ICS35.040L80備案號：58552—2017中華人民共和國密碼行業(yè)標準安全電子簽章密碼檢測規(guī)范C2016-12-23發(fā)布2016-12-23實施國家密碼管理局發(fā)布GM／T0047—2016前言 2規(guī)范性引用文件 3術語和定義 4縮略語 5檢測內容 5.2數(shù)字簽名算法檢測 5.3電子印章數(shù)據(jù)檢測 5.4電子印章驗證檢測 5.5電子簽章數(shù)據(jù)檢測 5.6電子簽章驗證檢測 6檢測方法 6.1數(shù)字簽名算法檢測 6.2電子印章數(shù)據(jù)檢測 6.3電子印章驗證檢測 6.4電子簽章數(shù)據(jù)檢測 6.5電子簽章驗證檢測 7送檢技術文檔要求 8合格判定條件 ⅠGM／T0047—2016本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。本標準由密碼行業(yè)標準化技術委員會提出并歸口。本標準主要起草單位：北京數(shù)字認證股份有限公司、國家密碼管理局商用密碼檢測中心、興唐通信科技有限公司、上海市數(shù)字證書認證中心有限公司、上海格爾軟件股份有限公司、衛(wèi)士通信息產業(yè)股份有限公司。張周群、傅大鵬等。1GM／T0047—2016安全電子簽章密碼檢測規(guī)范本標準規(guī)范了安全電子簽章的密碼檢測內容、檢測要求、檢測方法以及合格判定準則。本標準適用于按照GM/T0031—2014研制的安全電子簽章系統(tǒng)密碼技術的檢測。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T32905信息安全技術SM3密碼雜湊算法GB/T32918信息安全技術SM2橢圓曲線公鑰密碼算法GM/T0006密碼應用標識規(guī)范GM/T0009SM2密碼算法使用規(guī)范GM/T0031—2014安全電子簽章密碼應用技術規(guī)范3術語和定義下列術語和定義適用于本文件。3.1電子文件在數(shù)字設備及環(huán)境中形成，以數(shù)碼形式存儲于磁帶、磁盤、光盤等載體，依賴計算機等數(shù)字設備閱讀、處理，并可在通信網絡上傳送的文件。本文中簽章原文指電子文件。3.2電子印章一種由制作者簽名的包括持有者信息和圖形化內容的數(shù)據(jù)，可用于簽署電子文件。3.3電子簽章使用電子印章簽署電子文件的過程。3.4電子簽章數(shù)據(jù)電子簽章過程產生的包含電子印章信息和簽名信息的數(shù)據(jù)。3.5電子印章系統(tǒng)包含電子印章管理系統(tǒng)和電子簽章軟件，其中電子印章管理系統(tǒng)包括印章管理員管理、電子印章制作與管理、電子印章驗證服務以及安全審計等功能。電子簽章軟件是使用電子印章對各類電子文件進行電子簽章的軟件。3.6制章人電子印章系統(tǒng)中具有簽署和管理電子印章信息權限的管理員。管理員的數(shù)字證書可以是單位證書2GM／T0047—2016或個人證書，電子印章中的圖片和信息必須經制章人的數(shù)字證書進行數(shù)字簽名。3.7簽章人電子印章系統(tǒng)中對電子文件進行簽章操作的簽章持有用戶。3.8算法由GB/T32918《信息安全技術SM2橢圓曲線公鑰密碼算法》定義的一種算法。3.9算法由GB/T32905《信息安全技術SM3密碼雜湊算法》定義的一種算法。4縮略語下列縮略語適用于本文件。公鑰密碼標準5檢測內容檢測對象為遵照GM/T0031—2014研制的電子印章系統(tǒng)中的密碼算法應用，要求檢測對象配用的密碼產品應是經國家密碼管理主管部門批準使用的產品。5.2數(shù)字簽名算法檢測檢測對象支持的算法和簽名數(shù)據(jù)結構應符合GM/T0031—2014的要求，應支持SM2算法的數(shù)字簽名功能，SM2算法簽名數(shù)據(jù)結構應遵循GM/T0009。5.3電子印章數(shù)據(jù)檢測電子印章管理系統(tǒng)應能正確生成電子印章數(shù)據(jù)，電子印章數(shù)據(jù)的數(shù)據(jù)內容和編碼格式需滿足5.4電子印章驗證檢測電子印章系統(tǒng)應提供電子印章驗證功能，電子印章的驗證應包括印章數(shù)據(jù)格式驗證、印章簽名值驗證、制章人證書有效性驗證、印章有效期驗證等4項驗證。5.4.2印章數(shù)據(jù)格式驗證檢測電子印章系統(tǒng)在進行電子印章驗證時應提供電子印章數(shù)據(jù)格式驗證功能，驗證電子印章數(shù)據(jù)格式是否滿足GM/T0031—2014中6.1.1的數(shù)據(jù)格式要求。5.4.3印章簽名值驗證檢測電子印章系統(tǒng)在進行電子印章驗證時應提供電子印章簽名值驗證功能，根據(jù)印章信息數(shù)據(jù)、制章人3GM／T0047—2016證書和簽名算法標識驗證電子印章簽名信息中的簽名值是否正確。5.4.4制章人證書有效性驗證檢測電子印章系統(tǒng)在進行電子印章驗證時應提供制章人證書有效性驗證功能，驗證項至少包括：制章人證書信任鏈驗證、制章人證書有效期驗證、制章人證書是否被吊銷、密鑰用法是否正確。5.4.5印章有效期驗證檢測電子印章系統(tǒng)在進行電子印章驗證時，應提供電子印章有效期驗證功能，蓋章時應能夠根據(jù)印章屬性中的印章有效起始日期和有效終止日期，驗證電子印章是否過期。5.5電子簽章數(shù)據(jù)檢測5.6電子簽章驗證檢測電子印章系統(tǒng)應提供電子簽章驗證功能。電子簽章的驗證應包括：電子簽章數(shù)據(jù)格式驗證、電子簽章簽名值驗證、簽章人證書有效性驗證、簽章人證書列表驗證、簽章時間有效期驗證、簽章原文雜湊驗證、簽章中電子印章有效性驗證共7項驗證。5.6.2電子簽章數(shù)據(jù)格式驗證檢測電子印章系統(tǒng)應提供電子簽章數(shù)據(jù)格式驗證功能，驗證電子簽章數(shù)據(jù)格式是否滿足GM/T0031—5.6.3電子簽章簽名值驗證檢測電子印章系統(tǒng)應提供電子簽章簽名值驗證功能，能夠基于待驗證數(shù)據(jù)驗證電子簽章簽名值是否正確。待驗證數(shù)據(jù)包括：版本號、電子印章、時間信息、原文雜湊值、原文屬性信息、簽章人證書、簽名算法標識。5.6.4簽章人證書有效性驗證檢測電子印章系統(tǒng)應提供簽章人證書驗證功能，驗證簽章人證書有效性，驗證項至少包括：簽章人證書信任鏈驗證、簽章人證書有效期驗證、簽章人證書是否被吊銷、密鑰用法是否正確。5.6.5簽章人證書列表驗證檢測電子印章系統(tǒng)應提供簽章人證書是否在電子印章簽章人證書列表中的驗證功能。5.6.6簽章時間有效期驗證檢測電子印章系統(tǒng)應提供電子簽章時間有效期驗證功能。能夠根據(jù)簽章人數(shù)字證書有效期和電子簽章中的時間信息，判斷簽章時間的有效性。支持以下判斷規(guī)則：a)如果簽章時間處于簽章人數(shù)字證書有效期內，并且證書有效，則簽章時間有效；b)如果簽章時間不在簽章人數(shù)字證書有效期內，則簽章時間無效；c)如果簽章時間處于簽章人數(shù)字證書有效期內，但是證書在簽章之前已被吊銷，則簽章時間4GM／T0047—2016無效；d)如果簽章時間處于簽章人數(shù)字證書有效期內，但是證書在簽章之后被吊銷，則簽章時間有效。5.6.7簽章原文雜湊驗證檢測電子印章系統(tǒng)應提供電子簽章原文雜湊驗證功能，如果簽章原文改變或電子簽章數(shù)據(jù)中的原文雜湊值改變，都會導致驗證失敗。5.6.8簽章中電子印章有效性驗證檢測在驗證電子簽章時，電子印章系統(tǒng)應提供電子印章有效性驗證功能和簽章時間是否處于印章有效期內的驗證功能。6檢測方法6.1數(shù)字簽名算法檢測依據(jù)簽名原文對簽名結果進行驗證，并查看簽名結果數(shù)據(jù)格式，如果符合5.2檢測內容，則測試通6.2電子印章數(shù)據(jù)檢測把被檢測電子印章管理系統(tǒng)生成的電子印章數(shù)據(jù)轉化為可視化格式，檢查數(shù)據(jù)內容和編碼格式的正確性。如果數(shù)據(jù)內容和編碼格式符合5.3檢測內容要求，則測試通過；否則測試失敗。6.3電子印章驗證檢測電子印章的驗證應包括印章數(shù)據(jù)格式驗證、印章簽名值驗證、制章人證書有效性驗證、印章有效期驗證共4項驗證，本檢測分別針對這4個方面進行驗證，若4項驗證的檢測均通過，則電子印章驗證功能的檢測通過。6.3.2印章數(shù)據(jù)格式驗證檢測檢測步驟如下：輸入滿足GM/T0031—2014中6.1.1的數(shù)據(jù)格式要求的電子印章數(shù)據(jù)，然后使用電子印章系統(tǒng)進行驗證，如果驗證通過，則本步測試通過；否則，測試失敗。輸入不滿足GM/T0031—2014中6.1.1的數(shù)據(jù)格式要求的電子印章數(shù)據(jù)，然后使用電子印章系統(tǒng)進行驗證，如果驗證失敗，則本步測試通過；否則，測試失敗。上面2步都通過，則本項測試通過；否則，測試失敗。6.3.3印章簽名值驗證檢測檢測步驟如下：a)輸入正確的電子印章數(shù)據(jù)，然后使用電子印章系統(tǒng)進行驗證，如果驗證通過，則本步測試通過；否則，測試失敗。b)輸入簽名值錯誤的電子印章數(shù)據(jù)，然后使用電子印章系統(tǒng)進行驗證，如果驗證失敗，則本步測c)更改正確電子印章數(shù)據(jù)的簽名原文，然后使用電子印章系統(tǒng)進行驗證，如果驗證失敗，則本步5GM／T0047—2016測試通過；否則，測試失敗。上面3步都通過，則本項測試通過；否則，測試失敗。6.3.4制章人證書有效性驗證檢測檢測步驟如下：a)電子印章系統(tǒng)使用正確的證書信任鏈，驗證在有效期內、未吊銷、密鑰用法正確的制章人證書是否有效。如果驗證通過，則本步測試通過；否則，測試失敗。b)電子印章系統(tǒng)使用錯誤的證書信任鏈，驗證制章人證書是否有效。如果驗證失敗，則本步測試c)電子印章系統(tǒng)使用制章時間處于制章人證書有效期之外的電子印章，驗證制章人證書是否有效。如果驗證失敗，則本步測試通過；否則，測試失敗。d)電子印章系統(tǒng)驗證已吊銷的制章人證書是否有效。如果驗證失敗，則本步測試通過；否則，測試失敗。e)電子印章系統(tǒng)驗證非簽名密鑰用法的制章人證書是否有效。如果驗證失敗，則本步測試通過；否則，測試失敗。上面5步都通過，則本項測試通過；否則，測試失敗。6.3.5印章有效期驗證檢測檢測步驟如下：a)當前系統(tǒng)時間處于印章有效期之內，驗證印章有效期，如果驗證通過，則本步測試通過；否則，測試失敗。b)當前系統(tǒng)時間處于印章有效期之外，驗證印章有效期，如果驗證失敗，則本步測試通過；否則，測試失敗。上面2步都通過，則本項測試通過；否則，測試失敗。6.4電子簽章數(shù)據(jù)檢測使用電子簽章數(shù)據(jù)可視化工具，把被檢測的電子印章系統(tǒng)生成的電子簽章數(shù)據(jù)轉化為可視化格式，檢查數(shù)據(jù)內容和編碼格式的正確性。如果數(shù)據(jù)內容和編碼格式符合5.5檢測內容要求，則測試通過；否則測試失敗。6.5電子簽章驗證檢測電子簽章的驗證應包括：電子簽章數(shù)據(jù)格式驗證、電子簽章簽名值驗證、簽章人證書有效性驗證、簽章人證書列表驗證、簽章時間有效期驗證、簽章原文雜湊驗證、簽章中電子印章有效性驗證共7項驗證，本檢測分別針對這7個方面進行驗證，若7項驗證的檢測均通過，則電子簽章驗證功能的檢測通過。6.5.2電子簽章數(shù)據(jù)格式驗證檢測檢測步驟如下：a)輸入正確數(shù)據(jù)格式的電子簽章數(shù)據(jù)，然后使用電子印章系統(tǒng)進行驗證，如果驗證通過，則本步測試通過；否則，測試失敗。b)輸入錯誤數(shù)據(jù)格式的電子簽章數(shù)據(jù)，然后使用電子印章系統(tǒng)進行驗證，如果驗證失敗，則本步測試通過；否則，測試失敗。6GM／T0047—2016上面2步都通過，則本項測試通過；否則，測試失敗。6.5.3電子簽章簽名值驗證檢測檢測步驟如下：a)輸入簽名值正確的電子簽章數(shù)據(jù)，然后使用電子印章系統(tǒng)進行驗證，如果驗證通過，則本步測b)輸入簽名值錯誤的電子簽章數(shù)據(jù)，然后使用電子印章系統(tǒng)進行驗證，如果驗證失敗，則本步測上面2步都通過，則本項測試通過；否則，測試失敗。6.5.4簽章人證書有效性驗證檢測檢測步驟如下：a)電子印章系統(tǒng)使用正確的證書信任鏈，驗證在有效期內、未吊銷、密鑰用法正確的簽章人證書，如果驗證通過，則本步測試通過；否則，測試失敗。b)電子印章系統(tǒng)使用錯誤的證書信任鏈，驗證簽章人證書，如果驗證失敗，則本步測試通過；否c)電子印章系統(tǒng)驗證處于非電子簽章有效期內的簽章人證書，如果驗證失敗，則本步測試通過；否則，測試失敗。d)電子印章系統(tǒng)驗證非簽名密鑰用法的簽章人證書，如果驗證失敗，則本步測試通過；否則，測試失敗。e)電子印章系統(tǒng)驗證吊銷時間在簽章時間之前的簽章人證書，如果驗證失敗，則本步測試通過；否則，測試失敗。f)電子印章系統(tǒng)驗證吊銷時間在簽章時間之后的簽章人證書，如果驗證通過，則本步測試通過；否則，測試失敗。上面6步都通過，則本項測試通過；否則，測試失敗。6.5.5簽章人證書列表驗證檢測檢測步驟如下：a)輸入簽章人證書在電子印章簽章人證書列表中的電子簽章，使用電子印章系統(tǒng)進行驗證，如果驗證通過，則本步測試通過，否則，測試失敗。b)輸入簽章人證書不在電子印章簽章人證書列表中的電子簽章，使用電子印章系統(tǒng)進行驗證，如果驗證失敗，則本步測試通過，否則，測試失敗。上面2步都通過，則本項測試通過；否則，測試失敗。6.5.6簽章時間有效期驗證檢測構造符合本標準5