为了使数字签名作为签名的通用效能、约束和遭受诉讼时得到承认，除了准备必需的通用法律条件外别无选择。在 1995 年美国的犹他州首先在这个领域引入了法规，这一法规在许多其他国家中已经充当了立法的模型，包括德国的签名法。

　　 1997 年6月13日信息与通信法规总纲（IuKDC）在德国联邦立法委员会通过，1997年8月1日生效。这项法规的第3条就是数字签名法，为简明起见被称为签名法SigG（Signaturgesetz）。这一条被分为16款；第1款的第1段就叙述了签名法的目的，它宣称，“法规的目的是建立数字签名的通用条件，在此情况下它们被认为是安全的能使伪造的数字签名或窜改被可靠地检查出来”。这段话清楚地表明没有规定特殊的技术方案，只有关于使用数字签名的通用条件，作为一个必然的结果，法律的需求都是在比较抽象的水平上说明的。

　　德国签名法的基本需求如下：

　　·经营认证机构（即信用中心）要从负责的公共机构得到许可；

　　·任何人需要的证书必须经认证机构可靠地鉴别；

　　·签名密钥证书，可以具有密钥持有者的假名以代替真实的名字；

　　·假名后的真实名字作为对正式要求的回应必须由某公共机构予以揭示；

　　。认证机构必须使公开签名密钥证书能用某种方式可联机审查；

　　·在某些条件下，例如由于签名密钥持有人的请求，证书可被封锁；

　　·产生和验证数字签名的技术部件必须能清楚而毫不含糊地表示数字签名涉及的数据；

　　·经适当的协议后，其他国家的数字签名也可以在德国得到承认。

　　根据签名法，签名密钥证书通常遵照X，509标准制成，必须含有下列信息：

　　·签名密钥持有人的名字或假名；

　　·赋予签名密钥持有人的公开签名密钥；

　　·用于证书的指定的散列算法和签名算法；

　　·证书的顺序号；

　　·证书的开始有效和终止日期；

　　·证书机构的名称；

　　·限制对专门应用使用签名密钥的规定。

　　对数字签名应用的管制与解释不可能仅由法规处理。为此应有一个分层的需求，法律管制——签名法——处于最高层。它接以相关的实施准则，在德国被称为签名条令SigV（Signaturet，erordnung）。再下面的一层，它已经从技术上对数字签名用非常具体的术语做描述了，我们可以查阅方法目录。在德国，它们由远程通信和邮政服务的管理机构发行，这三层是对所有数字签名的应用所必须的，以便使数字签名在广度上能和常规签名等效，参看图1。

　　在方法层之下的是技术规范，它们以毫不含糊和无需解释的方式规定了具体的方案。规范依赖于所提及的应用运营者，而它们必须对准于三个较高的层次。然而，如果一项应用的运营者不需要数字签名具有法律约束的特性。自然可以用最能满足其目的方式来建立自己的系统，这指的是不适应于法律的方案，是适应法律的方案的对立面。

　　德国数字签名条令SigV（Signatu Veror·dnung）由联邦政府在1997年10月8日通过，1997年11月1日生效，含有数字签名法（SigG）的实施规则。对签名法的16款的每一款，它都含有比法律明显地不那么抽象的详细说明，下列说明都是SigV中所包含的：

　　图1  在德国对数字签名应用的需求的
　　层次结构（系统的需求按自顶向下
　　的方式形成，这就是说，较低层的
　　文档立足于在图中较高的层次）

　　·申请证书的人，必须用个人身份文档，护照或某些其他适当的方式来予以证实；

　　·数据介质（通常是有签名密钥的 智能卡 ）必须由个人安全保管，而有关的标识数据（诸如PIN）必须保持秘密；

　　·当一数字签名被验证时，在产生签名时的签名密钥证书的有效性也必须被验证，必须进行检查以了解对签名的应用有无任何限制；

　　·证书的有效期不能超过5年；

　　·对证书的闭锁是不能撤消的；

　　·必须产生具有适当安全方法的目录；

　　·认证机关（信用中心）必须经负责的公共机构审核；

　　·签名密钥必须以使两个密钥相同的概率接近于零的方式产生；

　　·不许复制签名密钥；

　　°对技术部件的所有安全性的修改必须得到所提及的使用人的确认；

　　·只有在对签名密钥的持有人验证了他的占有权和知识之后，才可以使用；

　　·在使用签名密钥时，它本身不可泄露；

　　·产生签名密钥的适当算法，签署的数据的散列值计算和产生以及数字签名的验证的列表由联邦政府公报刊登，同时将指出它们可以使用的时间区间；

　　·如果所签署的数据的有效时间长于批准的算法的准用时间，则数据必须在算法失效期之前重新签署并加盖时间印记；

　　·遵照法律的签名应用的基本部件必须按ITSEC准则的“高”强度机制予以测试，测试水平取决于各个部件以及它是如何使用的。表1列出了这些部件以及相关的测试水平。

　　表1  和数字签名有关的备个部件的测试水平

　　签名法和签名条令的方法目录规定了这种系统的技术需求，它们显然要比签名法具体得多。技术规范又是立足于方法目录的，它们详细规定了技术实现。在德国，最重要的数字签名的规范自然是DIN规范中标题为“遵照SigG和SigV功能的数字签名应用的智能卡 接口 规范”。 在DIN规范中处理了与签名卡有关的下列主题：

　　·复位应答（ATR）和协议类型选择；

　　·数据传输协议（T=0和T=I）；

　　·文件，数据对象和数据格式；

　　·持卡人的鉴别；

　　·签名的计算和验证；

　　·签名产生过程的记录；

　　。产生和验证签名的过程；

　　·和终端及相关命令序列的协作。

　　欢迎转载，信息来源维库 电子 市场网（ www.dzsc.com ）