数字式签名法令电子商务未认可

当电子签字在全球与国内贸易的应用法令开始生效时，人们很容易设想：这一下道路已经扫清，电子商务可以不受阻碍地发展了。然而，这项新法令仅仅承认电子签字的合法性，却并未规定电子签字应该使用那一种技术。与所有这些乐观情绪相反，一个不可忽视的事实是：直到今天，在互联网上能够被正确识别、可以被大多数人所接受，并广为使用的技术，还尚未成熟。

在人类长期的历史上，为了防止正当的交易被否认，使用签字和证据，曾经是一条成功的经验。现在，为了进行电子交易，无法在纸上使用亲笔的签字，或者提供其它眼见的证物；必须能够让人确信，提出定单的个人，可以证明是确实的，可以追踪的，并且是完全有权提出该项定单的。然而，当电子商务进行时，如何能够确认，买主不能否认他或她曾经进行过该项交易，并且应该为该项交易的付款负全部的责任呢？

在一项在线交易进行过程中，只有人们的物质特征，例如指纹这样无法改变的部分，才能够确实表明一个人的身份。而数字式的“签字”或“识别标志”，只不过仅仅证明我们掌握了什么，或者知道了什么。

数字式签字只是一种电子的编码，证明一个人掌握有一种加密了的，归个人所有的“钥匙”。数字式的证明，是由第三方认证机构在验明一个人的背景以后发出的。

用来防止盗窃分子或骗子欺骗的，仅仅是一个个人的证明编号PIN(Personal Identification Number），或者一个口令；用它可以取得一个个人的密钥。电子商务的交易人，可以使用数字式证明，在相当高的准确程度上来证明，某人是掌握了这个密钥的人，但是并不能证明他就是经常使用这个密钥的那一个人。

PIN和口令的缺点是可能丢失，或被破译；以至于个人的身份证明有可能被别人盗用。曾经流行一时的“I love you”病毒，就是一个令人震惊的例子，可以说明口令的不安全性。它通过下载一个程序，把受害者的口令加以复制，然后传送到远处的另一台计算机。数字式的安全证明很可能被泄露。有时用户为了简单方便，所确定的口令也很容易被解密。

为了保证互联网业务的安全，使用智能卡和软件标识符，比使用口令和PIN更安全一些。但是智能卡可能被偷，也可能被借用，并不能保证真正的身份无误。

总而言之，如果安全系统立足于口令、PIN，或智能卡，那么不论它采用什么先进的或精巧的技术，都不能保证在另一端参与交易的人，就是他所声称的人。这是整个交易链中最为薄弱的环节，决定了整个系统的安全程度。如果一个人的口令或PIN已经泄露了，谁还能够放心，将某一项交易委托给他？

没有人能够宣称他或她的技术绝对安全可靠。然而，有一种形式的证明技术，可以成为当前防止拒绝承认的好方式。这种方法，是在传统司法机关，长期以来书记员一直要求使用的、在法律上认可的一种证明方法，即在合同上签字并盖手印的方法。生物特征鉴定技术，例如指纹、手印、声音识别，以及视网膜认证等方法，正在越来越多地被采用，作为一种大有希望的电子证明手段。它可以肯定人们所声称的身份，并且具有法律上的不可拒绝特点。

生物特征鉴定证明技术所证明的特征，不可能丢失，不可能被偷盗，也不可能在办公地点被人代用。由于指纹等特征表示的是你的真实身份，说明了你是谁，因此在电子交易的双方建立了更高等级的保证，证实了他们所说的身份是确实的，这样就形成了不可否认的关系。

生物鉴定技术有效且方便易行，可以和其它数字式证明和智能卡等方法一起使用，来为个人交易做不可否认的证明。如果是利用指纹鉴别，个人的隐私也可以得到保护，因为指纹的标准样件(各指纹的高低点的分布图案)从来都不能变换，也不储存在主机内。■

（华译自January 2001《 Portable Design》 )