IT в России и мире в реалиях мирового кризиса
1,297,310
7,820
|
GrinF ( Слушатель ) |
| 13 апр 2024 02:04:40 |
ЭЦП
новая дискуссия Дискуссия 67
Решил следовать прогрессу и зарегистрировал усиленную эцп (причем получил их аж 2 в рутокене, вторую через приложение госключ)... Внимательно прочитав инструкцию, выяснил что она является полной заменой собственноручной подписи под любым документом.
Ну и вот собственно вопрос. В интернете миллион инструкций и роликов как подаисать pdf файл, doc или xls. Но ведя я могу захотеть подписать для передачи клиенту какую нибудь цифровую модель в формате автокада или ансиса - то есть формата неизвестного создателям плагинов, причем например имею желание что бы это файл подписала и принимающая сторона. Кто сталкивался на практике как это правильно делать(с юридической точки зрения)... Первая сторона подписывает открепленной подписью, затем создает архив (tar, rar, 7zip, zip) включающую подписываемый документ и открепленную подпись. Передает этот документ второй стороне, она подписывает архив, и возвращает его первой ( или передает третьей стороне, которая снова повторяет процедуру)... Так?
Ну и вот собственно вопрос. В интернете миллион инструкций и роликов как подаисать pdf файл, doc или xls. Но ведя я могу захотеть подписать для передачи клиенту какую нибудь цифровую модель в формате автокада или ансиса - то есть формата неизвестного создателям плагинов, причем например имею желание что бы это файл подписала и принимающая сторона. Кто сталкивался на практике как это правильно делать(с юридической точки зрения)... Первая сторона подписывает открепленной подписью, затем создает архив (tar, rar, 7zip, zip) включающую подписываемый документ и открепленную подпись. Передает этот документ второй стороне, она подписывает архив, и возвращает его первой ( или передает третьей стороне, которая снова повторяет процедуру)... Так?
ОТВЕТЫ (12)
|
adolfus ( Слушатель ) |
| 14 апр 2024 23:39:40 |
Цитата: GrinF от 13.04.2024 02:04:40
Все зависит от того, можете ли вы лично встретиться с контрагентом и обменяться открытыми ключами. Если да, то все вообще элементарно и безопасно. Если же нет, то все намного сложнее, ноо в некотороых случаях решаемо.
|
Senya ( Слушатель ) |
| 15 апр 2024 08:29:42 |
Цитата: adolfus от 14.04.2024 23:39:40
Технически без разницы, какой файл или архив подписывается, но проблема наверное в наличии компетентного арбитража на случай разногласий. И тогда все программные, аппаратные средства и протоколы должны соответствовать требованиям этого арбитража.
|
|
gvf ( Слушатель ) |
| 15 апр 2024 09:34:53 |
Цитата: Senya от 15.04.2024 08:29:42
Подписывается не файл данных, а гарантийное письмо в котором указана контрольная сумма нужного файла.
|
|
Senya ( Слушатель ) |
| 15 апр 2024 12:06:46 |
Цитата: gvf от 15.04.2024 09:34:53
Всегда подписывается хэш от битовой последовательности. Представляет собой эта последовательность один файл любого формата, несколько файлов в фиксированном порядке или файл, в котором одним из стандартных способов скопирован хэш от третьего файла - без разницы.
|
|
gvf ( Слушатель ) |
| 15 апр 2024 12:32:12 |
Цитата: Senya от 15.04.2024 12:06:46
В письме вы указываете текст который хотите заверить подписью и вот именно этот самый текст и есть предмет возможного разбирательства в арбитраже.
Где получатель заверяет своей подписью свое согласие с изложенным и факт ознакомления.
Сама по себе неизменность файла подписи не требует, достаточно хеша, а если вы хотите установить право авторства - что этот файл и его содержимое были разработаны вами, то подпись этого не даст потому что подписать может кто угодно и что угодно и с юридической точки зрения вы тем самым скажете что на момент подписания файл был вот таким.
И все.
Обычно у подобных систем, что офиса, что кадов есть встроенные механизмы подписания, как раз для установления авторства, которые исключают возможность повторного подписания, но без стороннего реестра это все от лукавого.
|
|
Senya ( Слушатель ) |
| 15 апр 2024 13:02:11 |
Цитата: gvf от 15.04.2024 12:32:12
Да, если мы ведём речь о тексте договора например. Текстовых редакторов, которые могли бы интерпретировать бинарник с противоположным смыслом, пока вроде не изобрели. Иначе они должны входить в стандарт подписи.
Цитата: gvf от 15.04.2024 12:32:12
Электронная подпись заверяет только неизменность файла.
Цитата: gvf от 15.04.2024 12:32:12
Так как хэш может сгенерить что угодно для чего угодно, его легко подменить. Естественно хранить копии хэша в защищённом окружении проще, чем копии файлов, поэтому если я для себя на защищённом компьютере (a-la антивирусный сервер) хочу проверить неизменность файлов, подпись мне не нужна (хотя может быть одним из уровней защиты). Но если мы говорим о споре равноправных субъектов относительно правильной версии файла - без подписи никуда.
Цитата: gvf от 15.04.2024 12:32:12
Электронная подпись как раз и создана для того, чтобы удостоверять авторство и прекрасно с этой задачей справляется. В сочетании с обеспечивающим законодательством. Пока никто не предъявил более ранний таймстамп, автор - первый подписавший. А вот невозможность отказа от авторства подпись на самом деле не гарантирует, так как доказать отсутствие (что автор единственный, владеющий секретным ключом) невозможно. Тут мы из области математики переходим в зыбкую область судебной системы с доказательствами разной степени достоверности.
Цитата: gvf от 15.04.2024 12:32:12
Проблема несертифицированных устройств с поддельным таймстампом и арбитража.
UPD.
Вообще это как регистрация патента.
Цитата: gvf от 15.04.2024 12:32:12
Невозможность сымитировать подпись обеспечивается подписанием закрытым ключом автора када, хранящемся в защищённом от взлома модуле (программном или аппаратном)? Это уже другой тип угроз.
Цитата: gvf от 15.04.2024 12:32:12
И я собственно о том же. По хорошему любое обсуждение должно начинаться с построения модели атаки. От чего именно мы хотим защититься. Иначе у нас всегда будет лёгкий трёп "о своём, о девичьем"(с)
|
Luddit ( Слушатель ) |
| 15 апр 2024 13:45:42 |
Цитата: Senya от 15.04.2024 13:02:11
Так для этого один фиг нужен сторонний сервер, которому можно доверять.
Иначе часы на компе перевёл и подписал.
|
|
gvf ( Слушатель ) |
| 15 апр 2024 15:07:35 |
Цитата: Senya от 15.04.2024 13:02:11
Да, безусловно, как я понял автора вопроса - у него шла речь о собсно процедурном вопросе - то что называется эневлоп - конверт.
На что и указал, потому что подпись файла не дает ничего при разборках, ну подписал, молодец, иди дальше, а у меня есть вот такой файл и он лучше твоего и там тоже есть подпись, или нет подписи, неважно.
|
Поверонов ( Слушатель ) |
| 15 апр 2024 16:47:05 |
Цитата: gvf от 15.04.2024 15:07:35
теоретически ( сам никогда не делал ) идентичные тексты ( с равным хэшем ) подписываются каждой из сторон после чего подписанными файлами обмениваются ( при условии верификации подписей сторон в независимом регистре ) Таким образом подтверждением согласия является файл подписанный другой стороной, у которой так же имеется файл с идентичным текстом подписанный данной стороной.
|
|
GrinF ( Слушатель ) |
| 15 апр 2024 11:45:01 |
Цитата: Senya от 15.04.2024 08:29:42
Ну УКИП же выдано уполномоченным государством УЦ (в Россельхозбанке проводят процедуру авторизации и проверки документов перед выдачей УКИП) и служит аналогом собственноручной подписи, поэтому и проблем с точки зрения арбитража не должны быть
|
|
Senya ( Слушатель ) |
| 15 апр 2024 12:11:57 |
Цитата: GrinF от 15.04.2024 11:45:01
Увы, правоприменительной практикой вообще не владею. Но выдача кем бы то ни было ключа электронной подписи означает только то, что приведённые числа удовлетворяют требованиям для использования в алгоритмах подписи и проверки, а так же что физическое или юридическое лицо с определёнными реквизитами на момент выдачи владеет секретной частью. А как например будет решаться вопрос. если одна из сторон откажется от подписи под предлогом, что ключ подписи был похищен во время хакерской атаки - фз.