什么构成网络表单(非文档)的“合法”数字签名?
选项1 :我参与了一个医生记录患者健康状况的项目。提交Web表单时,将生成PDF并使用数字.CER证书进行数字签名,并将PDF保存到文件系统。每个医生都有自己的.CER文件和密码,这是一个真正需要维护的PITA,生成,存储和备份PDF的开销非常高。
还有像CoSign这样的第三方解决方案,允许用户在表单提交时向CoSign进行身份验证,如果经过适当的身份验证,则会以某种方式对表单进行数字签名。我相信所有这些解决方案都需要导出到各种类型的文档然后存储文档,并要求最终签名者拥有CoSign帐户。这不会起作用......
所有这些签名都要求将数据存储在不适合许多项目的文档中。
选项2 :我去了美国购物中心的微软商店并购买了一个新的Surface(稍后会退回:/),当他们退房时他们给了我一个平板电脑(具有讽刺意味的是它不是我是一个表面和笔,我记下了我的签名。另一个例子是Square应用程序,它还要求用户在某种触摸屏上记下他们的签名。我会假设签名在数据库中的某个地方存储为图像,但这是否构成“合法”文档?
我曾在一家小型医疗设备公司工作,该公司让医生在网上评估测试并以数字方式“签署”他们的评估,但所做的只是上传保存在数据库中的签名图片。
选项3 :我看到这样做的另一种方式是在当天填写我的FAFSA以获得大学学费援助。他们会要求你查看条款,yada yada,然后在底部我必须输入我的完整法定名称“如上所示”并提交表格。 他们在窗帘后面做了什么 ??
我正在进行的项目是一份简单的一页建筑公司合同,该合同解释了要渲染的所有服务,需要签名和日期。此表单的电子版将收集Web表单中的所有必需数据并将其保存到数据存储中。
我最初的反应是提供< canvas>基于HTML5的元素,可以在iPad或其他东西上签名。是否需要将数据导出到文档中,然后使用数字签名进行签名,或者数据是否合法并在数据存储中“签名”?
答案 0 :(得分:8)
你问了几个问题,其中只有一个是合法性问题。
预先披露:我为CoSign工作。
第一个问题:
以数字方式签署网络表单与签署文档(PDF等) 是的,这是数字签名的常见应用程序。 CoSign支持它。通常的技术是首先将Web表单表示为XML文件。然后对XML文件进行数字签名。 CoSign的SAPI api直接支持根据W3 standard.对XML文件进行数字签名。从SAPI程序员指南中了解更多信息。可从CoSign Developers site获得。
验证经过数字签名的XML文件您需要能够以加密方式验证经过数字签名的XML文件。您可以使用CoSign,或者还有许多其他应用程序也可以验证XML文件。谷歌为“验证xml数字签名”看了很长的清单。对数字签名的身份,意图和文档完整性进行独立验证是使用标准数字签名的关键优势。
第二个问题:
有关数字签名数字证书个人副本的高成本吗? 正如您所发现的那样,发布,跟踪,维护,更换和退出个人数字证书的成本非常高。这是使用发给个人签名者(智能卡,usb令牌等)的hw证书的数字签名的常见(和大)缺点。解决问题的方法是将证书集中存储为CoSign,而另一些则是。 CoSign自动与Active Directory / LDAP等同步,以消除单个hw证书的支持和维护成本。
第三个问题:
外部签名者是否需要在CoSign框中拥有自己的帐户?那不行。 对于外部签名者(组织外部的人员,例如仅在很长时间内签署一次的客户/客户/患者),可以通过编程方式创建签名帐户,签署XML文档,然后删除帐户。这不是一个不寻常的案例。 CoSign SAPI api支持为此目的创建/维护/删除帐户。
第四个问题:
“所有这些签名都需要将数据存储在对许多项目来说不理想的文档中吗?” 不可以。您可以按照上面的说明对XML文档进行数字签名。从Web表单创建的签名XML文档也由Microsoft的InfoPath表单系统,IBM Forms系统和其他人完成。这是数字签名的常见应用程序。
第五个问题:
Square和其他网络表单签名应用正在做什么?“
在许多情况下,他们正在做“”电子签名“而不是”数字签名“。
简而言之,电子签名是一个人签名的图形表示。这就是文件中的所有内容。因此,该文件本身无法保证完整性或不具备声誉。即,有人可以更改文档(例如,通过策略性地添加单词“not”),签名看起来仍然相同。
为了增加固有弱电子签名的强度,各种电子签名服务会将文档存储在他们的服务器上,从而提供他们对文档完整性等的公司保证。您的选项3可能属于此类别。 Square,您的选项2也可能是电子签名。在他们的案例中,Square本身正在保证签署后没有任何改变。
电子签名在美国通常是合法的,但您应该咨询律师了解详情。此外,许多组织由于依赖第三方进行验证(供应商)而不接受电子签名。电子签名文档无法独立验证 - 您需要依赖供应商。例如,制药公司不能通过电子签名向FDA提交文书工作,需要数字签名。在美国之外,由于技术固有的弱点,电子签名通常不会被接受。
数字签名可以对文档或XML文件或其他任何内容进行数字签名。数字签名通过加密技术保证文档不被更改(完整性),签名是无信誉的(签名者标识)以及签名者的签名者意图声明。使用许多地方提供的验证软件或应用程序的任何人都可以验证数字签名文件。数字签名遵循开放标准,电子签名则不遵守。
答案 1 :(得分:2)
什么构成网络表单(非文档)的“合法”数字签名?
存在现有法律和惯例的问题,如果法律是由不了解电子签名,数字签名和数字数据性质的人编写的,那么问题应该是什么。
在我看来,电子签名(手绘签名的图像)永远不应被视为具有法律约束力,伪造电子签名数据或创建包含签名图像的伪造数据是微不足道的。它们可以并且经常在低安全性的情况下使用,但它们对于断言数据的真实性或完整性毫无价值。它们在非常有限的情况下可以有些安全,例如当有可靠的防篡改设备来收集手绘签名(如EFTPOS或可信平板电脑)时,消费者和(通常)商家的平板电脑不应被视为可信设备
另一方面,数字签名使用加密技术嵌入可以自动验证的签名,以断言文档/数据的真实性。只要私钥的安全性保密并且签名算法没有发现漏洞,这是一个非常有力的保证。在我看来,假设所有各方都理解数字签名,这是唯一在各种情况下都应被视为具有法律约束力的电子签名形式。
可以让一个受信任的第三方作为公证人,断言文件或网络表单提交的真实性。该系统的安全性取决于公证人的声誉,当由受信任的公证人使用适当的可信赖协议完成时,它可以具有法律约束力。一些电子公证人采用某种形式的数字签名,因此他们的断言在数字签名单独提供的保证之上增加了额外的保证。
许多司法管辖区允许对某些类型的交易采用较弱形式的电子签名。检查您当地的法律,如果对使用较弱形式的签名有疑问,请咨询精通电子交易的律师。正确使用数字签名可以消除任何疑惑。
任何有限长度的二进制流都可以签名,它不必在文档中。但是,要使用嵌入式签名而不是外部签名,所包含的数据必须支持包含签名。