备 ;

　　— 在注册阶段将某人与他人的生物模板相对应 ,在实际中不可操作 ;

　　— 在鉴别阶段更改签名人鉴别数据 ,在实际中不可操作 。

　　11. 5 对错误的签名人鉴别数据的处理

　　签名人可能有时会提供错误的签名人鉴别数据(如敲错键盘) 。多数情况下 ,这是一次真正的错误 。然而 ,在某些情况下 ,这表示有人正在企图通过尝试获得真正的签名人鉴别数据 。 因此 ,如果 SCA参与了处理签名人鉴别数据 ,应仅向签名人指出最终结果(接受或不接受) , 以及签名人鉴别方法是否被锁死 。见表 17的第 4项要求 。

　　11. 6 签名人鉴别数据的变更和计数器重置

　　对于基于知识的签名人鉴别数据 ,如 PIN码或口令 ,在下列两种情形下应由签名人进行修改 :

　　— 被分配的 、签名人不容易记住的 PIN码或口令 ;

　　— 签名人鉴别数据可能已经失密 。

　　比较签名人鉴别数据的次数应受到限制 , 由重试计数器来记录次数 , 以限制错误输入次数和防止对签名人鉴别数据的攻击 。SSCD也应提供一种重置重试计数器的方法(如设置一个重置口令) 。

　　11. 7 签名人鉴别数据用户界面

　　当签名人输入 PIN码或口令时 ,签名人鉴别组件应提供一种特殊字符的反馈(如显示字符 “* ”或其他方式) 。见表 17的第 7项要求 。

　　签名人应能够取消 PIN码或口令的显示 。

　　如果要修改 PIN码或口令 ,则签名人鉴别组件应要求用户输入 2 次 PIN 码或口令 , 以确保没有敲击错误发生 ,见表 17的第 8项要求 。对于生物鉴别 ,应有准确的用户指导 。如果使用可选择的生物特征(如食指或中指 ,左眼或右眼) ,应向签名人明确指出 ,或者由签名 自 己选择 。

　　11. 8 签名人鉴别组件的安全要求

　　表 17、表 18所列是对签名人鉴别组件的安全要求 。

　　表 17 对基于知识的签名人鉴别数据的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 对 SSCD 的未授权使用

　　一个未授权的个体获得对 SSCD 的访问权限 , 以伪造签名

　　应提供一种方 式 , 让 签 名 人 将 签 名 人 鉴别数据输入到 SSCD或 SCA/SSCD

　　b) 由 SCA 泄 漏 了 签 名 人 鉴 别数据

　　签名人鉴别数 据 的 保 密 性 在 SCA 中 遭到破坏

　　如果签名人鉴别数据在 SCA 中保留 ,应保证其保密性 , 并 且 当 其 不 再 需 要 时 应安全删除

　　c) 偶 然 输 入 错 误 的 签 名 人 鉴别数据

　　签名人偶然敲错了签名人鉴别数据

　　如果签名人在有 限 次 数(鉴 别 失 败 次 数不能超过 3 次 , 3 次 之 后 SSCD 自 锁) 范围内输入了错 误 的 签 名 人 鉴 别 数 据 , 应向签 名 人 发 出 错 误 响 应 , 并 允 许 其 重试 。应向签名 人 显 示 相 关 响 应 消 息 ,但不应提供其他错误类型消息

　　18

　　GB/T 25065—2010

　　表 17 (续)

　　威胁名称

　　威 胁

　　安全要求

　　d) PIN码/口令的猜测

　　黑客可 能 通 过 猜 测 或 者 蛮 力 攻 击 来 获得 PIN/口令

　　在 SSCD 中 应 有 相 关 安 全 措 施 , 签 名 人鉴别组件不能 妨 碍 这 些 措 施 的 实 现 , 因此签名人鉴别组件应 :

　　1) 能够处理 SSCD所允许的最大长度PIN/口令

　　2) 不 能 阻 碍 签 名人 自 己 修 改 PIN/口令

　　e) 检 测 和 滥 用 基 于 知 识 的 签名人鉴别数据

　　如果 PIN或 口 令 可 通 过 PIN 码 盘 或 键盘到 SSCD 的 路 径 检 测 到 ,且 攻 击 者 能够访 问 到 这 些 信 息 , 则 有 可 能 造 成 对SSCD 的滥用

　　SCA应提供从 PIN码盘或键盘到 SSCD的可信路径 , 以传递 PIN码或口令

　　f) PIN/口 令 的 保 密 性 遭 到破坏

　　攻击者已经拥有 SSCD 的 PIN 或口 令 ,因而可能滥用 PIN/密码

　　应提供改变签 名 人 鉴 别 数 据 的 功 能 , 除非安 全 策 略 要 求 某 类 SCA 应 禁 止 此功能

　　g) PIN/口令的显示

　　如果签 名 人 鉴 别 组 件 显 示 签 名 人 所 输入的 PIN或口令 ,则可能被偷看

　　签名人所输 入 的 PIN/口 令 不 应 被 显 示出来 ,但是签名 人 鉴 别 组 件 应 给 出 签 名人键入数字或 字 母 的 反 馈 , 通 过 使 用 特殊的字符

　　h) 修改 PIN/密码时键入错误

　　如果是敲击错 误 ,签 名 人 将 不 能 输 入 新的 PIN/口令 , 这 样 会 使 PIN/口 令 的 强度变弱

　　签名人鉴 别 组 件 应 要 求 输 入 2 次 新 的PIN/口令 ,并在发 送 PIN/口 令 至 SSCD之前检查两次输入是否一致

　　表 18 对基于生物特征的签名人鉴别数据的安全要求

　　威胁名称

　　威 胁

　　安全要求

　　a) 基 于 生 物 特 征 的 签 名 人 鉴别数据的检测和重