本篇文章作者介紹了電子簽名技術(shù)在產(chǎn)品中的應(yīng)用，希望能對大家有所幫助。

產(chǎn)品背景：

最近我司為了加強對自身用戶的管理，需要和我們的用戶進行具有法律效應(yīng)的協(xié)議的簽訂。同時由于我司用戶遍布大江南北，采用紙質(zhì)合同的方式效率無疑很低(各種寄件收件、存檔)，便調(diào)研了相關(guān)電子簽名技術(shù)。

首先科普下電子簽名的概念：

可靠電子簽名與手寫簽名或蓋章具有同等的法律效力。

電子簽名產(chǎn)品通常需要采用加密算法、身份認(rèn)證和時間戳等技術(shù)手段，來保證原始簽約文件的真實性、完整性和未篡改性！

正因為電子簽名具有同等法律這是我們使用電子簽名的基礎(chǔ)；其次第三方電子簽名服務(wù)能夠為企業(yè)解放大量的人力物力，企業(yè)無需再組建專人團隊來負(fù)責(zé)紙質(zhì)合同的簽署流程和管理工作，從而以降本增效的方式打通企業(yè)數(shù)字化辦公的最后一環(huán)！

先來看一下電子簽名的產(chǎn)品流程：

上圖是使用第三方SaaS平臺簽署電子合同的一個流程，主要是使用電子簽名服務(wù)商的web、app等形式的應(yīng)用來進行電子合同的簽發(fā)，這樣的好處在于便宜、使用方便，只需要購買合同費用以及進行實名認(rèn)證相關(guān)費用。

問題也顯而易見：那就是脫離了自身產(chǎn)品的使用場景，這樣會引起用戶的誤解，降低簽約率！這種產(chǎn)品形式主要適用于有電子簽名的需求，但是合同量小以及付費意愿比較低的中小企業(yè)及個人。

當(dāng)然作為電子簽名技術(shù)的提供方，其產(chǎn)品服務(wù)能力不可能這么弱，于是PasS形式的接口集成方案出來了：

主要是接入電子簽名服務(wù)商的API/SDK內(nèi)嵌入自己的產(chǎn)品中去，這樣就能結(jié)合自身產(chǎn)品的使用場景，進一步優(yōu)化自身的業(yè)務(wù)流程、提高業(yè)務(wù)效率。這種產(chǎn)品形式主要是面向電子簽名業(yè)務(wù)高頻且需求定制化，付費意愿和能力較高的大型企業(yè)！

還有就是私有云形式的本地化部署方式：

這個就不多講了，畢竟我也沒有接觸過，而且相關(guān)部署都會有專門的電子簽名服務(wù)商技術(shù)人員來操作。這種產(chǎn)品形式主要針對的是一些對信息安全極為敏感，需與原有信息化系統(tǒng)進行對接的政府、醫(yī)療機構(gòu)、銀行、保險等企業(yè)集團。

講完三種接入方式再來講講具體的應(yīng)用場景：

• 電子政務(wù)：利用私有云的部署方式既能對接自身系統(tǒng)又能保證信息安全！對內(nèi)可以推動政務(wù)系統(tǒng)的無紙化辦公，對外面向企業(yè)的企業(yè)備案、百姓的社保證明、納稅證明等業(yè)務(wù)，可以明顯改線線下窗口不足，辦事流程長，審批麻煩等痛點，實現(xiàn)真正的便民惠民！所以在政務(wù)行業(yè)的PM可以考慮在適當(dāng)?shù)臅r候使用該項技術(shù)哦！
• 電子商務(wù)：B2B平臺相關(guān)業(yè)務(wù)使用電子簽名可以減少相關(guān)業(yè)務(wù)摩擦，提升可靠性和合規(guī)性。用戶購買相關(guān)服務(wù)后可以下載加蓋服務(wù)商電子章的售賣合同，后續(xù)如果出現(xiàn)相關(guān)糾紛，此合同可作為保障相關(guān)利益方的證據(jù)！
• 互聯(lián)網(wǎng)金融：從業(yè)務(wù)形式和發(fā)展速度上看，紙質(zhì)化合同完全跟不上互聯(lián)網(wǎng)金融的發(fā)展腳步，再加上年初的P2P網(wǎng)貸平臺跑路、爆雷事件，政府的監(jiān)管加強，一份合法的電子合同的重要性不斷凸顯。接入第三方電子簽名技術(shù)實名認(rèn)證時可向有資質(zhì)的CA機構(gòu)申請數(shù)字證書并生成具有法律效力的專屬電子名，以保障用戶身份的真實性，并提供后續(xù)的存證出證等法律服務(wù)，能夠有效保證各利益主體的權(quán)益。
• 其他場景：比如大型企業(yè)的員工勞動合同，供應(yīng)鏈相關(guān)業(yè)務(wù)、區(qū)塊鏈的電子存證、智能合約！當(dāng)然還有其他更加落地的場景，因筆者見識、能力等原因就不一一贅述了！

再來講講大家比較關(guān)心的信息安全問題：

在發(fā)起一次電子合同的簽署過程中需要用到合同、簽署人信息等必要資料，就目前來看，合同在進行簽署的過程中是加密的，第三方電子簽名服務(wù)商不會獲取合同內(nèi)容，但是在進行實名認(rèn)證時需要獲取簽署人的信息以申請CA數(shù)字證書。所以想不把信息經(jīng)過第三方電子簽名服務(wù)商，那么就需要自己調(diào)用相關(guān)實名認(rèn)證接口了，把相關(guān)參數(shù)返回給第三方服務(wù)商即可！

簽名算法：

簽名算法現(xiàn)在主流的是RSA以及國密的SM2算法，就我調(diào)研的情況來看，主要是RSA的SHA-1以及SHA256算法，其中SHA-1算法已經(jīng)被破解了，不過大家也不要太擔(dān)心，畢竟想破解也需要足夠的算力。

RSA是國際算法，是外國人開發(fā)的，SM2是國家為了信息安全自己開發(fā)的國產(chǎn)算法，使用起來沒什么區(qū)別，在驗證的時候，RSA的可以直接通過PDF閱讀器驗證，國密算法要麻煩一點，目前國家在政務(wù)，金融，醫(yī)療等領(lǐng)域大力在推國密算法，其中金融領(lǐng)域是要求2020年前全面實現(xiàn)國密，現(xiàn)在的銀行保險等全部都要用國密的算法，在10年左右成立的CA機構(gòu)只能發(fā)國密算法的證書，從當(dāng)前市場的使用便捷性來說還是RSA的好用,國密算法整體還在大力推廣普及，主要是驗證要麻煩一點，后續(xù)可能就好了。

當(dāng)然也還有一些其他簽名算法如AES256，安全性也很高。具體算法我一個PM就不班門弄斧了。

具體使用何種接入方式因人、因公司、因業(yè)務(wù)、因行業(yè)更因錢而定，所以筆者在此也就不強行得出一個結(jié)論了！

以上就是我對電子簽名技術(shù)在產(chǎn)品中的應(yīng)用相關(guān)粗淺調(diào)研，難免會有錯誤，歡迎指正~

本文由 @相關(guān)人士 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來自Unsplash，基于CC0協(xié)議