2

Webフォーム(ドキュメントではない)の「合法的な」デジタル署名を構成するものは何ですか?

オプション1:私は医師が患者の健康についてメモをとるプロジェクトに取り組みました。Webフォームが送信されると、PDFが生成され、デジタル.CER証明書でデジタル署名され、PDFがファイルシステムに保存されます。各医師は独自の.CERファイルとパスワードを持っていました。これは維持するための実際のPITAであり、PDFの生成、保存、およびバックアップのオーバーヘッドは非常に高くなっています。

CoSignのようなサードパーティのソリューションもあります。これにより、ユーザーはフォームの送信時にCoSignに対して認証を行い、適切に認証された場合は、何らかの方法でそのフォームにデジタル署名することができます。これらのソリューションはすべて、さまざまな種類のドキュメントにエクスポートしてからドキュメントを保存する必要があり、エンド署名者はCoSignのアカウントを持っている必要があると思います。それはうまくいきません...

これらの署名はすべて、データをドキュメントに保存する必要がありますが、これは多くのプロジェクトにとって理想的ではありません。

オプション2:モールオブアメリカのMicrosoftストアに行き、新しいSurfaceを購入しました(後で返却されます:/)。チェックアウトすると、タブレット(皮肉なことに、Surfaceではありませんでした)とペンと私が届きました。私の署名を書き留めた。もう1つの例は、ユーザーが何らかのタッチスクリーンに署名を書き留める必要があるSquareアプリです。署名はデータベースのどこかに画像として保存されていると思いますが、それは「法的」文書を構成しますか?

私は、医師にWebで検査を評価させ、その評価にデジタルで「署名」させる小さな医療機器会社で働いていましたが、データベースに保存された署名の画像をアップロードするだけでした。

オプション3:これが行われているのを私が見たさらに別の方法は、その日の大学の授業料援助のために私のFAFSAに記入するときです。用語「yadayada」を確認するように求められた後、下部に「上記のとおり」氏名を入力してフォームを送信する必要がありました。彼らはカーテンの後ろで何をしているのですか?

私が取り組んでいるプロジェクトは、建設会社向けの単純な1ページの契約であり、提供されるすべてのサービスを説明し、署名と日付が必要です。このフォームの電子版は、必要なすべてのデータをWebフォームに収集し、データストアに保存します。

私の最初の反応は、iPadなどで署名できる<canvas>ベースのHTML5要素を提供することでした。データをドキュメントにエクスポートしてからデジタル署名を使用して署名する必要がありますか、それともデータは合法であり、データストアで「署名」できますか?

4

2 に答える 2

8

あなたはいくつかの質問をしていますが、そのうちの1つだけが合法性の質問です。

事前の開示:私はCoSignで働いています。

最初の質問:

Webフォームにデジタル署名するか、ドキュメントに署名するか(PDFなど) はい、これはデジタル署名の一般的なアプリケーションです。CoSignはそれをサポートしています。通常の手法は、最初にWebフォームをXMLファイルとして表現することです。次に、XMLファイルにデジタル署名します。CoSignのSAPIAPIは、W3標準に従ってXMLファイルのデジタル署名を直接サポートします。詳細については、SAPIプログラマーガイドをご覧ください。CoSignDevelopersサイトから入手できます。

デジタル署名されたXMLファイルの検証デジタル署名されたXMLファイルを暗号で検証する機能が必要です。これにはCoSignを使用できます。または、XMLファイルを検証する他の多くのアプリがあります。長いリストを表示するには、「xmlデジタル署名の検証」をGoogleで行ってください。デジタル署名のID、意図、およびドキュメントの整合性の独立した検証は、標準のデジタル署名を使用する主な利点です。

2番目の質問:

デジタル署名用のデジタル証明書の個人用コピーの高コストを回避する方法はありますか? ご存知のように、個人のデジタル証明書の発行、追跡、保守、交換、および廃止には、非常に高いコストがかかります。これは、個々の署名者に発行されたhw証明書(スマートカード、usbトークンなど)を使用したデジタル署名の一般的な(そして大きな)欠点です。この問題を回避する方法は、CoSignや他のいくつかの場合と同様に、証明書を一元的に保存することです。CoSignは、Active Directory / LDAPなどと自動的に同期して、個々のハードウェア証明書のサポートとメンテナンスのコストを削減します。

3番目の質問:

外部の署名者は、CoSignボックスに自分のアカウントが必要ですか?それはうまくいきません。 外部の署名者(顧客/クライアント/患者など、たまに一度しか署名しない人)の場合、プログラムで署名アカウントを作成し、XMLドキュメントに署名してから、アカウントを削除できます。これは珍しいケースではありません。CoSign SAPI apiは、この目的のためにアカウントの作成/保守/削除をサポートします。

4番目の質問:

「これらの署名はすべて、多くのプロジェクトにとって理想的ではないドキュメントにデータを保存する必要がある」というのは本当ですか? いいえ。上で説明したように、XMLドキュメントにデジタル署名することができます。Webフォームから作成されたXMLドキュメントへの署名は、MicrosoftのInfoPathフォームシステム、IBMフォームシステムなどによっても行われます。これは、デジタル署名の一般的なアプリケーションです。

5番目の質問:

Squareやその他のWebフォーム署名アプリは何をしていますか?」

多くの場合、彼らは「デジタル署名」ではなく「電子署名」を行っています。

簡単に言うと、電子署名は人の署名をグラフィックで表現したものです。ドキュメントにあるのはそれだけです。したがって、ドキュメント自体には、整合性や信頼性の保証がありません。つまり、誰かがドキュメントを変更することができ(たとえば、「not」という単語を戦略的に追加することによって)、署名は同じように見えます。

本質的に弱い電子署名に強度を加えるために、さまざまな電子署名サービスがドキュメントをサーバーに保存し、ドキュメントの整合性などを企業に保証します。オプション3はこのカテゴリに含まれる場合があります。スクエア、オプション2は電子署名の場合もあります。彼らの場合、Square自体が、署名後に何も変更されていないことを保証しています。

電子署名は米国では一般的に合法ですが、詳細については弁護士に相談する必要があります。また、検証をサードパーティ(ベンダー)に依存しているため、多くの組織が電子署名を受け入れない場合もあります。電子署名されたドキュメントを個別に検証することはできません。ベンダーに依存する必要があります。たとえば、製薬会社は電子署名を使用してFDAに書類を提出することはできません。デジタル署名が必要です。米国以外では、技術の固有の弱点のために、電子署名が再び受け入れられないことがよくあります。

デジタル署名ドキュメントやXMLファイル、またはその他のものはデジタル署名できます。デジタル署名は、暗号化技術を通じて、ドキュメントが変更されていないこと(整合性)、署名が信頼できないこと(署名者の識別)、および署名時の署名者の意図の表明を保証します。デジタル署名されたファイルは、さまざまな場所から入手できる検証ソフトウェアまたはアプリを使用して、誰でも検証できます。デジタル署名はオープンスタンダードに準拠していますが、電子署名は準拠していません。

于 2013-02-05T07:14:21.647 に答える
2

Webフォーム(ドキュメントではない)の「合法的な」デジタル署名を構成するものは何ですか?

既存の法律と慣行の問題があり、電子署名、デジタル署名、およびデジタルデータの性質を知らない誰かによって法律が書かれた場合、それらがどうあるべきかという問題があります。

私の意見では、電子署名(手描きの署名の画像)は法的拘束力があると見なされるべきではありません。電子署名されたデータを偽造したり、署名の画像を含む偽造データを作成したりするのは簡単です。これらはセキュリティの低い状況で使用される可能性があり、頻繁に使用されますが、データの信頼性または整合性を主張する価値はありません。EFTPOSや信頼できるタブレットなどの手描きの署名を収集するための信頼できる改ざん防止デバイスがある場合など、非常に限られた状況ではある程度安全です。消費者および(通常)販売者のタブレットは信頼できるデバイスと見なされるべきではありません。 。

一方、デジタル署名は、暗号化技術を使用して、ドキュメント/データの信頼性を主張するために自動的に検証できる署名を埋め込みます。秘密鍵のセキュリティが秘密に保たれ、署名アルゴリズムに欠陥が発見されない限り、これは非常に強力な保証です。私の意見では、これは、すべての関係者がデジタル署名を理解していると仮定すると、あらゆる状況で法的拘束力があると見なされるべき唯一の電子署名の形式です。

公証人として機能する信頼できる第三者機関が、文書またはWebフォームの提出の信憑性を主張する可能性があります。このシステムのセキュリティは公証人の評判に依存します。適切な信頼できるプロトコルを使用して信頼できる公証人が行う場合、法的拘束力を持つ可能性があります。一部の電子公証人は何らかの形式のデジタル署名を採用しているため、その主張により、デジタル署名のみで提供される保証に加えて、保証の層が追加されます。

多くの法域では、特定の種類のトランザクションに対して、より弱い形式の電子署名が許可されています。現地の法律を確認し、弱い形式の署名の使用について疑問がある場合は、電子取引に精通している弁護士に相談してください。デジタル署名を適切に使用して、疑念の断片を取り除きます。

任意の有限長のバイナリストリームに署名できます。ドキュメント内にある必要はありません。ただし、外部署名ではなく埋め込み署名を使用するには、含まれるデータに署名を含めるためのサポートが必要です。

于 2013-02-05T09:22:50.060 に答える