數位簽章是如何被驗證的？

在一個日益數位化的時代，文件越來越多地透過網路交換，因此確保其真實性與完整性變得至關重要。數位簽章作為一種安全且受到法律認可的電子文件驗證方式，扮演著重要的角色。但我們又如何判斷一個數位簽章是否有效呢？本文將深入探討數位簽章的驗證過程，特別關注本地法律術語如何塑造這一驗證機制。

什麼是數位簽章？

數位簽章是一種密碼學技術，用於驗證數位訊息或文件的真實性。它的作用類似於手寫簽名或印鑑，但安全性更高。數位簽章依賴於公開金鑰基礎建設（PKI），這是一種管理公鑰與私鑰產生、分發與驗證的架構。

數位簽章驗證涉及的組件

了解驗證過程，首先需要掌握以下核心組成部分：

1. 傳送方（簽署人）： 使用私鑰對文件進行簽署的個人或實體。
2. 接收方（驗證者）： 接收文件並驗證數位簽章有效性的人或系統。
3. 憑證授權中心（CA）： 一個受信任的第三方，負責發行數位憑證並確認簽署人的身分。
4. 數位憑證： 由CA簽發，將簽署人的身分與其簽章綁定在一起的檔案。
5. 公鑰與私鑰： 每位簽署人擁有一對密鑰，私鑰用於簽署（保密），公鑰用於驗證（公開）。

數位簽章的驗證步驟

驗證數位簽章是一個多步驟的程序，旨在確保簽署人身分的真實性、文件內容的完整性以及簽章在當地法律體系下的有效性。以下是主要步驟：

第一步：取得數位簽章與公鑰

收到含簽章的文件後，接收方首先提取簽章與相關的數位憑證。該憑證包含公鑰，是驗證過程的關鍵。

第二步：對原始文件進行雜湊處理

驗證者使用與簽署人相同的雜湊演算法（例如 SHA-256）計算接收到文件的雜湊值，目的是與簽署人加密的雜湊值進行比對。

第三步：解密簽章中的雜湊值

隨後，驗證者使用簽署人的公鑰對簽章中加密的雜湊值進行解密。若解密後的雜湊值與剛才計算的雜湊值一致，則可確認簽章有效。

第四步：確認憑證有效性

在信任簽章之前，驗證者必須檢查簽署人的數位憑證是否有效，包括：

• 憑證是否由受信任的CA簽發；
• 憑證是否在有效期限內，且未被註銷；
• 憑證中的使用者身分是否與簽署人一致。

第五步：考量本地法律因素

許多國家/地區的法律對於電子簽章的定義與可執行性有具體要求。例如，美國要求數位簽名符合《全球與國家商業電子簽名法》（E-SIGN Act）與《統一電子交易法》（UETA）的規定；歐盟則依據 eIDAS 規章將簽章分為三類：普通、增強型與合格電子簽章，每種類別具備不同的法律效力。

因此，在此階段，本地術語與法規成為判斷簽章是否具備法律效力的關鍵因素。

數位簽章驗證與本地法律架構

了解本地法律對數位簽章驗證的影響，對個人與企業都至關重要。不同法域採用不同術語與合規標準來界定簽章的法律效力：

美國

依據 E-SIGN Act 與 UETA，只要符合下列條件，數位簽章即具有與手寫簽名相同的法律效力：

• 雙方須同意以電子方式進行交易；
• 簽章必須能夠與簽署人關聯並具備可驗證性；
• 簽署後的文件若有遭篡改，應能被發現。

歐盟

eIDAS 規章規定：

• 普通電子簽章（SES）： 如輸入的姓名或掃描的簽名，僅具基本形式；
• 增強型電子簽章（AES）： 必須能夠唯一識別並綁定簽署人，可偵測後續異動；
• 合格電子簽章（QES）： 具最高法律效力，與手寫簽名等同，須使用合格設備，並由受信服務提供者所簽發。

對QES的驗證須透過各國監管機構核查其合格憑證。

亞太地區

新加坡、香港、澳洲等國家/地區已制定在地標準。例如，新加坡《電子交易法》要求數位簽章「可靠」且具備受認可憑證機構支持；澳洲《1999年電子交易法》規定，電子簽章須與身分連結且表達明確同意。

台灣

台灣的《電子簽章法》區分「電子簽章」與「數位簽章」，後者需使用由許可認證服務機構（CSP）簽發的安全憑證。若要使數位簽章具備法律效力，必須符合相關密碼學協定標準，並可透過數位發展部所認定之工具進行驗證。

簽章驗證工具背後的技術

目前大多數數位簽章驗證是透過專業軟體平台完成的，例如 Adobe Acrobat、DocuSign、eSignGlobal 等。這些平台會自動執行上述各項程序：

• 取得內嵌的數位憑證；
• 向CA驗證憑證的真實性；
• 檢查文件完整性；
• 標示已被註銷或過期的憑證。

部分進階平台甚至能整合法律地理識別功能，自動提示所使用的簽章是否符合當地法律要求。

常見問題解答（FAQs）

Q1：數位簽章會被偽造嗎？
雖然沒有任何系統是絕對安全的，但使用強加密演算法與基於憑證的數位簽章要被偽造極為困難。專屬的密鑰對機制可確保簽章真實性。

Q2：掃描的手寫簽名圖片等同於數位簽章嗎？
不是。掃描圖像僅屬於「普通電子簽章（SES）」，不具備數位簽章所具備的加密驗證與安全機制。

Q3：所有數位簽章都具備法律效力嗎？
是否具備法律效力須依據本地法律判定，並取決於簽章是否符合技術及程序要求。並非所有電子簽章都具備法律拘束力。

Q4：數位簽章的有效期有多久？
數位簽章的有效性通常取決於相關憑證的有效期限。憑證一般有效期為1至3年，到期後需更新。

結論

數位簽章的驗證結合了密碼學技術與法律合規性。它不僅檢查資料的完整性、確認簽署人身分，也需確保符合法規要求。在數位文件日益取代紙本交易的背景下，了解簽章驗證的機制與法律基礎，對個人、企業及法律從業者日益重要。

無論是簽署商業合約、提交稅務文件，還是授權銀行交易，認識您的數位簽章如何被驗證，將為您在數位世界中帶來更多信心與法律保障。