任務來源及編制單位根據國家標準化管理委員會下達的國家標準制修訂計劃，國家標準《信息安全技術公鑰基礎設施基于數字證書的可靠電子簽名生成及驗證技術要求》由中國電子信息產業發展研究院牽頭起草，標準計劃號是20130326-T-469，技術歸口單位是全國信息安全技術標準委員會。標準編制單位由中國電子信息產業發展研究院、北京數字認證股份有限公司、上海格爾軟件股份有限公司組成。中國電子信息產業發展研究院是工信部直屬的國家一級科研事業單位，在信息產業與信息化等研究領域具有豐富的經驗和雄厚的實力；院下屬的信息安全研究所是中國電子認證服務產業聯盟秘書處的具體承擔單位，多年來致力于信息安全、電子認證研究工作。北京數字認證股份有限公司是國內較早成立和規模最大的電子認證服務機構之一，擁有完善的電子認證產品體系、專業人才隊伍和深厚的技術積累。上海格爾軟件股份有限公司是商用密碼產品定點生產與銷售單位，在國內較早研制和推出電子認證軟硬件產品，是全國信息安全標準化技術委員會的核心成員單位。三家單位都曾牽頭或參與過多項標準制定工作。編制目的和意義為貫徹落實《中華人民共和國電子簽名法》，實現《電子認證服務業“十二五”發展規劃》目標和任務，促進可靠電子簽名的應用普及，推動電子認證服務業的健康有序發展，依據《中華人民共和國電子簽名法》對可靠電子簽名的相關規定，編制《基于數字證書的可靠電子簽名生成及驗證技術要求》。編制意義主要體現在以下三個方面：一是貫徹落實《中華人民共和國電子簽名法》的重要途徑。《中華人民共和國電子簽名法》規定只有可靠電子簽名具有與手寫簽名同等的法律效力，并明確數據電文作為證據必須確保生成、存儲或傳遞數據電文的方法的可靠性、保持內容完整性的方法的可靠性、用以鑒別發件人的方法的可靠性等。如何從技術上保證電子簽名是可靠的，如何確保數據電文生成、傳遞、接收、保存、提取、鑒定等各環節是可靠的，是目前亟待解決的問題。按照《中華人民共和國電子簽名法》對可靠電子簽名和數據電文的相關要求，研究制定《基于數字證書的可靠電子簽名生成及驗證技術要求》，是貫徹落實《中華人民共和國電子簽名法》的重要途徑。二是構建網絡信任體系的根本保障。隨著經濟社會活動對網絡依賴性不斷提高，建立網絡秩序，營造可信、安全的網絡空間的需求日益迫切。當前，電子商務、電子政務等領域都提出了應用可靠電子簽名的要求，同時諸如電子合同、電子憑證、電子記錄等應用中都要求確保數據電文的可靠性。網絡身份認證、行為責任認定、資源權屬維護、交易風險防范、交易糾紛仲裁已經成為網絡用戶關注的焦點。研究和制定《基于數字證書的可靠電子簽名生成及驗證技術要求》，可為實現網絡行為的追蹤與管理、為保障權益、追究責任提供重要依據，是構建網絡信任體系的基礎和保障。三是推廣可靠電子簽名應用的有力支撐。目前，電子商務、電子政務等對可靠電子簽名應用需求的不斷增長與可靠電子簽名標準規范缺乏的矛盾越來越突出。通過開展《基于數字證書的可靠電子簽名生成及驗證技術要求》的研究，初步形成可靠電子簽名生成及驗證規范和流程，促進可信電子合同、可信電子憑證、可信電子記錄等應用技術取得突破性進展，為電子取證、司法鑒定和法律訴訟提供支持，為可靠電子簽名和可信數據電文的推廣應用奠定基礎。編制原則本標準屬于信息安全技術要求類的標準，以自主編寫的方式完成。標準緊扣《中華人民共和國電子簽名法》規定的可靠電子簽名應同時符合的四項條件，結合我國對密碼技術和產品以及電子認證服務業的監管規定進行編制，為基于數字證書可靠電子簽名相關系統、應用的開發提供指導，為相關產品、服務標準的制定提供參考。主要工作過程《基于數字證書的可靠電子簽名生成及驗證技術要求》課題始于2012年4月，標準編制期間召開了3次10名以上專家參會的大型研討會，十余次小型研討會，電話、郵件溝通討論百余次，根據研討結果進行了幾次較大規模的修訂和反復的推敲琢磨。參與標準編制和研討的專家超過30人，主要來自工業和信息化部、國家密碼管理局、國家信息技術安全研究中心、國家信息中心、中國科學院、中國電子技術標準化研究院、工業和信息化部電子工業標準化研究院、北京數字證書認證中心、上海格爾軟件股份有限公司、中國金融認證中心、東方新誠信數字認證中心、北京天威誠信電子商務服務有限公司等。編制過程主要分為三個階段：（一）課題啟動經過前期調研，2012年4月，《基于數字證書的可靠電子簽名生成及驗證技術要求》標準項目上報全國信息安全標準化技術委員會；2012年12月，全國信息安全標準化技術委員會批準立項，所屬工作組為WG4。（二）編制初稿2013年1月，開始初稿編制工作。參考的國外標準主要包括歐洲電信標準化協會的《CMS高級電子簽名》、《發放合格證書的證書認證機構策略要求》以及歐洲標準委員會的《簽名生成應用程序安全需求》、《電子簽名驗證通用指南》、《作為安全簽名生成設備的智能卡應用接口》、《管理電子簽名證書的可信系統安全要求》等，參考的國內標準主要包括《數字證書格式》、《時間戳規范》、《電子簽名格式規范》、《簽名生成應用程序的安全要求》等。三家起草單位首先各自編制初稿，通過多次共同研究和反復討論，2013年7月，三份初稿合并形成統一的標準初稿。（三）標準修訂標準初稿完成后，編制組分別于2013年7月、11月和2014年3月組織召開了3次大型研討會及多次小型研討會，征求專家意見。編制組充分吸取各方專家意見，對標準反復討論，多次修訂，2014年4月，形成較為完善成熟的修訂稿，并得到專家的肯定。2014年6月15日，全國信息安全標準化技術委員會WG4工作組召開組內評審會議，對標準進行了評審，編制組按照評審專家給出的修改意見對標準進行了修改。2014年7月11日，全國信息安全標準化技術委員會組織對項目進行中期評審，編制組根據專家意見對標準進行了修改，形成標準草案再次提交WG4工作組。2015年3月7日，全國信息安全標準化技術委員會WG4工作組召開專家審查會，專家組同意該標準（草案）通過審查。會后編制組對專家意見進行匯總處理，提交WG4工作組成員單位進行征求意見和表決。2015年9月9日，收到WG4工作組反饋的征求意見，編制組對征求意見進行匯總處理，形成征求意見稿，進行網上公開征求意見。標準的主要內容（一）本標準的主要內容《基于數字證書的可靠電子簽名生成及驗證技術要求》主要包括以下幾個方面的內容：1.可靠電子簽名生成及驗證系統架構通過對可靠電子簽名生成及驗證邏輯框架的分析，明確可靠電子簽名生成與驗證過程涉及的對象，確定實現可靠電子簽名需要對六個方面提出要求或規定：電子認證服務提供者、簽名人身份、電子簽名相關數據、電子簽名生成設備、電子簽名生成過程與應用程序、電子簽名驗證過程與應用程序。2.電子認證服務提供者的要求電子認證服務提供者CSP應提供證書注冊、證書生成、證書發布、證書撤銷、時間戳等電子認證服務并滿足安全要求。3.簽名人身份的要求簽名者需要擁有真實的實體身份，其身份的真實性由電子認證服務提供者進行鑒證。4.電子簽名相關數據的要求電子簽名相關數據的要求包括待簽數據的要求和電子簽名數據格式的要求。待簽數據包括簽名人文件和簽名屬性，電子簽名數據格式應符合GB/T25064-2010的要求。5.電子簽名生成設備的要求電子簽名生成設備應使用安全簽名生成設備。電子簽名生成設備的要求包括功能要求和安全要求兩部分，其中安全要求包括設備芯片的要求和對簽名人的鑒別要求。6.電子簽名生成過程與應用程序要求電子簽名生成過程與應用程序要求分別對電子簽名生成過程與電子簽名生成應用程序的功能和安全能力提出要求。電子簽名生成過程的要求包括電子簽名生成應用程序與生成設備建立連接過程要求、電子簽名數據準備過程要求、電子簽名制作數據使用鑒別過程要求、產生簽名過程要求、簽名輸出過程要求五個部分。電子簽名生成應用程序要求包括對電子簽名生成應用程序的功能要求和安全要求兩個部分。7.電子簽名驗證過程與應用程序要求電子簽名驗證過程與應用程序要求分別對電子簽名驗證過程與電子簽名驗證應用程序的功能和安全能力提出要求。電子簽名驗證過程應能有效地對簽名人文件的完整性、額外驗證數據的簽名策略符合性、相關證書及額外驗證數據的有效性等進行驗證。電子簽名驗證應用程序要求包括功能要求和安全要求兩個部分。（二）標準框架本標準主要框架如下：1范圍2規范性引用文件3術語和定義4縮略語5可靠電子簽名生成及驗證系統架構6電子認證服務提供者的要求7簽名人身份的要求8電子簽名相關數據的要求9電子簽名生成設備的要求10電子簽名生成過程與應用程序要求11電子簽名驗證過程與應用程序要求參考文獻與相關法律法規及國家有關規定、國內外相關標準的關系本標準符合現有法律法規。本標準依據《中華人民共和國電子簽名法》規定的可靠電子簽名應符合的條件，基于公鑰基礎設施的具體技術實現，結合我國對密碼技術和產品以及電子認證服務業的監管規定編制。本標準結合我國現有電子簽名相關技術標準，在此基礎上，提出可靠電子簽名應滿足的技術要求。本標準依據GB/T1.1-2009規定編制。本標準中涉及的電子簽名，采用GB/T25064-2010《信息安全技術公鑰基礎設施電子簽名格式規范》規定的格式；本標準中涉及的簽名屬性，采用GB/T25065-2010《信息安全技術公鑰基礎設施簽名生成應用程序的安全要求》中的規定；本標準中對時間戳服務的安全要求，采用GB/T20520-2006《信息安全技術公鑰基礎設施時間戳規范》中的相關規定。標準編制過程中，還參考了下列國內外相關標準：GB/T16264.8-2005信息技術開放系統互聯目錄第8部分：公鑰和屬性證書框架.GB/T19771-2005信息技術安全技術公鑰基礎設施PKI組件最小互操作規范.GB/T20271-2006信息安全技術信息系統通用安全技術要求.GB/T25069-2010信息安全技術術語.ETSITS101456Policyrequirementsforcertificationauthoritiesissuingqualifiedcertificates（發放合格證書的證書認證機構策略要求）.ETSITS101733CMSAdvancedElectronicSignatures(CAdES)（CMS高級電子簽名）.CWA14170-2004Securityrequirementsforsignaturecreationapplications（簽名生成應用程序安全需求）.CWA14171-2004Generalguidelinesforelectronicsignatureverification（電子簽名驗證通用指南）.EN14890-1,ApplicationInterfaceforsmartcardsusedasSecureSignatureCreationDevices-Part1:Basicservices（作為安全簽名生成設備的智能卡應用接口-第一部分：基本服務）.ETSITS102280,X.509V.3CertificateProfileforCertificatesIssuedtoNaturalPersons（自然人證書輪廓）.CWA14167-1,2004,SecurityRequirementsforTrustworthySystemsManagingCertificatesforElectronicSignatures-Part1:SystemSecurityRequirements（管理電子簽名證書的可信系統安全要求-第1部分：系統安全要求）.有關問題的說明編制組在標準編制過程中，進行了內部討論、專家論證評審等過程。編制組對國內外現狀做了大量調研，完成了標準草案編制工作。在整個過程中，編制組遵循編制原則，對專家提出的意見和建議做出認真的應答和處理，不斷對標準草案進行完善。本標準