电子签名和数字签名是一回事吗？：法律效力、技术原理与使用场景

在合同上画个签名图片，有法律效力吗？

越来越多的合同通过线上完成——劳动合同、租房协议、服务协议……很多人会把自己的签名做成图片，插入 Word 或 PDF，打印出来或者直接发给对方。

但心里总有个疑问：这样签的合同，真的算数吗？万一对方不认，怎么办？

要回答这个问题，得先搞清楚一个大多数人混淆的概念：电子签名≠数字签名。

这两个词经常被混用，但含义完全不同。

电子签名（Electronic Signature） 是一个法律概念，泛指一切以电子形式附在文件上、用于表达签署意愿的方式。范围很宽：

这些从技术上看都是电子签名。

数字签名（Digital Signature） 是一个技术概念，特指用非对称加密算法（RSA、ECDSA 等）生成的密码学签名。工作原理是：

数字签名能同时证明两件事：文件是谁签的（身份认证），以及文件签后有没有被改动（完整性验证）。这是图片签名做不到的。

简单说：数字签名是电子签名的一种实现方式，且是安全性最高的那种。 并不是所有电子签名都用了数字签名技术。

有，但有条件。

中国《电子签名法》（2005年施行，2019年修订）明确规定：可靠的电子签名与手写签名或者盖章具有同等法律效力。"可靠"的判断标准是：

通俗来讲：签名能证明是你签的，签完之后改了能被发现——满足这两点，法律就认可。

图片签名的问题在于：图片可以被任何人复制粘贴，无法证明是签署人本人操作；文件内容被修改后，签名图片也不会有任何变化。在发生争议时，举证很困难。

什么情况下图片签名风险可控？ 日常低风险场景，比如内部审批流程、非正式协议、对方可信任的情况下。涉及金额大、法律风险高的合同，建议用有资质的第三方电子签名平台（如法大大、契约锁等），它们使用的是基于数字证书的可靠电子签名。

有几类文件法律明确要求不能用电子签名：

虽然图片签名的法律效力有局限，但在实际使用中仍然非常普遍，关键是操作规范：

如果你需要生成一个签名图片，toolshu.com 的电子签名在线制作工具支持手写模式（鼠标或触屏）和字体生成模式，导出透明 PNG 直接可以拖进 Word 或 PDF，所有操作在浏览器本地完成，签名数据不会上传到服务器。

对开发者来说，数字签名不只是合同的事，在很多技术场景里同样关键：

代码签名：macOS 和 iOS 要求所有 App 必须有苹果颁发的数字签名，Windows 要求驱动程序有微软认可的签名。没有签名或签名过期，系统会拒绝运行或弹出安全警告。

HTTPS 证书：网站的 SSL/TLS 证书本质上是 CA（证书颁发机构）对网站公钥的数字签名，证明这个公钥确实属于这个域名。

JWT（JSON Web Token）：第三部分就是用服务器私钥生成的数字签名（参见之前关于 Base64 和 JWT 的文章），防止 token 被伪造或篡改。

软件包完整性：npm、pip、Maven 等包管理器都提供包签名机制，让你验证下载的包没有被中间人篡改。

Git 提交签名：用 GPG 对 git commit 签名，让代码提交可以被验证确实来自声称的作者，防止提交被伪造。