数字签名与电子认证.ppt

第4章 数字签名与电子认证本章提要：本章详细介绍数字签名与电子认证，首先要了解传统签名的法律内涵与性质，数字签名的技术环境，深入理解电子认证的法律意义以及电子认证的分类与作用。要求掌握数字签名过程与规则，了解数字签名的特点、制作与核证过程、数字签名应用步骤，以及各方当事人的基本行为规范。要重点掌握电子签名的法律要求，如电子签名的基本要求、法定标准、法律效力和电子签名的使用及其效果。充分认识认证机构与数字证书，对认证机构的设立、管理、证书业务规范、信用规范都要熟悉。最后重点掌握电子认证活动中的法律问题，如认证机构与当事人间的法律关系、认证机构的风险及其法律责任。电子签名与电子认证概述电子签名与电子认证概述4.1 数字签名过程与规则数字签名过程与规则4.2 电子签名的法律要求电子签名的法律要求4.3 认证机构与数字证书认证机构与数字证书4.4 电子认证活动中的法律问题电子认证活动中的法律问题4.5 本章小结本章小结4.6 本章小结本章小结4.74.1电子签名与电子认证概述4.1.1传统签名的法律内涵与性质1传统签名的概念传统签名，是与书面形式紧密联系的一个概念。各国的法律或相关辞典等对之都有相应的解释。2传统签名的法律内涵与性质（1）传统签名的法律内涵尽管上述“签名”的定义各有不同，但就传统签名的内涵来看，还是比较一致的，即签名是特定人手写自己的名字，以此表明其受书面内容约束的意愿。因此，“签名”应包含三个重要方面的内容。正确的名字。书面形式。本人亲手书写。“签名”在法律意义上来说，是一种行为，而非事件。“签名”首先是一种证明行为，表明物品、行为和意思的归属或同意；其次是特定法律行为的构成要素，当法律规定或当事人约定以“签名”作为法律行为生效要件时，“签名”就成为该法律行为的决定因素之一。由此，“签名”具有多种法律功能。正如联合国国际贸易法委员会在拟定电子商务示范法的过程中，指出“签名”的下述功能。确定一个人的身份。肯定是该人自己的签名。使该人与文件内容发生关系。（2）传统签名的性质传统签名具有“身份性、承认性、法律性、制约性”的特性。身份性。作为签署文件的身份证明，把自己与所签署的文件相关联，例如遗嘱。承认性。证实签名之人同意了文件的内容。法律性。签署人意图说明此文件具有法律效力并且可充当签名的证据。制约性。签署之后，签署人明确其签署行为，并在文件规定的范围之内行事。由此，收到含有签名的文件的接收方可以确认相对方已证实了文件的内容；接收方还可以证实签署人的身份；他们收到了有关文件来源和内容的证据。从法律的角度来看，传统签字主要起着认证的作用，即确认该合同或文件是真实的（asgenuine），并赋予其法律效力（legalvalidity）、可靠性（credibility）、可接受性（acceptability）。而且由于书面文件的耐久性及手书签字的独特性等特征，在传统的法律制度中，签字为一种最主要也是最有效的认证手段。因此，世界上许多国家的法律在很多的情况下都要求多数合同、文件或单据在符合书面形式的要求后，还必须有当事人的签字。4.1.2数字签名的技术环境1数字签名的概念数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名，来代替书写签名和印章。这种电子式的签名还可进行技术验证，其验证的准确度是手工签名和图章的验证无法比拟的。数字签名在ISO7498-2标准中定义为：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造。”它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。美国电子签名标准对数字签名作了如下解释：“利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性。”2公钥密码技术实现数字签名的技术有很多，基于公钥密码体制和私钥密码体制都可以获得数字签名。目前数字签名采用较多的是公钥加密技术。1994年美国标准与技术协会公布了数字签名标准而使公钥加密技术广泛应用。公钥加密系统采用的是非对称加密算法。公钥证书和私钥是用加密文件存放在证书介质中。证书是由认证服务机构CA所签发的权威电子文档，CA与数字证书等是公钥基础设施PKI的主要组成机构和元素。3PKI技术PKI是一个利用非对称密码算法（即公开密钥算法）原理和技术实现的，并提供网络安全服务的，具有通用性的安全基础设施。它遵循标准的公钥加密技术，为电子商务、电子政务、网上银行和网上证券业提供一整套安全保证的基础平台。用户利用PKI基础平台所提供的安全服务，能在网上实现安全地通信。PKI这种遵循标准的密钥管理平台，能够为所有网上应用，透明地提供加解密和数字签名等安全服务所需要的密钥和证书管理。PKI是硬件、软件、策略和人组成的系统。PKI的核心执行机构是电子认证服务提供者，即通称为认证机构CA（CertificateAuthority）。4.1.3电子认证的法律意义 电子认证是电子商务安全运行的重要条件之一，也是牵涉到电子商务能否广泛开展的关键环节。目前世界各国和地区都在探讨适合本国、本地区的电子认证体系与模式。我国也不例外，一些行业、企业已将电子商务认证系统的研究、开发，列入了自身发展战略之中，有的已经进入了试运行阶段。电子认证是以特定的认证机构对电子签名及其签署者的真实性进行验证的具有法律意义上的服务。4.1.4电子认证的分类与作用1电子认证的分类（1）按照认证主体分类双方认证。第三方认证。（2）按照电子认证的功能和对象分类站点认证。电子意思表示认证。身份认证。2电子认证的作用电于认证作为一种在线服务，其作用主要有两点：一是防止欺诈，二是防止否认。（1）防止欺诈。（2）防止否认。4.2数字签名过程与规则4.2.1数字签名的特点数字签名的特点是和传统签名相比较来看的。签名本质上是一种认证手段或程序。传统签名随着科技发展，将被新的认证手段和程序代替，这是历史的必然。因为，传统签名的局限性十分明显。1传统签名的特点（1）传统签名必须以纸面为载体，因此无论是书写还是传送，都比电子通信媒介的成本要高得多，而且也不如电子通信方式方便和快捷。（2）传统签名必须由签名人亲笔书写，这一点虽然对于法律行为的发生具有证据法上的意义，但从商业交易的数量与频率上来看，由于受签名人的精力、时间及其行动空间的约束，因此传统的签名不适合于大规模的交易行为的进行。（3）维护传统签名的成本高。一方面对传统签名的仿冒成本低，不需要很高的技术和成本，因此存在很大的仿冒可能性；而另一方面，对仿冒签名的鉴定却需要专业的技术和人员，并且准确性也并非万无一失。2数字签名的特点（1）签名行为的复杂性。（2）签名保存的电子化。（3）签名识别的间接化。（4）签名的多样性。（5）签名和文件的相关性。从数字签名的使用和功能看，也与传统签名不同。（1）从数字签名的使用来看，数字签名一般是通过在线签署的，是一种远距离的认证方式，它不能像传统签名一样，保证签名人亲临交易现场。（2）从数字签名的功能来看，它具有保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性等特点。4.2.2数字签名的制作与核证过程1基于对称密钥的数字签名的制作与核证传统的基于对称密钥的加/解密身份识别和签名方法，是指使用同一密钥进行加密和解密的方法。2基于非对称密钥的数字签名的制作与核证目前基于非对称密钥的数字签名是建立在公共密钥体制基础上的，它是公用密钥加密技术的另一类应用。3数字签名的核证作用通过数字签名能够实现对原始报文的鉴别与核证。数字签名与书面文件签名有相同之处。采用数字签名，如果接收方对发送方数字签名验证成功，就可以对以下三个实质性的问题作出核证。（1）该报文确实是由签名者的发送方所发出的，报文来源于该发送者。因为，签署时电子签名数据由电子签名人所控制。（2）被签名的报文确实是经发送方签名后发送的，说明发送方用了自己的私钥做的签名并得到验证，达到不可否认的目的。（3）接收方收到的报文在传输中没有被篡改，保持了数据的完整性，因为，签署后对电子签名的任何改动都能够被发现。4.2.3数字签名应用步骤在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在数据电文的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。下面我们将讲述数字签名的具体应用步骤。1不要求对原文进行加密的数字签名步骤（1）身份认证单向认证是甲乙双方在网上通信时，甲只需要认证乙的身份即可。双向认证。（2）数字签名的步骤数字签名的步骤可以分为三个阶段：首先是生成被签名的电子文件（电子签名法中称数据电文），然后对电子文件用哈希算法做数字摘要，再对数字摘要用签名私钥做非对称加密，即做数字签名。之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装，形成签名结果发送给收方，等待收方验证。（3）数字签名的验证接收方收到数字签名的结果，其中包括数字签名、电子原文和发送方公钥，即待验证的数据。2要求对原文进行加密的数字签名步骤“数字信封”是由发送方将其对称密钥用接收方公钥加密后形成的，具体签名的步骤如下。（1）发方A将原文信息进行哈希运算，得一哈希值即数字摘要MD。（2）发方A用自己的私钥PVA，采用非对称RSA算法，对数字摘要MD进行加密，即得数字签名DS。（3）发方A用对称算法DES的对称密钥SK对原文信息、数字签名DS及发方A证书的公钥PBA采用对称算法加密，得加密信息E。（4）发方用收方B的公钥PBB，采用RSA算法对对称密钥SK加密，形成数字信封DE，就好像将对称密钥SK装到了一个用收方公钥加密的信封里。（5）发方A将加密信息E和数字信封DE一起发送给收方B。（6）收方B接受到数字信封DE后，首先用自己的私钥PVB解密数字信封，取出对称密钥SK。（7）收方B用对称密钥SK通过DES算法解密加密信息E，还原出原文信息、数字签名DS及发方A证书的公钥PBA。（8）收方B验证数字签名，先用发方A的公钥解密数字签名得数字摘要MD。（9）收方B同时将原文信息用同样的哈希运算，求得一个新的数字摘要MD。（10）将两个数字摘要MD和MD进行比较，验证原文是否被修改。如果二者相等，说明数据没有被篡改，是保密传输的，签名是真实的；否则拒绝该签名。4.2.4各方当事人的基本行为规范参与数字签名过程的各方当事人包括：签名人，验证服务提供商和签字依赖方。“电子签名人”是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人；“电子签名依赖方”是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人；“验证服务提供商”是指签发证书或可能提供与电子签字有关的其他服务的人。在数字签名的过程中，各方当事人都应当从法律和道德的角度，尽力保证数字签名过程正确、有效、合法地进行，承担各自的责任并且履行相应的义务，用法律和道德规范各自的行为。数字签名作为电子签名的一种，其签名过程中各方当事人的基本行为规范在联合国电子签字示范法和我国电子签名法中都有相关规定。1电子签字示范法中的规定（1）签字人的行为（2）认证服务提供人的行为（3）依赖方的行为2我国电子签名法中的规定我国电子签名法也对“电子签名人”和“电子认证服务提供者”作了相应规定。（1）签字人的行为（2）认证服务提供人的行为4.3电子签名的法律要求能够在电子文件中识别交易人身份，保证交易安全，起到与传统手写签字或盖章同等作用的技术手段，称之为电子签名。电子签名是与数据电信紧密联系的法律问题。由于传统签名有一定的局限性。第一，传统的签名必须以纸面为介质：第二，传统签名必须由个人亲笔书写；第三，传统签名存在着相当大的被仿冒的可能性，由于传统签字要求由签署者在文件上“手工签字”（manualsignature），然而，在互联网上，不可能存在签名或加盖公章等行为，人们也不可能通过电子数据传递亲笔签字，因此，为适应电子商务、电子政务、网上银行、网上证券等网上业务的飞速发展，必须要确立一种新的方法，以适应现实的需要。所以，作为替代的方法，电子签名这种电子技术便应运而生。4.3.1电子签名的基本要求1电子签名的概念有关电子签名的概念，一些国际组织、国家和地区的电子签名法都作了规定。我国自2005年4月1日起施行的电子签名法对电子签名的概念作了与联合国电子签名示范法很类似的规定：“电子签名是指数据电文中以电子形式所含、所附，用于识别签名人身份并表明签名人认可其中内容的数据。”其中所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。根据该法第2条的规定，电子签名的概念包含以下内容。（1）电子签名是以电子形式出现的数据。（2）电子签名是附着于数据电文的。电子签名可以是数据电文的一个组成部分，也可以是数据电文的连接，与数据电文具有某种逻辑关系、能够使数据电文与电子文件联系。（3）电子签名必须能够识别签名人身份，并表明签名人认可与电子签名相联系的数据电文的内容。电子签名具有多种形式，如：附着于电子文件的手写签名的数字化图像，包括采用生物笔迹辨别法所形成的图像；向收件人发出证实发送人身份的密码、计算机口令；采用特定生物技术识别工具，如指纹或是眼虹膜透视辨别法等。无论采用什么样的技术手段，只要符合本条规定的要件，就是本法所称的电子签名。2电子签名的基本要求目前在网上进行的很多交易都对数字签名提出了各种各样的要求，其中包括对信息安全、信息完整性、交易者身份的确认等要求，而电子签名正是具备了这些要求才能保证电子商务和电子政务能够顺利进行。有关电子签名的基本要求有以下几个方面。（1）保证签名文档的完整性及可鉴别性。（2）能确认当事人的身份。（3）发送者事后不能否认发送的报文签名。（4）接收者能够核实发送者发送的报文签名。（5）接收者不能伪造发送者的报文签名。（6）接收者不能对发送者的报文进行部分篡改。（7）网络中的某一用户不能冒充另一用户作为发送者或接收者。（8）保证双方传递信息的真实性。4.3.2电子签名的法定标准1“电子签名”法定标准的制定联合国电子签名概念的起草主要考虑了下面三个问题。（1）概念的广泛性。（2）不偏重任何技术的原则。（3）电子签名的实质。电子签名法在“电子签名的法律效力；电子签名行为；电子签名的安全保障”等方面都给出了相关标准。2电子签名的一般法定标准由于电子签名的方法有多种形式，不同公司推出的技术标准也有所差异，因此要在法律上确定一个基本标准要求，凡达到该标准的电子签字均是有法律效力的。电子签字的目的是要达到传统书面签字的基本功能，以纸张为基础的传统签字主要是为了履行下述功能。（1）确定一个人的身份。（2）肯定是该人自己的签字。（3）使该人与文件内容发生关系。从总体上说，如果电子签字既能表明签字人与信息内容的联系性，而且与纸面签字同样可靠，功能等同，就算达到了要求。联合国电子商务示范法确定了在何种情况下数据电文可视为经过了具有足够可信度的核证，而且可以生效执行，视之达到了签字要求。3可靠电子签名的法定标准签名的根本目的在于证明当事人的身份，证明信息的真实、完整。技术的发展基本上已经使电子签名符合法律关于可靠电子签名的要求。只要一种签名技术采用了某种可靠的方法来证实当事人的身份，证明当事人同意信息中包含的内容，并且信息在传递过程中是可靠的，那么这种签名技术就符合法律关于可靠电子签名的标准要求。我国电子签名法规定了可靠电子签名的标准。4.3.3电子签名的法律效力电子签名的法律效力问题，是电子签名法要解决的首要问题。电子签名、数据电文虽然以电子形式出现而与手写签名、书面文件不同，但是法律不应仅因为这一点而不承认其法律效力。只要符合法律规定的标准、条件，电子签名、数据电文与手写签名、书面文件具有同等的法律效力。因此，有关国际组织、国家和地区的电子商务法或电子签名法一般都对电子签名、数据电文的法律效力问题作出规定，要求不得以其采用电子形式而加以歧视。我国电子签名法第3条明确规定：“民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。”4.3.4电子签名的使用及其效果2005年4月1日，被称为“中国首部真正意义上的信息化法律”的电子签名法正式实施，自此，电子签名与传统手写签名和盖章具有同等的法律效力。虽然舆论普遍认为电子签名法将会极大地促进电子商务在我国的快速发展，但在网络交易安全、相关法律衔接等“拦路虎”面前，有关专家认为，现阶段电子签名法的标志意义大于实际意义。1电子签名的使用电子签名可以广泛地使用在电子商务和电子政务等各种社会活动中，但是否使用“电子签名”，遵循当事人“意思自治”原则。2电子签名的使用效果电子签名改变了我们的生活，更有力地给电子商务活动带来了生机和活力，电子签名法实施以后，我们的工作和生活将会越来越容易摆脱纸质文档的束缚，而一些可以预见的改变也即将发生。首先，电子签名的最大好处就是操作方便。其次，还有一个很大的好处就是降低成本。最后，电子签名的使用效果还不令人满意。4.4认证机构与数字证书4.4.1认证机构的设立1认证机构的概念、特点在电子商务交易中，无论是数字时间戳服务还是数字证书的发放，都不是靠交易的双方自己来完成的，而需要有一个具有权威性、公正性和可信任性的第三方机构，即认证机构来完成。认证机构（CertificateAuthority），英文缩写为CA，在业界通常把它称为认证中心，就是承担安全电子交易认证服务，并能确认用户身份的服务机构。在电子商务系统中，所有实体的证书都是由认证机构CA分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的电子商务认证体系。电子认证机构应该有三个明显的特点：权威性、可信任性和公正性。2认证机构的设立电子认证服务机构的设立需要具有符合安全标准的技术和设备及一定的专业技术人员。我国对电子认证服务机构实行许可制度，从事电子认证服务业务须经过国家信息产业主管部门的批准。（1）设立的条件（2）设立的程序4.4.2认证机构的管理我国电子签名法对电子认证机构采用了政府主导的管理模式，认证机构的管理包括内部管理和外部管理两部分。1认证机构的外部管理外部管理主要是有关主管部门对认证机构的管理。电子签名法第二十五条规定：国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。外部管理包括下列各项。（1）审批监督（2）审计监督（3）业务监管2认证机构的内部管理内部管理是认证机构对其自身的管理。认证机构的自身管理主要是指认证机构对其用户证书、认证服务和登记者等方面的管理。（1）认证证书的管理（2）认证服务的管理（3）认证机构对登记者的管理此外，电子认证服务机构还负有如下义务。电子认证服务机构在受理证书申请时履行信息披露的义务。电子认证服务机构对有关数据的保密义务。电子认证服务机构在合理期间内保存与证书有关信息的义务。电子认证服务机构因过错给电子签名人或者电子签名依赖方造成损失承担赔偿责任。电子认证服务机构在中止或终止服务时的通知义务和业务承接安排义务。4.4.3认证机构的证书业务规范1证书的概念（1）什么是数字证书数字证书简称证书，是PKI的核心元素，由认证机构服务者签发，它是数字签名的技术基础保障；符合X.509标准，是网上实体身份的证明，证明某一实体的身份以及其公钥的合法性，及该实体与公钥二者之间的匹配关系。证书是公钥的载体，证书上的公钥唯一与实体身份相绑定。（2）证书的主要内容证书的主要内容，包括：证书版本号、证书序列号、用于对证书进行签名的算法标识、签发证书的CA机构的名字、签发证书的CA机构的唯一标识符、用户的名字、用户的唯一标识、用户的公钥、证书的有效期等。（3）数字证书的种类按照数字证书应用对象的不同，数字证书可以分为持卡人证书和商家证书。按照数字证书应用对象的不同，也可以将其分为个人用户证书、企业用户证书、服务器证书及代码证书；或分为发卡机构证书、银行证书和支付网关证书等。2证书的申请在认证机构向用户颁发证书之前，用户须向认证机构进行登记，该登记一般是通过填写和提交证书申请表来完成的。登记涉及用户与认证机构之间的关系的确立，并将用户的基本信息在认证机构进行登载。（1）个人数字证书的申请与验证（2）企业数字证书的申请与验证3证书的颁发在颁发认证证书之前，认证机构应当查清持有与证书中登载的公钥密码相对的私人密码的持有人、设施或实体的身份情况。一般说来，认证机构或其所委托的其他实体，必须对申请人或设施或实体的显著特征进行辨认识别。认证机构只有在符合所有规定条件时，才可向用户颁发证书。4证书的接受接受证书是指证书申请人了解证书的内容后，同意使用证书的行为。当证书用户接受证书以后，认证机构应及时将此情形予以公布。通过公布认证证书的方式，实际上是向外界表明用户已经接受证书这一事实。5证书的保存数字证书有一定的有效期限，多数认证机构规定数字证书的有效期为一年，期满经申请续费后可延长。但是，不论证书期限是否届满，有关证书的资料，如申请资料、证书等必须在一定的期限内保存。6证书的撤销当证书签发以后，一般说来，期望在整个有效期内都有效。但是，在有些情况下，用户必须在有效期届满之前，停止对证书的信赖。这些情况包括用户的身份变化，用户的密钥遭到破坏，非法使用等情况，此时，认证机构就应撤销原有的证书。由于存在证书撤销的可能，因此，证书的应用期限，通常比预计的有效期限要短。证书撤销的事由主要有：（1）证书关系主体资格方面；（2）证书记载方面；（3）证书技术基础发生变化；（4）有关主体的行为；（5）有关主管机构的命令等。（2）联合国贸法会的规定7证书的中止中止证书，即是使某一证书停止继续产生效力，但并非永久性地撤销该证书，而只是临时地使之在某段时间内不具有有效性。由于使认证证书停止生效，对于任何信赖证书内容的相对方来说，会产生不利影响。因此，它只是在特殊情形下使用的特别措施。4.4.4认证机构的信用规范在我国，企业本身的信誉相对较弱，重营利性而无权威性。市场发育也不够成熟，缺乏健全的监督体系。在这种情况下，由国家组建或授权的机构承担认证机构可以发挥政府的权威性。政府成立的认证机构向电子商务主体提供认证信用服务，收取认证费用既符合公正性的要求，使认证机构的中立性、公正性、权威性得以顺利实现，同时也可用政府的信用弥补市场主体信用的缺失。1认证实质是一种信用服务2认证机构的可信赖性（1）可信赖系统的含义（2）可信赖系统的标准4.5电子认证活动中的法律问题4.5.1认证机构与当事人之间的法律关系在开放型的电子商务环境下，电子认证机构一般是以中立的、可靠的第三方当事人出现，为交易双方或多方提供服务的。因而，在认证法律关系中至少有买卖双方，以及认证机构参与。换言之，认证法律关系一般涉及三方当事人。在有些复杂的交易或服务关系中，交易当事人可能会更多些。譬如，在以信用卡在线电子支付的交易中，即以安全电子交易协议（SET）进行的交易中，认证机构不仅要向买卖双方提供身份认证，而且还要对发卡银行、收付机构四方当事人之间提供认证服务。因此，围绕认证证书这个核心至少形成了以下2种法律关系：（1）认证机构与证书持有人之间的关系；（2）认证机构与证书信赖人之间的关系。1认证机构与证书持有者之间的法律关系认证机构与证书持有人围绕着电子证书发生各种法律关系，认证机构提供证书服务，目的是表明证书持有人身份信息的真实性，让其他网络主体相信自己，同时，他也可以了解其他证书持有人的真实身份。这是建立网络商事关系的前提。认证机构与证书持有人之间的合同是认证服务合同。它除了具有合同的一般法律特点，如双务、有偿等特征之外，它还具有最大诚信、诺成的特点，同时它属于无名合同。（1）最大诚信。（2）诺成。（3）无名合同。2认证机构与证书信赖者之间的法律关系所谓证书信赖人是指由于相信认证证书的记载而相信证书持有人的身份真实，从而与之进行商事交易的人。在开放的网络环境中，认证机构与证书信赖者之间的法律关系呈现为多种形态，其具体情况要以电子商务交易当事人与认证机构的关系而定，大致有以下几种。（1）社区认证服务型（2）单方证书用户型（3）交叉认证关系（4）混合认证关系4.5.2认证机构的风险认证机构是颁发电子签名证书的实体，是防御电子交易风险的产物。但由于认证机构本身也存在一定的缺陷，从而使其本身也处在风险之中。主要包括下列两种风险。（1）来自认证机构外部的风险。（2）来自认证机构内部的风险。1技术与管理过失风险（1）记录的丢失（2）证书政策的缺陷（3）不合理的证书中止与撤销（4）软件的瑕疵（5）证书机构周期性的服务修整2故意行为的风险（1）内部人员虚假证书涂改记录（2）外部攻击3长期证书风险4认证机构的失败风险（1）技术上的失败（2）业务上的失败5认证机构风险的防范4.5.3认证机构的法律责任电子认证机构作为为电子签名使用者提供认证服务的第三方认证机构，以自己的名义从事数字证书服务，以其自有财产提供担保，并承担一定的责任。认证机构如同现实生活中的公证机关、律师事务所、保险评估机构等第三方机构一样，面临着因自己错误出证而造成的侵权或违约的法律风险。这就需要的法律对认证机构的责任作出明确的规定。1我国电子签名法的规定就电子认证机构这一电子签名领域的安全保障机构而言，科学合理的民事责任机制无疑是保证这一新型第三方机构稳健发展的前提。为此，电子签名法首次以法律的形式对电子认证机构的法律责任问题作出明确规定。2美国的相关立法规定犹他州的电子签名法确定了认证机构必须通过可靠的系统提供服务。3新加坡电子交易法的规定4欧盟的相关立法本章小结本章就电子签名与电子认证的主要内容进行了讲述。首先，我们对电子签名与电子认证作了概述，说明了传统签名的法律内涵与性质；数字签名的技术环境；电子认证的分类、作用及其法律意义。其次，论述了数字签名过程与规则，内容包括：数字签名的特点、制作与核证过程，以及数字签名的应用步骤和签名过程中各方当事人的基本行为规范。接着，讲述了电子签名的法律要求，包括：电子签名的基本要求、法定标准、法律效力，以及电子签名的使用及其效果。第四，就认证机构与数字证书的问题进行了讲解，主要介绍了认证机构的设立、管理，以及认证机构的证书业务规范和信用规范。最后，讲述了电子认证活动中的法律问题，包括：认证机构与当事人间的法律关系、认证机构的风险及其法律责任。同时还给出了一个案例。本章案例手机短信成借款证据