電子簽約服務(wù)商如何保障合同的安全？

電子合同服務(wù)提供商如何保證合同的安全性，是電子合同行業(yè)在快速發(fā)展中必然面臨的挑戰(zhàn)和考驗(yàn)。比如你第一次用互聯(lián)網(wǎng)支付的時(shí)候，心里會(huì)有疑問(wèn):我的錢(qián)會(huì)不會(huì)被偷？我的錢(qián)會(huì)算錯(cuò)嗎？然而，隨著時(shí)間的考驗(yàn)，人們已經(jīng)對(duì)在線(xiàn)支付產(chǎn)生了足夠的信任。

同理，當(dāng)用戶(hù)問(wèn)“電子訂約服務(wù)提供者如何保證合同安全？”他們其實(shí)擔(dān)心的是合同會(huì)不會(huì)被泄露、篡改、損壞。

針對(duì)以上問(wèn)題，請(qǐng)不吝簽名信息安全專(zhuān)家逐一解答。

我的合同有可能泄露嗎？

很多客戶(hù)會(huì)因?yàn)閾?dān)心合同內(nèi)容泄露而選擇本地化部署方案——把貴重物品放在自己家里，控制風(fēng)險(xiǎn)才是最放心的。當(dāng)然，這個(gè)方案的成本會(huì)更高。

放心簽提供了一種“合同不出門(mén)”的混合云方案，即客戶(hù)只需發(fā)送合同的哈希值，不需要將原合同發(fā)送給我們，哈希值是不可逆的，我們無(wú)法對(duì)合同本身進(jìn)行反向破解。在該方案下，合同信息泄露的風(fēng)險(xiǎn)可以得到有效控制，整個(gè)過(guò)程可以由第三方認(rèn)證，以保證簽署過(guò)程的有效性。

如果選擇放心的簽公有云方案，即發(fā)送合同簽全過(guò)程，合同數(shù)據(jù)會(huì)被攻擊者竊取嗎？

其實(shí)大部分黑客攻擊都是半途而廢。可能是目標(biāo)攻擊太費(fèi)時(shí)，目標(biāo)防御太強(qiáng)，攻擊時(shí)好像在走迷宮，走錯(cuò)一步就可能觸發(fā)警報(bào)。放心簽名還為攻擊者提供了多個(gè)閾值。除非他順利突破，而且過(guò)程中沒(méi)有觸發(fā)任何警報(bào)，否則他的偷竊將會(huì)失敗。這里我們簡(jiǎn)單介紹一下自信簽約的防守思路:

進(jìn)不去:隨便簽個(gè)名，金庫(kù)戒備森嚴(yán)，整天有警察持槍看守(入侵檢測(cè)系統(tǒng))；大門(mén)防爆、防磁、防水，不能被攻擊強(qiáng)行進(jìn)入(WAF應(yīng)用防火墻)；保險(xiǎn)箱由“恒溫恒濕”控制。一旦檢測(cè)到異常變化，“除濕設(shè)備”將自動(dòng)運(yùn)行以糾正異常(漏洞掃描、修復(fù)/殺毒軟件)。

帶不走:如果攻擊者通過(guò)非常規(guī)手段進(jìn)入，也會(huì)破壞保險(xiǎn)箱的鎖，也就是需要權(quán)限才能解鎖(訪(fǎng)問(wèn)控制、身份認(rèn)證)，解鎖的權(quán)限需要嚴(yán)格的流程審批，攻擊者無(wú)法繞過(guò)。

我無(wú)法理解:攻擊者經(jīng)過(guò)重重困難終于打開(kāi)了保險(xiǎn)柜，但打開(kāi)后發(fā)現(xiàn)里面的文件是一串他根本無(wú)法破譯的字符，帶著也沒(méi)有任何意義(數(shù)據(jù)加密)。

不能丟:攻擊者發(fā)現(xiàn)無(wú)法獲取文件信息，于是想盡辦法銷(xiāo)毀。我們通過(guò)技術(shù)手段幫助客戶(hù)備份他們的機(jī)密文件。即使1號(hào)金庫(kù)因自然災(zāi)害/人為因素?zé)o法提供服務(wù)，我們也可以通過(guò)備份金庫(kù)(同城居住)快速恢復(fù)。

不能一走了之:金庫(kù)內(nèi)部設(shè)置24小時(shí)監(jiān)控視頻(日志系統(tǒng)、報(bào)警系統(tǒng))，期間會(huì)記錄每個(gè)人的行為，危險(xiǎn)行為可以直接觸發(fā)報(bào)警，非常規(guī)手段也可以通過(guò)后期審核發(fā)現(xiàn)。所有記錄都有助于追蹤來(lái)源和定位嫌疑人。

我的合同可以偽造或篡改嗎？

自信簽名的電子簽名技術(shù)專(zhuān)家從技術(shù)角度分析。要偽造和篡改已簽署的保密合同，他們需要滿(mǎn)足以下要求:

1.持有簽名人的私鑰；

2.持有原合同；

3.突破時(shí)間戳服務(wù)提供者，獲得“隨時(shí)輸出時(shí)間戳”的能力；

4.簽名人證書(shū)在有效期內(nèi)未被撤銷(xiāo)；

5.掌握簽名賬戶(hù)對(duì)應(yīng)的數(shù)字證書(shū)。

攻擊者需要同時(shí)打破這五個(gè)條件，這樣才有機(jī)會(huì)“偽造”和“篡改”合同。在簽訂保密合同的過(guò)程中，會(huì)存儲(chǔ)區(qū)塊鏈證書(shū)，并對(duì)整個(gè)環(huán)節(jié)進(jìn)行實(shí)時(shí)公證，有助于區(qū)分合同的真實(shí)性。

當(dāng)然，如果簽的是已完成的合同，也可以一鍵導(dǎo)出，本地備份即可。

我們知道安全不是絕對(duì)的，所以我們歡迎更多的客戶(hù)來(lái)評(píng)論我們，幫助我們成長(zhǎng)，幫助行業(yè)進(jìn)步，共同完善電子簽名的安全信任體系。