2026-04-13 06:10:22 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统解析电子印章与电子签章的核心区别与技术原理：电子印章是数字身份载体（SESeal结构），电子签章是签署过程结果（SES_Signature结构）。详细阐述三层验签架构（签章验签、印章验签、时间戳验签）和证书验证四要素（信任链、有效期、吊销状态、密钥用法），强调国产SM2/SM3算法安全机制及OFD文档作为最佳载体。基于《电子签名法》等法规体系说明其法律效力，并列举电子合同、公文流转等应用场景。 综合评分： 85 文章分类： 数据安全,应用安全,技术标准,政策法规,解决方案

cover_image

一文读懂电子印章与电子签章：数字时代的”盖章”革命

原创

利刃信安利刃信安

利刃信安

2026年4月7日 03:03 北京

一文读懂电子印章与电子签章：数字时代的”盖章”革命

摘要：在数字化转型的浪潮中，电子印章和电子签章正在取代传统的”红章”。但你知道它们是如何工作的吗？电子印章和电子签章是一回事吗？如何验证一份电子文件的签章是否真实有效？本文将带你深入了解电子印章与电子签章的核心原理、验签流程和关键技术，助你轻松掌握数字时代的”盖章”新技能。

一、电子印章 vs 电子签章：傻傻分不清楚？

很多人以为电子印章和电子签章是一回事，其实不然。

电子印章是”章”，是一种独立的数字对象。它由制章者（通常是印章制作机构）制作并签名，包含印章信息（名称、类型、唯一编码、有效期等）、印章图像、签章者证书列表和制章者签名值。你可以把它理解为传统公章的数字化版本——但不是一张简单的图片，而是一段经过密码学处理的结构化数据（ASN.1 格式，标准中定义为 SESeal 类型）。

电子签章是”用章”，是将电子印章应用到具体电子文档上的过程和结果。它包含电子印章、签章者证书、签章时间、原文杂凑值、签章者签名等信息。简单说，电子签章就是”用电子印章签署文件”的过程和结果——产生的数据结构在标准中定义为 SES_Signature 类型。

用一个形象的比喻：电子印章就像你的私章，电子签章就像你拿着私章在文件上盖章的动作和结果。

二、电子印章里到底有什么？

一个标准的电子印章（其数据结构定义于 GB/T 38540-2020《信息安全技术安全电子签章密码技术规范》 第6章）包含以下核心内容：

注：电子印章通常以 .esl 等文件名存储，但其本质是 ASN.1 编码的二进制数据（DER 格式），文件扩展名并非强制要求。

根据《电子印章管理办法》第三条的规定，电子印章按用途可分为三类：

• 单位印章：企业、机关、事业单位等法人组织的法定名称章
• 个人印章：用于单位事务办理的个人名章
• 单位专用印章：单位内设机构章、分支机构章、业务专用章（如财务专用章）

三、电子签章如何保证安全？

电子签章的安全性依赖于三层验签架构，层层递进：

第一层：电子签章验签

验证签章者是否真的签署了这份文档。使用签章者证书中的公钥，验证签章者的 SM2 签名值是否有效——这确保了签名的真实性和不可否认性（只有持有私钥的人才能产生有效签名）。

第二层：电子印章验签

验证印章是否由合法的制章者制作。使用制章者证书中的公钥，验证制章者的 SM2 签名值是否有效——这确保了印章本身的来源可信（印章确实是合法机构制作的且未被篡改）。

第三层：时间戳验签（可选但重要）

验证签章时间是否可信。时间戳由权威的时间戳机构（TSA，Time Stamp Authority）签发，证明签章行为（具体说是签名值）在某一时刻之前已经存在——这引入了独立的第三方时间证人，即使签章者证书日后过期，仍能证明签章时的合法状态。

这三层验签层层递进，确保了电子签章的真实性、完整性和不可否认性。

四、证书验证：四大要素缺一不可

在验签过程中，证书验证是关键环节。根据 GB/T 38540-2020 第6.3节c)（制章者证书验证）和第7.3节e)（签章者证书验证） 以及 GM/T 0047-2024 检测规范 的规定，证书验证至少包括四项：

只有四项全部通过，证书才算有效。这就像查验身份证一样：要看证件是否真实（信任链）、是否过期（有效期）、是否被挂失（吊销状态）、是否用于正确用途（密钥用法）。

特别说明：对于电子印章的制章者证书，还需额外检查其是否具有制作电子印章的能力；对于已过期的证书，如果签章/制章行为发生在证书有效期内，则该时刻的状态应被认定为有效。

五、国产密码算法：SM2+SM3保驾护航

我国电子签章采用国产密码算法体系（定义于 GM/T 0009-2023、GB/T 32918 系列）：

| 算法 | 类型 | 用途 | OID 标识 | | — | — | — | — | | SM2 | 椭圆曲线公钥密码算法 | 数字签名、公钥加密、密钥交换 | 1.2.156.10197.1.301 | | SM3 | 密码杂凑算法（输出256位） | 数据完整性保护、防篡改 | 1.2.156.10197.1.401 | | SM4 | 分组对称密码算法（128位密钥/分组） | 数据加密（可选，如需机密性保护时使用） | 1.2.156.10197.1.104 |

SM2 签名的特殊之处

SM2 与国际上的 RSA 等名算法有一个重要区别：预处理步骤。

RSA 直接对消息摘要进行签名，而 SM2 在签名前需要先计算 Z 值——将用户身份标识（ID，默认为 1234567812345678）和用户公钥坐标与消息一起参与杂凑：

Z = SM3(L ‖ ID ‖ 曲线参数a ‖ b ‖ 基点G坐标 ‖ 用户公钥Q坐标)
H = SM3(Z ‖ M) &nbsp; ← 最终用于签名的摘要值

这意味着 SM2 签名不仅绑定了消息内容 M，还绑定了签章者的身份信息和公钥，安全性更强。

签名值的真实格式

SM2 签名值在标准中定义为 SM2Signature ::= SEQUENCE { r INTEGER, s INTEGER }，其中 r 和 s 各为 32 字节（256位）的大整数。

⚠️ 注意：实际存储和传输时，这个结构会经过 DER 编码（ASN.1 的 Distinguished Encoding Rules），加上类型标签(T)和长度(L)后，最终大小约为 70~72 字节，而非原始的 64 字节。验签时需要先进行 DER 解码才能提取出 r 和 s。

六、OFD文档：电子签章的最佳载体

OFD（Open Fixed-layout Document，开放式版式文档）是我国自主研发的电子文档格式标准（GB/T 33190-2016），也是电子签章的最佳载体。

一个 OFD 文件本质上是一个 ZIP 压缩包，签章数据存放在专门的目录中：

document.ofd (ZIP)
├── OFD.xml &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# 主入口文件（唯一）
├── Doc_0/
│ &nbsp; ├── Document.xml &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; # 文档根节点
│ &nbsp; └── Page_0/Content.xml &nbsp; &nbsp; # 页面内容描述
│
├── Signs/ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; ⭐ 签名目录（位于 OFD 根级别，与 Doc_0 同级）
│ &nbsp; ├── Signatures.xml &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# 签名列表（记录所有签名的元信息）
│ &nbsp; └── Sign_0/
│ &nbsp; &nbsp; &nbsp; ├── Signature.xml &nbsp; &nbsp; &nbsp; &nbsp;# 签名描述（签名方案、保护范围、签名值路径）
│ &nbsp; &nbsp; &nbsp; ├── SignedValue.dat &nbsp; &nbsp; # ⭐ 签名值数据（SES_Signature 的 DER 编码）
│ &nbsp; &nbsp; &nbsp; └── Seal.esl &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# ⭐ 电子印章数据（SESeal 的 DER 编码）
│
└── [Encryptions.xml] &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# 加密入口（如有加密，OFD 2.0+ 版本新增）

重要：Signs/ 目录位于 OFD 文件的根级别，与 Doc_0/ 目录是同级关系，不是其子目录。这是 GB/T 33190-2016 和 GM/T 0099-2020 的明确规定。

OFD 支持多签章/会签，一份文档可以被多人依次签署，每次签署生成独立的 Sign_N/ 目录，互不影响。还支持签名叠加（通过 Relative 属性编排多次签章的位置）。

七、时间戳：让签章时间”有据可查”

时间戳是电子签章的重要组成部分（可选但强烈推荐），它由权威的时间戳机构（TSA）签发，格式遵循 GB/T 20520-2025《网络安全技术公钥基础设施时间戳规范》。

时间戳的核心数据结构为 TSTInfo（TimeStampToken 的主体），包含以下关键字段：

时间戳的作用包括：

• 存在性证明：genTime 证明签名值在该时刻已存在，无法事后伪造
• 防止抵赖：引入独立第三方作为时间证人
• 长期有效性：即使签章者证书过期，时间戳仍能证明签章时的合法状态
• 防重放攻击：nonce 确保每个时间戳只能使用一次

八、法律效力与应用场景

法律依据

这套技术体系之所以能让电子签章具有法律效力，依据是完整的法规和标准体系：

| 层级 | 依据 | 作用 | | — | — | — | | 法律 | 《中华人民共和国电子签名法》 | 确立可靠电子签名与手写签名/盖章具有同等法律效力 | | 法律 | 《中华人民共和国密码法》《网络安全法》《数据安全法》 | 密码技术应用和数据安全的法律基础 | | 行政法规 | 《电子印章管理办法》（国办发〔2025〕33号） | 明确规定”符合本办法的电子印章与实物印章具有同等法律效力”，并推动互信互认 | | 国标 | GB/T 33190-2016 | 定义 OFD 版式文档格式 | | 行标 | GM/T 0099-2020 | 定义 OFD 签名/加密/完整性保护三大密码协议 | | 国标+行标 | GB/T 38540-2020 / GM/T 0031-2025 | 定义电子印章与签章的数据结构和完整流程 | | 行标 | GM/T 0047-2024 | 定义检测方法，确保产品合规（17项检测，一票否决制） |

应用场景

• 电子合同签署：企业间合同在线签署，法律效力等同纸质合同
• 电子公文流转：政府机关公文签发与接收，跨地区跨部门互认
• 电子招投标：招投标文件签章，保障公平公正
• 电子票据：电子发票、电子收据、电子汇票
• 电子证照：各类电子证照签发与验证
• 企业档案管理：电子档案的长久保存与真实性验证

九、总结：记住这几个关键点

1. 电子印章是”章”，电子签章是”用章” — 前者是数字化身份载体，后者是签署动作和结果
2. 三层验签架构：签章验签 → 印章验签 → 时间戳验签，层层递进
3. 证书验证四要素：信任链、有效期、吊销状态、密钥用法，缺一不可
4. 国产算法 SM2+SM3：SM2 签名 + SM3 杂凑 + 预处理(Z值绑定身份)，安全自主可控
5. SM2 签名值约 70~72 字节（DER 编码后的 SEQUENCE{r, s}），r 和 s 各 32 字节
6. OFD 是最佳载体：Signs/ 在根级别（非 Doc 内部），支持多签章/会签/签名叠加
7. 时间戳是独立的时间证人：TSA 签发的 TSTInfo 绑定 genTime + nonce + 序列号
8. dataHash 是 BIT STRING 类型：原文 SM3 杂凑值在 SES_Signature 中以 BIT STRING 存储（非 OCTET STRING）
9. 法律效力有完整保障：从《电子签名法》到 GB/T 38540/GM/T 0031 技术规范到 GM/T 0047 检测规范，全链路闭环
10. 签章类型区分：电子签章类型遵循 GB/T 38540（SES_Signature）；纯数字签名 SM2 类型遵循 GB/T 35275/GM/T 0010（SignedData 封装）

电子印章和电子签章是数字时代的重要基础设施，理解它们的原理和验签流程，有助于我们更好地使用和验证电子文件，在数字化浪潮中保护自己的合法权益。

参考资料：

• GB/T 33190-2016 电子文件存储与交换格式版式文档
• GM/T 0099-2020 开放式版式文档密码应用技术规范
• GB/T 38540-2020 信息安全技术安全电子签章密码技术规范
• GM/T 0031-2025 安全电子签章密码技术规范（代替 0031-2014，2026-07-01 实施）
• GM/T 0047-2024 安全电子签章密码检测规范（代替 0047-2016）
• GB/T 20520-2025 网络安全技术公钥基础设施时间戳规范
• GM/T 0009-2023 SM2 密码算法使用规范
• GM/T 0010-2023 SM2 密码算法加密签名消息语法规范
• 《中华人民共和国电子签名法》
• 《中华人民共和国密码法》
• 《电子印章管理办法》（国办发〔2025〕33号）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：利刃信安利刃信安利刃信安《一文读懂电子印章与电子签章：数字时代的”盖章”革命》