Подтверждение подлинности электронной подписи госуслуги: Подтверждение подлинности электронной подписи — Портал государственных услуг Российской Федерации

Содержание

Подтверждение подлинности электронной подписи — Портал государственных услуг Российской Федерации

Данный сервис предназначен для подтверждения подлинности ЭП формата PKCS#7 в электронных документах по значению хэша.

ЭП под электронным документом бывает двух видов — присоединенная и отсоединенная. Присоединенная ЭП содержится в том же файле, что и сам документ. Отсоединенная ЭП содержится в отдельном файле. Данный сервис позволяет проверить отсоединенную ЭП.

Для проверки вместо электронного документа передается значение его хэш-функции.

Утилиту для расчета значения хэш-функции можно скачать по ссылкам:

WINDOWS LINUX

Установка криптопровайдера для вычисления хэш-значения электронного документа не требуется. Ввиду того, что расчет хэш-значения электронного документа утилитой cpverify осуществляется в обратном порядке, при подсчете необходимо использовать параметр -inverted_halfbytes 0.

Пример:
C:\Program Files (x86)\Crypto Pro\CSP>cpverify -mk E:\test.pdf -inverted_halfbytes 0

В поле «Введите шестнадцатеричное хэш-значение документа» следует ввести вычисленное шестнадцатеричное хэш-значение документа. В поле «Выберите документ для проверки» следует указать файл, содержащий отсоединенную ЭП, после чего нажать кнопку «Проверить». На экране будет отображена информация о результатах проверки ЭП в электронном документе.

Предоставляемая услуга носит информационный характер и не может быть использована в качестве доказательств в судах различных инстанций.

* Выберите документ для проверки:

Загрузить файл…

* Введите значение хэш-функции:

* Введите код на изображении:

Проверить

Государственные услуги



«Электронное МВД»

Раздел «Электронное МВД» призван повысить информированность граждан о государственных услугах, предоставляемых МВД России,в том числе, посредством межведомственного электронного взаимодействия.


 

С 1 октября 2011 года в рамках реализации требований Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (скачать полный текст) МВД России приступило к предоставлению государственных услуг и функций в упрощенном порядке.

В настоящее время гражданину для получения государственной услуги от МВД России требуется предъявить минимальное количество документов, как правило, имеющихся у него на руках. Большая часть сведений и документов запрашивается через систему межведомственного электронного взаимодействия в федеральных органах исполнительной власти, где она имеется.

  

Граждане, имеющие доступ к сети интернет, могут воспользоваться всеми преимуществами быстрого и бесконтактного документооборота и получить необходимые услуги без потери времени и качества. Зарегистрировавшись один раз на сайте www. gosuslugi.ru, Вы получите доступ ко всем услугам портала, в том числе и тем, которые оказываются МВД России.


Преимущества пользования Порталом государственных услуг (www.gosuslugi.ru):

-сокращаются сроки предоставления услуг;

-уменьшаются финансовые издержки граждан и юридических лиц;

-ликвидируются бюрократические проволочки вследствие внедрения электронного документооборота;

-снижаются коррупционные риски;

-снижаются административные барьеры и повышается доступность получения государственных и муниципальных услуг.

В разделе «Электронное МВД» Вы найдете ответы на интересующие Вас вопросы и ознакомитесь с правилами и рекомендациями по пользованию услугами, предоставляемыми МВД России на портале www.gosuslugi.ru.

Также Вы можете обратиться с возникшими вопросами по телефону круглосуточной «горячей линии» Департамента информационных технологий, связи и защиты информации МВД России 8 (495) 667-07-33.  

Как проверить ЭЦП

    С вступлением в силу закона об «Электронной подписи» все документы, требующие личной подписи и мокрой печати, можно отправлять по электронной почте. Сфера использования электронных цифровых подписей (ЭЦП) не ограничивается подачей в контролирующие органы необходимой отчетности и визированием юридических документов. Сейчас многие активные пользователи интернета используют ЭЦП для совершения гражданско-правовых сделок, а также для подтверждения аутентичности электронных писем.          



Для чего необходима проверка электронной подписи

    При получении любого документа с использованием ЭЦП необходимо проверить ее аутентичность. Подтверждение подлинности электронной подписи сродни графологической экспертизе. После проверки вы сможете:

  • идентифицировать лицо, подписавшее документ;
  • быть уверенным, что респондент подписал документ не случайно;
  • использовать ЭЦП, как доказательство при отказе респондента от подписи;
  • определить целостность и достоверность документа.

    Электронная подпись может находиться непосредственно в теле документа или поставляться к нему отдельным файлом. В зависимости от способа исполнения ЭП может выглядеть как картинка, цифровой ряд или не иметь визуального решения.

Как проверить ЭЦП документа

    Проверка электронной подписи производится несколькими способами, наиболее распространенными из которых являются:

  1. С помощью инструментария специализированного ПО.
  2. На сайте госуслуг.
  3. Самостоятельно, по значению хеш-функций.
  4. Самостоятельно, средствами Microsoft Word.

    Важно! Следует учесть, что самостоятельная проверка подлинности ЭП требует наличия специализированных утилит и вычислительных мощностей. Процесс это достаточно сложный, поэтому в этой публикации рассматриваться не будет.

Проверка подлинности ЭП программным комплексом «Крипто АРМ»

    Программа «Крипто АРМ» предназначена для создания и проверки подлинности прикрепленной ЭЦП. Для проверки следует приобрести данную утилиту на сайте разработчика или скачать бесплатную версию «Старт». После установки и настройки данного ПО следует:

  • Открыть вкладку Файл, в которой выбрать строку «Проверить подпись».
  • В открывшемся окне «Добавить файл», если вы намерены проверить ЭП одного документа. Если необходимо проверить подписи целой папки с документами, следует выбрать «Добавить папку». После добавления следует нажать «Далее» и ждать результата проверки.
  • После окончания проверки появится окно результата.

    Важно! Программный комплекс «Крипто АРМ» может проверять аутентичность квалифицированных электронных подписей, выданных аккредитованным удостоверяющим центром.

Проверка подлинности ЭЦП на сайте Государственных услуг

    Сайт госуслуг дает возможность (без установки специализированного ПО) проверить подлинность присоединенной и отсоединенной ЭП в формате PKCS#7, проверить ЭЦП на аутентичность по значению хеш-функций, а также подтвердить аутентичность сертификата электронной подписи, выданной одним из аккредитованных удостоверяющих центров. Наиболее простым способом проверки подлинности электронной подписи является проверка предоставленного подписантом сертификата открытого ключа. Интерфейс ресурса http://www.gosuslugi.ru/pgu/edsдружелюбен и прост для использования.

  1. Для проверки сертификата следует перейти на сайт госуслуг. В главном окне выбрать, что именно вы будете проверять.
  2. Для проверки подлинности сертификата необходимо нажать клавишу «Загрузить файл», выбрать необходимый сертификат, после чего ввести капчу и нажать клавишу «Проверить».
  3. Проверка ЭЦП, прикрепленной к документу, делается также просто, как и проверка сертификата. Для этого следует нажать клавишу «Загрузить файл», выбрать необходимый документ, ввести цифровой код на изображении и нажать кнопку «Проверить».
  4. Для проверки отсоединенной электронной подписи загрузить документ, отдельно загрузить файл подписи, ввести капчу и нажать кнопку проверки.

   Для проверки аутентичности отсоединенной ЭП по значению хеш-функций потребуется специальная утилита, которую можно скачать на сайте Государственных услуг. В поле «Выбор документа» необходимо загрузить файл подписи. В поле значения хеш-функций нужно вставить шестнадцатизначный код, который выдаст загруженная утилита. После ввода капчи и необходимо нажать клавишу «Проверить». В результате на экране отобразится сравнение значений.

   Как видите, проверить подлинность ЭЦП на сайте госуслуг достаточно просто. После успешной проверки, вы получите данные о владельце ЭП, сроках ее действия и органе, выдавшем данную электронную подпись.

Электронная подпись – скорейший способ регистрации на «Госуслугах»


Для оформления подтверждённой учётной записи на портале «Госуслуги», гражданину нужно удостоверить личные данные. Это можно сделать четырьмя способами:
  1. через онлайн-кабинеты трёх банков, если вы клиент одного из них и у вас есть зарегистрированный аккаунт;
  2. личное посещение многофункционального центра «Мои документы» с предъявлением паспорта и СНИЛС;
  3. через Почту России, заказав из профиля на сайте код подтверждения личности.
Четвёртый, возможно, самый простой и скорый способ регистрации подтверждённой учётной записи физического лица на «Госуслугах» – электронная подпись (далее — ЭП)
Квалифицированная электронная подпись, выданная аккредитованным удостоверяющим центром, не требует никаких условий, а также избавляет от лишних передвижений и траты времени. С такой подписью несложно самостоятельно зарегистрировать и получить подтверждённую учётную запись на Госуслугах.

Что такое квалифицированная ЭП

Усиленная квалифицированная электронная подпись (далее – УКЭП) создаётся с привлечением криптографических средств, подтверждённых компетентными органами, а именно ФСБ РФ. 

Гарантом подлинности в данном случае выступает специальный сертификат, выданный аккредитованным удостоверяющим центром. 

Электронный документ, подписанный квалифицированной ЭЦП, имеет такую же юридическую силу, как и бумажный, который подписан собственноручно.

Для получения электронной подписи необходимо обратиться в аккредитованный удостоверяющий центр
Обратим внимание, что наличие УКЭП является обязательным условием для работы с порталом Госуслуг, Системой межведомственного электронного взаимодействия, сдачи отчётности в налоговые органы, отправки банковских и иных документов через интернет, исполнении государственных и муниципальных функций и при совершении иных юридически значимых действий.

В чём разница между подтверждённым и неподтверждённым аккаунтом физлица на «Госуслугах»

Подтверждённая учётная запись открывает неограниченный доступ ко всем функциям сервиса.

Есть на «Госуслугах» упрощённый и стандартный аккаунты. Для их создания нужно лишь указать Ф. И. О., номер мобильного телефона и e-mail. Но функционал этих учётных записей ограничен.

Чем полезна физлицам подтверждённая учётная запись на «Госуслугах»

Подтверждённый аккаунт на портале «Госуслуги» упрощает и ускоряет получение людьми многочисленных видов услуг во всех сферах жизни, где участвует государство:

  • запрос и получение справок и документов из федеральных и местных органов власти;
  • оформление льгот и пособий;
  • запись детей в дошкольные и школьные учреждения;
  • запись на приём к врачу;
  • оплата налогов и штрафов;
  • регистрация сделок с недвижимостью;
  • подача документов в суды через интернет;
  • получение физлицами статуса индивидуального предпринимателя, регистрация и открытие юридических лиц.
Подтверждение личности на портале «Госуслуг» с помощью ЭП

Зарегистрируйтесь на портале, заполните профиль пользователя и отправьте данные на проверку.

Успешная проверка данных переведёт вашу учётную запись из «Упрощённой» в «Стандартную». Теперь вы можете подтвердить личность с усиленной квалифицированной электронной подписью.

Выберите электронную подпись в качестве способа подтверждения личности. Выберите сертификат ключа проверки электронной подписи, если у вас имеется несколько сертификатов. Введите PIN-код для считывания электронной подписи, а также подпишите заявление на подтверждение учётной записи. Произойдет проверка электронной подписи. Если проверка пройдёт успешно, учетная запись станет «Подтвержденной».

ЭЦП Такском для регистрации на «Госуслугах»  – для быстрого создания подтверждённой учётной записи

Вам нужно срочно зарегистрироваться на «Госуслугах», но некогда записываться и ехать в МФЦ «Мои документы»? Нет времени ждать письменного подтверждения от Почты России?

Не выходя из дома, приобретите ЭП Такском для регистрации на «Госуслугах».

Выездные менеджеры доставят электронную подпись на указанный вами адрес.

Помощь в регистрации

Если во время регистрации понадобится подсказка, специалисты Такском удалённо помогут:

  • создать учётную запись на популярном госпортале;
  • установить софт, приложения и расширения для работы с «Госуслугами».
Менеджер свяжется с вами после оплаты счёта за электронную подпись (и за помощь в регистрации на «Госуслугах», если закажете) – он придёт вам на почту.

Отправить

Запинить

Твитнуть

Поделиться

Поделиться

Использование Электронной подписи на портале Госуслуги

После приобретения у нас квалифицированной электронной подписи (сокращенном КЭП), вы сможете использовать ЭЦП на портале Госуслуг. Существует несколько вариантов использование ЭЦП: как Физическое лицо, Индивидуальный предприниматель или подпись Юридического лица. Все зависит от того на кого был оформлен сертификат ЭП (ФЛ/ИП/ЮЛ).

Для получения доступа ко всем услугам портала в электронной форме и получения возможности создания учётных записей для юр. лица или ИП, необходимо подтвердить статус учётной записи физического лица. Подтвердить подлинность данных учётной записи можно с помощью Квалифицированной электронной подписи (КЭП).

Добавление юридического лица возможно только с помощью сертификата электронной подписи. Сертификат электронной подписи должен быть выдан на руководителя предприятия или на его полномочного представителя. Представитель должен иметь право действовать от имени юридического лица без доверенности.

В ситуации когда в организации есть филиальная сеть, необходимо первоначально зарегистрировать со своей КЭП на ЕСИА Госуслуги руководителя головной организации.

Когда от лица предприятия клиента, единоличным исполнительным органом является управляющая компания. То в сертификате ЭП нужно указать сведения о руководителе Управляющей компании и данные управляемой компании.

Настройка компьютера для работы с порталом.

Для начала работы с порталом Государственных Услуг необходимо пройти диагностику и выполнить рекомендуемые действия. Потребуется скачать и установить «Плагин Электронного Правительства», устанавливаем плагин который вам рекомендовала диагностика. Все сведения по настройке компьютера для работы с Электронной подписью на сайте gosuslugi.ru, вы найдете в разделе «Работа с электронной подписью».

При работе с ЭЦП на портале в случае появления технических ошибок, в первую очередь проверьте настройку вашего браузера по статье “Настройка Электронной подписи для Госуслуг“. И выполните все требуемые действия.

Как проверить подлинность ЭП.

Чтобы осуществить проверку подлинности квалифицированной ЭП, нам потребуется на портале gosuslugi.ru перейти в раздел «Подтверждение подлинности электронной подписи».

В этом разделе можно проверить подлинность:

  • Открытого ключа квалифицированной электронной подписи. Сертификат открытого ключа можно проверить в формате X.509 (кодировки DER и BASE64). Необходимо в разделе «Выберите сертификат для проверки» нажать на кнопку «Загрузить файл»и выбрать сохраненный файл с открытым ключом сертификата (Работает с расширением в формате .cer,.der,.pem). Необходимо указать код Капчи и нажать на кнопку «Проверить».
  • Электронного документа подписанного прикрепленной ЭЦП в формате PKCS#7. Проверяются документы подписанные сертификатом ЭП в кодировках DER или BASE64. Нажимаем в разделе «Выберите документ для проверки» кнопку «Загрузить файл». После открытия окна выбираем подписанный прикреплённой электронной подписью документ в формате.sig,.sign,.sgn, указываем код с Капчи и нажимаем кнопку «Проверить».
  • Документа подписанного открепленной ЭП, в формате PKCS#7. Проверяются электронные документы подписанные сертификатом цифровой подписи в кодировках DER или BASE64. Нажимаем «Выберите документ для проверки» указываем оригинальный проверяемый документ. Нажимаем в следующем разделе «Выберите файл подписи для проверки» здесь выбираем файл с открепленной подписью сохраненной в формате.sig,.sign,.sgn ,и вводим проверочный код и нажимаем «Проверить».
Служба поддержки Госуслуг

По всем вопросам связанными с работой в ЕСИА и ошибкам, которые не относятся к настройкам компьютера или электронной подписи, необходимо обращаться в службу поддержки ЕСИА Госуслуги:
— Помощь и поддержка.
— Онлайн-чат.
— Бесплатный Телефон: По всей России 8 (800) 100-70-10, для жителей Москвы +7 (499) 550-18-39.
— Электронная почта: [email protected]

Как получить электронную подпись для физических и юридических лиц

На портале mos.ru 

Физические лица для получения электронных госуслуг на официальном сайте Мэра Москвы пользуются простой электронной подписью (то есть им достаточно зарегистрироваться на mos.ru). Для юридически значимых услуг требуется получение полной (подтвержденной) учетной записи. Для этого нужно подтвердить свою личность в любом центре госуслуг «Мои документы». 

Юридические лица и индивидуальные предприниматели пользуются усиленной квалифицированной электронной подписью. Для ее получения следует обратиться в аккредитованный удостоверяющий центр.

На портале gosuslugi.ru 

На портале gosuslugi.ru есть несколько уровней учетной записи. Пользуясь упрощенным и стандартным уровнями, вы подписываете заявления простой электронной подписью. Но чтобы получить доступ ко всем услугам, вам нужен подтвержденный аккаунт — для этого нужно подтвердить личность, то есть приравнять простую электронную подпись к собственноручной.  

На сайте Федеральной налоговой службы 

Физические лица, получая услуги через личный кабинет на сайте Федеральной налоговой службы, пользуются усиленной неквалифицированной подписью, приравненной к собственноручной. Сертификат ключа проверки можно получить в самом личном кабинете, а вот идентификация личности и приравнивание электронной подписи к собственноручной происходят на уровне входа в личный кабинет: войти можно либо по логину и паролю, которые выдают при личном визите в налоговую инспекцию, либо с помощью подтвержденной учетной записи на портале gosuslugi. ru, либо и вовсе по усиленной квалифицированной электронной подписи. 

А вот индивидуальным предпринимателям и юридическим лицам для получения услуг (например, для регистрации онлайн-кассы) может понадобиться усиленная квалифицированная подпись. 

На сайте Росреестра 

Часть услуг Росреестра (например, подать заявление, записаться на прием) можно получить, используя простую электронную подпись. Но большинство услуг предоставляется тем, у кого есть усиленная квалифицированная электронная подпись. 

Для участия в электронных торгах  

Для того чтобы участвовать в электронных торгах, нужна усиленная квалифицированная электронная подпись. 

ЭЦП для Госуслуг: подобрать сертификат электронной подписи для портала Госуслуг, узнать цены

Федеральная государственная информационная система «Единый портал государственных и муниципальных услуг (функций)» упрощает взаимодействие пользователей с представителями государственных и муниципальных органов. Портал госуслуг позволяет:

  • проверить налоговую задолженность;
  • записаться на прием к врачу;
  • узнать состояние лицевого счета в ПФР;
  • подать заявление на загранпаспорт;
  • зарегистрировать транспортное средство;
  • получить информацию о штрафах ГИБДД и оплатить их;
  • зарегистрировать права на недвижимость;
  • оплатить ЖКХ;
  • зарегистрировать юридическое лицо;
  • обратиться в госорганы или органы местного самоуправления;
  • отследить статус своего обращения;
  • и многое другое.

Для получения госуслуг в электронном формате необходимо зарегистрироваться на портале. Для этого вам потребуется электронная подпись — она имеет юридический и правовой статус собственноручной подписи и позволяет подписывать все документы в онлайне.

Как сделать электронную подпись для Госуслуг

Получить электронную подпись для Госуслуг можно в аккредитованном удостоверяющем центре «Инфотекс Интернет Траст». Получателю необходимо выполнить следующие действия:

  • подать заявку на приобретение электронной подписи;
  • оплатить выставленный счет;
  • подготовить документы;
  • лично обратиться в офис для получения сертификата ключа ЭП.

Преимущества использования ЭЦП для портала Госуслуг

Электронная подпись предназначена для идентификации личности, а подписанный ей документ обладает юридической силой, поэтому она необходима для работы на портале госуслуг. Владельцы ЭЦП приобретают ряд бесспорных преимуществ при использовании портала:

  • быстрая регистрация и активация. Имея электронную подпись, вам не нужно хранить в памяти номер СНИЛС (обязателен для активации на портале без ЭП) и сложный пароль для входа;
  • расширенный спектр услуг. Например, подать заявление на регистрацию юридического лица или индивидуального предпринимателя, заявку на получение патента, а также многие другие услуги без ЭЦП невозможно.

Аутентификация | govinfo

Основная миссия GPO не изменилась с момента открытия в 1861 году, но агентство эволюционировало, чтобы удовлетворить информационные потребности Конгресса, агентств и общественности в преимущественно цифровом мире. Широкое использование цифровых технологий изменило способы создания, управления и доставки продуктов GPO пользователям. Поскольку многие официальные публикации, которые GPO предоставляет в Интернете, представлены в формате PDF, GPO использует технологию цифровой подписи для подтверждения подлинности и целостности и защиты от несанкционированного изменения этих файлов.

GPO

несет более широкую ответственность не только за информирование Америки, но и за принятие мер по предоставлению доказательств потребителям информации, что они могут доверять информации, содержащейся в наших публикациях. Верьте, что не было внесено никаких несанкционированных изменений, но также верьте, что то, что они видят, на самом деле является официальным документом, не сфабриковано и фактически было распространено GPO именно в такой форме.

Применяя цифровые подписи к PDF-документам, GPO стремится предоставить доказательства целостности и подлинности PDF-документов:

  • Предоставление доказательства целостности документа означает, что были приняты меры для предотвращения несанкционированного или случайного изменения данных.Цель состоит в том, чтобы предоставить получателю видимые доказательства, чтобы убедиться, что данные не были изменены.
  • Под подлинностью мы подразумеваем, что пользователь может видеть доказательства, подтверждающие личность, источник и право собственности цифровой публикации.

Чтобы удовлетворить потребность в предоставлении доказательств подлинности и целостности документов PDF, GPO использует цифровой сертификат для применения цифровых подписей к документам PDF и видимую печать подлинности для передачи этой информации пользователям.

Сертификация является подтверждением проверки или полномочий. Это процесс, связанный с проверкой подлинности цифрового объекта как контента, выпущенного автором или издателем.

Информация о подлинности и целостности передается пользователю при открытии PDF-файла в Adobe Acrobat или Reader и нажатии на видимую печать подлинности, логотип орла с надписью «Аутентифицированная правительственная информация США». Нажав на логотип, пользователи могут убедиться, что сертификат документа действителен, не изменялся с момента его сертификации и что личность подписывающего лица действительна.Пользователь также может просмотреть свойства подписи.


Как проверить файлы PDF с цифровой подписью GPO?

Рекомендуемый способ проверки PDF-файлов GPO с цифровой подписью — открыть файл с помощью Adobe Acrobat или Reader. Многие браузеры сегодня открывают PDF-файлы автоматически в браузере без использования программного обеспечения Adobe на вашем компьютере. Если вы не используете Adobe Acrobat или Reader, процесс проверки цифровой подписи может не произойти.

* Примечание. Вы можете настроить поведение при открытии PDF по умолчанию на своем компьютере, чтобы оно открывалось в программе Adobe, а не в браузере. Каждый браузер имеет свои собственные настройки для управления тем, как PDF-файлы открываются с веб-страницы. Следуйте этим инструкциям для вашего конкретного браузера, чтобы изменить настройки отображения.

Когда объект групповой политики подписывает и сертифицирует документ, значок синей ленты появляется прямо под верхним меню навигации, а также на панели подписи в Adobe Acrobat или Reader. Когда пользователи печатают документ, подписанный и сертифицированный GPO, печать подлинности автоматически распечатывается на документе, но лента не печатается.

Значок с голубой лентой

Печать подлинности GPO


Как выделить или добавить комментарии к PDF-документам, имеющим цифровую подпись?

Существует обходной путь, который позволит вам комментировать PDF-файлы с цифровой подписью путем печати в формате Adobe PDF для создания нового PDF-файла, который может быть аннотирован.

Инструкции:

  1. Откройте файл PDF в Adobe Acrobat или Reader * Примечание. Обязательно открывайте файл с помощью программного обеспечения Adobe, а не в веб-браузере (Internet Explorer, Chrome и т. Д.)
  2. После открытия файла в программе Adobe перейдите в верхнее меню, нажмите «Файл», затем нажмите «Печать». Появится экран с параметрами печати. На этом экране щелкните раскрывающийся список рядом с «Принтер» и выберите «Adobe PDF». Щелкните раскрывающийся список рядом с «Комментарии и формы» и выберите «Документ» (вместо «Документ и пометки»).
  3. Щелкните «Печать». После этого вы сможете сохранить файл с именем, отличным от исходного, или в другом месте на вашем компьютере.Вы сможете выделить и добавить комментарии к этому новому файлу.

Примечание. Новые файлы, созданные с помощью этого метода, по-прежнему будут отображать печать подлинности GPO, но больше не будут иметь цифровой подписи.


Я хочу процитировать сертифицированный PDF-документ с цифровой подписью, который я скачал с сайта
govinfo . Мне нужно перепечатать текст?

Пользователи могут выбрать текст из сертифицированного PDF-файла с цифровой подписью, а затем скопировать и вставить его в новый документ. Цифровая подпись не передается вместе с текстом.


Что такое значки проверки?

Значки проверки отображаются в Adobe Acrobat или Reader для уведомления пользователей о статусе действительности содержимого. Adobe использует несколько значков для передачи информации о цифровых подписях:


Какую информацию о сертификате я должен ожидать в файле с цифровой подписью и сертификатом GPO?

PDF-файл, имеющий цифровую подпись и сертифицированный GPO, должен содержать следующую информацию:

Сертификат документа действителен, подписан начальником отдела документации [электронная почта защищена].
Причина подписания: GPO подтверждает, что этот документ не изменялся с момента его распространения GPO.


Как узнать, был ли изменен подписанный и сертифицированный PDF-файл?

Если содержимое PDF-файла, сертифицированного GPO, изменяется, сертификация становится недействительной. Пользователи узнают об этом по появлению желтого предупреждающего значка в программном обеспечении Adobe.

Желтый значок предупреждения


Если я сохраню на своем компьютере сертифицированный PDF-файл с цифровой подписью из
govinfo , останется ли подпись действительной?

До тех пор, пока файл не будет изменен, электронная подпись останется действительной.Пользователи могут сохранять файлы PDF, подписанные цифровой подписью и сертифицированные GPO, для дальнейшего использования или отправлять их по электронной почте другим пользователям, не затрагивая цифровую подпись.


Я открыл заверенный цифровой подписью документ, который сохранил на своем компьютере несколько недель назад. Как я могу убедиться, что он не поврежден?

Проверить действительность подписи можно в любой момент. Для этого откройте документ в Adobe Acrobat или Adobe Reader. Щелкните значок панели подписи, затем щелкните «Проверить все», затем «ОК».Программное обеспечение выполнит проверку, чтобы убедиться, что цифровой сертификат, использованный для подписи документа, действителен.

Значок панели подписи


У меня есть измененный PDF-документ. Есть ли способ увидеть подписанную версию?

Если в подписанную версию документа вносятся изменения, Adobe Acrobat и Reader предоставляют возможность просмотра подписанной версии. Чтобы получить доступ к этой функции, щелкните значок панели подписи, затем выберите и разверните подпись и выберите «Щелкните, чтобы просмотреть эту версию».«Если доступно несколько версий, пользователи смогут выбрать этот вариант.

Значок панели подписи


Могу я увидеть несколько примеров измененных файлов PDF?

Этот файл был подписан, но не сертифицирован и изменен (PDF). Вы заметите, что значок проверки ленты был заменен желтым значком предупреждения, и вы увидите подписанную версию файла.

Желтый значок предупреждения


Где я могу получить дополнительную помощь, используя сертифицированные PDF-файлы с цифровой подписью?

Дополнительная справочная информация доступна на веб-сайте Adobe.


Дополнительные ресурсы

Политика цифровой подписи

GSA | GSA

  • Дата публикации: 05.02.2018
  • Статус: Проверено
  • Дата устаревания: 05.02.25

АДМИНИСТРАЦИЯ ОБЩИХ УСЛУГ

Вашингтон, округ Колумбия 20405

ИТ-директор 2162.2

5 февраля 2018 г.

ЗАКАЗ GSA

ТЕМА: Политика цифровой подписи GSA


1. Назначение . Этот Приказ разрешает использование цифровых подписей в качестве предпочтительного средства предоставления подписей для всех документов GSA. Использование GSA цифровых подписей повысит эффективность, увеличит экономию, сократит или отменит бумажные и бумажные требования к подаче документов и упростит подписи между сторонами, находящимися в разных местах. Цифровые подписи более безопасны и надежны, чем традиционные подписи пером и чернилами.

2. Аннулирование . Этим Приказом отменяются электронные подписи CIO 2180.1 для средств, обязательных по контракту, от 25 января 2008 г. и CIO 2162.1 «Электронные подписи» от 2 декабря 2010 г.

3. Применимость .

а. Настоящий Приказ распространяется на персонал GSA, ответственный за подписание документов в поддержку операций GSA.

г. Настоящий приказ применяется к Управлению генерального инспектора (OIG) в той мере, в какой OIG определяет, что этот приказ соответствует независимым полномочиям OIG в соответствии с Законом об IG, и не противоречит другим политикам OIG или миссии OIG.

г. Настоящий приказ применяется к Гражданской апелляционной комиссии по контрактам (CBCA) в той степени, в которой CBCA определяет, что приказ соответствует независимым полномочиям CBCA в соответствии с Законом о контрактных спорах, а также применимыми постановлениями и решениями судов.

4. Справочная информация . Цифровые подписи используются для аутентификации и проверки целостности подписанных электронных записей. Цифровая подпись гарантирует подлинность электронного документа или сообщения при цифровой связи и использует методы математического шифрования для подтверждения подлинности оригинальной и неизмененной документации.Персонал GSA обладает сертификатами открытого ключа, необходимыми для цифровой подписи документов. Цифровая подпись, сделанная с помощью этих сертификатов, свидетельствует о том, что конкретное лицо подписало электронную запись и что она не была изменена. Получатель подписанного документа может полагаться на цифровую подпись как на доказательство третьей стороне того, что подпись была создана заявленным подписавшим.

5. Политика . Использование цифровых подписей в документах GSA приветствуется как часть его обычной деятельности, включая обязательство по выделению средств по контракту.Метод аутентификации, используемый для цифровых подписей, должен соответствовать оценке риска электронной аутентификации, указанной в OMB M-04-04 Руководство по электронной аутентификации для федеральных агентств, и соответствующим технологическим мерам безопасности, применимым к этому уровню риска согласно NIST 800-63. Рекомендации по цифровой идентификации.

6. Реализация .

а. Для цифровых подписей персонал GSA имеет право использовать решение GSA Digital Signature Solution (DSS). Инструкции по использованию GSA DSS можно найти на странице GSA InSite, посвященной цифровым подписям.

г. Согласно Части 504 GSA Acquisition Manual (GSAM), контракты, модификации контрактов, общие соглашения о покупке, а также заказы и / или заказы на доставку могут выполняться вручную или в электронном виде с помощью цифровой подписи, и использование цифровых подписей приветствуется.

7. Список литературы .

8. Подпись .




/ S / _________________________________
ДЭВИД ШАЙВ
Директор по информационным технологиям
Офис GSA IT

Внедрение технологий электронной подписи | Национальный архив

Руководство по ведению документации для агентств, внедряющих технологии электронной подписи

18 октября 2000 г. *


1.0 Резюме

Решения агентства относительно надлежащего документирования программных функций, его методологий оценки рисков и методов управления записями являются важными и взаимосвязанными аспектами инициативы электронной подписи. В данном руководстве более подробно рассматриваются следующие ключевые моменты:

  • Агентства должны учитывать требования к ведению документации при внедрении Закона об устранении государственного документооборота (GPEA). (См .: Раздел 2.0)
  • Если необходимо сохранить запись с электронной подписью, будь то в течение ограниченного периода времени или постоянно, то агентство должно обеспечить ее надежность с течением времени. (См .: Раздел 4.0)
  • Существуют различные подходы к обеспечению надежности записей с электронной подписью. (см .: раздел 4.3)
  • Информационные системы, которые агентства используют для выполнения требований GPEA к электронной подписи, будут создавать новые записи или дополнять существующие. (См .: Раздел 5.1.)
  • Агентства определяют, какие записи электронной подписи следует сохранить, исходя из своих оперативных потребностей и восприятия риска. (См .: Раздел 5.2)
  • Агентства не имеют права распоряжаться записями без утвержденного разрешения на распоряжение записями от Национального управления архивов и документации (NARA). (См .: Раздел 2.0)
  • Агентства должны разработать графики записей с предлагаемыми сроками хранения для новых записей для проверки NARA. Возможно, потребуется изменить полномочия по удалению существующих записей. (см .: разделы 5.1 и 5.4)
  • Записи с электронной подписью, подтверждающие законные права, и записи с электронной подписью, которые должны храниться постоянно, требуют особого внимания. (см .: разделы 5.5 и 5.6)
  • Когда агентства используют сторонних подрядчиков, они могут использовать определенный язык контрактов, чтобы обеспечить выполнение требований к управлению записями. (См .: Раздел 5.3)

2.0 Введение

Закон о запрещении правительственного документооборота (GPEA, Pub. L. 105-277) требует, чтобы федеральные агентства, когда это практически возможно, использовали электронные формы, электронную регистрацию и электронные подписи для ведения официальных дел с общественностью к 2003 году.При этом агентства будут создавать записи, имеющие деловую, юридическую и, в некоторых случаях, историческую ценность. В этом руководстве основное внимание уделяется вопросам управления записями, включающим записи, созданные с использованием технологии электронной подписи. Он дополняет руководство Управления управления и бюджета (OMB) для агентств, реализующих GPEA, а также другие руководства Национального управления архивов и документации (NARA).

Программа управления звуковыми записями является неотъемлемой частью стандартных деловых операций агентства.Агентства должны учитывать требования к управлению записями при внедрении GPEA или всякий раз, когда они проектируют или дополняют электронную информационную систему. Федеральный закон о документации (44 USC 3101) требует от федеральных агентств «создавать и хранить записи, содержащие адекватную и надлежащую документацию об организации, функциях, политике, решениях, процедурах и основных операциях агентства». Это требование распространяется и на электронные записи. Агентства, которые не всегда придерживаются стандартных методов управления записями, рискуют не иметь записей, на которые можно было бы положиться в ходе последующих деловых операций или действий.

Это руководство предназначено как для специалистов по информационным технологиям (ИТ), которые устанавливают системы электронной подписи и которые могут быть не знакомы с последствиями управления записями, так и для персонала агентства, занимающегося управлением записями. Хорошие ИТ-практики дополняют или параллельны передовым методам управления записями. В системах, реализованных в результате GPEA, требования к управлению записями сформируют ядро ​​требований к ИТ-системе. При внедрении технологий электронной подписи ИТ-специалисты должны знать, что подписи являются неотъемлемой частью записи. Если запись необходимо сохранить, будь то в течение ограниченного периода времени или постоянно, то агентству необходимо обеспечить надежность записи с электронной подписью с течением времени.

Архивариус Соединенных Штатов должен утвердить распоряжение федеральными архивами с помощью утвержденного NARA органа по распоряжению документами или графика контроля архивов, прежде чем агентства смогут их уничтожить. (44 USC 3303a (а)). Новые информационные системы или серии записей, которые не были запланированы (т. Е.не имеют полномочий по удалению записей) должны быть оценены NARA. Персоналу агентства по управлению записями следует связаться с NARA, чтобы начать процесс планирования. Дополнительная информация о планировании записей и руководстве по управлению записями NARA доступна на веб-сайте NARA и в публикациях NARA. См. Приложение B для получения дополнительной информации о программах и услугах NARA по управлению записями.

В этом руководстве обсуждаются принципы управления записями, которые применяются к технологии электронной подписи в целом. Электронные подписи могут выполняться с помощью нескольких различных технологий, таких как персональный идентификационный номер (PIN), цифровые подписи, смарт-карты и биометрия. Если потребуется дополнительное руководство по управлению записями, зависящее от технологии, NARA будет работать с агентствами над его разработкой.

В данном руководстве , а не , рассматриваются вопросы управления записями, связанные с электронными информационными системами, используемыми для создания электронных подписей. Эти вопросы рассматриваются в других руководящих документах NARA.Это руководство также не касается вопросов, связанных с Законом о свободе информации (FOIA) и Законом о конфиденциальности, которые относятся к компетенции Министерства юстиции и Управления управления и бюджета, соответственно.

3.0 Фон

3.1 Записи жизненного цикла по сравнению с жизненным циклом разработки системы

Термины «жизненный цикл записей» и «жизненный цикл разработки системы» — важные понятия, которые иногда путают при обсуждении информационных технологий и управления записями.

Жизненный цикл записей : Жизненный цикл записей — это продолжительность жизни записи от ее создания или получения до ее окончательного удаления. Обычно он описывается в три этапа: создание, обслуживание и использование, а также окончательное удаление. Большая часть этого руководства касается этапа создания, поскольку запись электронной подписи создается на первом этапе жизненного цикла записи. Второй этап, обслуживание и использование, — это часть жизненного цикла записей, в которой запись либо поддерживается в агентстве во время активного использования, либо поддерживается в автономном режиме, когда использование менее частое.Заключительный этап жизненного цикла записи — это размещение, которое описывает окончательную судьбу записи. Федеральные записи классифицируются как имеющие статус «временного» или «постоянного». Временные записи хранятся агентствами в течение определенных периодов времени, прежде чем они будут уничтожены или удалены. Постоянные записи сначала хранятся в агентствах, а затем по закону передаются NARA. Записи с электронной подписью могут быть временными или постоянными. Возможное удаление записей с электронной подписью является предметом переговоров между агентством и NARA, но агентства не имеют права удалять записи без разрешения NARA.

Жизненный цикл разработки системы : «Жизненный цикл разработки системы» описывает фазы разработки электронной информационной системы. Эти этапы обычно включают в себя запуск, определение, проектирование, разработку, развертывание, эксплуатацию, техническое обслуживание, улучшение и вывод из эксплуатации. Важным шагом на нескольких этапах является определение, разработка и уточнение модели данных, которая включает обработку создаваемых или управляемых записей. Информационные системы, разработанные в соответствии с методологиями разработки систем, включая те, которые агентства используют для выполнения требований GPEA к электронной подписи, будут создавать новые записи или дополнять существующие записи.

Жизненный цикл записей часто превышает жизненный цикл разработки системы. В этом случае агентству необходимо хранить запись в течение периода времени, превышающего срок службы электронной информационной системы, сгенерировавшей электронную подпись. Это создает особые проблемы, такие как поддержание надежности записи при переходе с одной системы на другую.

4.0 Надежные записи

4.1 Характеристики достоверных записей

Надежность, подлинность, целостность и удобство использования — это характеристики, используемые для описания достоверных записей с точки зрения управления записями.Агентству необходимо учитывать эти характеристики при планировании внедрения технологии электронной подписи, чтобы соответствовать своим внутренним деловым и юридическим потребностям, а также внешним правилам или требованиям. Степень усилий, затрачиваемых агентством на достижение этих характеристик, зависит от бизнес-потребностей агентства или восприятия риска. (См. Раздел 5.2 для обсуждения оценки риска.) Для транзакций, которые имеют решающее значение для бизнес-потребностей агентства, может потребоваться более высокий уровень уверенности в том, что они надежны, аутентичны, поддерживают целостность и пригодны для использования, чем транзакции менее критической важности. Чтобы узнать, заслуживают ли записи доверия с юридической точки зрения, обратитесь в офис главного юрисконсульта.

Надежность : Надежная запись — это такая запись, содержимому которой можно доверять как полному и точному представлению транзакций, действий или фактов, которые она подтверждает, и на которые можно полагаться в ходе последующих транзакций или действий.

Подлинность : Подлинная запись — это такая запись, которая доказана как то, чем она задумывается, и что была создана или отправлена ​​лицом, которое якобы создал и отправил ее.

Запись должна создаваться в момент транзакции или инцидента, к которому она относится, или вскоре после этого лицами, которые непосредственно осведомлены о фактах, или инструментах, обычно используемых в бизнесе для проведения транзакции.

Чтобы продемонстрировать подлинность записей, агентства должны внедрить и задокументировать политики и процедуры, которые контролируют создание, передачу, получение и обслуживание записей, чтобы гарантировать, что создатели записей авторизованы и идентифицированы, и что записи защищены от несанкционированного добавления, удаления и внесение изменений.

Целостность : Целостность записи означает ее полноту и неизменность.

Необходимо, чтобы запись была защищена от изменения без соответствующего разрешения. В политике и процедурах управления записями следует указывать, какие добавления или аннотации могут быть внесены в запись после ее создания, если таковые имеются, при каких обстоятельствах могут быть разрешены добавления или аннотации и кто уполномочен делать их. Любые разрешенные примечания или дополнения к записи, сделанные после ее завершения, должны быть явно указаны как примечания или дополнения.

Другой аспект целостности — структурная целостность записи. Структура записи, то есть ее физический и логический формат и отношения между элементами данных, составляющими запись, должны оставаться физически или логически неизменными. Несоблюдение структурной целостности записи может снизить ее надежность и подлинность.

Удобство использования : полезная запись — это запись, которую можно найти, извлечь, представить и интерпретировать. При любом последующем извлечении и использовании запись должна иметь возможность напрямую связываться с бизнес-деятельностью или транзакцией, которая ее породила.Должна быть возможность идентифицировать запись в контексте более широкой деловой деятельности и функций. Следует поддерживать связи между записями, которые документируют последовательность действий. Эти контекстные связи записей должны нести информацию, необходимую для понимания транзакции, которая их создала и использовала.

4.2 Сохранение достоверных записей

Для того, чтобы запись оставалась надежной, аутентичной, сохранялась целостность и могла использоваться до тех пор, пока она необходима, необходимо сохранить ее содержимое, контекст, а иногда и структуру.Надежная запись сохраняет фактическое содержимое самой записи и информацию о записи, относящуюся к контексту, в котором она была создана и использована. Конкретная контекстная информация будет варьироваться в зависимости от деловых, юридических и нормативных требований деловой деятельности (например, выдачи разрешений на землепользование на федеральных землях). Также может возникнуть необходимость сохранить структуру или расположение его частей. Несохранение структуры записи нарушит ее структурную целостность.Это, в свою очередь, может подорвать надежность и подлинность записи.

При работе с сохранением содержания, контекста и структуры записей, которые дополняются электронными подписями, следует учитывать особые требования:

  • Содержимое: электронная подпись или подписи в записи являются частью содержимого. Они указывают, кто подписал запись и одобрил ли этот человек содержание записи. Множественные подписи могут указывать на первоначальное одобрение и последующие согласования.Подписи часто сопровождаются датами и другими идентификаторами, такими как организация или должность. Все это является частью содержания записи и требует сохранения. Отсутствие этой информации серьезно влияет на надежность и подлинность документа.
  • Контекст: некоторые технологии электронной подписи полагаются на отдельные идентификаторы, которые не встроены в содержимое записи, пути доверия и другие средства для создания и проверки действительности электронной подписи (см. Раздел 5.1). Эта информация находится за пределами содержимого записи , но, тем не менее, важна для контекста записи , поскольку она предоставляет дополнительные свидетельства для поддержки надежности и подлинности записи. Отсутствие этих контекстных записей серьезно влияет на способность проверять достоверность подписанного контента.
  • Структура: Сохранение структуры записи означает, что ее физический и логический формат и отношения между элементами данных, составляющими запись, остаются физически и логически неизменными.Агентство может определить, что необходимо сохранить структуру электронной подписи. В этом случае необходимо сохранить оборудование и программное обеспечение, которые создали подпись (например, чипы или алгоритмы шифрования), чтобы вся запись могла быть повторно подтверждена в более позднее время по мере необходимости.

4.3 Какие подходы доступны агентствам для обеспечения надежности документов с электронной подписью с течением времени?

Существуют различные подходы, которые агентства могут использовать для обеспечения надежности документов с электронной подписью с течением времени. Агентства выберут подход, который будет для них практичным и будет соответствовать потребностям их бизнеса и оценке рисков. Ниже обсуждаются два различных подхода, которые использовали агентства.

Один подход : Агентство может по своему усмотрению вести соответствующую документацию о действительности записей, такую ​​как записи проверки доверия, собранные во время или почти во время подписания записи. Этот подход требует, чтобы агентства сохраняли контекстную информацию для надлежащего документирования процессов, имевших место на момент электронной подписи записи, а также самой записи с электронной подписью.Дополнительная контекстная информация должна храниться до тех пор, пока сохраняется запись с электронной подписью. Таким образом, агентство сохраняет действительность подписи и отвечает требованиям к документации, сохраняя контекстную информацию, которая документировала действительность электронной подписи на момент подписания записи.

Поддержание адекватной документации о действительности, собранной во время или почти во время подписания записи, может быть предпочтительным для записей, которые хранятся постоянно или долгое время, поскольку они меньше зависят от технологии и их гораздо легче поддерживать по мере развития технологий с течением времени. Однако при использовании этого подхода имя подписи может оставаться нечитаемым с течением времени из-за побитового ухудшения записи или в результате технологического устаревания. Агентства должны гарантировать, что для постоянных записей напечатанное имя подписавшего и дата выполнения подписи были включены как часть любой удобочитаемой формы (такой как электронный дисплей или распечатка) электронной записи.

Другой подход : Агентство может сохранить возможность повторной проверки цифровых подписей.Подход к повторной проверке требует, чтобы агентства сохраняли возможность повторной проверки цифровой подписи вместе с самой записью с электронной подписью. Информация, необходимая для повторной проверки (т. Е. Открытый ключ, используемый для проверки подписи, сертификат, относящийся к этому ключу, и список отзыва сертификатов из центра сертификации, который соответствует времени подписания), должна храниться до тех пор, пока -подписанная запись сохраняется. Как контекстная, так и структурная информация записи должна быть сохранена, как описано в Разделе 4. 2.

Этот подход потенциально более обременительный, особенно для записей с цифровой подписью, требующих длительного хранения, из-за проблем, связанных с устареванием оборудования и программного обеспечения. Если агентство выбирает этот подход для постоянных записей, оно должно связаться с NARA, чтобы обсудить, что им нужно сделать для передачи записей в NARA. Как и в первом подходе, агентство должно гарантировать, что напечатанное имя электронной подписи и дата выполнения подписи включены как часть любой удобочитаемой формы (такой как электронный дисплей или распечатка) электронной записи.

Особые соображения в отношении записей, подтверждающих юридические права, и записей, которые должны храниться постоянно, обсуждаются в разделах 5.5 и 5.6 соответственно.

Отсутствие отказа от авторства:

Независимо от подхода, используемого агентством, должна быть реализована определенная форма технических услуг по предотвращению отказа от авторства для защиты надежности, подлинности, целостности и удобства использования, а также конфиденциальности и законного использования информации с электронной подписью. Фиксация авторства — одна из важнейших услуг безопасности в вычислительных средах, которая в основном применяется в системах обработки сообщений и электронной коммерции. Службы предотвращения отказа от авторства, которые используются в электронной коммерции, также могут использоваться для проверки надежности записей с электронной подписью. Услуги по фиксации авторства предоставляют неопровержимые доказательства того, что действие имело место. Сервисы защищают одну сторону транзакции (например, электронное подписание записи) от отказа другой стороной в том, что имело место конкретное событие или действие.Услуги также обеспечивают гарантии, которые защищают все стороны от ложных утверждений о том, что запись была подделана или не была отправлена ​​или получена.

Существует несколько структур для предотвращения отказа от авторства, и агентства будут выбирать структуру, которая соответствует их потребностям. Одной из возможных рамок является модель неотказуемости ISO (Международной организации по стандартизации) («Сохранение авторства — Часть 1: Общая модель», ISO / IEC JTC1 / SC27 N1503, ноябрь 1996 г . ; «Сохранение авторства — Часть 2: Использование симметричных методов», ISO / IEC JTC1 / SC27 N1505, ноябрь 1996 г.).Основные элементы модели ISO перечислены ниже:

  • Доказательство происхождения сообщения и проверка : Это показывает, что отправитель создал сообщение (запись с электронной подписью). Отправитель (лицо, подписывающее запись в электронном виде) должен создать сертификат подтверждения происхождения с помощью службы предотвращения отказа от авторства. Запись с электронной подписью может быть отправлена ​​другой стороне (получателю записи с электронной подписью или другому заявлению для дальнейшей обработки) с помощью службы доставки без отказа от авторства.Получатель должен хранить это свидетельство, используя службу хранения без отказа от авторства. В случае разногласий отправитель может позже получить эти доказательства.
  • Свидетельство о получении сообщения : Это доказывает, что сообщение (запись с электронной подписью) было доставлено. Получатель должен создать и отправить сертификат подтверждения получения, используя службу центра доставки без отказа от авторства. Отправитель получает это свидетельство и сохраняет его, используя службу хранения без возможности отказа от авторства; позже его можно будет восстановить, если возникнет спор.
  • Временная метка транзакции : Эта временная метка генерируется службой фиксации авторства как часть свидетельства того, что событие или действие имело место.
  • Долгосрочное хранилище : используется для хранения сертификатов происхождения и получения. В случае спора судья использует это хранилище для извлечения доказательств. В зависимости от длины хранилища может возникнуть необходимость решить проблемы миграции программного и аппаратного обеспечения в рамках проектирования этого объекта.
  • Судья : Судья используется для разрешения споров на основе хранимых доказательств, если отправитель или получатель документов с электронной подписью предъявляет ложные требования.

Изменено по: Орфали, Роберт, Харки, Дэн и Джери Эдвардс. Руководство по выживанию клиент-сервер. John Wiley & Sons: Нью-Йорк, 1999, стр. 144.

4.4 Какие шаги следует предпринять агентствам, чтобы обеспечить надежность документов, подписанных электронным способом?

Для создания достоверных записей с электронными подписями агентству необходимо:

  • Создавать и поддерживать документацию систем, используемых для создания записей, содержащих электронные подписи.
  • Убедитесь, что записи, содержащие электронные подписи, создаются и хранятся в безопасной среде, которая защищает записи от несанкционированного изменения или уничтожения.
  • Внедрить стандартные рабочие процедуры для создания, использования и управления записями, содержащими электронные подписи, и вести соответствующую письменную документацию этих процедур.
  • Создавайте и поддерживайте записи в соответствии с этими задокументированными стандартными операционными процедурами.
  • Обучить персонал агентства стандартным рабочим процедурам.
  • Получите от NARA официальные полномочия по удалению как записей, содержащих электронные подписи, так и связанных с ними записей, которые необходимы для достоверных записей (см. Раздел 4.0). (Наличие официальных органов распоряжения поможет агентству, когда оно столкнется с требованиями предоставить записи, которые, согласно данным властям, были уничтожены.)

5.0 Прочие вопросы управления записями

5.1 Какие новые записи могут быть созданы с помощью технологии электронной подписи? Решения агентства о принятии или создании записей с электронной подписью порождают новые типы связанных записей. Агентства должны идентифицировать содержание, контекст и структуру записей с помощью электронных подписей и определять, что им нужно будет сохранить, чтобы иметь достоверные записи для целей агентства. Следующий список включает многие записи, которые могут быть связаны с инициативой электронной подписи. Эти записи должны быть запланированы (иметь утвержденные органы по удалению от NARA) в соответствии с электронно подписанными записями, к которым они относятся.

  • Документация, удостоверяющая личность : Информация, которую агентство использует для идентификации и аутентификации конкретного человека в качестве источника записи с электронной подписью. Примерами этого могут быть пин-код или цифровой сертификат, присвоенный физическому лицу. Эта информация может быть передана физическим лицам посредством письменной корреспонденции и не обязательно появляется в записи, подписанной электронной подписью.В зависимости от способа реализации это либо контент , либо контекст .
  • Электронные подписи : Метод подписи электронного документа, который идентифицирует и аутентифицирует конкретное лицо как источник сообщения и указывает на то, что такое лицо одобряет информацию, содержащуюся в электронном сообщении. Электронная подпись может быть встроена в содержимое записи или может храниться отдельно.
  • Если технология электронной подписи отделяет подпись от остальной части записи, она должна быть каким-то образом связана и зафиксирована в системе ведения записей, чтобы сохранить полное содержание записи.
  • Записи проверки доверия : Записи, которые агентство считает необходимыми для документирования того, когда и как была проверена подлинность подписи. Примером этого может быть протокол онлайн-статуса сертификата (OCSP) или другой ответ от сервера центра сертификации. Это контекстная информация .
  • Сертификаты : Электронный документ, который связывает подтвержденную личность с открытым ключом, который используется для проверки цифровой подписи в реализациях инфраструктуры открытого ключа.Это контекстная информация .
  • Список отозванных сертификатов : В реализациях инфраструктуры открытых ключей — список сертификатов, которые центр сертификации отозвал в определенное время. Когда центр сертификации помещает сертификат в список отзыва, приложение агентства может отклонить цифровую подпись. Это контекстная информация .
  • Пути доверия : В реализациях инфраструктуры открытых ключей — цепочка сертификатов доверенных третьих сторон между сторонами транзакции, которая заканчивается выдачей сертификата, которому доверяет доверяющая сторона.Путь доверия — это одни из данных, необходимых для проверки полученной цифровой подписи. Это контекстная информация .
  • Политика сертификатов : В реализациях инфраструктуры открытых ключей — набор правил, определяющих применимость сертификата к определенному сообществу и / или классу приложений с общими требованиями безопасности. Это контекстная информация .
  • Положения о практике сертификации : В реализациях инфраструктуры открытых ключей — практические положения сертификационного органа по выдаче сертификатов.Это контекстная информация .
  • Алгоритмы хеширования / шифрования / подписи : Программное обеспечение для создания вычислительных вычислений, используемых для создания или проверки цифровых подписей. Это структура , информация .

5.2 Как агентства определяют, какие из этих записей электронной подписи оставить?

Агентства устанавливают методы управления записями на основе своих операционных потребностей и восприятия рисков. Операционные потребности определяются на основе подхода к обеспечению надежности записей с электронной подписью с течением времени (см. Раздел 4.3). Оценка риска и снижение риска, наряду с другими методологиями, используются для установления требований к документации для деятельности агентства. При оценке риска следует учитывать возможные последствия утерянных или невосстановимых записей, включая юридический риск и финансовые затраты, связанные с потенциальными убытками, вероятность того, что произойдет событие, вызывающее ущерб, и затраты на принятие мер по смягчению последствий. Риск определяется здесь, с точки зрения NARA, как (1) риск оспаривания записей (например, судебное разбирательство), которого можно ожидать в течение срока действия записи, и (2) степень, в которой агентство или граждане будут понести убытки, если надежность документов, подписанных электронным способом, не может быть надлежащим образом задокументирована. Оценка риска также может применяться к записям программ электронной подписи, чтобы определить уровень документации, необходимой для проверки подписи. Концепции надежности, подлинности, целостности и удобства использования, обсуждаемые в разделе 4.1, могут помочь агентствам установить критерии для типов записей, связанных с электронной подписью, которые они должны хранить для документирования своих программ.

5.3 Передача материалов записи электронной подписи от подрядчиков агентствам

Поскольку правительство начинает взаимодействовать с гражданами в электронном виде, агентства могут нанимать сторонних подрядчиков для интеграции технологии электронной подписи в свои бизнес-процессы.Примером является программа сертификатов доступа к электронным услугам (ACES) Администрации общих служб. Использование стороннего подрядчика не освобождает агентство от его обязанности предоставлять адекватную и надлежащую документацию материала записи электронной подписи. Когда агентства используют сторонних подрядчиков, они могут использовать определенный язык контрактов, чтобы обеспечить выполнение требований к управлению записями. Агентствам может потребоваться принять специальные меры для получения материалов записи электронной подписи от третьих лиц или обеспечить соблюдение третьими сторонами требований к хранению записей.

5.4 Когда агентство должно изменить свой график записей, чтобы включить записи с электронной подписью?

Расписания записей — это бизнес-правила, которые описывают типы записей, которые производит агентство, и сроки хранения этих записей. Графики записей необходимо изменить, когда:

    Создается
  • новых записей, таких как перечисленные в Разделе 5.1;
  • агентство определяет, что включение электронной подписи в запись приведет к изменению срока хранения этой записи;
  • включение электронной подписи и / или связанные с этим параллельные изменения в рабочем процессе существенно изменяют характер записи.

NARA предоставит сотрудникам архивов агентства конкретные рекомендации по составлению расписания. Если агентство применяет технологию электронной подписи к записям, для которых запланировано постоянное хранение, обратитесь в NARA.

5.5 Особые соображения, касающиеся долгосрочных записей с электронной подписью, защищающих законные права.

При внедрении технологии электронной подписи агентства должны уделять особое внимание использованию электронных подписей в электронных записях, сохраняющих законные права.Поскольку долгосрочные временные и постоянные записи, подписанные электронным способом, имеют больший срок службы, чем типичные циклы устаревания программного обеспечения, практически наверняка агентствам придется перенести эти записи на более новые версии программного обеспечения для сохранения доступа. Процесс миграции программного обеспечения (в отличие от миграции носителя) может сделать недействительной цифровую подпись, встроенную в запись. Этот может отрицательно повлиять на способность агентства признать или обеспечить соблюдение законных прав, задокументированных в этих записях.

5.6 Требования NARA к постоянным записям с электронной подписью

Для постоянных записей агентства должны гарантировать, что напечатанное имя электронной подписи, а также дата, когда была подписана, были включены как часть любой удобочитаемой формы (такой как электронный дисплей или распечатка) электронной записи. NARA требует этого, чтобы имя подписавшего сохранялось как часть записи.


Приложение A — Ключевые термины и определения

ПРИМЕЧАНИЕ: Многие из этих определений взяты из Льюиса Дж.Беллардо и Линн Леди Беллардо, сост., Глоссарий для архивистов, хранителей рукописей и менеджеров документации , Серия «Основы архивов» (Чикаго: Общество американских архивистов, , 1992). Самые последние определения см. В онлайн-глоссарии SAA, http://www.archivists.org/glossary/

Оценка : процесс определения стоимости и, следовательно, распоряжения записями (т. Е. Обозначение их как временных или постоянных) на основе их текущего административного, юридического и финансового использования; их доказательная и информационная ценность; их расположение и состояние; их внутренняя ценность; и их отношение к другим записям.( Глоссарий Общества американских архивистов, )

Аутентичность : Подлинная запись — это запись, соответствие которой подтверждено, и которая была создана или отправлена ​​лицом, которое претендует на создание и отправку.

Центр сертификации [CA] : Как часть инфраструктуры открытых ключей, центр в сети, который выдает и управляет учетными данными безопасности и открытыми ключами для шифрования и дешифрования сообщений.

Содержание : Информация, которую должен передать документ ( Глоссарий Общества американских архивистов ).Слова, фразы, числа или символы, составляющие фактический текст записи, которые были созданы создателем записи.

Контекст : организационные, функциональные и операционные обстоятельства, в которых документы создаются и / или принимаются и используются ( Глоссарий Общества американских архивистов, ). Размещение записей в более крупной системе классификации записей, обеспечивающей перекрестные ссылки на другие связанные записи.

Документация : 1.В архиве — создание или получение документов, свидетельствующих о создателе, событии или действии. 2. В электронных записях — организованная серия описательных документов, объясняющих операционную систему и программное обеспечение, необходимые для использования и обслуживания файла, а также порядок, содержание и кодировку данных, которые он содержит. ( Глоссарий Общества американских архивистов, )

Электронная подпись : Технологически нейтральный термин, обозначающий различные методы подписи электронного сообщения, которые (а) идентифицируют и удостоверяют личность конкретного человека как источника электронного сообщения; и (b) указать, что такое лицо одобряет информацию, содержащуюся в электронном сообщении (определение из GPEA, Pub. Л. 105-277). Примеры технологий электронной подписи включают ПИН-коды, идентификаторы пользователей и пароли, цифровые подписи, цифровые подписи, а также аппаратные и биометрические токены.

Список общих записей : Список записей, регулирующий определенные серии записей, общих для нескольких или всех агентств или административных единиц корпорации ( Глоссарий Общества американских архивистов, ). Таблицы общих записей NARA (GRS) предоставляют полномочия по удалению временных административных записей, общих для нескольких или всех агентств федерального правительства.

Целостность : Целостность записи означает ее полноту и неизменность.

Отсутствие отказа от авторства : шаги, предпринятые агентством для обеспечения уверенности посредством использования контрольного журнала, что отправитель не может отрицать, что он является источником сообщения, и что получатель не может отрицать получение сообщения.

Протокол статуса онлайн-сертификата [OCSP] : проект протокола Интернет-связи рабочей группы IETF X.509 PKI, который полезен для определения текущего статуса цифрового сертификата без необходимости в списках отзыва сертификатов.

Инфраструктура открытого ключа [PKI] : ИТ-инфраструктура, которая позволяет пользователям в основном незащищенной общедоступной сети, такой как Интернет, безопасно и конфиденциально обмениваться данными с помощью пары публичных и частных криптографических ключей, которые получают и совместно используют авторитет, которому доверяют.

Запись : Все книги, бумаги, карты, фотографии, машиночитаемые материалы или другие документальные материалы, независимо от физической формы или характеристик, сделанные или полученные агентством США.S. Правительство в соответствии с федеральным законом или в связи с ведением публичного бизнеса и сохраняется или подходит для сохранения этим агентством или его законным правопреемником в качестве доказательства организации, функций, политики, решений, процедур, операций или другой деятельности правительства или из-за информативности данных в них (44 USC 3301).

Система ведения документации : Ручная или автоматизированная система, в которой записи собираются, систематизируются и классифицируются для облегчения их сохранения, поиска, использования и удаления.

Список записей : Документ, описывающий записи агентства, организации или административного подразделения, устанавливающий график их жизненного цикла и предоставляющий разрешение на их удаление ( Глоссарий Общества американских архивистов ), т. Е. Внешнее хранение с последующим уничтожением или передачей в Национальный архив.

Запись серии : единицы файла или документы, упорядоченные в соответствии с файловой системой или поддерживаемые как единое целое, поскольку они являются результатом одного и того же процесса накопления или хранения, той же функции или одной и той же деятельности; иметь определенную форму; или из-за каких-либо других отношений, возникающих в результате их создания, получения или использования. ( Глоссарий Общества американских архивистов, )

Надежность : Надежная запись — это такая запись, содержимому которой можно доверять как полному и точному представлению транзакций, действий или фактов, которые они подтверждают, и на которые можно полагаться в ходе последующих транзакций или действий.

Повторная проверка : повторное подтверждение процесса проверки ранее проверенной электронной подписи.

Структура : физический и логический формат записи и отношения между элементами данных.

Удобство использования : полезная запись — это запись, которую можно найти, извлечь, представить и интерпретировать.

Проверка : Процесс, с помощью которого подтверждается, что сообщение / запись было отправлено аутентифицированным пользователем сети, то есть тем, кто надлежащим образом установил свою личность в сети.

Приложение B — Дополнительная информация и помощь

В дополнение к руководству по политике, которое можно получить от сотрудника отдела документации агентства, должностных лиц по управлению информационными ресурсами, юрисконсульта и генерального инспектора, федеральным агентствам предоставляется помощь в управлении документами через несколько офисов и программ NARA. Агентства найдут самый последний список контактов и программ управления записями NARA, размещенный на веб-странице NARA Records Management.

Политика управления записями

и руководство также доступны на веб-сайте NARA. Ссылки на федеральные постановления, публикации по управлению документами, бюллетени NARA и другие ценные ресурсы доступны по адресу http://www.archives.gov/records-mgmt/policy/index.html. Персоналу агентства, который ищет актуальную информацию и помощь в решении проблем с электронными записями, следует посетить сайт проекта Fast Track Guidance Development Project.). Проект Fast Track — это инициатива по предоставлению доступной информации в электронном виде агентствам, в то время как NARA продолжает разрабатывать более полные и долгосрочные решения.

Агентства также могут написать или позвонить для получения дополнительной информации:

Управление архивов — Вашингтон, округ Колумбия, программы Modern Records
Отдел управления жизненным циклом, NWML
Национальный архив в Колледж-Парке
8601 Адельфи-роуд
Колледж-Парк, Мэриленд 20740-6001
301 837-1738

Отдел управления жизненным циклом принимает и рассматривает все запросы на удаление документации, подаваемые в NARA федеральными агентствами, и проводит обучение управлению документами, доступное для всех федеральных служащих. Подразделение состоит из шести рабочих групп, каждая из которых отвечает за определенные федеральные агентства. Такая структура связи гарантирует, что агентства смогут обсудить вопросы, связанные с их документами, с кем-то, кто знаком с их агентством и их документами. Список рабочих групп и назначений агентств доступен. Имеется расписание занятий по делопроизводству.

Офисы и программы агентства

за пределами Вашингтона, округ Колумбия, также могут связаться с персоналом по ведению документации в одном из региональных отделений службы документации NARA.Список этих объектов доступен в Интернете. Региональные отделения NARA также предлагают обучение управлению документами. Расписание региональных занятий доступно.

Агентства могут написать или позвонить для получения дополнительной информации о региональных службах записи NARA:

Офис региональных архивов, NR
Национальный архив в Колледж-Парке
8601 Адельфи-роуд
Колледж-Парк, Мэриленд 20740-6001
301 837-2950

* Адреса и номера телефонов веб-сайтов были обновлены 14. 11.02 в бюллетене NARA 2003-02.В Приложение А внесены дополнительные обновления 14.02.2006

Законы, правила и стандарты электронной подписи для правительства

В этом документе представлен обзор законов, положений и стандартов в отношении электронной подписи, которые применяются к правительственным организациям США, а также сертификаты, применимые к электронным подписям, PKI и учетным данным.

ЗАКОНЫ И ПОЛОЖЕНИЯ
  • Закон об упразднении государственных документов (GPEA) : Закон, подписанный в 1998 году, был принят для поощрения использования и принятия электронных записей и подписей в правительстве.Законодательство не предписывает конкретную форму электронной подписи, а скорее заявляет, что электронная подпись является «методом подписи электронного сообщения, который идентифицирует и удостоверяет личность конкретного человека как источника электронного сообщения; и указывает, что такое лицо одобряет информацию, содержащуюся в электронном сообщении ».
  • Закон об электронных подписях в глобальной и национальной торговле (E-SIGN) : Федеральный закон об электронных подписях в глобальной и национальной торговле (ESIGN) дает юридическое признание электронных подписей и записей для удовлетворения «письменных» юридических требований к транзакциям, включая раскрытие информации, и разрешать организациям выполнять установленные законом требования к хранению записей исключительно за счет использования электронных записей.ESIGN требует согласия человека на ведение бизнеса в электронном виде.

СЕРТИФИКАЦИЯ И СТАНДАРТЫ
  • Национальный институт стандартов и технологий (NIST) : NIST — это федеральное агентство США, которое разрабатывает и продвигает стандарты для цифровых подписей и электронной аутентификации. 180-4 — это стандарт безопасного хеширования, определяющий пять алгоритмов для создания дайджеста сообщения. 186-4 — это стандарт цифровой подписи, используемый для цифровой подписи электронной записи или сообщения. FIPS 201-1 — это стандарт для проверки личности государственных служащих и подрядчиков. И наконец, что не менее важно, FIPS 140-2 — стандарт, определяющий требования безопасности, которым будет удовлетворять криптографический модуль, используемый в программном приложении, например электронные подписи.
  • Joint Interoperability Testing Command (JITC) : JITC, действующий в рамках Управления информационных систем обороны, проводит независимое тестирование совместимости приложений с открытым ключом для использования с инфраструктурой открытого ключа DoD.JITC выдал OneSpan двенадцать сертификатов — процесс, включающий более 300 тщательных испытаний.
  • Директива президента о внутренней безопасности 12 (HSPD 12) : HSPD-12 — это общий стандарт идентификации для федеральных служащих и подрядчиков, призванный повысить безопасность и защитить личную жизнь. Цель — согласованный подход к управлению учетными данными и доступом для обеспечения взаимодействия. В качестве программного продукта с открытым ключом решения OneSpan могут принимать цифровые сертификаты, соответствующие стандарту FIPS 201-1.

ПРИМЕЧАНИЕ: Приведенные выше ссылки не следует рассматривать как юридическое заключение. OneSpan рекомендует обратиться за профессиональной юридической консультацией по вопросам соблюдения нормативных требований и юридических вопросов.

Как работают цифровые подписи | DocuSign

Что такое цифровые подписи?

Цифровые подписи подобны электронным «отпечаткам пальцев». В форме закодированного сообщения цифровая подпись надежно связывает подписывающего с документом в записанной транзакции.Цифровые подписи используют стандартный общепринятый формат, называемый инфраструктурой открытых ключей (PKI), чтобы обеспечить высочайший уровень безопасности и всеобщее признание. Они представляют собой специфическую реализацию технологии подписи электронной подписи (eSignature).

В чем разница между цифровой подписью и электронной подписью?

Широкая категория электронных подписей (eSignatures) охватывает множество типов электронных подписей. В эту категорию входят цифровые подписи, которые представляют собой конкретную технологию реализации электронных подписей.И цифровые подписи, и другие решения для электронной подписи позволяют подписывать документы и аутентифицировать подписывающего лица. Однако существуют различия в назначении, технической реализации, географическом использовании, а также в юридическом и культурном признании цифровых подписей по сравнению с другими типами электронных подписей.

В частности, использование технологии цифровой подписи для электронных подписей значительно различается между странами, которые следуют открытым, технологически нейтральным законам об электронной подписи, включая США, Соединенное Королевство, Канаду и Австралию, и странами, которые следуют многоуровневым моделям электронной подписи, которые предпочитают локально определенные стандарты, основанные на технологии цифровой подписи, включая многие страны Европейского Союза, Южной Америки и Азии.Кроме того, некоторые отрасли также поддерживают определенные стандарты, основанные на технологии цифровой подписи.

Хотите подписаться онлайн, но не нуждаетесь в цифровой подписи?

Подробнее об электронных подписях

Как работают цифровые подписи?

Цифровые подписи, как и собственноручные подписи, уникальны для каждого подписавшего. Поставщики решений для цифровой подписи, такие как DocuSign, используют специальный протокол, называемый PKI.PKI требует, чтобы провайдер использовал математический алгоритм для генерации двух длинных чисел, называемых ключами. Один ключ является открытым, а другой — частным.

Когда подписывающая сторона подписывает документ электронным способом, подпись создается с использованием закрытого ключа подписывающей стороны, который всегда надежно хранится подписывающей стороной. Математический алгоритм действует как шифр, создавая данные, соответствующие подписанному документу, называемые хешем, и шифруя эти данные. Полученные зашифрованные данные представляют собой цифровую подпись. В подписи также указывается время подписания документа. Если документ изменяется после подписания, электронная подпись становится недействительной.

Например, Джейн подписывает договор о продаже таймшера, используя свой закрытый ключ. Покупатель получает документ. Покупатель, получивший документ, также получает копию открытого ключа Джейн. Если открытый ключ не может расшифровать подпись (с помощью шифра, на основе которого были созданы ключи), это означает, что подпись не принадлежит Джейн или была изменена с момента ее подписания. В этом случае подпись считается недействительной.

Для защиты целостности подписи PKI требует, чтобы ключи создавались, обрабатывались и сохранялись безопасным способом, и часто требует услуг надежного центра сертификации (CA). Поставщики цифровой подписи, такие как DocuSign, соответствуют требованиям PKI для безопасной цифровой подписи.

Начать работу

Нужно поговорить с кем-нибудь или иметь более 10 пользователей?

Связаться с отделом продаж

Хотите попробовать DocuSign бесплатно? Получите бесплатную 30-дневную пробную версию.

Бесплатная пробная версия

Часто задаваемые вопросы о цифровой подписи

Как создать цифровую подпись?

Провайдеры электронной подписи, такие как DocuSign, которые предлагают решения на основе технологии цифровой подписи, упрощают создание цифровой подписи для документов. Они предоставляют интерфейс для отправки и подписания документов в Интернете и работают с соответствующими центрами сертификации для предоставления надежных цифровых сертификатов.

В зависимости от того, какой центр сертификации вы используете, от вас может потребоваться предоставить конкретную информацию.Также могут быть ограничения и ограничения в отношении того, кому вы отправляете документы на подпись, и в каком порядке вы их отправляете. Интерфейс DocuSign проведет вас через процесс и обеспечит соответствие всем этим требованиям. Когда вы получаете документ для подписи по электронной почте, вы должны пройти аутентификацию в соответствии с требованиями центра сертификации, а затем «подписать» документ, заполнив онлайн-форму.

Что такое инфраструктура открытых ключей (PKI)?

Инфраструктура открытых ключей

(PKI) — это набор требований, которые позволяют (среди прочего) создавать цифровые подписи.Через PKI каждая транзакция с цифровой подписью включает пару ключей: закрытый ключ и открытый ключ. Закрытый ключ, как следует из названия, не является общим и используется только подписывающим лицом для электронной подписи документов. Открытый ключ находится в открытом доступе и используется теми, кому необходимо проверить электронную подпись подписывающего лица. PKI обеспечивает соблюдение дополнительных требований, таких как центр сертификации (CA), цифровой сертификат, программное обеспечение для регистрации конечных пользователей и инструменты для управления, обновления и отзыва ключей и сертификатов.

Что такое центр сертификации (ЦС)?

Цифровые подписи основаны на открытых и закрытых ключах. Эти ключи должны быть защищены, чтобы обеспечить безопасность и избежать подделки или злонамеренного использования. Когда вы отправляете или подписываете документ, вам нужна уверенность в том, что документы и ключи созданы безопасно и что они используют действительные ключи. Центры сертификации, один из поставщиков доверенных услуг, представляют собой сторонние организации, которые широко признаны надежными для обеспечения безопасности ключей и могут предоставлять необходимые цифровые сертификаты.И организация, отправляющая документ, и подписывающий его получатель, должны согласиться на использование данного ЦС.

DocuSign также является центром сертификации, когда подписывающие стороны подписывают документы с использованием цифровой подписи DocuSign Express. Это означает, что вы всегда можете отправить документ с цифровой подписью, используя DocuSign в качестве центра сертификации. Кроме того, вы можете безопасно создать свой собственный центр сертификации с помощью DocuSign Signature Appliance и по-прежнему получать доступ к богатым функциям облачных сервисов DocuSign для управления транзакциями. Некоторые организации или регионы полагаются на другие известные центры сертификации, и платформа DocuSign также поддерживает их.К ним относятся OpenTrust, который широко используется в странах Европейского Союза, и SAFE-BioPharma, который является удостоверением личности, которое организации в области биологии могут использовать.

См. Полный список поддерживаемых нами центров сертификации.

Зачем мне использовать цифровую подпись?

Во многих отраслях и географических регионах установлены стандарты электронной подписи, основанные на технологии цифровой подписи, а также определенные сертифицированные центры сертификации для деловых документов.Следование этим местным стандартам, основанным на технологии PKI, и работа с доверенным центром сертификации может гарантировать применимость и признание решения электронной подписи на каждом местном рынке. Используя методологию PKI, цифровые подписи используют международную, хорошо понятную и основанную на стандартах технологию, которая также помогает предотвратить подделку или изменение документа после подписания.

Какие решения для цифровой подписи предлагает DocuSign?

DocuSign подписи на основе стандартов позволяют автоматизировать и управлять целыми цифровыми рабочими процессами, используя мощные бизнес-возможности DocuSign, при этом соблюдая местные и отраслевые стандарты электронной подписи, включая CFR Часть 11 и правила ЕС eIDAS.В ЕС DocuSign предоставляет все типы подписей, определенные в eIDAS, включая усовершенствованные электронные подписи ЕС (AdES) и квалифицированные электронные подписи ЕС (QES).

Имеют ли юридическую силу электронные подписи, основанные на технологии цифровой подписи?

Да. ЕС принял Директиву ЕС об электронных подписях в 1999 году, а Соединенные Штаты приняли Закон об электронных подписях в глобальной и национальной торговле (ESIGN) в 2000 году. Оба закона сделали подписанные электронным способом контракты и документы, имеющие обязательную юридическую силу, например, бумажные контракты.С тех пор законность электронных подписей неоднократно подтверждалась.

К настоящему времени большинство стран приняли законы и постановления по образцу Соединенных Штатов или Европейского Союза, с предпочтением во многих регионах ЕС. модель локально управляемых электронных подписей на основе технологии цифровой подписи. Кроме того, многие компании улучшили соблюдение правил, установленных в их отраслях (например, FDA 21 CFR Part 11 в области наук о жизни), что было достигнуто за счет использования технологии цифровой подписи.Эти отраслевые и отраслевые правила постоянно развиваются, ключевым примером которых является положение об электронных идентификационных и доверительных услугах (eIDAS), которое недавно было принято в Европейском Союзе.

Что такое цифровой сертификат?

Цифровой сертификат — это электронный документ, выпущенный центром сертификации (ЦС). Он содержит открытый ключ для цифровой подписи и определяет идентификатор, связанный с ключом, например, название организации.Сертификат используется для подтверждения принадлежности открытого ключа конкретной организации. ЦС выступает в качестве гаранта. Цифровые сертификаты должны быть выпущены доверенным центром и действительны только в течение определенного времени. Они необходимы для создания цифровой подписи.

Руководство правительства Канады по использованию электронных подписей

Из Казначейства Секретариата Канады

1.0 — Первая публикация —

Уведомление

В сентябре 2017 года TBS предоставила инструкции по электронной подписи всем сотрудникам службы безопасности департамента по электронной почте.Это руководство по-прежнему применяется и должно считаться неотъемлемой частью этого документа. Этот документ дополняет и расширяет это руководство. Руководство, выпущенное в сентябре 2017 года, представлено в Приложении D для удобства. Этот руководящий документ предназначен для отделов и агентств GC, рассматривающих возможность использования электронных подписей для поддержки своей повседневной деловой активности. Это «живой» документ, который со временем будет развиваться в ответ на извлеченные уроки, изменения в соответствующих законодательных требованиях или будущие технологические достижения в области электронной подписи.Следует отметить, что ничто, указанное в этом документе, не предназначено для замены или отмены существующего законодательства или политики. Любые такие расхождения должны быть доведены до сведения Управления Главного информационного директора Министерства финансов Канады по адресу [email protected]

На этой странице

1. Введение

1.1. Фон

В соответствии с целями инициативы правительства Канады ( GC ’s) в области цифрового правительства, GC продолжает:

  • оптимизировать внутренние и внешние бизнес-процессы
  • улучшить качество обслуживания канадцев

GC может достичь этих целей отчасти за счет замены бумажных процессов на более современные, быстрые и простые в использовании электронные методы.

В концепции ведения бизнеса в электронном виде нет ничего нового. Ряд юрисдикций, в том числе ГК и провинции и территории Канады, с середины 1990-х годов разработали законы, политику и стандарты для электронных документов и электронных подписей (электронных подписей). Эти законы:

  • полагаться на международно признанные правила для создания более определенной правовой среды для электронных коммуникаций и электронной коммерции
  • признает, что электронные сообщения не должны лишаться юридической силы только потому, что они находятся в электронной форме.

Независимо от того, является ли подпись бумажной или электронной, основное назначение подписи одинаково.Подпись связывает человека с документом (или транзакцией) и обычно служит доказательством намерения этого лица утвердить или быть юридически связанными его содержанием. Основная функция подписи — предоставить свидетельство подписавшего:

  • идентификационный номер
  • намерение подписать
  • согласие на обязательность содержания документа

Требование подписи может быть:

  • введено постановлением парламента
  • наложено политикой
  • обычная практика

Подпись может быть подписью государственного служащего или представителя общественности (физического лица или представителя бизнеса).

В контексте федерального правительства подпись может потребоваться для:

  • выраженное согласие, одобрение, согласие, принятие или разрешение повседневной деловой активности (например, для утверждения запроса на отпуск или официального согласия с условиями контракта)
  • подчеркнуть важность транзакции или события или подтвердить, что транзакция или событие произошло, например, подтверждение того, что предложение подрядчика было получено к крайнему сроку
  • обеспечивает аутентификацию источника и целостность данных, например подтверждение того, что уведомление, связанное с общественным здравоохранением, было отправлено Министерством здравоохранения Канады и не было изменено.
  • удостоверяет содержание документа (то есть документ соответствует определенным требованиям или был соблюден определенный процесс)
  • подтвердить, что информация, содержащаяся в документе, является достоверной или точной.
  • поддерживает стороннюю аттестацию, например, для функции электронного нотариуса
  • поддерживает подотчетность, например, возможность отслеживать действия людей

В некоторых случаях требуется возможность поддержки электронных подписей более чем одного человека. Это требование может быть выполнено несколькими способами, в том числе с помощью электронной почты или системы управления рабочим процессом.

1.2. Назначение и сфера применения

В этом документе содержится руководство по использованию электронной подписи для поддержки повседневной деловой активности GC. Он призван уточнить:

  • что такое электронная подпись
  • какие формы электронной подписи подходят в контексте хозяйственной деятельности

Настоящий документ , а не :

  • заменяет юридическую консультацию (владельцы бизнеса всегда должны консультироваться со своим юрисконсультом)
  • основа для защиты конфиденциальной информации от несанкционированного раскрытия (в этом документе не рассматриваются требования конфиденциальности)

1.3. Предполагаемая аудитория

Это руководство предназначено для отделов GC. Footnote 1 , которые изучают возможность использования электронных подписей для поддержки своей повседневной деловой активности.

2. Контекст электронных подписей

2.1. Законы об электронной подписи

Юрисдикции по всему миру приняли законы, признающие действительность электронных документов и электронных подписей. Хотя рамки и определения различаются в зависимости от юрисдикции, их принципы в основном одинаковы.В Приложении А перечислены некоторые из этих источников и связанные с ними определения.

В Канаде часть 2 Закона о защите личной информации и электронных документах ( PIPEDA ) предусматривает режим, устанавливающий электронные эквиваленты бумажных документов и подписей на федеральном уровне. В части 2 PIPEDA электронная подпись определяется как «подпись, состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенных в электронный документ, прикрепленных к нему или связанных с ним.По сути, электронная подпись может быть практически любой формой электронного представления, которое может быть связано или прикреплено к электронному документу или транзакции, включая:

  • аутентификация пользователя во внутреннем приложении для утверждения чего-либо, например, когда супервизор входит в приложение, чтобы утвердить запрос на отпуск
  • с помощью стилуса на сенсорном экране планшета написать подпись от руки и записать ее в электронном виде
  • набранное имя или блок подписи в электронном письме
  • аутентификация пользователя для доступа к веб-сайту в сочетании с щелчком мыши на какой-либо кнопке подтверждения для фиксации намерения
  • отсканированная рукописная подпись на электронном документе
  • звук, например записанная голосовая команда (например, словесное подтверждение в ответ на вопрос)

Также бывают случаи, когда часть 2 PIPEDA требует использования определенного класса электронных подписей, называемых «защищенной электронной подписью». «Безопасная электронная подпись — это форма электронной подписи, основанная на асимметричной криптографии. Конкретные случаи использования, когда часть 2 PIPEDA требует безопасной электронной подписи:

  • документов, используемых в качестве доказательства или доказательства (см. PIPEDA Часть 2, раздел 36)
  • уплотнения (см. PIPEDA Часть 2, раздел 39)
  • оригиналов документов (см. PIPEDA Часть 2, раздел 42)
  • заявлений, сделанных под присягой (см. ПИПЕДА часть 2, раздел 44)
  • утверждений, объявляющих истину (см. PIPEDA Часть 2, раздел 45)
  • подписей свидетелей (см. PIPEDA Часть 2, раздел 46)

Хотя Часть 2 PIPEDA устанавливает пункты для общего применения, многие из электронных эквивалентов, описываемых в ней, основаны на структуре «согласия».Следовательно, такие положения не применяются к департаментам и агентствам, если они не решат принять участие и перечислить федеральный закон или положение, которое включает подпись (или другое применимое требование) в Приложении 2 или Приложении 3 PIPEDA. Сноска 2

За прошедшие годы, вместо того чтобы выбирать PIPEDA, несколько департаментов и агентств внесли поправки в свои собственные уставы, чтобы внести ясность в отношении электронных подписей и электронных документов в целом. Например, Министерство занятости и социального развития Канады решило эту проблему через:

Соответствующие федеральные постановления (которые были приняты до вступления в силу PIPEDA):

Оба эти правила устанавливают требование поддержки цифровых подписей в связи с онлайн-электронными переводами.Правила о безопасной электронной подписи Сноска 4 также использует термин «цифровая подпись» в своем определении безопасной электронной подписи. Таким образом, с технической точки зрения цифровая подпись и безопасная электронная подпись по сути одинаковы, поскольку обе:

  • — это форма электронной подписи на основе асимметричной криптографии
  • полагается на инфраструктуру открытых ключей ( PKI ) для управления соответствующими закрытыми ключами подписи и общедоступными сертификатами проверки

Тем не менее, Правила о безопасной электронной подписи ( SES Rules) идут дальше в нескольких отношениях, в том числе:

  • раздел 2 Регламента SES предписывает особый асимметричный алгоритм для поддержки цифровых подписей
  • , раздел 4 Регламента SES указывает, что выдающий удостоверяющий центр (CA) должен быть признан Министерством финансов Канады, подтверждая, что CA «имеет возможность выпускать сертификаты цифровой подписи безопасным и надежным способом. Сноска 5
  • , раздел 5 Регламента SES включает презумпцию того, что при отсутствии доказательств обратного электронные данные были подписаны лицом, которое указано в сертификате цифровой подписи или которое может быть идентифицировано с помощью этого сертификата.

2.2. Определение того, когда следует использовать электронную подпись

Как уже упоминалось, есть случаи, когда закон (или политика) определяет:

  • требование электронной подписи
  • тип необходимой электронной подписи

Также есть случаи, когда:

  • требование закона только подразумевается
  • необходимость подписи установлена ​​по иной, не законодательной причине
  • в любом случае тип электронной подписи может быть неуказанным или неясным

На рис. 1 показаны шаги по определению того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.Хотя на Рисунке 1 подчеркивается важность получения юридической консультации на протяжении всего процесса, обратите внимание, что различные шаги, показанные на Рисунке 1, необходимо будет выполнять в сотрудничестве с другим ключевым персоналом, где это необходимо, как указано в Приложении D. Кроме того, этот документ предлагает руководство по оценка уровней доверия (см. подраздел 2.3), которые можно использовать:

  • при отсутствии определенных требований законодательства или политики
  • , если требования к внедрению электронной подписи не указаны или неясны
Рисунок 1: шаги для определения требования к электронной подписи Рисунок 1 — Текстовая версия

На рисунке 1 показаны шаги для определения того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.На рисунке представлена ​​блок-схема процесса, представляющая следующие шаги:

  • Шаг 1. Определите бизнес-требования
  • Шаг 2: проинформированный юрисконсультом, определите, указано ли требование подписи в существующем законодательстве или политике, и если да, перейдите к Шагу 3; если нет, переходите к шагу 4
  • Шаг 3: проинформированный юрисконсультом, определите, идентифицируется ли также тип электронной подписи, и, если да, перейдите к Шагу 6; если нет, переходите к шагу 5.
  • Шаг 4: проинформировав юрисконсульта и данного руководящего документа, определите, существует ли неявное требование или другая законная деловая причина для подписи, и, если да, перейдите к шагу 5; в противном случае нет необходимости внедрять электронную подпись для идентифицированного бизнес-требования
  • Шаг 5: определите тип электронной подписи, необходимой для информирования юрисконсульта, оценки уровня уверенности и настоящего руководства, и перейдите к шагу 6
  • Шаг 6: внедрить идентифицированное решение электронной подписи с последующей повторной оценкой со временем

2.3. Оценка уровней доверия

Руководство по определению требований к аутентификации описывает методологию определения минимального уровня гарантии Сноска 6 , необходимого для достижения целей программы, предоставления услуги или надлежащего выполнения транзакции.

Эта методология может применяться в контексте электронных подписей. Сноска 7 При оценке уровней доверия следует учитывать влияние угроз, например:

  • выдача себя за другое лицо (подписывающее лицо не то, за кого себя выдает)
  • отказ от авторства (подписывающий пытается отрицать, что он создал электронную подпись)
  • потеря целостности данных (электронные данные были изменены с момента подписания)
  • превышение полномочий (подписывающая сторона не уполномочена подписывать связанные электронные данные)

После завершения оценки и определения требований к уровню доверия можно выбрать и внедрить процедурные и технические средства контроля.Руководство по внедрению, основанное на каждом уровне гарантии, приведено в Разделе 3: Руководство по внедрению электронной подписи.

3. Руководство по внедрению электронной подписи

Как упоминалось в Разделе 2, особенности внедрения электронных подписей могут:

  • требуется законом или политикой
  • определяется в результате оценки уровня доверия и других инструментов

В зависимости от контекста деловой активности или транзакции, вопросы реализации могут включать следующее:

  • причина или контекст для электронной подписи ясны (подпись предназначена для утверждения, согласия, согласия, авторизации, подтверждения, подтверждения, свидетельства, нотариального заверения, удостоверения или другой цели)
  • очевидно, что физическое лицо (лица) понимает, что они подписывают электронные данные (указание на намерение подписать)
  • уровень аутентификации соизмерим с соответствующим уровнем доверия
  • физическое лицо (лица) имеет право подписывать электронные данные
  • метод, используемый для установления электронной подписи, соизмерим с соответствующим уровнем доверия
  • При необходимости фиксируется следующая вспомогательная информация
  • :
    • дата и время подписания электронных данных
    • свидетельство того, что подпись действительна на момент ее подписания
  • электронная подпись и вспомогательная информация связаны с подписанными электронными данными, и целостность этой информации поддерживается с использованием методов, соизмеримых с соответствующим уровнем гарантии
  • возможность проверки электронной подписи поддерживается с течением времени

Обратите внимание, что требования, связанные с каждой из этих областей, будут варьироваться в зависимости от уровня гарантии, необходимого для электронной подписи, как обсуждается в следующих подразделах.

3.1. Соображения по аутентификации пользователей

Как отмечалось ранее, привязка лиц к подписанной электронной записи является одним из основных требований к электронной подписи, и поэтому уровень гарантии процесса аутентификации и электронной подписи тесно связаны. Текущее руководство GC по аутентификации пользователей включает следующее:

По сути, уровень доверия, необходимый для электронной подписи, диктует уровень доверия, необходимый для аутентификации пользователя, который, в свою очередь, диктует уровень доверия, необходимый для подтверждения личности и подтверждения учетных данных.Перечисленные выше руководящие документы следует использовать для определения конкретных требований на каждом уровне доверия на основе следующих рекомендаций:

  • при Уровне доверия 1 :
  • при Уровне доверия 2 :
    • должны выполняться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 2
    • любой из типов токенов, указанных в ITSP. 030.31 для уровня доверия 2 или выше может использоваться для аутентификации
  • при Уровне доверия 3 :
    • должны выполняться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 3
    • требуется двухфакторная аутентификация (дополнительную информацию см. В Приложении B)
  • при уровне доверия 4 :
    • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 4
    • необходимо использовать многофакторное криптографическое аппаратное устройство, такое как смарт-карта

Дополнительная информация о факторах аутентификации и типах токенов, связанных с аутентификацией пользователя, представлена ​​в Приложении B.

3.2. Определение метода, который будет использоваться для реализации электронных подписей

В Разделе 2 обсуждались различные формы электронных подписей. В этом разделе указывается тип электронной подписи, рекомендуемый на каждом уровне доверия.

Рекомендации по электронной подписи на каждом уровне доверия следующие:

  • на уровне доверия 1, допустимы любые типы электронной подписи
  • на уровне гарантии 2, любой тип электронной подписи может использоваться в сочетании с требованиями аутентификации для уровня гарантии 2 или выше.
  • на уровне гарантии 3, некриптографическая электронная подпись может использоваться в сочетании с приемлемой двухфакторной аутентификацией, или цифровая подпись или безопасная электронная подпись может быть предпочтительнее в некоторых обстоятельствах, в зависимости от целевой среды и мер безопасности. которые на месте
  • на уровне гарантии 4, требуется безопасная электронная подпись в сочетании с аппаратным устройством многофакторного шифрования.

С технической точки зрения, электронная подпись на более высоком уровне доверия может также использоваться на более низких уровнях доверия (например, электронная подпись уровня 3 может также использоваться для поддержки требований к электронной подписи уровня 1 и 2. ).Однако другие факторы, такие как стоимость, удобство использования и эксплуатационные требования, также должны быть приняты во внимание для определения наиболее разумного подхода.

3.3. Подтверждающая информация

Как обсуждалось в подразделе 2.1, электронная подпись — это любое электронное представление, где:

  • личность человека, подписывающего данные, может быть связана с электронными данными, которые подписываются
  • намерение физического лица подписать электронную запись передано каким-либо образом
  • причина подписания электронных данных передается каким-либо образом

Могут быть требования о включении другой вспомогательной информации, например, времени подписи электронных данных.

Дополнительная информация, рекомендуемая на каждом уровне доверия, следующая:

  • при уровне доверия 1 , вспомогательная информация должна включать:
    • электронная подпись
    • подписанные электронные данные
    Обратите внимание, что эта информация может быть неявно идентифицирована в зависимости от типа электронной транзакции.
  • при уровне доверия 2 , вспомогательная информация должна включать:
    • метод аутентификации
    • электронная подпись
    • подписанные электронные данные
    • отметка времени, основанная на стандартном времени локальной системы, которая указывает время, когда электронные данные были подписаны
    Обратите внимание, что некоторая часть этой информации может быть неявно идентифицирована в зависимости от типа электронной транзакции
  • при Уровне гарантии 3 вспомогательная информация будет зависеть от типа электронной подписи:
    • для электронной подписи, не основанной на криптографии, вспомогательная информация должна включать ту же информацию, что и для уровня доверия 2
    • для цифровых подписей или защищенных электронных подписей вспомогательная информация должна включать:
    • свидетельство о поверке
    • путь сертификации
    • , связанная информация об отзыве или статус на момент подписания электронных данных
  • на уровне доверия 4 , дополнительная информация:
    • — это то же самое, что цифровая подпись или безопасная электронная подпись на уровне гарантии 3
    • также должен включать безопасную метку времени. Сноска 8

Другая вспомогательная информация также может потребоваться для удовлетворения конкретных потребностей бизнеса.

3.4. Системная и информационная целостность

Целостность системы и информации — еще один ключевой фактор, который применяется к:

  • исходные подписанные электронные данные
  • электронная подпись
  • любая другая подтверждающая информация, которая может быть связана с электронной транзакцией (обсуждается в подразделе 3.3 настоящего документа).

Кроме того, целостность связи между всеми этими элементами должна оставаться неизменной с течением времени.Некоторые из этих элементов могут быть захвачены и защищены различными способами, включая использование журналов системного аудита и или как часть цифровой подписи или безопасной электронной подписи. Вся вспомогательная информация, независимо от того, где и как она хранится, вместе называется записью транзакции.

Ожидается, что будут введены определенные меры безопасности системы и целостности информации для защиты целостности:

  • электронные операции
  • записи транзакции

ITSG-33, Приложение 1, определяет три уровня целостности: низкий, средний и высокий.В этом документе предполагается, что системы и информация GC будут защищены на среднем уровне целостности. Профиль Protected B, средняя целостность и средняя доступность, определенный в ITSG-33, Приложение 4A, Profile 1, следует использовать для определения минимальных мер безопасности, которые должны быть в наличии, особенно в отношении следующих семейств мер безопасности:

  • контроль доступа (AC)
  • аудит и отчетность (AU)
  • идентификация и аутентификация (IA)
  • целостность системы и информации (SI)

Рекомендации по требованиям целостности на каждом уровне доверия следующие:

  • при уровне доверия 1 , применяется средний уровень целостности; однако нет необходимости вести или хранить записи транзакций
  • при Уровне доверия 2 :
    • средняя целостность применяется к электронной транзакции и записи транзакции
    • , запись транзакции должна быть сохранена в соответствии с требованиями уровня доверия 2 в ITSP. 30.031 (см. Таблицу 9, столбец «Хранение записей») или применимым законодательством, политикой или бизнес-требованиями
  • при Уровне доверия 3 :
    • Средняя целостность применяется к электронной транзакции и записи транзакции
    • при использовании цифровой подписи или безопасной электронной подписи, по крайней мере, некоторые из требований целостности будут поддерживаться самой подписью, включая целостность подписанных электронных данных
    • Алгоритмы
    • и соответствующие длины ключей, одобренные канадским ведомством безопасности ( CSE ), должны использоваться в соответствии с требованиями ITSP.40.111 ( PDF , 544 КБ)
    • любые вспомогательные элементы, целостность которых явно не защищена цифровой подписью или безопасной электронной подписью, должны регистрироваться в журнале аудита.
    • Записи транзакций
    • должны храниться в соответствии с требованиями Уровня гарантии 3 в ITSP. 30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованиями
    • .
  • при уровне доверия 4 :
    • безопасная электронная подпись, применяемая лицом, подписывающим электронные данные, защищает подписываемые электронные данные, а сочетание факторов защищает сам процесс подписи
    • требуется безопасная метка времени, которая может быть предоставлена ​​доверенной третьей стороной
    • Утвержденные CSE алгоритмы и соответствующие длины ключей должны использоваться в соответствии с требованиями ITSP.40.111 ( PDF , 544 КБ)
    • Записи транзакций
    • должны храниться в соответствии с требованиями Уровня уверенности 4 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованиями

3.

5. Соображения по поводу долгосрочной валидации

Для некриптографических электронных подписей ожидается, что вся информация, необходимая для проверки подписи, будет доступна до тех пор, пока запись должна храниться.Электронная подпись должна быть проверена и подтверждена с течением времени.

Для цифровой подписи или безопасной электронной подписи существует ряд шагов, чтобы гарантировать, что операция подписи выполняется с законными учетными данными во время подписания электронной записи. Эти шаги включают проверку того, что сертификат открытого ключа соответствует закрытому ключу подписи:

  • находится в пределах указанного срока действия
  • не отозван
  • успешно соединяется с признанным якорем доверия

Однако со временем некоторые аспекты проверки, которые были на месте, когда была подписана электронная запись, могут измениться.Например, срок действия сертификата открытого ключа может истечь или он может быть отозван. Кроме того, достижения в области криптографии и вычислительных возможностей могут сделать криптографический алгоритм (или соответствующую длину ключа), используемый для выполнения операции подписи, уязвимым в какой-то момент в будущем.

Именно здесь становится важна концепция долгосрочной проверки ( LTV ). Поскольку обстоятельства со временем изменятся, важно криптографически привязать определенную информацию к первоначально подписанному электронному документу или записи.К такой информации относятся:

  • время подписания электронного документа или записи
  • сертификаты открытого ключа, необходимые для проверки подписи
  • связанная информация о статусе отзыва сертификата на момент подписания электронной записи

Процедура LTV может быть рекурсивной, чтобы учитывать изменения обстоятельств в течение длительного периода, так что первоначально подписанный электронный документ или запись могут быть проверены в течение многих лет или даже десятилетий. Технические спецификации были разработаны для поддержки LTV на основе следующего формата или синтаксиса электронного документа или записи:

  • Стандарты расширенной электронной подписи формата переносимых документов ( PAdES )
  • Стандарты расширенной электронной подписи расширяемого языка разметки ( XAdES )
  • Стандарты расширенной электронной подписи синтаксиса криптографических сообщений ( CAdES )

Еще одно соображение — это изменение формата исходного электронного документа или записи с данными, например, когда он конвертируется для долгосрочного архивирования.Изменение формата сделает исходную цифровую подпись или безопасную электронную подпись недействительной, поскольку проверка целостности встроенных данных завершится ошибкой. На самом деле подпись может быть вообще удалена из-за конвертации. В некоторых случаях можно создать новую цифровую подпись или безопасную электронную подпись (например, используя надежный источник для проверки того, что преобразованный контент был изначально подписан определенным лицом в определенное время). Другое возможное решение — принять стандарты, специально разработанные для решения проблем LTV, например PDF / A-2.Однако такие варианты могут быть возможны не при всех обстоятельствах, и может потребоваться другое решение, такое как сохранение метаданных, которые указывают обстоятельства, при которых исходный контент был подписан (например, кто его подписал, когда он был подписан и т. Д.) .

Хотя ожидается, что это будет крайне редко, могут быть случаи, когда сертификат открытого ключа отзывается с датой и временем недействительности, установленными на какое-то время в прошлом. Это могло быть связано с несколькими причинами, включая обнаружение того, что закрытый ключ подписи был скомпрометирован, но компрометация не была обнаружена до определенного момента в будущем. Это может означать, что цифровая подпись или безопасная электронная подпись, которая считалась действительной на момент ее создания, на самом деле недействительна, так как статус сертификата должен был быть аннулирован во время подписания электронного документа или записи. В этом случае необходимо предпринять процедурные шаги (которые выходят за рамки данного документа), чтобы определить, была ли подпись создана заявленным лицом и при соответствующих обстоятельствах.

3,6. Использование сторонних поставщиков услуг

Сторонние поставщики услуг предлагают различные формы услуг электронной подписи, которые GC может использовать при соответствующих обстоятельствах.Владельцы бизнеса должны оценить, можно ли использовать сторонние услуги на основании:

  • особые бизнес-требования
  • связанных минимальных уровней доверия

Кроме того, сторонние решения должны основываться на принятых в отрасли стандартах. По возможности следует избегать проприетарных решений, чтобы предотвратить привязку к поставщику и способствовать взаимодействию.

Есть ряд причин, по которым могут быть рассмотрены услуги, предоставляемые третьими сторонами.Например, сторонний поставщик может предложить подходящий продукт рабочего процесса, который отвечает потребностям отдела (то есть поддерживает заданное бизнес-требование и отвечает требованиям электронной подписи и аудита). Другой пример: поставщик облачных услуг предлагает приемлемые возможности электронной подписи для поддержки приложения GC, размещенного в облаке.

Еще одно соображение — когда GC взаимодействует с внешними организациями и частными лицами. Цифровые подписи, созданные GC, должны быть проверены этими внешними объектами, и поэтому необходимо будет использовать сертификаты, выпущенные CA, которые распознаются внешними по отношению к GC. Footnote 9 Также могут быть обстоятельства, когда цифровая подпись создается внешним объектом, который также должен быть распознан GC.

4. Резюме

Этот документ направлен на разъяснение практики интерпретации и реализации использования электронных подписей. Его цель — предоставить экономичные и разумные решения, которые улучшат взаимодействие с пользователем и сократят время, необходимое для выполнения повседневных деловых операций, где электронные подписи могут применяться вместо бумажных подходов.

Таблица 2 обобщает рекомендации, представленные в разделе 3 этого документа на каждом уровне доверия для:

  • минимум допустимый тип электронной подписи
  • уровней аутентификации
  • требования к отметке времени
  • вспомогательная информация, рекомендуемая на каждом уровне доверия
  • Требования к целостности системы и информации
  • периодов хранения записей транзакций
Таблица 2: рекомендации по внедрению электронных подписей
Тип электронной подписи Уровень аутентификации Требование отметки времени Дополнительная информация Целостность системы и информации Срок хранения записи транзакции

Примечания к таблице 2

Таблица 2 Примечание 1

Выбор конкретного метода электронной подписи и связанных требований к реализации, предлагаемых на этом уровне (как указано в этой строке), должен определять владелец бизнеса. Для некриптографических электронных подписей на уровне гарантии 3 могут потребоваться дополнительные меры по снижению риска. Если программный токен на основе PKI используется для поддержки требования электронной подписи, процесс аутентификации должен быть дополнен соответствующим вторым токеном аутентификации.

Вернуться к таблице 2 примечание 1 реферер

Таблица 2 Примечание 2

На этом уровне гарантии должно использоваться многофакторное аппаратное криптографическое устройство.Хотя устройство с многофакторным одноразовым паролем соответствует требованиям аутентификации для уровня надежности 4, оно не имеет необходимых функций для поддержки безопасной электронной подписи.

Вернуться к таблице 2 примечание 2 реферер

Уровень доверия 1 Э-подпись Любая форма аутентификации Нет условий электронная подпись, подписанные данные Средняя целостность Нет условий
Уровень доверия 2 Э-подпись Уровень доверия 2 или выше Дата и время локальной системы Метод аутентификации, электронная подпись, подписанные данные, отметка времени Средняя целостность Как предусмотрено для Уровня доверия 2 в ITSP. 30.031 или применимым законодательством, политикой или бизнес-требованиями
Уровень доверия 3 таблица 2 примечание 1 Э-подпись Уровень доверия 3 или выше
(двухфакторная аутентификация обязательна)
Дата и время локальной системы

Определяется по типу:

  • для некриптографической электронной подписи, включая метод аутентификации, ES, подписанные электронные данные, отметку времени
  • для криптографической электронной подписи, добавьте сертификат проверки и путь сертификации, а также связанную информацию об отзыве
Средняя целостность; для криптографической электронной подписи части будут иметь цифровую подпись Как предусмотрено для Уровня доверия 3 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованиями
Уровень доверия 4 Безопасная электронная подпись только уровень доверия 4 таблица 2 примечание 2 Безопасная отметка времени SES, подписанные электронные данные, сертификат проверки и путь сертификации, а также соответствующая информация об отзыве, безопасная метка времени с цифровой подписью В соответствии с требованиями уровня доверия 4 ITSP. 30.031 или применимым законодательством, политикой или бизнес-требованиями

Приложение A: источники и определения, связанные с электронными подписями

В этом приложении перечислены источники информации из национальных и международных юрисдикций, касающиеся электронных подписей. Также приведены определения терминов, используемых в этих источниках.

Эта информация используется для определения основных понятий, лежащих в основе электронных подписей, изложенных в этом документе.Источники из неканадских юрисдикций включены для того, чтобы:

  • демонстрируют широту охвата
  • выделяет терминологию, используемую в других юрисдикциях, что особенно полезно там, где может потребоваться совместимость с другими юрисдикциями.

Канадские федеральные законы и постановления, касающиеся электронных подписей, включают:

Кроме того, на веб-сайте Министерства юстиции Канады есть более 20 федеральных законов и почти 30 нормативных актов, которые содержат ссылки на «электронную подпись. Сноска 10

Большинство канадских провинциальных и территориальных юрисдикций приняли законы об электронной торговле и транзакциях, которые предоставляют электронные эквиваленты бумажных подписей, наряду с другими требованиями, путем принятия принципов, установленных в Типовом законе Канадской конференции по единообразному праву (Закон о единой электронной торговле ( UECA )). Footnote 11 UECA является технологически нейтральным и определяет «электронную подпись» как электронную информацию, которую лицо создает или принимает для подписания записи и которая прикреплена к записи или связана с ней.Электронная подпись, определенная таким образом, действует как подпись в законе. Как указано в руководстве УЕКА, сам закон не устанавливает никаких технических стандартов для изготовления действующей подписи. В результате, электронные подписи могут быть составлены разными способами, если иное не предусмотрено правилами. Сноска 12

Неканадские источники интереса, в которых рассматриваются термины и концепции, связанные с электронными подписями, включают:

Конкретные термины, определенные в этих источниках, включают следующее (см. Таблицу A1):

  • электронная подпись
  • безопасная электронная подпись
  • цифровая подпись
  • расширенная электронная подпись ( AdES )
  • квалифицированная электронная подпись ( QES )
Таблица A1: термины и определения, относящиеся к электронным подписям
Срок Источник Определение
электронная подпись PIPEDA, Часть 2 «подпись, состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним»
УЕКА «информация в электронной форме, которую лицо создало или приняло для подписания документа и которая находится в документе, прикреплена к нему или связана с ним»
УЭТА «электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись»
ЭЛЕКТРОННАЯ ПОДПИСКА «Электронный звук, символ или процесс, прикрепленный к контракту или другой записи или логически связанный с ним и исполняемый или принятый лицом с намерением подписать запись»
eIDAS «данные в электронной форме, которые прикреплены к другим данным в электронной форме или логически связаны с ними и которые используются подписавшим лицом для подписи»
Типовой закон ЮНСИТРАЛ об электронных подписях «данные в электронной форме в сообщении данных, прикрепленные к нему или логически связанные с ним, которые могут использоваться для идентификации подписавшего в отношении сообщения данных и для обозначения согласия подписавшего с информацией, содержащейся в сообщении данных»
безопасная электронная подпись PIPEDA Часть 2

PIPEDA Часть 2, разделы 31 (1), 48 (1) и 48 (2) в совокупности определяют «безопасную электронную подпись» как «электронную подпись, которая является результатом применения технологии или процесса…» со следующими характеристиками :

  1. «электронная подпись, полученная в результате использования человеком технологии или процесса, уникальна для этого человека;
  2. : использование технологии или процесса лицом для включения, прикрепления или связывания электронной подписи этого лица с электронным документом находится под исключительным контролем этого лица;
  3. технология или процесс могут быть использованы для идентификации человека, использующего технологию или процесс; и
  4. , электронная подпись может быть связана с электронным документом таким образом, что ее можно использовать для определения того, был ли электронный документ изменен с тех пор, как электронная подпись была включена в электронный документ, прикреплена к нему или связана с ним.
Регламент СЭС

«безопасная электронная подпись в отношении данных, содержащихся в электронном документе, — это цифровая подпись, которая возникает в результате выполнения следующих последовательных операций:

  1. применение хэш-функции к данным для создания дайджеста сообщения;
  2. применение секретного ключа для шифрования дайджеста сообщения;
  3. включение в зашифрованный дайджест сообщения, прикрепление к электронному документу или связь с ним;
  4. передача электронного документа и зашифрованного профиля сообщения вместе с
  5. сертификат цифровой подписи или
  6. средство доступа к сертификату электронной подписи; и
  7. после получения электронного документа, зашифрованного дайджеста сообщения и сертификата цифровой подписи или средства доступа к сертификату электронной подписи,
  8. применение открытого ключа, содержащегося в сертификате цифровой подписи, для расшифровки зашифрованного профиля сообщения и создания профиля сообщения, указанного в параграфе (а),
  9. применение хэш-функции к данным, содержащимся в электронном документе, для создания дайджеста нового сообщения,
  10. проверка того, что при сравнении дайджесты сообщений, упомянутые в параграфе (а) и подпункте (ii), идентичны, и
  11. подтверждение действительности сертификата электронной подписи в соответствии с разделом 3 (Регламента SES).
цифровая подпись Правила электронных платежей и Правила проведения платежей и расчетов

«результат преобразования сообщения с помощью криптосистемы с использованием таких ключей, что лицо, имеющее исходное сообщение, может определить:

  1. , было ли преобразование создано с использованием ключа, соответствующего ключу подписывающей стороны, и
  2. , было ли сообщение изменено с момента преобразования.”
ITSP.40.111 «криптографическое преобразование данных, обеспечивающее аутентификацию, целостность данных и неотказуемость подписывающего лица».
AdES eIDAS «электронная подпись, которая однозначно связана с подписавшим, способна идентифицировать подписавшего, создана с использованием данных для создания электронной подписи, которые подписавший может с высокой степенью уверенности использовать под своим единственным контролем, и связана с данные, подписанные таким образом, чтобы можно было обнаружить любое последующее изменение данных.
QES eIDAS «усовершенствованная электронная подпись, которая создается квалифицированным устройством для создания электронной подписи и основана на квалифицированном сертификате для электронных подписей».

Хотя Типовой закон ЮНСИТРАЛ об электронных подписях ( PDF , 249 КБ) не дает четкого определения, в нем также используется термин «цифровая подпись» в соответствии с определением части 2 PIPEDA.

Определения, приведенные в таблице A1, приводят к следующим наблюдениям:

  • Хотя существует множество определений «электронной подписи», цель каждого из них по существу одинакова.
  • С технической точки зрения, термины «безопасная электронная подпись», «цифровая подпись», «AdES» и «QES» ar e по существу эквивалентны. Все они основаны на асимметричной криптографии и полагаются на инфраструктуру открытых ключей (PKI) для управления связанными ключами и сертификатами. Тем не мение:
    • В Регламенте SES есть особые требования, которые применяются к термину «безопасная электронная подпись»
    • есть также более строгие требования к реализации, связанные с QES

Следует также отметить, что описание, представленное в Регламенте SES, настолько детально, что фактически предписывает конкретный алгоритм цифровой подписи. Footnote 13 Было ли это намеренно (для обеспечения возможности взаимодействия) или нет (в то время предполагалось, что все алгоритмы цифровой подписи имеют одинаковые математические свойства), неясно.В любом случае следует проконсультироваться с ITSP.40.111 ( PDF , 544 КБ) для утвержденных алгоритмов и связанных длин ключей.

Приложение B: факторы аутентификации пользователей и типы токенов

Целью этого Приложения является разъяснение того, какие типы маркеров аутентификации, описанные в ITSP.30.031, могут использоваться на каждом уровне гарантии. Хотя для получения дополнительных сведений следует обращаться к ITSP.30.031, здесь для удобства читателя представлены некоторые из основных концепций, связанных с факторами аутентификации и токенами.

По сути, факторы аутентификации описываются как:

  • то, что знает пользователь
  • что-то есть у пользователя
  • что то пользователь

Типы токенов для «чего-то, что знает пользователь»:

  • запомненных секретных токенов (пароль, связанный с учетной записью или идентификатором пользователя)
  • предварительно зарегистрированных токенов знаний (например, заранее установленные ответы на набор контрольных вопросов)

Типы токенов для «чего-то, что есть у пользователя»:

  • поисковых секретных жетонов (статическая сетка или карты «бинго»)
  • дополнительных токенов (push-уведомление на внешнее устройство, например смартфон)
  • устройств с однофакторным одноразовым паролем (OTP) (токен открытой аутентификации (OATH))
  • однофакторное криптографическое устройство (USB-ключ со встроенными криптографическими возможностями и безопасным хранилищем ключей)

Типы токенов «Что-то вы есть» включают биометрические данные, такие как отпечаток пальца, сканирование сетчатки глаза и распознавание лиц. Однако в соответствии с ITSP.30.031 биометрия может использоваться только в сценарии многофакторной аутентификации, например, при использовании сканирования отпечатка пальца для разблокировки аппаратного токена. Сноска 14

Многофакторные токены включают:

  • многофакторных устройств OTP, таких как устройство OTP, для которого требуется локальная аутентификация пользователя перед отображением пароля
  • многофакторных аппаратных криптографических устройств, таких как смарт-карта Сноска 15

Многофакторная аутентификация (или, более конкретно, двухфакторная аутентификация) также может быть достигнута путем объединения соответствующего токена «что-то, что вы знаете» с соответствующим токеном «что-то у вас есть».Рекомендации по приемлемым двухфакторным решениям представлены в Рекомендациях по двухфакторной аутентификации пользователей в корпоративном домене правительства Канады.

Таблица B1 обобщает допустимые типы маркеров на каждом уровне доверия.

Таблица B1: электронные подписи и методы аутентификации
Запомненный секретный токен таблица B1 примечание 1 Предварительно зарегистрированный токен знаний Поисковый секретный токен Внеполосный токен Однофакторное устройство OTP Однофакторное криптографическое устройство Многофакторный программный криптографический токен Многофакторное устройство OTP Многофакторное криптографическое устройство

Таблица B1 Примечания

Таблица B1 Примечание 1

Запомненный секрет обычно представляет собой пароль, связанный с определенным идентификатором пользователя.Разница между запомненным секретом уровня доверия 1 и запомненным секретом уровня доверия 2 заключается в надежности пароля. Пароль должен соответствовать минимальным требованиям к стойкости и энтропии, прежде чем его можно будет считать достаточным для запомненного секрета уровня доверия 2. См. Приложение B в ITSP.30.031 для получения дополнительной информации.

Вернуться к таблице B1 примечание 1 реферер

Таблица B1 Примечание 2

Как отмечалось выше, соответствующая комбинация двух токенов уровня доверия 2 также может использоваться для достижения эквивалента токена уровня доверия 3, как указано в ITSP.30.031. Например, запомненный секретный токен 2-го уровня гарантии, используемый в сочетании с соответствующим внеполосным токеном (например, «push-уведомление» на смартфон, управляемый сборщиком мусора), эквивалентен токену 3-го уровня гарантии и, следовательно, может быть используется в тандеме для поддержки электронных подписей на уровне доверия 3.

Вернуться к таблице B1 примечание 2 реферер

Таблица B1 Примечание 3

Многофакторного устройства OTP достаточно для аутентификации уровня надежности 4; тем не менее, он не имеет необходимых функций для создания цифровой подписи или безопасной электронной подписи, что является обязательным на уровне гарантии 4.

Вернуться к таблице B1 примечание 3 реферер

Уровень доверия 1 Есть Есть Есть Есть Есть Есть Есть Есть Есть
Уровень доверия 2 Есть Есть Есть Есть Есть Есть Есть Есть Есть
Уровень доверия 3 таблица B1 примечание 2 Есть Есть
Уровень доверия 4 таблица B1 примечание 3 Есть

Приложение C: примеры хозяйственной деятельности

Целью данного Приложения является предоставление примеров видов деловой активности, которые могут соответствовать каждому уровню доверия. В целом, по мере того, как возрастает важность и / или ценность деловой активности, увеличивается и соответствующий уровень доверия. Однако следует отметить, что, , примеры деловой активности, представленные здесь, предназначены только для иллюстративных целей и никоим образом не предназначены для предписывающего .

Отдельные отделы должны выполнять свои собственные оценки в контексте своих бизнес-потребностей и требований. Общей целью должно быть:

  • использовать существующие инвестиции там, где это возможно (отделы должны использовать то, что у них уже есть, где это имеет смысл)
  • улучшить пользовательский опыт
  • внедрять рентабельные, разумные решения, соответствующие оцененному уровню гарантии
Таблица C1: примеры хозяйственной деятельности
Уровень доверия Деловые операции (только примеры)
Уровень доверия 4
  • Финансовые операции в Интернете, где действующее законодательство требует цифровой подписи или защищенной электронной подписи (например, Правила электронных платежей и Положения о платежах и расчетах )
  • Сценарии использования PIPEDA, часть 2 (если применимо)
  • Обязательные контракты с внешними организациями, стоимость которых превышает определенную долларовую стоимость (на основе допуска к риску, определяемого ведомственной оценкой)
Уровень доверия 3
  • Утверждение руководством финансовых транзакций, не требующих цифровой подписи или безопасной электронной подписи (например, утверждение требований о расходах сотрудников)
  • Обязательные контракты с внешними организациями, стоимость которых ниже определенной долларовой стоимости (на основе допустимости риска, определяемой ведомственной оценкой)
  • Здесь может применяться один или несколько примеров деловой активности, представленных ниже в рамках Уровня гарантии 2 (допуск к риску зависит от отдела; некоторые отделы могут принять решение о внедрении более строгих мер безопасности для некоторых видов деятельности, указанных ниже в рамках Уровня гарантии 2)
Уровень доверия 2
  • Оставить заявку и согласовать
  • Запросы и разрешения на поездки
  • Подача и согласование табелей учета рабочего времени
  • Подача претензий по расходам (но не утверждения)
  • Подача онлайн определенных заявок или форм от внешних пользователей
  • Межведомственные меморандумы о взаимопонимании
Уровень доверия 1
  • Ежедневная переписка практически без каких-либо обязательств от имени отправителя или GC

Приложение D: руководство отправлено DSO по электронной почте

(Обратите внимание, что заголовки и ссылки на некоторые ссылки на исходную документацию были обновлены, чтобы отразить самые последние доступные версии. )

Кому: DSO

Следующее руководство по использованию электронных подписей для проверки безопасности предоставляется в ответ на обсуждения в Совете безопасности правительства Канады (GCSC), и было сочтено, что это будет полезно для всех DSO.

Целью получения подписи лица на формах проверки безопасности является подтверждение того, что они признают, что они были проинформированы о том, что их личная информация будет собрана, и получить их согласие на то, что их личная информация будет раскрыта для целей проверки безопасности (как указано в Положения о конфиденциальности и согласии), а также в соответствии с разделами 7 и 8 Закона о конфиденциальности .Также важно продемонстрировать, что лицо намеревается быть связанным обязательствами, приложенными к этой подписи.

В форме проверки безопасности подпись не обязательно должна иметь определенную форму, чтобы иметь юридическую силу, и служит той же цели, независимо от того, является ли она «мокрой» или электронной. Мокрая подпись создается, когда человек маркирует документ своим именем чернилами, которым требуется время для высыхания. В Законе о защите личной информации и электронных документах (PIPEDA) электронная подпись определяется как «состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним. .”

Департаменты и агентства, желающие продолжить использование электронных подписей в качестве альтернативы традиционной мокрой подписи, должны учитывать следующее, чтобы определить, является ли такой шаг жизнеспособным в их операционной среде, и иметь возможность снизить любой потенциальный правовой риск, который может возникнуть .

  • Внедрение электронных подписей в отделе или агентстве должно осуществляться в сотрудничестве с заинтересованными сторонами в сфере ИТ и бизнеса (при необходимости), и, при необходимости, можно проконсультироваться с юрисконсультом отдела
  • Тип используемой технологии и подход к ее внедрению должны соответствовать Стратегическому плану правительства Канады по управлению информацией и информационным технологиям на 2017–2021 годы.
  • Положения о конфиденциальности и согласии должны быть такими же, как и в бумажных формах, чтобы гарантировать отсутствие расхождений между двумя форматами.
  • Базовый процесс и стандартные рабочие процедуры, связанные со сбором, получением и хранением электронных документов и связанных с ними подписей, должны быть задокументированы и последовательно реализованы.
  • Если использование электронной подписи когда-либо будет оспорено в суде, департамент или агентство должны будут иметь возможность продемонстрировать надежность системы / технологии и лежащих в основе процессов и процедур и предоставить доказательства того, что во всех существенных случаях ИТ-система (системы) ) / используемое (ые) устройство (а) работали должным образом или, в противном случае, нет других разумных оснований сомневаться в целостности электронной подписи.

Для получения дополнительных указаний вы можете обратиться к стандарту Канадского совета по общим стандартам под названием «Электронные записи как документальные доказательства», который предоставляет информацию и рекомендации по разработке политик, процедур, процессов и документации, которые поддерживают надежность, точность и подлинность электронных записей. Кроме того, Директива по управлению идентификацией и Стандарт по удостоверению личности и удостоверению личности содержат указания относительно проверки личности физических лиц, которые в равной степени применимы к использованию электронных подписей.

Мы надеемся, что это поможет. С любыми вопросами обращайтесь по адресу [email protected]

С уважением,
Рита Уиттл
Генеральный директор по политике безопасности и управления идентификационной информацией, главный информационный директор, филиал
Казначейский совет Секретариата Канады / Правительство Канады
[email protected] / Тел: 613-369-9683 / TTY: 613-369-9371

Сноски

Сноска 1

В этом документе «департаменты» обозначают федеральные департаменты и агентства.

Вернуться к сноске 1 реферер

Сноска 2

Исключением из требования о включении является раздел 36 PIPEDA.

Вернуться к сноске 2 реферер

Сноска 3

В настоящее время существует более 20 федеральных законов и почти 30 нормативных актов, перечисленных на веб-сайте Министерства юстиции Канады, которые включают ссылки на «электронную подпись» (на основе поиска термина «электронная подпись» с помощью инструмента расширенного поиска Министерства юстиции Канады ).

Вернуться к сноске 3 реферер

Сноска 4

Правила о безопасной электронной подписи прилагаются как к PIPEDA, так и к Закону о доказательствах Канады .

Вернуться к сноске 4 реферер

Сноска 5

В настоящее время рассматривается как описание алгоритма, так и процесс распознавания.

Вернуться к сноске 5 реферер

Сноска 6

Обратите внимание, что уровни доверия не следует путать с уровнями полномочий.

Вернуться к сноске 6 реферер

Сноска 7

Обратите внимание, что другие инструменты, такие как ITSG 33: Руководство по категоризации безопасности , также могут использоваться для помощи в процессе оценки.

Вернуться к сноске 7 реферер

Сноска 8

Безопасная метка времени получена из надежного источника. Целостность безопасной отметки времени защищена криптографически.

Вернуться к сноске 8 реферер

Сноска 9

Обратите внимание, что электронные подписи, созданные с использованием сертификатов, выпущенных внутренними центрами сертификации GC, такими как CA Internal Credential Management (ICM), обычно не способны поддерживать взаимодействие с внешними объектами, поскольку выдающий CA не является признанным якорем доверия за пределами GC. (Существует ограниченное количество исключений, когда ICM выдает сертификаты внешним объектам, но такие исключения не являются жизнеспособным долгосрочным решением.)

Вернуться к сноске 9 реферер

Сноска 10

На основе поиска по запросу «электронная подпись» с помощью инструмента расширенного поиска Министерства юстиции Канады.

Вернуться к сноске 10 реферер

Сноска 11

Электронные эквиваленты подписи, содержащиеся в законах провинций и территорий об электронных транзакциях, не применяются к GC.

Вернуться к сноске 11 реферер

Сноска 12

УЕКА заявляет, что органы, ответственные за требование о юридической подписи, могут принимать постановления, если считается, что ситуация предполагает определенную степень надежности идентификации или связи с документом, который нужно подписать. Точно так же подписи, представленные правительству (провинциальному и территориальному), должны соответствовать требованиям информационных технологий и любым правилам, касающимся метода их создания или их надежности.См. Обсуждение Канадской конференцией по единообразному праву Единообразного закона об электронной торговле .

Вернуться к сноске 12 реферер

Сноска 13

Свойства, указанные в Правилах SES, описывают цифровую подпись, основанную на алгоритме Rivet, Shamir, Adleman (RSA). Другие алгоритмы цифровой подписи, такие как алгоритм цифровой подписи с эллиптической кривой (ECDSA), также действительны, но имеют другие математические свойства, которые не полностью соответствуют описанию в Правилах SES.

Вернуться к сноске 13 реферер

Сноска 14

По мере того, как биометрические технологии продолжают развиваться, это ограничение может быть пересмотрено.

Вернуться к сноске 14 реферер

Сноска 15

Обратите внимание, что многофакторный программный криптографический токен (например, программный токен на основе PKI, такой как программный токен myKEY) здесь намеренно опущен, поскольку он не считается адекватным многофакторным решением в соответствии с инструкциями, приведенными в ITSP. .30.031. Кроме того, программных токенов на основе PKI недостаточно на уровне гарантии 3, если процесс аутентификации не связан с другим подходящим токеном уровня гарантии 2 (который обычно не поддерживается в существующих развертываниях GC).

Вернуться к сноске 15 реферер

Электронные подписи: не так быстро

Судебные вопросы

Электронные подписи представляют собой уникальные проблемы в судебном процессе. Например, электронному подписывающему лицу легче отрицать, что он действительно подписал документ.И может быть сложно определить, как заложить надлежащую основу для электронной подписи.

Электронные подписи также позволяют юридическим лицам утверждать, что подписывающее лицо не имело полномочий связывать юридические обязательства. Например, в апреле 2018 года Апелляционный суд Северной Каролины подтвердил упрощенное судебное решение для Банка Америки, частично основанное на записях DocuSign. IO Moonwalkers, Inc. против Banc of America Merchant Services, 814 S. E.2d 583 (N.C. App. 2018) . Хотя суд оставил в силу в электронном виде, подписанный контракт, он сделал это на основе теории о ратификации, подчеркнув опасность того, что в случае спорной электронной подписи, партия стремится обеспечить соблюдение подписи может потребоваться дополнительное подтверждение за пределами простого цифрового следа.

Banc of America Merchant Services (BAMS) предоставил услуги по обработке кредитных карт IO Moonwalkers (компании, которая продает скутеры на воздушной подушке). Между сторонами возник спор по поводу возвратных платежей за мошеннические покупки, и Moonwalkers заявила, что никогда не подписывала контракт с BAMS электронным способом. Однако в своем ходатайстве об упрощенном судебном разбирательстве BAMS подготовила записи DocuSign, показывающие дату и время, когда кто-то, использующий электронную почту компании Moonwalkers, просмотрел контракт, подписал контракт, а затем просмотрел окончательную, полностью оформленную версию.Moonwalkers не оспаривали записи, но утверждали, что подписывающая сторона не имела на это полномочий.

К счастью для BAMS, суд первой инстанции и апелляционный суд согласились, что доказательства подтверждают ратификацию контракта Moonwalkers. Суд первой инстанции отметил, что «электронный след, созданный DocuSign, предоставляет информацию, которая не была бы доступна до цифровой эры, — возможность удаленно отслеживать, когда другие стороны контракта фактически просматривают ее».

Но суд не постановил, что эти записи сами по себе доказывают, что уполномоченный представитель Moonwalkers подписал контракт и связал Moonwalkers.Вместо этого суд постановил, что записи DocuSign подтвердили, что Moonwalkers изучили условия контракта и были осведомлены о них. Это, вкупе с другими действиями Moonwalkers по соблюдению условий контракта и реагированию на запросы BAMS о предоставлении информации или материалов, требуемых по контракту, привело суд к выводу, что Moonwalker ратифицировал контракт. Записи DocuSign были важным доказательством, но сами по себе не определяли действительность или обязательный характер контракта.

Практикующим специалистам необходимо взвесить удобство электронных подписей и эти потенциальные проблемы, особенно в крупных транзакциях, которые могут закончиться судебным разбирательством.

Документы

Практикующим специалистам также необходимо ознакомиться с местными правилами использования электронных подписей, чтобы избежать возможных санкций. В декабре 2016 года судья по делам о банкротстве Восточного округа Калифорнии наложил санкции на адвоката по делам о банкротстве за разрешение клиенту-должнику использовать DocuSign для подписания документов, требующих оригинальной подписи. In re Mayfield, 2016 WL 3958982, No. 16-22134-D-7 (E.D. Cal. 15 июля 2016 г.) . Там адвокат по банкротству представил различные документы, которые должник подписал с помощью DocuSign.Доверительный управляющий США утверждал, что DocuSign не является оригинальной («мокрой») подписью, как того требуют применимые правила банкротства и местные правила. Суд отметил свою обеспокоенность тем, что электронную подпись может быть легче подделать или поставить кем-то другим, чем должник, что может привести к потенциальным спорам по поводу действительности важных документов дела: «Существенным моментом является то, что собственноручную подпись человека подделать труднее.

alexxlab

Related Posts

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *