跳至主要內容
Certyneo

2026年電子簽名如何運作

瞭解電子簽名的運作方式對任何法律負責人或資訊長至關重要。深入探討保障其法律證明力的密碼學和監管機制。

2 分鐘閱讀

Certyneo 團隊

撰稿人 — Certyneo · 關於 Certyneo

介紹

電子簽名現已成為企業數位轉型的核心:2025年,超過70%的歐洲大型組織已將其整合到至少一個合約流程中(來源:Gartner,數位流程自動化調查2025)。然而,很少有決策者能精確瞭解讓其具備法律效力和技術防偽性的機制。瞭解電子簽名的技術運作方式 — 密碼學、公鑰基礎設施、數位憑證 — 可助您選擇合適的解決方案、降低法律風險並加快內部採用。本文將逐步引導您瞭解2026年電子簽名的技術架構和管理標準。

---

電子簽名的密碼學基礎

電子簽名以經驗證的密碼學原始函數為基礎。瞭解其機制有助於理解為何其比數位化掃描的手寫簽名更可靠。

非對稱加密:公鑰和私鑰

根本原則是非對稱密碼學,該技術於1970年代發明,並由RSA(Rivest–Shamir–Adleman)或橢圓曲線密碼學(ECDSA)等演算法標準化。每位簽署人擁有兩個在數學上相關的密鑰:

  • 私鑰:由簽署人保密保管,存儲在安全設備上(智慧卡、HSM令牌或受保護的軟體模組)。用於建立簽名。
  • 公鑰:自由分發,包含在數位憑證中。用於驗證簽名。

安全性原理基於計算不對稱:用公鑰驗證簽名在數學上是平凡的,但從公鑰重構私鑰在實踐上是不可能的(離散對數問題或大整數因式分解問題)。

雜湊函數:文件的數位指紋

簽名前,系統透過雜湊函數(2026年使用SHA-256或SHA-3)計算文件的密碼學指紋。此指紋稱為雜湊值摘要,是代表文件內容的固定大小字符串(SHA-256為256位元)。

基本特性:修改文件中任何一個字符都會產生完全不同的雜湊值。這保證了已簽署文件的完整性:簽名後對文件的任何更改都能立即檢測到。

電子簽名本身因此是使用簽署人的私鑰對該雜湊值的加密。驗證時,接收人需:

  1. 用公鑰解密簽名以找回原始雜湊值;
  2. 自行重新計算所收文件的雜湊值;
  3. 比較兩者:如相同,簽名有效。

---

公鑰基礎設施(PKI):信任鏈

單純密碼學還不夠:還需證明公鑰確實屬於聲稱使用該密鑰的人。這是PKI(公鑰基礎設施)的作用。

認證機構(CA)

認證機構(AC或CA)是獲得認證的信任第三方,負責發放數位憑證。數位憑證是標準化檔案(X.509格式),包含:

  • 持有人的身份(姓名、組織、電子郵件);
  • 其公鑰;
  • 有效期;
  • 認證機構自身的數位簽名。

在歐洲,合格認證機構列載於各歐盟成員國根據eIDAS法規發佈的信任清單中。在法國,ANSSI發佈並維護此清單。合格信任服務提供者(QTSP)—如CertSign、Certigna或Universign — 根據ETSI EN 319 401標準定期接受審計。

憑證鏈和撤銷

PKI運作於分級模式:

  • 根認證機構(Root CA)自簽名,保存於離線環境中並採取最高物理安全措施;
  • 中間認證機構負責簽發最終用戶憑證。

憑證撤銷是一項關鍵機制:如私鑰被攻擊,認證機構透過憑證撤銷清單(CRL)線上憑證狀態協議(OCSP)發佈其失效,允許實時驗證。

對於eIDAS意義下的合格電子簽名,私鑰必須在合格簽名建立設備(QSCD)(經認證的CC EAL4+或更高等級硬體,如智慧卡或HSM)中生成和保管。

---

根據eIDAS的三個簽名等級

歐洲法規eIDAS第910/2014號(及其正在部署的eIDAS 2.0演變版)定義了三個簽名等級,每個等級都建立在日益增加的技術保證之上。如需深入瞭解此監管框架,請查看我們的eIDAS法規完整指南

簡單電子簽名(SES)

簡單簽名在技術上最不受限制。可以簡單如複選框、透過簡訊發送的一次性密碼(OTP),或手寫簽名的掃描影像。不必然涉及合格憑證。

常見用途:驗收報價、行銷同意、低風險合約。

風險:司法爭議中的證明力有限。舉證責任由主張簽名有效者承擔。

進階電子簽名(AdES)

進階簽名符合四項精確的技術要求(eIDAS第26條):

  1. 與簽署人以獨特方式相連結;
  2. 允許識別簽署人;
  3. 由簽署人獨佔控制的資料建立;
  4. 允許檢測文件任何後續修改。

實際上,這涉及使用個人數位憑證和健全的認證機制。標準格式由ETSI定義:PAdES(PDF)、XAdES(XML)、CAdES(二進位資料)和JAdES(JSON),全部標準化於ETSI EN 319 100系列。

合格電子簽名(QES)

合格簽名是最高等級。需要:

  • 由經認證的eIDAS合格信任服務提供者(QTSP)簽發的合格憑證
  • 用於建立簽名的合格簽名建立設備(QSCD)

它受到可靠性的法律推定保護,在整個歐盟內與手寫簽名具有司法等同性(eIDAS第25條)。此等級為電子真實行為、某些公證行為或敏感公共採購所需。

我們的電子簽名解決方案比較分析了這些等級之間的實際差異,幫助您做出選擇。

---

電子簽名的完整過程分步驟說明

以下說明在如Certyneo般的SaaS平台上電子簽名交易的實際進行方式:

步驟1:文件準備和傳送

簽名發起人將文件(合約、增補協議、採購單)上傳至平台。系統立即生成原始檔案的SHA-256雜湊值,並以不可變方式進行時間戳記和保存。此指紋將作為日後任何驗證的參考。

步驟2:簽署人驗證

根據所選簽名等級,驗證方式有所不同:

  • 簡單簽名(SES):電子郵件+簽名連結;
  • 進階簽名(AdES):強身份驗證(簡訊OTP、FIDO2行動應用);
  • 合格簽名(QES):事先身份驗證(面對面或視訊身份驗證IDV),發放一次性或持續合格憑證。

步驟3:密碼學簽名的建立

簽署人觸發簽名行為。平台或合格簽名設備:

  1. 計算文件的雜湊值;
  2. 用簽署人的私鑰加密該雜湊值;
  3. 將簽名和憑證集成入文件(以PAdES-LTV格式的簽署PDF,適合長期保存)。

步驟4:合格時間戳記

一個符合RFC 3161規範的合格時間戳記服務(TSA)施加密碼學時間戳記,證明簽名存在於特定時刻。這防止日期偽造並保證時間上的證明力 — 即使簽署人的憑證日後過期。

步驟5:司法保存

簽署文件與其完整稽核軌跡一同保存:簽署人身份、IP地址、時間戳記、文件雜湊值、使用的憑證。此證明卷宗(稽核軌跡)在司法爭議時至關重要。符合eIDAS的解決方案在PAdES-LTV(長期驗證)格式中保持這些證明,集成驗證資料以允許簽名後數年內的驗證。

如需瞭解如何在您的人力資源流程中集成此過程,請探索我們的人力資源電子簽名解決方案可下載的合約範本

適用於電子簽名的法律框架

電子簽名位於多層規範框架內,連接國家民法和協調的歐洲法律。

法國民法典

民法第1366條確定基本原則:「電子書面文件與紙質書面文件具有相同的證明力,條件是能適當識別其出處人,且其建立和保存方式足以保證其完整性。」第1367條明確電子簽名「在於使用可靠的識別程序,保證其與其所附文件的連結」。

2017年9月28日第n°2017-1416號法令為符合eIDAS的合格和進階簽名定義了可靠性推定。

eIDAS法規第910/2014號

歐洲數位信任法律框架的基石,eIDAS(電子身份識別、認證和信任服務)法規為電子簽名、電子印章、合格時間戳記、認證送達服務和網站認證憑證確立了統一的法律框架。其第25條第2款對合格簽名賦予了與手寫簽名在整個歐盟內等同的法律推定

eIDAS 2.0法規(預定於2026年第一季度進行轉置)透過歐洲數位身份錢包(EUDIW)強化這些規定,並將義務擴展至金融和衛生服務市場。

ETSI標準

簽名格式由ETSI標準化:

  • ETSI EN 319 132(XAdES)、EN 319 122(CAdES)、EN 319 102(PAdES)定義進階和合格簽名的技術配置;
  • ETSI EN 319 421規制合格時間戳記服務的政策。

GDPR和資料保護

在電子簽名框架中處理身份資料(姓名、電子郵件、身份驗證的生物識別)受GDPR第2016/679號約束。資料控制人必須:具有法律基礎(合法利益或合約執行)、應用資料最小化原則,並透過適當的技術措施(加密、假名化)保證安全。

NIS2指令

NIS2指令(2022/2555/EU)自2024年10月起已在法國轉置,要求關鍵基礎設施運營商和數位服務供應商(包括電子簽名提供者)在網路安全、風險管理和事件通知(24小時內)方面加強義務。違規可能面臨最高1000萬歐元或全球營業額2%的罰款。

電子簽名的具體使用場景

場景1:律師事務所自動化委任書簽署

一家擁有十二名合作律師的商業法律事務所月均處理約120份代理授權書。紙質流程涉及列印、郵寄或親自遞交,隨後掃描返回文件 — 每份文件平均延遲4.5個工作日,文件遺失率約8%。

透過部署進階簽名(AdES)和OTP認證,該事務所已將簽名延遲降至平均少於4小時,文件異常率降至少於1%,每年節省約2200歐元郵費和列印費。自動生成的稽核軌跡還簡化了兩項委任書爭議程序,提供了不可否認的時間戳記證據。探索我們法律事務所專用解決方案

場景2:中小企業數位化供應商合約

一家年均管理約200份供應商合約(採購通用條款、價格增補、保密協議)的工業中小企業面臨跨境簽署延遲可超三週,涉及德國和西班牙合作夥伴。不同司法管轄和缺乏相互承認減緩了談判。

透過採用由經eIDAS認證的合格信任服務提供者發放的合格簽名(QES),在三個國家均被自動承認且無需進一步公證,中小企業受益於跨境簽署的自動法律承認。平均簽署延遲已從18天降至2.5天。企業電子簽名詳細說明了採購團隊的這些優勢。

場景3:醫院集團保護患者知情同意

約800床的醫院集團需為臨床研究協議患者收集知情同意。紙質管理造成GDPR合規風險(文件存檔不當、日期不可追蹤)並使醫療人員用於行政任務。

透過集成簡單電子簽名(經簡訊代碼識別 — 對非合格行為要求而言充分),該集團已自動化同意收集、存檔和追蹤。每患者行政時間已從12分鐘降至少於2分鐘,每年解放約800小時醫療人員。所有文件以合格時間戳記保存,完全滿足CNIL要求。探索我們的衛生部門簽名解決方案

結論

瞭解電子簽名如何技術性地運作 — 從非對稱密碼學至公鑰基礎設施、從合格憑證至合格時間戳記 — 對於在合規性和運營效率方面做出明智選擇至關重要。三個eIDAS等級(簡單、進階、合格)符合不同需求,選擇應始終由法律風險分析和預期證明力指導。

Certyneo透過符合eIDAS的SaaS平台、經認證的合格信任服務提供者和簡化的現有流程集成來陪伴您完成此轉型。透過我們的電子簽名投資回報計算器估算您組織的潛在收益,或透過查閱我們的優惠和定價直接開始。合規性和績效不再是折衷方案。

免費試用 Certyneo

只需不到 5 分鐘,即可寄出您的第一個簽名信封。每月 5 個免費信封,無需信用卡。

免費開始使用查看價格方案
所有文章

深入探討主題

關於此主題的參考文章。

電子簽名如何運作?密碼學機制、身份認證、時間戳記、審計跡:逐步說明電子簽名的運作原理。房地產技術檢查:2026年DPE標準2026年DPE改革:新的能源等級、買賣和租賃時的強制診斷,以及報告的電子簽名。電子時間戳:定義和用途什麼是電子時間戳、它如何運作、何時符合資格,以及為什麼它能保護您的簽名。電子簽名在法國2026年的法律效力電子簽名是否真正擁有與手寫簽名相同的法律效力?了解2026年在法國適用的精確規則。

深入探討主題

我們的完整指南,協助您掌握電子簽章。

推薦文章

透過這些相關主題的文章,深化您的理解。

企業薪資管理完全指南:2026年版

薪資管理是任何企業的戰略支柱。探索2026年的義務、最佳實踐,以及無紙化如何改變此流程。

9 min

完整企業薪資管理:2026年指南

薪資管理是任何企業人力資源義務的核心。探索最佳實踐、2026年法律要求以及數位化如何簡化您的流程。

9 min

完整薪資單管理指南:2026年

薪資單管理正隨著數位化和新法律義務而快速演變。發現所有關鍵信息,確保2026年完全合規。

9 min