电子签名术语库

精选词条

电子签名术语解释：Certificate Authority Certificate（CA 证书）

Certificate Authority Certificate（CA 证书）是由受信任的证书颁发机构（Certificate Authority, CA）签发的数字凭证，用于证明某一实体（个人、企业、服务器、域名或设备）所持公钥的真实性。它是公钥基础设施（PKI）的信任核心，通过身份验证、公钥绑定、证书链验证以及吊销检查，确保数据传输与电子签署过程具备真实性、完整性与不可抵赖性。在电子签名生态中，CA 证书不仅为签署者提供可被法律采信的身份凭证，还支撑文档防篡改、跨平台验证、长期存证（LTV）和自动化

certificates-trust

电子签名术语解释：PAdES (PDF Advanced Electronic Signatures)

PAdES 是专为 PDF 打造的高级电子签名标准，通过嵌入证书链、时间戳与验证数据实现长期验证（LTV）能力，使签署文件在多年后仍具备法律效力，不依赖外部系统。其 Basic、T、LT、LTA 四级体系逐步增强合规性与归档能力，已广泛应用于金融、政府及跨国合同场景，成为 PDF 文档长期可信的核心标准。

documents-formats

词条解释

公钥密码标准 (PKCS)

公钥密码学标准 (PKCS) 构成了在公钥基础设施 (PKI) 中实现安全密码机制的基础规范套件。最初由 RSA Laboratories 开发，这些标准概述了密钥生成、加密、数字签名和证书管理的协议，确保系统间的互操作性。PKCS 通过在 RFC 中的标准化与更广泛的密码架构保持一致（例如，PKCS#7 在 RFC 5652 中用于 CMS，PKCS#10 在 RFC 2986 中用于 CSR），ISO/IEC 11889 用于可信平台模块，以及 ETSI EN 319 412 用于电子签名，促进了稳健

数字入职合规

数字入职合规确保电子身份验证和协议流程遵守强大的加密框架，从而实现安全且具有法律约束力的数字互动。其核心架构利用标准，如RFC 5280用于X.509证书配置文件、ISO/IEC 19790用于加密模块安全，以及ETSI EN 319 412用于合格电子签名创建和验证。这些协议在可信公钥基础设施（PKI）中促进密钥生成、证书颁发和吊销，支持如CAdES和XAdES等高级签名格式以实现互操作性。为了长期法律有效性，合规性整合了符合RFC 3161和ETSI EN 319 421的时间戳权威（TSA），保

数字合同中的数据完整性

数字合同中的数据完整性对于确保电子形式协议的真实性和不可变性至关重要。利用公钥基础设施（PKI），加密架构采用数字签名和哈希机制来检测任何未经授权的修改。诸如RFC 5280用于证书管理、ISO/IEC 32000用于PDF高级电子签名（PAdES）以及ETSI EN 319 122用于电子签名格式的标准提供了坚固的框架，通过非对称加密和信任链验证实现可验证的完整性。为了长期法律有效性，这些机制融入了符合RFC 3161的时间戳权威（TSAs），通过长期验证（LTV）配置文件确保签名在证书过期后仍保持

密码学时间戳

加密时间戳是公钥基础设施 (PKI) 的基础元素，它将可验证的时间证据嵌入数字工件中，确保其时间完整性。在架构上，它依赖于可信第三方时间戳颁发机构 (TSAs)，这些机构生成令牌，其中封装了文档的哈希、颁发时间以及来自认证时钟源的数字签名。关键标准包括 RFC 3161，它定义了时间戳协议 (TSP) 用于安全的请求-响应交换；ISO/IEC 18033 用于底层加密原语；以及 ETSI EN 319 421，它指定了在高级电子签名 (AdES) 格式如 CAdES 和 XAdES 中的时间戳，确保互操作

认证器保障水平 (AAL)

认证器保障水平 (AAL) 定义了公钥基础设施 (PKI) 系统中文本认证机制的稳健性，通过加密协议确保安全的身份验证。在加密架构中，AAL 与诸如 NIST SP 800-63（用于多因素认证）、RFC 6819（用于 OAuth 安全考虑）、ISO/IEC 24760（用于身份管理框架）和 ETSI EN 319 412（用于合格电子签名）等标准保持一致。这些标准规定了渐进式的保障水平——AAL1 用于基本单因素认证，AAL2 用于带有加密令牌的多因素认证，以及 AAL3 用于硬件绑定、防钓鱼认证器—

身份保障级别 (IAL)

身份保障水平 (IAL) 定义了在公钥基础设施 (PKI) 系统内验证用户身份的置信度，从基本 (IAL1) 到高 (IAL3) 保障水平。在密码架构中，IAL 与诸如 RFC 5280 用于 PKIX 证书配置文件等标准集成，确保强大的密钥管理和属性绑定；ISO/IEC 24760 用于身份管理框架；以及 ETSI EN 319 411 用于合格证书策略，这些策略要求采用硬件安全模块和多因素认证等高级密码控制，以防止身份伪造。对于长期法律有效性，更高的 IAL 通过符合 ETSI EN 319 12

基于云的数字签名

基于云的数字签名利用公钥基础设施（PKI）来实现电子文档的安全远程认证和不可否认性。其加密架构的核心是非对称加密，使用如RSA或ECDSA等算法进行密钥对生成和签名创建。这些实现遵守国际标准，包括RFC 3279用于算法标识符和CMS/PKCS#7配置文件，ISO/IEC 32000用于PDF高级电子签名（PAdES），以及ETSI EN 319 122系列用于CAdES格式，通过混合方案确保互操作性和针对量子威胁的鲁棒性。为了长期法律有效性，云签名整合符合RFC 3161的时间戳权威（TSAs），嵌

远程签名服务提供商 (RSSP)

远程签名服务提供商（RSSP）通过在受保护的环境（如硬件安全模块（HSM））中管理私钥，促进安全的远程数字签名，同时允许用户通过认证通道授权签名。从架构上讲，RSSP 遵守加密标准，包括用于合格电子签名的 ETSI EN 319 412、用于公钥机制的 ISO/IEC 14888，以及用于 PKI 中证书管理的 RFC 5280。这些标准确保使用 RSA 或 ECDSA 等算法结合 SHA-256 哈希的稳健密钥生成、签名操作和验证。为了长期法律有效性，RSSP 根据 ETSI TS 119 312

签名外观自定义

公钥基础设施 (PKI) 中的数字签名外观自定义功能允许数字签名的视觉表示，例如徽标、文本或图形元素，同时保持底层加密完整性。该功能符合 ETSI EN 319 122-1 等标准，用于 PDF 高级电子签名 (PAdES)，它扩展了 RFC 5652 中定义的加密消息语法 (CMS)，以及 ISO/IEC 32000 的 PDF 规范。这些标准确保自定义外观作为元数据嵌入，而不更改哈希文档内容或签名值，从而符合 ISO 32000-2 的长期验证要求。为了实现长期法律有效性，自定义功能支持带有嵌入式

视觉签名表示

公钥基础设施 (PKI) 中的视觉签名表示指的是在文档中图形化嵌入和渲染数字签名，确保可验证的完整性和真实性。在架构上，它利用加密标准，如 PDF 规范的 ISO 32000，该标准集成了根据 RFC 5652 的加密消息语法 (CMS) 用于签名封装。互补的 ETSI EN 319 122 系列标准定义了高级电子签名格式 (AdES)，包括 eIDAS 法规下合格签名的视觉元素，促进了可互操作的加密原语，如 X.509 证书和时间戳协议 (RFC 3161)。为了长期法律有效性，这种表示支持长期验证

属性证书（ACs）是公钥基础设施（PKI）的关键组成部分，它超越了传统的公钥证书，通过将可验证属性（如角色、清关或资格）绑定到实体，而不直接链接到公钥，从而扩展了功能。在架构上，ACs 利用非对称加密技术，采用受信任发行者的数字签名来确保完整性和真实性，通常以 X.509 扩展的形式结构化，并通过公钥证书引用来识别持有者。关键标准包括 RFC 5755，它定义了支持授权和访问控制的 ACs 的 Internet 配置文件；ISO/IEC 9594-8，概述了目录服务中属性证书管理的框架；以及 ETSI

密钥仪式（根密钥）

根密钥的密钥仪式代表公共密钥基础设施（PKI）架构中的一个关键过程，确保基础加密密钥对的安全生成和激活，该密钥对锚定信任链。在高度受控的环境中进行，涉及多方参与、防篡改硬件和经过审计的程序，它遵守诸如RFC 5280（Internet X.509 PKI Certificate and CRL Profile）、ISO/IEC 27001信息安全管理以及ETSI EN 319 401合格证书配置文件等标准。此仪式缓解密钥泄露风险，建立一个可验证的信任根，符合椭圆曲线加密（ECC）或RSA等加密原语。为

中间证书颁发机构

中间证书颁发机构（ICA）是公钥基础设施（PKI）层次结构中的关键组件，它连接根证书颁发机构（CA）和最终实体证书，从而提升可扩展性和风险隔离。在架构上，ICA 遵循 X.509 标准（ISO/IEC 9594-8），RFC 5280 定义了证书颁发、验证和吊销的加密配置文件，这些过程通过证书吊销列表（CRLs）或在线证书状态协议（OCSP）实现。ETSI EN 319 412 指定了合格证书的要求，确保使用 RSA 或 ECDSA 等算法进行强大的密钥生成、保护以及信任链验证。为了实现长期法律有效性

自签名证书（根）

自签名根证书作为公钥基础设施（PKI）中的基础信任锚点，其证书颁发者和主体相同，从而无需依赖外部认证机构。从密码学角度来看，它符合 ISO/IEC 9594-8 中定义的 X.509 标准，并在 PKIX 框架的 RFC 5280 中规定了配置文件，确保与 RSA 或 ECDSA 等非对称算法兼容，用于密钥生成和签名。ETSI EN 319 411-2 进一步概述了合格证书配置文件的实践，强调安全密钥对管理和算法强度，以通过后量子密码学过渡来缓解量子威胁等风险。关于长期法律有效性和身份保障，自签名根证

委托链（信任链）

### 信任链信任链（也称为信任链）构成了公钥基础设施（PKI）系统的核心支柱，它建立了一个从受信任的根证书颁发机构（CA）到最终实体证书的层次化数字证书序列。这种加密架构依赖于诸如RFC 5280用于X.509证书验证、ISO/IEC 9594-8用于PKI中的目录服务，以及ETSI EN 319 411用于合格证书配置文件等标准，通过非对称加密和吊销机制（如CRL或OCSP）确保互操作性和稳健的密钥管理。为了实现长期的法律效力和身份保障，信任链通过加密方式将身份绑定到公钥，从而强制执行不可否认

不可否认性（数字证据）

数字证据中的非否认性通过加密机制建立无可否认的行动证明，例如文档签名或交易批准，这些机制将发起人的身份与内容绑定。其核心依赖于采用非对称加密的公钥基础设施（PKI）架构，包括使用RSA或ECDSA等算法生成的数字签名，并结合哈希（如SHA-256）来确保完整性和真实性。标准支撑这一框架：RFC 5652 定义了用于封装数据和签名的加密消息语法（CMS）；ISO/IEC 32000 指定了PDF高级电子签名（PAdES），用于长期验证；ETSI EN 319 122系列概述了扩展验证程序，包括时间戳和证

认证实践声明 (CPS)

认证实践声明（CPS）是一份全面文件，概述了公钥基础设施（PKI）认证机构（CA）的运营政策和程序，确保强大的加密安全性和合规性。在加密架构方面，CPS 详细说明了遵守诸如 RFC 3647（证书政策）、ISO/IEC 9594-8（X.509 证书框架）和 ETSI EN 319 412（合格证书配置文件）等标准，指定了密钥生成算法（如 RSA 或 ECDSA）、哈希算法（如 SHA-256 或更高版本），以及密钥长度超过 2048 位，以缓解量子威胁。对于长期法律有效性和身份保障，CPS 要求严格

证书政策 (CP)

证书策略 (CP) 是公钥基础设施 (PKI) 中的基础治理文档，定义了颁发和管理数字证书的操作、安全和保障要求。它与加密架构标准一致，融入了 RFC 3647 用于结构化政策制定、ISO/IEC 9594-8 用于目录服务集成，以及 ETSI EN 319 412 用于合格证书配置文件，确保强大的密钥生成、算法使用（例如，RSA/ECDSA 与 SHA-256+）以及生命周期管理，以缓解加密风险。为了长期法律有效性，CP 根据 ETSI EN 319 411 建立身份保障水平，支持符合 eIDAS