ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 38540—2020 信息安全技术 安全电子签章密码 技术规范 I n f o rma t i ons e c u r i t e chno l o chn i c a ls c i f i c a t i ons e c u r e yt gy—Te pe e l e c t r on i cs e a ls i t u r ec r t o r aphy gna yp g 2020 03 06 发布 2020 10 01 实施 国家市场监督管理总局 国家标准化管理委员会 发 布 GB/T 38540—2020 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 缩略语 …………………………………………………………………………………………………… 2 5 概述 ……………………………………………………………………………………………………… 2 6 电子印章 ………………………………………………………………………………………………… 2 6. 1 数据格式 …………………………………………………………………………………………… 2 6. 2 电子印章生成流程 ………………………………………………………………………………… 6 6. 3 电子印章验证流程 ………………………………………………………………………………… 6 7 电子签章 ………………………………………………………………………………………………… 6 7. 1 数据格式 …………………………………………………………………………………………… 6 7. 2 电子签章生成流程 ………………………………………………………………………………… 8 7. 3 电子签章验证流程 ………………………………………………………………………………… 8 Ⅰ GB/T 38540—2020 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:北京数字认证股份有限公司、中安网脉(北京)技 术 股 份 有 限 公 司、兴 唐 通 信 科 技 有限公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公 司、成 都 卫 士 通 信 息 产 业 股 份 有 限公司、国家密码管理局商用密码检测中心、北京海泰方圆科技股份有 限 公 司、北 京 三 未 信 安 科 技 发 展 有限公 司、上 海 市 数 字 证 书 认 证 中 心 有 限 公 司、上 海 颐 东 网 络 信 息 有 限 公 司、中 国 电 子 技 术 标 准 化 研 究院。 本标准主要起草人:傅 大 鹏、刘 岩、谢 峰、徐 惠 清、朱 亚 飞、王 天 顺、张 金 铭、郑 强、李 述 胜、田 敏 求、 吕春梅、赵丽丽、罗俊、陈中 林、蒋 红 宇、高 志 权、许 永 欣、韩 玮、夏 东 山、陈 亚 军、王 文 昌、邵 淼、陈 景 燕、 张妍、李敏、刘中。 Ⅲ GB/T 38540—2020 信息安全技术 安全电子签章密码 技术规范 1 范围 本标准规定了采用密 码 技 术 实 现 电 子 印 章 和 电 子 签 章 的 数 据 结 构 定 义,以 及 相 应 的 生 成 与 验 证 流程。 本标准适用于电子印章系统的开发和使用,也可用于指导该类系统的检测。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20518 信息安全技术 GB/T20520 信息安全技术 公钥基础设施 数字证书格式 公钥基础设施 时间戳规范 GB/T32905 信息安全技术 SM3 密码杂凑算法 GB/T32918(所有部分) 信息安全技术 SM2 椭圆曲线公钥密码算法 GB/T33560 信息安全技术 密码应用标识规范 GB/T35276 信息安全技术 SM2 密码算法使用规范 3 术语和定义 下列术语和定义适用于本文件。 3. 1 电子印章 e l e c t r on i cs e a l 一种由电子印章制章者数字签名的安全数据。 注:包括电子印章所有者信息和图形化内容的数据,用于安全签署电子文件。 3. 2 电子签章 e l e c t r on i cs e a ls i t u r e gna 使用电子印章签署电子文件的过程。 注:电子签章可实现与纸质文件盖章操作相似的可视效果,可保障数据来源的真实 性、数 据 完 整 性 以 及 签 名 人 行 为 的不可否认性。 3. 3 原文 o r i i na lda t a g 需要进行电子签章或数字签名处理的电子文件。 3. 4 电子签章数据 e l e c t r on i cs e a ls i t u r eda t a gna 电子签章过程产生的包含电子印章、原文信息和数字签名等信息的数据。 3. 5 电子印章系统 e l e c t r on i cs e a ls s t em y 电子印章管理系统和电子签章软件的统称。 1 GB/T 38540—2020 3. 6 注 1:电子印章管理系统具有电子印章制作与管理、安全审计等功能。 注 2:电子签章软件是对电子文件加盖电子印章或添加数字签名的软件。 制章者 e l e c t r on i cs e a lmake r 电子印章系统中具有电子印章制作和管理权限的机构。 注:电子印章中的图像和相关信息应经制章者进行数字签名,电子印章中的制章者证书应是该机构的单位证书。 3. 7 3. 8 3. 9 签章者 e l e c t r on i cs e a ls i r gne 电子印章的所有者,是具备电子印章法定使用权限的实体。 SM2 算法 SM2a l o r i t hm g 由 GB/T32918 定义的一种椭圆曲线密码算法。 SM3 算法 SM3a l o r i t hm g 由 GB/T32905 定义的一种杂凑算法。 4 缩略语 下列缩略语适用于本文件。 ASN. 1:抽象语法记法( Abs t r a c tSyn t axNo t a t i onOne) BMP:位图( B i tmap) DER:非典型编码规则( Di s t i ngu i shedEnc od i ngRu l e s) GIF:图形交换格式( Gr aph i c sI n t e r changeFo rma t) JPG:联合图像专家组的文件格式( J o i n tPho t og r aph i cExpe r t sGr oup) OID:对象标识符( Ob e c tI den t i f i e r) j PKI:公钥基础设施( Pub l i cKeyI n f r a s t ruc t u r e) SVG:可缩放的矢量图形( Sc a l ab l eVe c t o rGr aph i c s) 5 概述 安全电子签章是通过采用 PKI公钥 密 码 技 术,将 数 字 图 像 处 理 技 术 与 电 子 签 名 技 术 进 行 结 合,以 电子形式对加盖印章图像数据的电子文档进行数字签名,以确保文档来源的真实性以及文档的完整性, 防止对文档未经授权的篡改,并确保签章行为的不可否认性。 为了确保电子印章的完整性、不可伪造性,以及合法用户才能 使 用,需 要 定 义 一 个 安 全 的 电 子 印 章 数据格式。通过数字签名,将印章图像数据与签章者等印章属性进行安全绑定,形成安全电子印章。在 使用印章过程中,应对电子印章进行安全性验证。 在使用电子印章对各种文档进行电子签章过程中,签章者通过数字签名对文档数据进行签章处理, 从而达到与传统纸质文件盖章操作相同的可视化效果,同时又利用数字签 名 技 术 保 障 了 文 档 数 据 的 真 实性、完整性以及签章者行为的不可否认性。 6 电子印章 6. 1 数据格式 6. 1. 1 印章数据结构 2 电子印章由印章信息、制章者证书、签名算法标识、签名值等部分组成,其数据结构如图 1 所示。 GB/T 38540—2020 图 1 电子印章的数据结构示意图 电子印章数据的 ASN. 1 定义为: SESe a l∷=SEQUENCE{ eSe a l I n f o SES_Se a l I n f o, s i ID gnAl g OBJECTIDENTIFIER, ———签名算法标识 c e r t } ———印章信息 OCTETSTRING,———制章者证书 s i l ue BITSTRING ———签名值 gnedVa 6. 1. 2 印章信息 6. 1. 2. 1 数据结构 印章信息 eSe a l I n f o 由印章头、印章标识、印章属性、印章图像数据、自定义数据等部分组成,其数据 结构如图 2 所示。 图 2 印章信息的数据结构示意图 印章信息 eSe a l I n f o 的 ASN. 1 定义如下: SES_Se a l I n f o∷=SEQUENCE{ he ade r e s ID SES_He ade r, ———印章头 IA5S t r i ng, ———印章标识 r ope r t ope r t I n f o, ———印章属性 p y SES_ESPr y i c t u r e SES_ESP i c t rue I n f o, ———印章图像数据 p } ex tDa t a s Ex t ens i onDa t a sOPTIONAL ———自定义数据 6. 1. 2. 2 印章头 印章头由头标识、版本号和厂商标识等组成,其数据结构如图 3 所示。 图 3 印章头的数据结构示意图 印章头的 ASN. 1 定义为: SES_He ade r∷=SEQUENCE{ ID IA5S t r i ng, ———头标识 Vi d IA5S