近日,腾讯法务部对老干妈进行了投诉,没想到公关部找了个大活儿,围观群众吃瓜得很开心。还有见证过“憨憨企鹅”、“食堂十岁干妈”、“逗鹅”的各种表情包。图1表情包是怎么来的?理由是腾讯公司在南山法院起诉老干妈在多次收取广告费无果后仍未履行合同支付相应的广告费,请求法院查封、冻结老干妈名下价值1624.06万元的财产。但老干妈表示,她很疑惑,因为他们没有授权任何人与腾讯签订推广协议,所以老干妈向公安机关报案,公安机关于6月20日立案。然后,7月1、贵阳市公安局双龙分局官方微信公众号举报,近日,有不法分子伪造老干妈公司印章,冒充该公司市场部经理与腾讯签订合作协议。目前,三人因涉嫌犯罪已被刑事拘留,案件正在进一步处理中。也就是说,腾讯被假封条给骗了,白给了人一年的广告宣传。吃瓜归吃瓜,作为信息安全相关人员,面对这种骗局,我们能做些什么呢?电子签名(signatures)我们生活中的很多合同都是以手写签名的形式生效,但是随着电子商务,电子政务的快速发展,对电子签名(签名)的需求也迫在眉睫。1.立法保障《中华人民共和国电子签名法》(以下简称《签名法》)自2005年4月1日起生效,电子签名与传统手写签名具有同等法律效力。根据《签名法》的定义,电子签名是指数据电文中以电子形式所包含的,为识别签名人身份并表明签名人认可该内容而附加的数据。[1]电子签名类似于电子签名,是电子签名的一种形式。它本质上是利用图像处理技术,将电子签名操作转化为与纸质文件盖章操作相同的视觉效果,利用电子签名技术保证电子信息签署人的真实性、完整性和不可否认性。也就是说,电子签名本身并不是真正的“签名”,而是一种数学运算方法。电子签名防伪本质上是电子签名的防伪。验证电子签名的核心手段是数字签名。2.原理数字签名文件的完整性易于验证(不需要印章、签名或手写专家),数字签名是不可否认的(non-repudiable)。[2]简单地说,所谓数字签名就是附加在数据单元上的一些数据,或者说是对数据单元进行的密码变换。该数据或转换允许数据单元的接收者确认数据单元的来源和数据单元的完整性,并保护数据免遭诸如接收者之类的人伪造。它是一种以电子形式签署消息的方法,以便可以通过通信网络传输已签署的消息。基于公钥密码体制和私钥密码体制均可获得数字签名,主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。常见的数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA、椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名包括盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,与特定的应用环境密切相关。显然,数字签名的应用涉及法律问题。美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。[2]3.特点每个人都有一对“钥匙”(数字身份),其中一把只有她/他自己知道(钥匙),一把是公开的(公钥)。签名时使用私钥,验证签名时使用公钥。并且因为任何人都可以签名并声称她/他是你,所以公钥必须在接收者信任的人(身份认证机构)处注册。注册后,身份认证机构将向您颁发数字证书。文件签名后,你将数字证书连同文件和签名一起发送给接收方,接收方向身份认证机构询问是否真的是用你的密钥签名的文件。在通信中使用数字签名一般具有以下特点:[3]①认证公钥加密系统允许任何人在发送信息时使用私钥加密,在接收信息时使用公钥解密。当然,接收方不能100%确定发送方的真实身份,只有在密码系统未被破译的情况下才能合理确定。认证的重要性在金融数据中尤为突出。例如,假设一家银行从其分支机构向其中央管理系统传输一条指令,该指令的格式为(a,b),其中a是帐号,b是账户的当前金额。这时,远程客户端可以先存入100元,观察传输结果,然后依次发送格式为(a,b)的指令。这种方法称为重放攻击。②完整性传输数据的双方总是想确认消息在传输过程中没有被修改。加密使第三方很难读取数据,但第三方仍然有可行的方法修改传输中的数据。一个流行的例子是同态攻击:回想一下,上述银行从其分支机构向其中央管理系统发送格式为(a,b)的指令,其中a是帐号,b是账户中的金额。一个远程客户可以先存入100元,然后截取传输结果,再传输(a,b),这样他马上就变成了百万富翁。③不可否认性在密文语境中,否认性一词是指不承认与之相关的信息(即声称该信息来自第三方)的行为。消息的接收者可以通过提供签名来证明消息的来源,对其进行数字签名以防止所有后续否认。4.在签名过程中发送消息时,发送方使用哈希函数从消息正文中生成消息摘要,然后用发送方的私钥对摘要进行加密。加密后的摘要将作为消息的编号签名与消息一起发送给收件人。接收方首先使用与发送方相同的哈希函数从接收到的原始消息中计算出消息摘要,然后使用公钥解密附加在消息上的数字签名。如果两个摘要相同,则接收方可以确认数字签名属于发送方。[4]图2数字签名流程实体公章这时候,李国庆又要开口了,看,公章有用。首先,印章的规格是有国家标准的,不同类型的企业标准不同。规格不对,肯定是假印章。此外,具有法律效力的印章必须经过警方和工商双重备案,根据备案材料核实真伪。二、章面防伪处理。包括在章面上随意雕刻一些裂纹作为防伪图案,使用特殊的防伪字体,在章面上刻上特定的线条,加上防伪码。图3章面防伪图案三、防伪印台。主要有热敏防伪、紫外荧光防伪、红外防伪和离子迁移谱(IMS)防伪。最后一项是应用在印章防伪上的一项较新的技术。离子迁移谱技术可以快速识别特定物质的分子结构,利用可以编码分子特征的隐形标记物质,达到对目标物体和人员进行隐形标记、快速识别和有效跟踪的目的。①IMS技术简介[5]IMS系统的核心部分是迁移管。迁移管分为电离区和迁移区两部分,中间由离子门隔开。待测样品加热汽化后,被载气带入电离区,载气分子和样品分子在离子源放射性的作用下发生一系列的电离反应和离子-分子反应Ni形成各种产物离子。在电场作用下,这些产物离子通过周期性打开的离子门进入迁移区。它一方面从电场中获取能量进行定向漂移,另一方面又通过与逆流中性迁移气体分子碰撞而损失能量。由于这些产物离子的质量、电荷、碰撞截面和空间构型不同,因此在电场中,它们各自的迁移速率不同,从而使不同的离子在不同的时间到达检测器并被分离。图4IMS原理示意图②IMS检测系统组成[6]基于IMS(ionmobilityspectrometry)技术的检测系统主要由三部分组成:(a)Detector:采用高分辨率IMS技术,灵敏度高,目前有手提式、门式等多种形式,可适应多种应用场景。(b)隐形标记物质:具有独特的分子结构,不易被检测,可被识别和检测;物质是人工构造的,可以构造各种物质。(c)隐形标记物质污染/释放装置:根据不同的应用场景,可以将隐形标记物质与检测对象结合起来。③IMS与公章防伪相结合,将异味分子融入印台或打印机墨水中,限制异味分子的随意挥发。当需要伪造时,通过加热和摩擦加速气味分子的挥发,识别墨水中的气味分子。如果有气味分子,则为真,否则为假。结语这件事发生后,很多人在腾讯官博下留言:“企鹅,你吃点心吧!”。是啊,如果腾讯从上面学到几招,说不定就不是“笨企鹅”了。参考文献:[1]中华人民共和国电子签名法。2004[2]刘建华主编;孙汉林副总编辑。物联网安全:中国铁道出版社,2013.09[3]洪杰文,桂维霞.新媒体技术:西南师范大学出版社,2016.06[4]何明,汤伟,赖军,张婷婷等大学计算机基础:东南大学出版社,2015.08[5]埃森门,卡尔帕什,郭成海,等。迁移率谱学[M].国防工业出版社,2010.[6]徐峰,王海龙,关亚峰.离子迁移谱研究进展[J].化学进展,2005,017(003):514-522.
