电子签名无法避免的漏洞
2005-02-04 15:52
302 查看
2004年8月28日,中国正式颁布了<电子签名法>,2005年4月1日生效。
两年前在一个课题组,专门研究电子签名、电子合同等,当时课题组还有很多专家,有几个就是电子签名法的起草者。
三年的时间,得到很多成果。从签名理论、技术到取证、举证、质证、证据采纳等各个方面都进行了研究,并发表了很多论文。
然而,现在不得不说说当时研究发现的电子签名的一些弊端。
一、你所签署的并不是你所看到的(以假乱真)
电子签名的过程在技术上无非是PKI技术,虽然电子签名法采取了技术中立原则,但现在还没找到其他的技术可以实现。
技术底层实现过程是:
调用签名接口—〉传入要签名的数据—〉输入PIN码—〉签名成功
用户的操作:
阅读未签名的合同—〉激发签名—签名成功(提示或盖个电子公章)等等。
漏洞在哪里?
漏洞就在于计算机程序太灵活了,黑客完全可以草拟出一份“假合同”(用户想要的,给用户看的)放在屏幕的最前端,而这份假合同后面是“真合同”(黑客想要的,真正要签名的),用户对假合同完全满意了,点击黑客为他提供的签名按钮(完全模仿真的电子签名软件),而在后台黑客调用真实的签名接口,弹出真实的输入PIN码框,客户输入PIN码后,对黑客想要的真合同进行了签名,而客户还因为对自己看到的合同签了名。
这种技术并不难。
其他以后再说
两年前在一个课题组,专门研究电子签名、电子合同等,当时课题组还有很多专家,有几个就是电子签名法的起草者。
三年的时间,得到很多成果。从签名理论、技术到取证、举证、质证、证据采纳等各个方面都进行了研究,并发表了很多论文。
然而,现在不得不说说当时研究发现的电子签名的一些弊端。
一、你所签署的并不是你所看到的(以假乱真)
电子签名的过程在技术上无非是PKI技术,虽然电子签名法采取了技术中立原则,但现在还没找到其他的技术可以实现。
技术底层实现过程是:
调用签名接口—〉传入要签名的数据—〉输入PIN码—〉签名成功
用户的操作:
阅读未签名的合同—〉激发签名—签名成功(提示或盖个电子公章)等等。
漏洞在哪里?
漏洞就在于计算机程序太灵活了,黑客完全可以草拟出一份“假合同”(用户想要的,给用户看的)放在屏幕的最前端,而这份假合同后面是“真合同”(黑客想要的,真正要签名的),用户对假合同完全满意了,点击黑客为他提供的签名按钮(完全模仿真的电子签名软件),而在后台黑客调用真实的签名接口,弹出真实的输入PIN码框,客户输入PIN码后,对黑客想要的真合同进行了签名,而客户还因为对自己看到的合同签了名。
这种技术并不难。
其他以后再说
相关文章推荐
- 无法在证书存储区中找到清单签名证书”错误的解决方法【转】
- 如何对pdf电子文档进行手写签名
- ClickOne 解决VS发布问题——“因为某项未生成,所以无法发布”(ClickOnce签名过期问题)
- W: GPG 错误 没有公钥,无法验证 签名
- Outlook2003设置签名提示"无法找到打开H(.)文件的编辑器"
- “时间戳”与电子签名
- 通过手机音频口,实现与单片机通讯,做电子签名成功
- 华硕开机时出现无法验证数字签名驱动
- PDF电子签名分析
- Android签名警告提示-tsa或-tsacert此jar没有时间戳无法安装
- .net项目编译时,无法在证书存储区中找到清单签名证书
- eclipse无法导出android签名包的问题
- 解决非驱动签名缺失情况下的“Windows 无法验证此设备所需的驱动程序的数字签名”问题
- e签宝联合钉钉发布电子签名杀手级应用
- android 签名漏洞
- 缺少公钥问题的解决方法(gpg: 无法检查签名:找不到公钥)
- Android ZIP文件提取classes.dex文件签名校验绕过漏洞
- 安卓-电子签名signature
- 公匙算法.电子签名