и руководство также доступны на веб-сайте NARA. Ссылки на федеральные постановления, публикации по управлению документами, бюллетени NARA и другие ценные ресурсы доступны по адресу http://www.archives.gov/records-mgmt/policy/index.html. Персоналу агентства, который ищет актуальную информацию и помощь в решении проблем с электронными записями, следует посетить сайт проекта Fast Track Guidance Development Project.). Проект Fast Track — это инициатива по предоставлению доступной информации в электронном виде агентствам, в то время как NARA продолжает разрабатывать более полные и долгосрочные решения.

Агентства также могут написать или позвонить для получения дополнительной информации:

Управление архивов — Вашингтон, округ Колумбия, программы Modern Records
Отдел управления жизненным циклом, NWML
Национальный архив в Колледж-Парке
8601 Адельфи-роуд
Колледж-Парк, Мэриленд 20740-6001
301 837-1738

Отдел управления жизненным циклом принимает и рассматривает все запросы на удаление документации, подаваемые в NARA федеральными агентствами, и проводит обучение управлению документами, доступное для всех федеральных служащих. Подразделение состоит из шести рабочих групп, каждая из которых отвечает за определенные федеральные агентства. Такая структура связи гарантирует, что агентства смогут обсудить вопросы, связанные с их документами, с кем-то, кто знаком с их агентством и их документами. Список рабочих групп и назначений агентств доступен. Имеется расписание занятий по делопроизводству.

за пределами Вашингтона, округ Колумбия, также могут связаться с персоналом по ведению документации в одном из региональных отделений службы документации NARA.Список этих объектов доступен в Интернете. Региональные отделения NARA также предлагают обучение управлению документами. Расписание региональных занятий доступно.

Агентства могут написать или позвонить для получения дополнительной информации о региональных службах записи NARA:

Офис региональных архивов, NR
Национальный архив в Колледж-Парке
8601 Адельфи-роуд
Колледж-Парк, Мэриленд 20740-6001
301 837-2950

* Адреса и номера телефонов веб-сайтов были обновлены 14. 11.02 в бюллетене NARA 2003-02.В Приложение А внесены дополнительные обновления 14.02.2006

Законы, правила и стандарты электронной подписи для правительства

В этом документе представлен обзор законов, положений и стандартов в отношении электронной подписи, которые применяются к правительственным организациям США, а также сертификаты, применимые к электронным подписям, PKI и учетным данным.

• Закон об упразднении государственных документов (GPEA) : Закон, подписанный в 1998 году, был принят для поощрения использования и принятия электронных записей и подписей в правительстве.Законодательство не предписывает конкретную форму электронной подписи, а скорее заявляет, что электронная подпись является «методом подписи электронного сообщения, который идентифицирует и удостоверяет личность конкретного человека как источника электронного сообщения; и указывает, что такое лицо одобряет информацию, содержащуюся в электронном сообщении ».
  
• Закон об электронных подписях в глобальной и национальной торговле (E-SIGN) : Федеральный закон об электронных подписях в глобальной и национальной торговле (ESIGN) дает юридическое признание электронных подписей и записей для удовлетворения «письменных» юридических требований к транзакциям, включая раскрытие информации, и разрешать организациям выполнять установленные законом требования к хранению записей исключительно за счет использования электронных записей.ESIGN требует согласия человека на ведение бизнеса в электронном виде.

• Национальный институт стандартов и технологий (NIST) : NIST — это федеральное агентство США, которое разрабатывает и продвигает стандарты для цифровых подписей и электронной аутентификации. 180-4 — это стандарт безопасного хеширования, определяющий пять алгоритмов для создания дайджеста сообщения. 186-4 — это стандарт цифровой подписи, используемый для цифровой подписи электронной записи или сообщения. FIPS 201-1 — это стандарт для проверки личности государственных служащих и подрядчиков. И наконец, что не менее важно, FIPS 140-2 — стандарт, определяющий требования безопасности, которым будет удовлетворять криптографический модуль, используемый в программном приложении, например электронные подписи.
  
• Joint Interoperability Testing Command (JITC) : JITC, действующий в рамках Управления информационных систем обороны, проводит независимое тестирование совместимости приложений с открытым ключом для использования с инфраструктурой открытого ключа DoD.JITC выдал OneSpan двенадцать сертификатов — процесс, включающий более 300 тщательных испытаний.
  
• Директива президента о внутренней безопасности 12 (HSPD 12) : HSPD-12 — это общий стандарт идентификации для федеральных служащих и подрядчиков, призванный повысить безопасность и защитить личную жизнь. Цель — согласованный подход к управлению учетными данными и доступом для обеспечения взаимодействия. В качестве программного продукта с открытым ключом решения OneSpan могут принимать цифровые сертификаты, соответствующие стандарту FIPS 201-1.

ПРИМЕЧАНИЕ: Приведенные выше ссылки не следует рассматривать как юридическое заключение. OneSpan рекомендует обратиться за профессиональной юридической консультацией по вопросам соблюдения нормативных требований и юридических вопросов.

Как работают цифровые подписи | DocuSign

Что такое цифровые подписи?

Цифровые подписи подобны электронным «отпечаткам пальцев». В форме закодированного сообщения цифровая подпись надежно связывает подписывающего с документом в записанной транзакции.Цифровые подписи используют стандартный общепринятый формат, называемый инфраструктурой открытых ключей (PKI), чтобы обеспечить высочайший уровень безопасности и всеобщее признание. Они представляют собой специфическую реализацию технологии подписи электронной подписи (eSignature).

В чем разница между цифровой подписью и электронной подписью?

Широкая категория электронных подписей (eSignatures) охватывает множество типов электронных подписей. В эту категорию входят цифровые подписи, которые представляют собой конкретную технологию реализации электронных подписей.И цифровые подписи, и другие решения для электронной подписи позволяют подписывать документы и аутентифицировать подписывающего лица. Однако существуют различия в назначении, технической реализации, географическом использовании, а также в юридическом и культурном признании цифровых подписей по сравнению с другими типами электронных подписей.

В частности, использование технологии цифровой подписи для электронных подписей значительно различается между странами, которые следуют открытым, технологически нейтральным законам об электронной подписи, включая США, Соединенное Королевство, Канаду и Австралию, и странами, которые следуют многоуровневым моделям электронной подписи, которые предпочитают локально определенные стандарты, основанные на технологии цифровой подписи, включая многие страны Европейского Союза, Южной Америки и Азии.Кроме того, некоторые отрасли также поддерживают определенные стандарты, основанные на технологии цифровой подписи.

Хотите подписаться онлайн, но не нуждаетесь в цифровой подписи?

Подробнее об электронных подписях

Как работают цифровые подписи?

Цифровые подписи, как и собственноручные подписи, уникальны для каждого подписавшего. Поставщики решений для цифровой подписи, такие как DocuSign, используют специальный протокол, называемый PKI.PKI требует, чтобы провайдер использовал математический алгоритм для генерации двух длинных чисел, называемых ключами. Один ключ является открытым, а другой — частным.

Когда подписывающая сторона подписывает документ электронным способом, подпись создается с использованием закрытого ключа подписывающей стороны, который всегда надежно хранится подписывающей стороной. Математический алгоритм действует как шифр, создавая данные, соответствующие подписанному документу, называемые хешем, и шифруя эти данные. Полученные зашифрованные данные представляют собой цифровую подпись. В подписи также указывается время подписания документа. Если документ изменяется после подписания, электронная подпись становится недействительной.

Например, Джейн подписывает договор о продаже таймшера, используя свой закрытый ключ. Покупатель получает документ. Покупатель, получивший документ, также получает копию открытого ключа Джейн. Если открытый ключ не может расшифровать подпись (с помощью шифра, на основе которого были созданы ключи), это означает, что подпись не принадлежит Джейн или была изменена с момента ее подписания. В этом случае подпись считается недействительной.

Для защиты целостности подписи PKI требует, чтобы ключи создавались, обрабатывались и сохранялись безопасным способом, и часто требует услуг надежного центра сертификации (CA). Поставщики цифровой подписи, такие как DocuSign, соответствуют требованиям PKI для безопасной цифровой подписи.

Начать работу

Нужно поговорить с кем-нибудь или иметь более 10 пользователей?

Хотите попробовать DocuSign бесплатно? Получите бесплатную 30-дневную пробную версию.

Часто задаваемые вопросы о цифровой подписи

Как создать цифровую подпись?

Провайдеры электронной подписи, такие как DocuSign, которые предлагают решения на основе технологии цифровой подписи, упрощают создание цифровой подписи для документов. Они предоставляют интерфейс для отправки и подписания документов в Интернете и работают с соответствующими центрами сертификации для предоставления надежных цифровых сертификатов.

В зависимости от того, какой центр сертификации вы используете, от вас может потребоваться предоставить конкретную информацию.Также могут быть ограничения и ограничения в отношении того, кому вы отправляете документы на подпись, и в каком порядке вы их отправляете. Интерфейс DocuSign проведет вас через процесс и обеспечит соответствие всем этим требованиям. Когда вы получаете документ для подписи по электронной почте, вы должны пройти аутентификацию в соответствии с требованиями центра сертификации, а затем «подписать» документ, заполнив онлайн-форму.

Что такое инфраструктура открытых ключей (PKI)?

(PKI) — это набор требований, которые позволяют (среди прочего) создавать цифровые подписи.Через PKI каждая транзакция с цифровой подписью включает пару ключей: закрытый ключ и открытый ключ. Закрытый ключ, как следует из названия, не является общим и используется только подписывающим лицом для электронной подписи документов. Открытый ключ находится в открытом доступе и используется теми, кому необходимо проверить электронную подпись подписывающего лица. PKI обеспечивает соблюдение дополнительных требований, таких как центр сертификации (CA), цифровой сертификат, программное обеспечение для регистрации конечных пользователей и инструменты для управления, обновления и отзыва ключей и сертификатов.

Что такое центр сертификации (ЦС)?

Цифровые подписи основаны на открытых и закрытых ключах. Эти ключи должны быть защищены, чтобы обеспечить безопасность и избежать подделки или злонамеренного использования. Когда вы отправляете или подписываете документ, вам нужна уверенность в том, что документы и ключи созданы безопасно и что они используют действительные ключи. Центры сертификации, один из поставщиков доверенных услуг, представляют собой сторонние организации, которые широко признаны надежными для обеспечения безопасности ключей и могут предоставлять необходимые цифровые сертификаты.И организация, отправляющая документ, и подписывающий его получатель, должны согласиться на использование данного ЦС.

DocuSign также является центром сертификации, когда подписывающие стороны подписывают документы с использованием цифровой подписи DocuSign Express. Это означает, что вы всегда можете отправить документ с цифровой подписью, используя DocuSign в качестве центра сертификации. Кроме того, вы можете безопасно создать свой собственный центр сертификации с помощью DocuSign Signature Appliance и по-прежнему получать доступ к богатым функциям облачных сервисов DocuSign для управления транзакциями. Некоторые организации или регионы полагаются на другие известные центры сертификации, и платформа DocuSign также поддерживает их.К ним относятся OpenTrust, который широко используется в странах Европейского Союза, и SAFE-BioPharma, который является удостоверением личности, которое организации в области биологии могут использовать.

См. Полный список поддерживаемых нами центров сертификации.

Зачем мне использовать цифровую подпись?

Во многих отраслях и географических регионах установлены стандарты электронной подписи, основанные на технологии цифровой подписи, а также определенные сертифицированные центры сертификации для деловых документов.Следование этим местным стандартам, основанным на технологии PKI, и работа с доверенным центром сертификации может гарантировать применимость и признание решения электронной подписи на каждом местном рынке. Используя методологию PKI, цифровые подписи используют международную, хорошо понятную и основанную на стандартах технологию, которая также помогает предотвратить подделку или изменение документа после подписания.

Какие решения для цифровой подписи предлагает DocuSign?

DocuSign подписи на основе стандартов позволяют автоматизировать и управлять целыми цифровыми рабочими процессами, используя мощные бизнес-возможности DocuSign, при этом соблюдая местные и отраслевые стандарты электронной подписи, включая CFR Часть 11 и правила ЕС eIDAS.В ЕС DocuSign предоставляет все типы подписей, определенные в eIDAS, включая усовершенствованные электронные подписи ЕС (AdES) и квалифицированные электронные подписи ЕС (QES).

Имеют ли юридическую силу электронные подписи, основанные на технологии цифровой подписи?

Да. ЕС принял Директиву ЕС об электронных подписях в 1999 году, а Соединенные Штаты приняли Закон об электронных подписях в глобальной и национальной торговле (ESIGN) в 2000 году. Оба закона сделали подписанные электронным способом контракты и документы, имеющие обязательную юридическую силу, например, бумажные контракты.С тех пор законность электронных подписей неоднократно подтверждалась.

К настоящему времени большинство стран приняли законы и постановления по образцу Соединенных Штатов или Европейского Союза, с предпочтением во многих регионах ЕС. модель локально управляемых электронных подписей на основе технологии цифровой подписи. Кроме того, многие компании улучшили соблюдение правил, установленных в их отраслях (например, FDA 21 CFR Part 11 в области наук о жизни), что было достигнуто за счет использования технологии цифровой подписи.Эти отраслевые и отраслевые правила постоянно развиваются, ключевым примером которых является положение об электронных идентификационных и доверительных услугах (eIDAS), которое недавно было принято в Европейском Союзе.

Что такое цифровой сертификат?

Цифровой сертификат — это электронный документ, выпущенный центром сертификации (ЦС). Он содержит открытый ключ для цифровой подписи и определяет идентификатор, связанный с ключом, например, название организации.Сертификат используется для подтверждения принадлежности открытого ключа конкретной организации. ЦС выступает в качестве гаранта. Цифровые сертификаты должны быть выпущены доверенным центром и действительны только в течение определенного времени. Они необходимы для создания цифровой подписи.

Руководство правительства Канады по использованию электронных подписей

Из Казначейства Секретариата Канады

1.0 — Первая публикация — 15 июля 2019

Уведомление

В сентябре 2017 года TBS предоставила инструкции по электронной подписи всем сотрудникам службы безопасности департамента по электронной почте.Это руководство по-прежнему применяется и должно считаться неотъемлемой частью этого документа. Этот документ дополняет и расширяет это руководство. Руководство, выпущенное в сентябре 2017 года, представлено в Приложении D для удобства. Этот руководящий документ предназначен для отделов и агентств GC, рассматривающих возможность использования электронных подписей для поддержки своей повседневной деловой активности. Это «живой» документ, который со временем будет развиваться в ответ на извлеченные уроки, изменения в соответствующих законодательных требованиях или будущие технологические достижения в области электронной подписи.Следует отметить, что ничто, указанное в этом документе, не предназначено для замены или отмены существующего законодательства или политики. Любые такие расхождения должны быть доведены до сведения Управления Главного информационного директора Министерства финансов Канады по адресу [email protected].

На этой странице

1. Введение

1.1. Фон

В соответствии с целями инициативы правительства Канады ( GC ’s) в области цифрового правительства, GC продолжает:

• оптимизировать внутренние и внешние бизнес-процессы
• улучшить качество обслуживания канадцев

GC может достичь этих целей отчасти за счет замены бумажных процессов на более современные, быстрые и простые в использовании электронные методы.

В концепции ведения бизнеса в электронном виде нет ничего нового. Ряд юрисдикций, в том числе ГК и провинции и территории Канады, с середины 1990-х годов разработали законы, политику и стандарты для электронных документов и электронных подписей (электронных подписей). Эти законы:

• полагаться на международно признанные правила для создания более определенной правовой среды для электронных коммуникаций и электронной коммерции
• признает, что электронные сообщения не должны лишаться юридической силы только потому, что они находятся в электронной форме.

Независимо от того, является ли подпись бумажной или электронной, основное назначение подписи одинаково.Подпись связывает человека с документом (или транзакцией) и обычно служит доказательством намерения этого лица утвердить или быть юридически связанными его содержанием. Основная функция подписи — предоставить свидетельство подписавшего:

• идентификационный номер
• намерение подписать
• согласие на обязательность содержания документа

Требование подписи может быть:

• введено постановлением парламента
• наложено политикой
• обычная практика

Подпись может быть подписью государственного служащего или представителя общественности (физического лица или представителя бизнеса).

В контексте федерального правительства подпись может потребоваться для:

• выраженное согласие, одобрение, согласие, принятие или разрешение повседневной деловой активности (например, для утверждения запроса на отпуск или официального согласия с условиями контракта)
• подчеркнуть важность транзакции или события или подтвердить, что транзакция или событие произошло, например, подтверждение того, что предложение подрядчика было получено к крайнему сроку
• обеспечивает аутентификацию источника и целостность данных, например подтверждение того, что уведомление, связанное с общественным здравоохранением, было отправлено Министерством здравоохранения Канады и не было изменено.
• удостоверяет содержание документа (то есть документ соответствует определенным требованиям или был соблюден определенный процесс)
• подтвердить, что информация, содержащаяся в документе, является достоверной или точной.
• поддерживает стороннюю аттестацию, например, для функции электронного нотариуса
• поддерживает подотчетность, например, возможность отслеживать действия людей

В некоторых случаях требуется возможность поддержки электронных подписей более чем одного человека. Это требование может быть выполнено несколькими способами, в том числе с помощью электронной почты или системы управления рабочим процессом.

1.2. Назначение и сфера применения

В этом документе содержится руководство по использованию электронной подписи для поддержки повседневной деловой активности GC. Он призван уточнить:

• что такое электронная подпись
• какие формы электронной подписи подходят в контексте хозяйственной деятельности

Настоящий документ , а не :

• заменяет юридическую консультацию (владельцы бизнеса всегда должны консультироваться со своим юрисконсультом)
• основа для защиты конфиденциальной информации от несанкционированного раскрытия (в этом документе не рассматриваются требования конфиденциальности)

1.3. Предполагаемая аудитория

Это руководство предназначено для отделов GC. ^{Footnote 1} , которые изучают возможность использования электронных подписей для поддержки своей повседневной деловой активности.

2. Контекст электронных подписей

2.1. Законы об электронной подписи

Юрисдикции по всему миру приняли законы, признающие действительность электронных документов и электронных подписей. Хотя рамки и определения различаются в зависимости от юрисдикции, их принципы в основном одинаковы.В Приложении А перечислены некоторые из этих источников и связанные с ними определения.

В Канаде часть 2 Закона о защите личной информации и электронных документах ( PIPEDA ) предусматривает режим, устанавливающий электронные эквиваленты бумажных документов и подписей на федеральном уровне. В части 2 PIPEDA электронная подпись определяется как «подпись, состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенных в электронный документ, прикрепленных к нему или связанных с ним.По сути, электронная подпись может быть практически любой формой электронного представления, которое может быть связано или прикреплено к электронному документу или транзакции, включая:

• аутентификация пользователя во внутреннем приложении для утверждения чего-либо, например, когда супервизор входит в приложение, чтобы утвердить запрос на отпуск
• с помощью стилуса на сенсорном экране планшета написать подпись от руки и записать ее в электронном виде
• набранное имя или блок подписи в электронном письме
• аутентификация пользователя для доступа к веб-сайту в сочетании с щелчком мыши на какой-либо кнопке подтверждения для фиксации намерения
• отсканированная рукописная подпись на электронном документе
• звук, например записанная голосовая команда (например, словесное подтверждение в ответ на вопрос)

Также бывают случаи, когда часть 2 PIPEDA требует использования определенного класса электронных подписей, называемых «защищенной электронной подписью». «Безопасная электронная подпись — это форма электронной подписи, основанная на асимметричной криптографии. Конкретные случаи использования, когда часть 2 PIPEDA требует безопасной электронной подписи:

• документов, используемых в качестве доказательства или доказательства (см. PIPEDA Часть 2, раздел 36)
• уплотнения (см. PIPEDA Часть 2, раздел 39)
• оригиналов документов (см. PIPEDA Часть 2, раздел 42)
• заявлений, сделанных под присягой (см. ПИПЕДА часть 2, раздел 44)
• утверждений, объявляющих истину (см. PIPEDA Часть 2, раздел 45)
• подписей свидетелей (см. PIPEDA Часть 2, раздел 46)

Хотя Часть 2 PIPEDA устанавливает пункты для общего применения, многие из электронных эквивалентов, описываемых в ней, основаны на структуре «согласия».Следовательно, такие положения не применяются к департаментам и агентствам, если они не решат принять участие и перечислить федеральный закон или положение, которое включает подпись (или другое применимое требование) в Приложении 2 или Приложении 3 PIPEDA. ^{Сноска 2}

За прошедшие годы, вместо того чтобы выбирать PIPEDA, несколько департаментов и агентств внесли поправки в свои собственные уставы, чтобы внести ясность в отношении электронных подписей и электронных документов в целом. Например, Министерство занятости и социального развития Канады решило эту проблему через:

Соответствующие федеральные постановления (которые были приняты до вступления в силу PIPEDA):

Оба эти правила устанавливают требование поддержки цифровых подписей в связи с онлайн-электронными переводами.Правила о безопасной электронной подписи ^{Сноска 4} также использует термин «цифровая подпись» в своем определении безопасной электронной подписи. Таким образом, с технической точки зрения цифровая подпись и безопасная электронная подпись по сути одинаковы, поскольку обе:

• — это форма электронной подписи на основе асимметричной криптографии
• полагается на инфраструктуру открытых ключей ( PKI ) для управления соответствующими закрытыми ключами подписи и общедоступными сертификатами проверки

Тем не менее, Правила о безопасной электронной подписи ( SES Rules) идут дальше в нескольких отношениях, в том числе:

• раздел 2 Регламента SES предписывает особый асимметричный алгоритм для поддержки цифровых подписей
• , раздел 4 Регламента SES указывает, что выдающий удостоверяющий центр (CA) должен быть признан Министерством финансов Канады, подтверждая, что CA «имеет возможность выпускать сертификаты цифровой подписи безопасным и надежным способом. ” ^{Сноска 5}
• , раздел 5 Регламента SES включает презумпцию того, что при отсутствии доказательств обратного электронные данные были подписаны лицом, которое указано в сертификате цифровой подписи или которое может быть идентифицировано с помощью этого сертификата.

2.2. Определение того, когда следует использовать электронную подпись

Как уже упоминалось, есть случаи, когда закон (или политика) определяет:

• требование электронной подписи
• тип необходимой электронной подписи

Также есть случаи, когда:

• требование закона только подразумевается
• необходимость подписи установлена ​​по иной, не законодательной причине
• в любом случае тип электронной подписи может быть неуказанным или неясным

На рис. 1 показаны шаги по определению того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.Хотя на Рисунке 1 подчеркивается важность получения юридической консультации на протяжении всего процесса, обратите внимание, что различные шаги, показанные на Рисунке 1, необходимо будет выполнять в сотрудничестве с другим ключевым персоналом, где это необходимо, как указано в Приложении D. Кроме того, этот документ предлагает руководство по оценка уровней доверия (см. подраздел 2.3), которые можно использовать:

• при отсутствии определенных требований законодательства или политики
• , если требования к внедрению электронной подписи не указаны или неясны

На рисунке 1 показаны шаги для определения того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.На рисунке представлена ​​блок-схема процесса, представляющая следующие шаги:

• Шаг 1. Определите бизнес-требования
• Шаг 2: проинформированный юрисконсультом, определите, указано ли требование подписи в существующем законодательстве или политике, и если да, перейдите к Шагу 3; если нет, переходите к шагу 4
• Шаг 3: проинформированный юрисконсультом, определите, идентифицируется ли также тип электронной подписи, и, если да, перейдите к Шагу 6; если нет, переходите к шагу 5.
• Шаг 4: проинформировав юрисконсульта и данного руководящего документа, определите, существует ли неявное требование или другая законная деловая причина для подписи, и, если да, перейдите к шагу 5; в противном случае нет необходимости внедрять электронную подпись для идентифицированного бизнес-требования
• Шаг 5: определите тип электронной подписи, необходимой для информирования юрисконсульта, оценки уровня уверенности и настоящего руководства, и перейдите к шагу 6
• Шаг 6: внедрить идентифицированное решение электронной подписи с последующей повторной оценкой со временем

2.3. Оценка уровней доверия

Руководство по определению требований к аутентификации описывает методологию определения минимального уровня гарантии ^{Сноска 6} , необходимого для достижения целей программы, предоставления услуги или надлежащего выполнения транзакции.

Эта методология может применяться в контексте электронных подписей. ^{Сноска 7} При оценке уровней доверия следует учитывать влияние угроз, например:

• выдача себя за другое лицо (подписывающее лицо не то, за кого себя выдает)
• отказ от авторства (подписывающий пытается отрицать, что он создал электронную подпись)
• потеря целостности данных (электронные данные были изменены с момента подписания)
• превышение полномочий (подписывающая сторона не уполномочена подписывать связанные электронные данные)

После завершения оценки и определения требований к уровню доверия можно выбрать и внедрить процедурные и технические средства контроля.Руководство по внедрению, основанное на каждом уровне гарантии, приведено в Разделе 3: Руководство по внедрению электронной подписи.

3. Руководство по внедрению электронной подписи

Как упоминалось в Разделе 2, особенности внедрения электронных подписей могут:

• требуется законом или политикой
• определяется в результате оценки уровня доверия и других инструментов

В зависимости от контекста деловой активности или транзакции, вопросы реализации могут включать следующее:

• причина или контекст для электронной подписи ясны (подпись предназначена для утверждения, согласия, согласия, авторизации, подтверждения, подтверждения, свидетельства, нотариального заверения, удостоверения или другой цели)
• очевидно, что физическое лицо (лица) понимает, что они подписывают электронные данные (указание на намерение подписать)
• уровень аутентификации соизмерим с соответствующим уровнем доверия
• физическое лицо (лица) имеет право подписывать электронные данные
• метод, используемый для установления электронной подписи, соизмерим с соответствующим уровнем доверия
При необходимости фиксируется следующая вспомогательная информация
• :
  • дата и время подписания электронных данных
  • свидетельство того, что подпись действительна на момент ее подписания
• электронная подпись и вспомогательная информация связаны с подписанными электронными данными, и целостность этой информации поддерживается с использованием методов, соизмеримых с соответствующим уровнем гарантии
• возможность проверки электронной подписи поддерживается с течением времени

Обратите внимание, что требования, связанные с каждой из этих областей, будут варьироваться в зависимости от уровня гарантии, необходимого для электронной подписи, как обсуждается в следующих подразделах.

3.1. Соображения по аутентификации пользователей

Как отмечалось ранее, привязка лиц к подписанной электронной записи является одним из основных требований к электронной подписи, и поэтому уровень гарантии процесса аутентификации и электронной подписи тесно связаны. Текущее руководство GC по аутентификации пользователей включает следующее:

По сути, уровень доверия, необходимый для электронной подписи, диктует уровень доверия, необходимый для аутентификации пользователя, который, в свою очередь, диктует уровень доверия, необходимый для подтверждения личности и подтверждения учетных данных.Перечисленные выше руководящие документы следует использовать для определения конкретных требований на каждом уровне доверия на основе следующих рекомендаций:

• при Уровне доверия 1 :
• при Уровне доверия 2 :
  • должны выполняться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 2
  • любой из типов токенов, указанных в ITSP. 030.31 для уровня доверия 2 или выше может использоваться для аутентификации
• при Уровне доверия 3 :
  • должны выполняться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 3
  • требуется двухфакторная аутентификация (дополнительную информацию см. В Приложении B)
• при уровне доверия 4 :
  • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 4
  • необходимо использовать многофакторное криптографическое аппаратное устройство, такое как смарт-карта

Дополнительная информация о факторах аутентификации и типах токенов, связанных с аутентификацией пользователя, представлена ​​в Приложении B.

3.2. Определение метода, который будет использоваться для реализации электронных подписей

В Разделе 2 обсуждались различные формы электронных подписей. В этом разделе указывается тип электронной подписи, рекомендуемый на каждом уровне доверия.

Рекомендации по электронной подписи на каждом уровне доверия следующие:

• на уровне доверия 1, допустимы любые типы электронной подписи
• на уровне гарантии 2, любой тип электронной подписи может использоваться в сочетании с требованиями аутентификации для уровня гарантии 2 или выше.
• на уровне гарантии 3, некриптографическая электронная подпись может использоваться в сочетании с приемлемой двухфакторной аутентификацией, или цифровая подпись или безопасная электронная подпись может быть предпочтительнее в некоторых обстоятельствах, в зависимости от целевой среды и мер безопасности. которые на месте
• на уровне гарантии 4, требуется безопасная электронная подпись в сочетании с аппаратным устройством многофакторного шифрования.

С технической точки зрения, электронная подпись на более высоком уровне доверия может также использоваться на более низких уровнях доверия (например, электронная подпись уровня 3 может также использоваться для поддержки требований к электронной подписи уровня 1 и 2. ).Однако другие факторы, такие как стоимость, удобство использования и эксплуатационные требования, также должны быть приняты во внимание для определения наиболее разумного подхода.

3.3. Подтверждающая информация

Как обсуждалось в подразделе 2.1, электронная подпись — это любое электронное представление, где:

• личность человека, подписывающего данные, может быть связана с электронными данными, которые подписываются
• намерение физического лица подписать электронную запись передано каким-либо образом
• причина подписания электронных данных передается каким-либо образом

Могут быть требования о включении другой вспомогательной информации, например, времени подписи электронных данных.

Дополнительная информация, рекомендуемая на каждом уровне доверия, следующая:

• при уровне доверия 1 , вспомогательная информация должна включать:
  • электронная подпись
  • подписанные электронные данные
  Обратите внимание, что эта информация может быть неявно идентифицирована в зависимости от типа электронной транзакции.

• при уровне доверия 2 , вспомогательная информация должна включать:
  • метод аутентификации
  • электронная подпись
  • подписанные электронные данные
  • отметка времени, основанная на стандартном времени локальной системы, которая указывает время, когда электронные данные были подписаны
  Обратите внимание, что некоторая часть этой информации может быть неявно идентифицирована в зависимости от типа электронной транзакции

• при Уровне гарантии 3 вспомогательная информация будет зависеть от типа электронной подписи:
  • для электронной подписи, не основанной на криптографии, вспомогательная информация должна включать ту же информацию, что и для уровня доверия 2
  • для цифровых подписей или защищенных электронных подписей вспомогательная информация должна включать:
  • свидетельство о поверке
  • путь сертификации
  • , связанная информация об отзыве или статус на момент подписания электронных данных
• на уровне доверия 4 , дополнительная информация:
  • — это то же самое, что цифровая подпись или безопасная электронная подпись на уровне гарантии 3
  • также должен включать безопасную метку времени. ^{Сноска 8}

Другая вспомогательная информация также может потребоваться для удовлетворения конкретных потребностей бизнеса.

3.4. Системная и информационная целостность

Целостность системы и информации — еще один ключевой фактор, который применяется к:

• исходные подписанные электронные данные
• электронная подпись
• любая другая подтверждающая информация, которая может быть связана с электронной транзакцией (обсуждается в подразделе 3.3 настоящего документа).

Кроме того, целостность связи между всеми этими элементами должна оставаться неизменной с течением времени.Некоторые из этих элементов могут быть захвачены и защищены различными способами, включая использование журналов системного аудита и или как часть цифровой подписи или безопасной электронной подписи. Вся вспомогательная информация, независимо от того, где и как она хранится, вместе называется записью транзакции.

Ожидается, что будут введены определенные меры безопасности системы и целостности информации для защиты целостности:

• электронные операции
• записи транзакции

ITSG-33, Приложение 1, определяет три уровня целостности: низкий, средний и высокий.В этом документе предполагается, что системы и информация GC будут защищены на среднем уровне целостности. Профиль Protected B, средняя целостность и средняя доступность, определенный в ITSG-33, Приложение 4A, Profile 1, следует использовать для определения минимальных мер безопасности, которые должны быть в наличии, особенно в отношении следующих семейств мер безопасности:

• контроль доступа (AC)
• аудит и отчетность (AU)
• идентификация и аутентификация (IA)
• целостность системы и информации (SI)

Рекомендации по требованиям целостности на каждом уровне доверия следующие:

• при уровне доверия 1 , применяется средний уровень целостности; однако нет необходимости вести или хранить записи транзакций

• при Уровне доверия 2 :
  • средняя целостность применяется к электронной транзакции и записи транзакции
  • , запись транзакции должна быть сохранена в соответствии с требованиями уровня доверия 2 в ITSP. 30.031 (см. Таблицу 9, столбец «Хранение записей») или применимым законодательством, политикой или бизнес-требованиями
• при Уровне доверия 3 :
  • Средняя целостность применяется к электронной транзакции и записи транзакции
  • при использовании цифровой подписи или безопасной электронной подписи, по крайней мере, некоторые из требований целостности будут поддерживаться самой подписью, включая целостность подписанных электронных данных
  Алгоритмы
  • и соответствующие длины ключей, одобренные канадским ведомством безопасности ( CSE ), должны использоваться в соответствии с требованиями ITSP.40.111 ( PDF , 544 КБ)
  • любые вспомогательные элементы, целостность которых явно не защищена цифровой подписью или безопасной электронной подписью, должны регистрироваться в журнале аудита.
  Записи транзакций
  • должны храниться в соответствии с требованиями Уровня гарантии 3 в ITSP. 30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованиями
  .
• при уровне доверия 4 :
  • безопасная электронная подпись, применяемая лицом, подписывающим электронные данные, защищает подписываемые электронные данные, а сочетание факторов защищает сам процесс подписи
  • требуется безопасная метка времени, которая может быть предоставлена ​​доверенной третьей стороной
  • Утвержденные CSE алгоритмы и соответствующие длины ключей должны использоваться в соответствии с требованиями ITSP.40.111 ( PDF , 544 КБ)
  Записи транзакций
  • должны храниться в соответствии с требованиями Уровня уверенности 4 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованиями

3.

Для некриптографических электронных подписей ожидается, что вся информация, необходимая для проверки подписи, будет доступна до тех пор, пока запись должна храниться.Электронная подпись должна быть проверена и подтверждена с течением времени.

Для цифровой подписи или безопасной электронной подписи существует ряд шагов, чтобы гарантировать, что операция подписи выполняется с законными учетными данными во время подписания электронной записи. Эти шаги включают проверку того, что сертификат открытого ключа соответствует закрытому ключу подписи:

• находится в пределах указанного срока действия
• не отозван
• успешно соединяется с признанным якорем доверия

Однако со временем некоторые аспекты проверки, которые были на месте, когда была подписана электронная запись, могут измениться.Например, срок действия сертификата открытого ключа может истечь или он может быть отозван. Кроме того, достижения в области криптографии и вычислительных возможностей могут сделать криптографический алгоритм (или соответствующую длину ключа), используемый для выполнения операции подписи, уязвимым в какой-то момент в будущем.

Именно здесь становится важна концепция долгосрочной проверки ( LTV ). Поскольку обстоятельства со временем изменятся, важно криптографически привязать определенную информацию к первоначально подписанному электронному документу или записи.К такой информации относятся:

• время подписания электронного документа или записи
• сертификаты открытого ключа, необходимые для проверки подписи
• связанная информация о статусе отзыва сертификата на момент подписания электронной записи

Процедура LTV может быть рекурсивной, чтобы учитывать изменения обстоятельств в течение длительного периода, так что первоначально подписанный электронный документ или запись могут быть проверены в течение многих лет или даже десятилетий. Технические спецификации были разработаны для поддержки LTV на основе следующего формата или синтаксиса электронного документа или записи:

• Стандарты расширенной электронной подписи формата переносимых документов ( PAdES )
• Стандарты расширенной электронной подписи расширяемого языка разметки ( XAdES )
• Стандарты расширенной электронной подписи синтаксиса криптографических сообщений ( CAdES )

Еще одно соображение — это изменение формата исходного электронного документа или записи с данными, например, когда он конвертируется для долгосрочного архивирования.Изменение формата сделает исходную цифровую подпись или безопасную электронную подпись недействительной, поскольку проверка целостности встроенных данных завершится ошибкой. На самом деле подпись может быть вообще удалена из-за конвертации. В некоторых случаях можно создать новую цифровую подпись или безопасную электронную подпись (например, используя надежный источник для проверки того, что преобразованный контент был изначально подписан определенным лицом в определенное время). Другое возможное решение — принять стандарты, специально разработанные для решения проблем LTV, например PDF / A-2.Однако такие варианты могут быть возможны не при всех обстоятельствах, и может потребоваться другое решение, такое как сохранение метаданных, которые указывают обстоятельства, при которых исходный контент был подписан (например, кто его подписал, когда он был подписан и т. Д.) .

Хотя ожидается, что это будет крайне редко, могут быть случаи, когда сертификат открытого ключа отзывается с датой и временем недействительности, установленными на какое-то время в прошлом. Это могло быть связано с несколькими причинами, включая обнаружение того, что закрытый ключ подписи был скомпрометирован, но компрометация не была обнаружена до определенного момента в будущем. Это может означать, что цифровая подпись или безопасная электронная подпись, которая считалась действительной на момент ее создания, на самом деле недействительна, так как статус сертификата должен был быть аннулирован во время подписания электронного документа или записи. В этом случае необходимо предпринять процедурные шаги (которые выходят за рамки данного документа), чтобы определить, была ли подпись создана заявленным лицом и при соответствующих обстоятельствах.

3,6. Использование сторонних поставщиков услуг

Сторонние поставщики услуг предлагают различные формы услуг электронной подписи, которые GC может использовать при соответствующих обстоятельствах.Владельцы бизнеса должны оценить, можно ли использовать сторонние услуги на основании:

• особые бизнес-требования
• связанных минимальных уровней доверия

Кроме того, сторонние решения должны основываться на принятых в отрасли стандартах. По возможности следует избегать проприетарных решений, чтобы предотвратить привязку к поставщику и способствовать взаимодействию.

Есть ряд причин, по которым могут быть рассмотрены услуги, предоставляемые третьими сторонами.Например, сторонний поставщик может предложить подходящий продукт рабочего процесса, который отвечает потребностям отдела (то есть поддерживает заданное бизнес-требование и отвечает требованиям электронной подписи и аудита). Другой пример: поставщик облачных услуг предлагает приемлемые возможности электронной подписи для поддержки приложения GC, размещенного в облаке.

Еще одно соображение — когда GC взаимодействует с внешними организациями и частными лицами. Цифровые подписи, созданные GC, должны быть проверены этими внешними объектами, и поэтому необходимо будет использовать сертификаты, выпущенные CA, которые распознаются внешними по отношению к GC. ^{Footnote 9} Также могут быть обстоятельства, когда цифровая подпись создается внешним объектом, который также должен быть распознан GC.

4. Резюме

Этот документ направлен на разъяснение практики интерпретации и реализации использования электронных подписей. Его цель — предоставить экономичные и разумные решения, которые улучшат взаимодействие с пользователем и сократят время, необходимое для выполнения повседневных деловых операций, где электронные подписи могут применяться вместо бумажных подходов.

Таблица 2 обобщает рекомендации, представленные в разделе 3 этого документа на каждом уровне доверия для:

• минимум допустимый тип электронной подписи
• уровней аутентификации
• требования к отметке времени
• вспомогательная информация, рекомендуемая на каждом уровне доверия
• Требования к целостности системы и информации
• периодов хранения записей транзакций

Таблица 2: рекомендации по внедрению электронных подписей

	Тип электронной подписи	Уровень аутентификации	Требование отметки времени	Дополнительная информация	Целостность системы и информации	Срок хранения записи транзакции
Примечания к таблице 2 Таблица 2 Примечание 1 Выбор конкретного метода электронной подписи и связанных требований к реализации, предлагаемых на этом уровне (как указано в этой строке), должен определять владелец бизнеса. Для некриптографических электронных подписей на уровне гарантии 3 могут потребоваться дополнительные меры по снижению риска. Если программный токен на основе PKI используется для поддержки требования электронной подписи, процесс аутентификации должен быть дополнен соответствующим вторым токеном аутентификации. Вернуться к таблице 2 примечание 1 реферер Таблица 2 Примечание 2 На этом уровне гарантии должно использоваться многофакторное аппаратное криптографическое устройство.Хотя устройство с многофакторным одноразовым паролем соответствует требованиям аутентификации для уровня надежности 4, оно не имеет необходимых функций для поддержки безопасной электронной подписи. Вернуться к таблице 2 примечание 2 реферер
Уровень доверия 1	Э-подпись	Любая форма аутентификации	Нет условий	электронная подпись, подписанные данные	Средняя целостность	Нет условий
Уровень доверия 2	Э-подпись	Уровень доверия 2 или выше	Дата и время локальной системы	Метод аутентификации, электронная подпись, подписанные данные, отметка времени	Средняя целостность	Как предусмотрено для Уровня доверия 2 в ITSP. 30.031 или применимым законодательством, политикой или бизнес-требованиями
Уровень доверия 3 таблица 2 примечание 1	Э-подпись	Уровень доверия 3 или выше (двухфакторная аутентификация обязательна)	Дата и время локальной системы	Определяется по типу: для некриптографической электронной подписи, включая метод аутентификации, ES, подписанные электронные данные, отметку времени для криптографической электронной подписи, добавьте сертификат проверки и путь сертификации, а также связанную информацию об отзыве	Средняя целостность; для криптографической электронной подписи части будут иметь цифровую подпись	Как предусмотрено для Уровня доверия 3 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованиями
Уровень доверия 4	Безопасная электронная подпись	только уровень доверия 4 таблица 2 примечание 2	Безопасная отметка времени	SES, подписанные электронные данные, сертификат проверки и путь сертификации, а также соответствующая информация об отзыве, безопасная метка времени	с цифровой подписью	В соответствии с требованиями уровня доверия 4 ITSP. 30.031 или применимым законодательством, политикой или бизнес-требованиями

Приложение A: источники и определения, связанные с электронными подписями

В этом приложении перечислены источники информации из национальных и международных юрисдикций, касающиеся электронных подписей. Также приведены определения терминов, используемых в этих источниках.

Эта информация используется для определения основных понятий, лежащих в основе электронных подписей, изложенных в этом документе.Источники из неканадских юрисдикций включены для того, чтобы:

• демонстрируют широту охвата
• выделяет терминологию, используемую в других юрисдикциях, что особенно полезно там, где может потребоваться совместимость с другими юрисдикциями.

Канадские федеральные законы и постановления, касающиеся электронных подписей, включают:

Кроме того, на веб-сайте Министерства юстиции Канады есть более 20 федеральных законов и почти 30 нормативных актов, которые содержат ссылки на «электронную подпись. ” ^{Сноска 10}

Большинство канадских провинциальных и территориальных юрисдикций приняли законы об электронной торговле и транзакциях, которые предоставляют электронные эквиваленты бумажных подписей, наряду с другими требованиями, путем принятия принципов, установленных в Типовом законе Канадской конференции по единообразному праву (Закон о единой электронной торговле ( UECA )). ^{Footnote 11} UECA является технологически нейтральным и определяет «электронную подпись» как электронную информацию, которую лицо создает или принимает для подписания записи и которая прикреплена к записи или связана с ней.Электронная подпись, определенная таким образом, действует как подпись в законе. Как указано в руководстве УЕКА, сам закон не устанавливает никаких технических стандартов для изготовления действующей подписи. В результате, электронные подписи могут быть составлены разными способами, если иное не предусмотрено правилами. ^{Сноска 12}

Неканадские источники интереса, в которых рассматриваются термины и концепции, связанные с электронными подписями, включают:

Конкретные термины, определенные в этих источниках, включают следующее (см. Таблицу A1):

• электронная подпись
• безопасная электронная подпись
• цифровая подпись
• расширенная электронная подпись ( AdES )
• квалифицированная электронная подпись ( QES )

Таблица A1: термины и определения, относящиеся к электронным подписям

Срок	Источник	Определение
электронная подпись	PIPEDA, Часть 2	«подпись, состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним»
	УЕКА	«информация в электронной форме, которую лицо создало или приняло для подписания документа и которая находится в документе, прикреплена к нему или связана с ним»
	УЭТА	«электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись»
	ЭЛЕКТРОННАЯ ПОДПИСКА	«Электронный звук, символ или процесс, прикрепленный к контракту или другой записи или логически связанный с ним и исполняемый или принятый лицом с намерением подписать запись»
	eIDAS	«данные в электронной форме, которые прикреплены к другим данным в электронной форме или логически связаны с ними и которые используются подписавшим лицом для подписи»
	Типовой закон ЮНСИТРАЛ об электронных подписях	«данные в электронной форме в сообщении данных, прикрепленные к нему или логически связанные с ним, которые могут использоваться для идентификации подписавшего в отношении сообщения данных и для обозначения согласия подписавшего с информацией, содержащейся в сообщении данных»
безопасная электронная подпись	PIPEDA Часть 2	PIPEDA Часть 2, разделы 31 (1), 48 (1) и 48 (2) в совокупности определяют «безопасную электронную подпись» как «электронную подпись, которая является результатом применения технологии или процесса…» со следующими характеристиками : «электронная подпись, полученная в результате использования человеком технологии или процесса, уникальна для этого человека; : использование технологии или процесса лицом для включения, прикрепления или связывания электронной подписи этого лица с электронным документом находится под исключительным контролем этого лица; технология или процесс могут быть использованы для идентификации человека, использующего технологию или процесс; и , электронная подпись может быть связана с электронным документом таким образом, что ее можно использовать для определения того, был ли электронный документ изменен с тех пор, как электронная подпись была включена в электронный документ, прикреплена к нему или связана с ним. ”
	Регламент СЭС	«безопасная электронная подпись в отношении данных, содержащихся в электронном документе, — это цифровая подпись, которая возникает в результате выполнения следующих последовательных операций: применение хэш-функции к данным для создания дайджеста сообщения; применение секретного ключа для шифрования дайджеста сообщения; включение в зашифрованный дайджест сообщения, прикрепление к электронному документу или связь с ним; передача электронного документа и зашифрованного профиля сообщения вместе с сертификат цифровой подписи или средство доступа к сертификату электронной подписи; и после получения электронного документа, зашифрованного дайджеста сообщения и сертификата цифровой подписи или средства доступа к сертификату электронной подписи, применение открытого ключа, содержащегося в сертификате цифровой подписи, для расшифровки зашифрованного профиля сообщения и создания профиля сообщения, указанного в параграфе (а), применение хэш-функции к данным, содержащимся в электронном документе, для создания дайджеста нового сообщения, проверка того, что при сравнении дайджесты сообщений, упомянутые в параграфе (а) и подпункте (ii), идентичны, и подтверждение действительности сертификата электронной подписи в соответствии с разделом 3 (Регламента SES). ”
цифровая подпись	Правила электронных платежей и Правила проведения платежей и расчетов	«результат преобразования сообщения с помощью криптосистемы с использованием таких ключей, что лицо, имеющее исходное сообщение, может определить: , было ли преобразование создано с использованием ключа, соответствующего ключу подписывающей стороны, и , было ли сообщение изменено с момента преобразования.”
	ITSP.40.111	«криптографическое преобразование данных, обеспечивающее аутентификацию, целостность данных и неотказуемость подписывающего лица».
AdES	eIDAS	«электронная подпись, которая однозначно связана с подписавшим, способна идентифицировать подписавшего, создана с использованием данных для создания электронной подписи, которые подписавший может с высокой степенью уверенности использовать под своим единственным контролем, и связана с данные, подписанные таким образом, чтобы можно было обнаружить любое последующее изменение данных. ”
QES	eIDAS	«усовершенствованная электронная подпись, которая создается квалифицированным устройством для создания электронной подписи и основана на квалифицированном сертификате для электронных подписей».

Хотя Типовой закон ЮНСИТРАЛ об электронных подписях ( PDF , 249 КБ) не дает четкого определения, в нем также используется термин «цифровая подпись» в соответствии с определением части 2 PIPEDA.

Определения, приведенные в таблице A1, приводят к следующим наблюдениям:

• Хотя существует множество определений «электронной подписи», цель каждого из них по существу одинакова.
• С технической точки зрения, термины «безопасная электронная подпись», «цифровая подпись», «AdES» и «QES» ar e по существу эквивалентны. Все они основаны на асимметричной криптографии и полагаются на инфраструктуру открытых ключей (PKI) для управления связанными ключами и сертификатами. Тем не мение:
  • В Регламенте SES есть особые требования, которые применяются к термину «безопасная электронная подпись»
  • есть также более строгие требования к реализации, связанные с QES

Следует также отметить, что описание, представленное в Регламенте SES, настолько детально, что фактически предписывает конкретный алгоритм цифровой подписи. ^{Footnote 13} Было ли это намеренно (для обеспечения возможности взаимодействия) или нет (в то время предполагалось, что все алгоритмы цифровой подписи имеют одинаковые математические свойства), неясно.В любом случае следует проконсультироваться с ITSP.40.111 ( PDF , 544 КБ) для утвержденных алгоритмов и связанных длин ключей.

Приложение B: факторы аутентификации пользователей и типы токенов

Целью этого Приложения является разъяснение того, какие типы маркеров аутентификации, описанные в ITSP.30.031, могут использоваться на каждом уровне гарантии. Хотя для получения дополнительных сведений следует обращаться к ITSP.30.031, здесь для удобства читателя представлены некоторые из основных концепций, связанных с факторами аутентификации и токенами.

По сути, факторы аутентификации описываются как:

• то, что знает пользователь
• что-то есть у пользователя
• что то пользователь

Типы токенов для «чего-то, что знает пользователь»:

• запомненных секретных токенов (пароль, связанный с учетной записью или идентификатором пользователя)
• предварительно зарегистрированных токенов знаний (например, заранее установленные ответы на набор контрольных вопросов)

Типы токенов для «чего-то, что есть у пользователя»:

• поисковых секретных жетонов (статическая сетка или карты «бинго»)
• дополнительных токенов (push-уведомление на внешнее устройство, например смартфон)
• устройств с однофакторным одноразовым паролем (OTP) (токен открытой аутентификации (OATH))
• однофакторное криптографическое устройство (USB-ключ со встроенными криптографическими возможностями и безопасным хранилищем ключей)

Типы токенов «Что-то вы есть» включают биометрические данные, такие как отпечаток пальца, сканирование сетчатки глаза и распознавание лиц. Однако в соответствии с ITSP.30.031 биометрия может использоваться только в сценарии многофакторной аутентификации, например, при использовании сканирования отпечатка пальца для разблокировки аппаратного токена. ^{Сноска 14}

Многофакторные токены включают:

• многофакторных устройств OTP, таких как устройство OTP, для которого требуется локальная аутентификация пользователя перед отображением пароля
• многофакторных аппаратных криптографических устройств, таких как смарт-карта ^{Сноска 15}

Многофакторная аутентификация (или, более конкретно, двухфакторная аутентификация) также может быть достигнута путем объединения соответствующего токена «что-то, что вы знаете» с соответствующим токеном «что-то у вас есть».Рекомендации по приемлемым двухфакторным решениям представлены в Рекомендациях по двухфакторной аутентификации пользователей в корпоративном домене правительства Канады.

Таблица B1 обобщает допустимые типы маркеров на каждом уровне доверия.

Приложение C: примеры хозяйственной деятельности

Целью данного Приложения является предоставление примеров видов деловой активности, которые могут соответствовать каждому уровню доверия. В целом, по мере того, как возрастает важность и / или ценность деловой активности, увеличивается и соответствующий уровень доверия. Однако следует отметить, что, , примеры деловой активности, представленные здесь, предназначены только для иллюстративных целей и никоим образом не предназначены для предписывающего .

Отдельные отделы должны выполнять свои собственные оценки в контексте своих бизнес-потребностей и требований. Общей целью должно быть:

• использовать существующие инвестиции там, где это возможно (отделы должны использовать то, что у них уже есть, где это имеет смысл)
• улучшить пользовательский опыт
• внедрять рентабельные, разумные решения, соответствующие оцененному уровню гарантии

Приложение D: руководство отправлено DSO по электронной почте

(Обратите внимание, что заголовки и ссылки на некоторые ссылки на исходную документацию были обновлены, чтобы отразить самые последние доступные версии. )

Кому: DSO

Следующее руководство по использованию электронных подписей для проверки безопасности предоставляется в ответ на обсуждения в Совете безопасности правительства Канады (GCSC), и было сочтено, что это будет полезно для всех DSO.

Целью получения подписи лица на формах проверки безопасности является подтверждение того, что они признают, что они были проинформированы о том, что их личная информация будет собрана, и получить их согласие на то, что их личная информация будет раскрыта для целей проверки безопасности (как указано в Положения о конфиденциальности и согласии), а также в соответствии с разделами 7 и 8 Закона о конфиденциальности .Также важно продемонстрировать, что лицо намеревается быть связанным обязательствами, приложенными к этой подписи.

В форме проверки безопасности подпись не обязательно должна иметь определенную форму, чтобы иметь юридическую силу, и служит той же цели, независимо от того, является ли она «мокрой» или электронной. Мокрая подпись создается, когда человек маркирует документ своим именем чернилами, которым требуется время для высыхания. В Законе о защите личной информации и электронных документах (PIPEDA) электронная подпись определяется как «состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним. .”

Департаменты и агентства, желающие продолжить использование электронных подписей в качестве альтернативы традиционной мокрой подписи, должны учитывать следующее, чтобы определить, является ли такой шаг жизнеспособным в их операционной среде, и иметь возможность снизить любой потенциальный правовой риск, который может возникнуть .

• Внедрение электронных подписей в отделе или агентстве должно осуществляться в сотрудничестве с заинтересованными сторонами в сфере ИТ и бизнеса (при необходимости), и, при необходимости, можно проконсультироваться с юрисконсультом отдела
• Тип используемой технологии и подход к ее внедрению должны соответствовать Стратегическому плану правительства Канады по управлению информацией и информационным технологиям на 2017–2021 годы.
• Положения о конфиденциальности и согласии должны быть такими же, как и в бумажных формах, чтобы гарантировать отсутствие расхождений между двумя форматами.
• Базовый процесс и стандартные рабочие процедуры, связанные со сбором, получением и хранением электронных документов и связанных с ними подписей, должны быть задокументированы и последовательно реализованы.
• Если использование электронной подписи когда-либо будет оспорено в суде, департамент или агентство должны будут иметь возможность продемонстрировать надежность системы / технологии и лежащих в основе процессов и процедур и предоставить доказательства того, что во всех существенных случаях ИТ-система (системы) ) / используемое (ые) устройство (а) работали должным образом или, в противном случае, нет других разумных оснований сомневаться в целостности электронной подписи.

Для получения дополнительных указаний вы можете обратиться к стандарту Канадского совета по общим стандартам под названием «Электронные записи как документальные доказательства», который предоставляет информацию и рекомендации по разработке политик, процедур, процессов и документации, которые поддерживают надежность, точность и подлинность электронных записей. Кроме того, Директива по управлению идентификацией и Стандарт по удостоверению личности и удостоверению личности содержат указания относительно проверки личности физических лиц, которые в равной степени применимы к использованию электронных подписей.

Мы надеемся, что это поможет. С любыми вопросами обращайтесь по адресу [email protected].

С уважением,
Рита Уиттл
Генеральный директор по политике безопасности и управления идентификационной информацией, главный информационный директор, филиал
Казначейский совет Секретариата Канады / Правительство Канады
[email protected] / Тел: 613-369-9683 / TTY: 613-369-9371

Сноски

Сноска 1

В этом документе «департаменты» обозначают федеральные департаменты и агентства.

Вернуться к сноске 1 реферер

Сноска 2

Исключением из требования о включении является раздел 36 PIPEDA.

Вернуться к сноске 2 реферер

Сноска 3

В настоящее время существует более 20 федеральных законов и почти 30 нормативных актов, перечисленных на веб-сайте Министерства юстиции Канады, которые включают ссылки на «электронную подпись» (на основе поиска термина «электронная подпись» с помощью инструмента расширенного поиска Министерства юстиции Канады ).

Вернуться к сноске 3 реферер

Сноска 4

Правила о безопасной электронной подписи прилагаются как к PIPEDA, так и к Закону о доказательствах Канады .

Вернуться к сноске 4 реферер

Сноска 5

В настоящее время рассматривается как описание алгоритма, так и процесс распознавания.

Вернуться к сноске 5 реферер

Сноска 6

Обратите внимание, что уровни доверия не следует путать с уровнями полномочий.

Вернуться к сноске 6 реферер

Сноска 7

Обратите внимание, что другие инструменты, такие как ITSG 33: Руководство по категоризации безопасности , также могут использоваться для помощи в процессе оценки.

Вернуться к сноске 7 реферер

Сноска 8

Безопасная метка времени получена из надежного источника. Целостность безопасной отметки времени защищена криптографически.

Вернуться к сноске 8 реферер

Сноска 9

Обратите внимание, что электронные подписи, созданные с использованием сертификатов, выпущенных внутренними центрами сертификации GC, такими как CA Internal Credential Management (ICM), обычно не способны поддерживать взаимодействие с внешними объектами, поскольку выдающий CA не является признанным якорем доверия за пределами GC. (Существует ограниченное количество исключений, когда ICM выдает сертификаты внешним объектам, но такие исключения не являются жизнеспособным долгосрочным решением.)

Вернуться к сноске 9 реферер

Сноска 10

На основе поиска по запросу «электронная подпись» с помощью инструмента расширенного поиска Министерства юстиции Канады.

Вернуться к сноске 10 реферер

Сноска 11

Электронные эквиваленты подписи, содержащиеся в законах провинций и территорий об электронных транзакциях, не применяются к GC.

Вернуться к сноске 11 реферер

Сноска 12

УЕКА заявляет, что органы, ответственные за требование о юридической подписи, могут принимать постановления, если считается, что ситуация предполагает определенную степень надежности идентификации или связи с документом, который нужно подписать. Точно так же подписи, представленные правительству (провинциальному и территориальному), должны соответствовать требованиям информационных технологий и любым правилам, касающимся метода их создания или их надежности.См. Обсуждение Канадской конференцией по единообразному праву Единообразного закона об электронной торговле .

Вернуться к сноске 12 реферер

Сноска 13

Свойства, указанные в Правилах SES, описывают цифровую подпись, основанную на алгоритме Rivet, Shamir, Adleman (RSA). Другие алгоритмы цифровой подписи, такие как алгоритм цифровой подписи с эллиптической кривой (ECDSA), также действительны, но имеют другие математические свойства, которые не полностью соответствуют описанию в Правилах SES.

Вернуться к сноске 13 реферер

Сноска 14

По мере того, как биометрические технологии продолжают развиваться, это ограничение может быть пересмотрено.

Вернуться к сноске 14 реферер

Сноска 15

Обратите внимание, что многофакторный программный криптографический токен (например, программный токен на основе PKI, такой как программный токен myKEY) здесь намеренно опущен, поскольку он не считается адекватным многофакторным решением в соответствии с инструкциями, приведенными в ITSP. .30.031. Кроме того, программных токенов на основе PKI недостаточно на уровне гарантии 3, если процесс аутентификации не связан с другим подходящим токеном уровня гарантии 2 (который обычно не поддерживается в существующих развертываниях GC).

Вернуться к сноске 15 реферер

Электронные подписи: не так быстро

Судебные вопросы

Электронные подписи представляют собой уникальные проблемы в судебном процессе. Например, электронному подписывающему лицу легче отрицать, что он действительно подписал документ.И может быть сложно определить, как заложить надлежащую основу для электронной подписи.

Электронные подписи также позволяют юридическим лицам утверждать, что подписывающее лицо не имело полномочий связывать юридические обязательства. Например, в апреле 2018 года Апелляционный суд Северной Каролины подтвердил упрощенное судебное решение для Банка Америки, частично основанное на записях DocuSign. IO Moonwalkers, Inc. против Banc of America Merchant Services, 814 S. E.2d 583 (N.C. App. 2018) . Хотя суд оставил в силу в электронном виде, подписанный контракт, он сделал это на основе теории о ратификации, подчеркнув опасность того, что в случае спорной электронной подписи, партия стремится обеспечить соблюдение подписи может потребоваться дополнительное подтверждение за пределами простого цифрового следа.

Banc of America Merchant Services (BAMS) предоставил услуги по обработке кредитных карт IO Moonwalkers (компании, которая продает скутеры на воздушной подушке). Между сторонами возник спор по поводу возвратных платежей за мошеннические покупки, и Moonwalkers заявила, что никогда не подписывала контракт с BAMS электронным способом. Однако в своем ходатайстве об упрощенном судебном разбирательстве BAMS подготовила записи DocuSign, показывающие дату и время, когда кто-то, использующий электронную почту компании Moonwalkers, просмотрел контракт, подписал контракт, а затем просмотрел окончательную, полностью оформленную версию.Moonwalkers не оспаривали записи, но утверждали, что подписывающая сторона не имела на это полномочий.

К счастью для BAMS, суд первой инстанции и апелляционный суд согласились, что доказательства подтверждают ратификацию контракта Moonwalkers. Суд первой инстанции отметил, что «электронный след, созданный DocuSign, предоставляет информацию, которая не была бы доступна до цифровой эры, — возможность удаленно отслеживать, когда другие стороны контракта фактически просматривают ее».

Но суд не постановил, что эти записи сами по себе доказывают, что уполномоченный представитель Moonwalkers подписал контракт и связал Moonwalkers.Вместо этого суд постановил, что записи DocuSign подтвердили, что Moonwalkers изучили условия контракта и были осведомлены о них. Это, вкупе с другими действиями Moonwalkers по соблюдению условий контракта и реагированию на запросы BAMS о предоставлении информации или материалов, требуемых по контракту, привело суд к выводу, что Moonwalker ратифицировал контракт. Записи DocuSign были важным доказательством, но сами по себе не определяли действительность или обязательный характер контракта.

Практикующим специалистам необходимо взвесить удобство электронных подписей и эти потенциальные проблемы, особенно в крупных транзакциях, которые могут закончиться судебным разбирательством.

Документы

Практикующим специалистам также необходимо ознакомиться с местными правилами использования электронных подписей, чтобы избежать возможных санкций. В декабре 2016 года судья по делам о банкротстве Восточного округа Калифорнии наложил санкции на адвоката по делам о банкротстве за разрешение клиенту-должнику использовать DocuSign для подписания документов, требующих оригинальной подписи. In re Mayfield, 2016 WL 3958982, No. 16-22134-D-7 (E.D. Cal. 15 июля 2016 г.) . Там адвокат по банкротству представил различные документы, которые должник подписал с помощью DocuSign.Доверительный управляющий США утверждал, что DocuSign не является оригинальной («мокрой») подписью, как того требуют применимые правила банкротства и местные правила. Суд отметил свою обеспокоенность тем, что электронную подпись может быть легче подделать или поставить кем-то другим, чем должник, что может привести к потенциальным спорам по поводу действительности важных документов дела: «Существенным моментом является то, что собственноручную подпись человека подделать труднее.