Электронная подпись - Electronic signature

An электронная подпись, или электронная подпись, относится к данные в электронной форме, которая логически связана с другими данными в электронной форме и используется подписавший подписывать.[1][2][3] Этот тип подписи обеспечивает такой же юридический статус, что и собственноручная подпись, при условии, что он соответствует требованиям конкретного постановления, в соответствии с которым он был создан (например, eIDAS в Европейский Союз, NIST-DSS в Соединенные Штаты Америки или ZertES в Швейцария ).[4][5]

Электронные подписи - это юридическая концепция, отличная от цифровые подписи, криптографический механизм, часто используемый для реализации электронных подписей. Хотя электронная подпись может быть такой же простой, как имя, введенное в электронный документ, цифровые подписи все чаще используются в электронная коммерция и в нормативных документах для внедрения электронных подписей в криптографически защищенный путь. Агентства по стандартизации, такие как NIST или ETSI предоставить стандарты для их реализации (например, NIST-DSS, XAdES или PAdES ).[4][6] Сама концепция не нова, поскольку юрисдикции общего права признали телеграф подписи еще в середине XIX века и подписи по факсу с 1980-х годов.

Описание

Электронная подпись предназначена для обеспечения безопасного и точного метода идентификации подписавшего для обеспечения беспрепятственной транзакции. Определения электронных подписей различаются в зависимости от применимых юрисдикция. Общим знаменателем в большинстве стран является уровень усовершенствованная электронная подпись требуя, чтобы:

  1. В подписавший можно однозначно идентифицировать и связать с подписью
  2. Подписавший должен иметь единоличный контроль над закрытый ключ который использовался для создания электронной подписи
  3. Подпись должна позволять идентифицировать, были ли подделаны сопутствующие данные после подписания сообщения.
  4. В случае изменения сопроводительных данных подпись должна быть признана недействительной.[7]

Электронные подписи могут создаваться с повышенными уровнями безопасности, каждая из которых имеет свой собственный набор требований и средств создания на различных уровнях, подтверждающих действительность подписи. Чтобы обеспечить еще более сильную доказательная ценность чем вышеописанная усовершенствованная электронная подпись, некоторые страны, такие как Европейский Союз или Швейцария, ввели квалифицированную электронную подпись. Сложно оспорить авторство заявления, подписанного квалифицированная электронная подпись - заявление неопровержимый.[8] Технически квалифицированная электронная подпись реализуется через усовершенствованную электронную подпись, в которой используется цифровой сертификат, зашифрованный с помощью устройства для создания защитной подписи.[9] и который был подтвержден квалифицированный поставщик трастовых услуг.[10]

В договорном праве

Задолго до американская гражданская война началось в 1861 году, азбука Морзе использовался для отправки сообщений посредством телеграфии. Некоторые из этих сообщений были соглашениями с условиями, которые должны были быть исполнены контракты. Раннее признание возможности принудительного исполнения телеграфных сообщений в качестве электронных подписей исходило от Верховный суд Нью-Гэмпшира дело Хоули против Уиппла в 1869 году.[11][12]

В 1980-х годах многие компании и даже некоторые частные лица начали использовать факсимильные аппараты для высокоприоритетной или срочной доставки документов. Хотя оригинальная подпись на оригинальном документе была на бумаге, изображение подписи и ее передача были электронными.[13]

Суды в различных юрисдикциях решили, что обязательные электронные подписи могут включать соглашения, заключенные по электронной почте, с указанием персональный идентификационный номер (PIN-код) в банк Банкомат, подписывая кредитную или дебетовую квитанцию ​​с помощью цифрового блокнота (приложение графический планшет технологии) на торговая точка, установка программного обеспечения с Clickwrap лицензионное соглашение на программное обеспечение на упаковке, и подписание электронных документов онлайн.

Первым соглашением, подписанным в электронной форме двумя суверенными странами, было Совместное коммюнике, в котором признается растущая важность развития электронной торговли, подписанное Соединенными Штатами и Ирландией в 1998 году.[14]

Обеспечение соблюдения

В 1996 г. Организация Объединенных Наций опубликовала Типовой закон ЮНСИТРАЛ об электронной торговле.[15] Статья 7 Типового закона ЮНСИТРАЛ об электронной торговле оказала большое влияние на разработку законов об электронной подписи во всем мире, в том числе в США.[16] В 2001 году ЮНСИТРАЛ завершила работу над специальным текстом - Типовым законом ЮНСИТРАЛ об электронных подписях.[17] который был принят примерно в 30 юрисдикциях.[18] Последний текст ЮНСИТРАЛ, касающийся электронных подписей, - это пункт 3 статьи 9 Конвенция Организации Объединенных Наций об использовании электронных сообщений в международных договорах, 2005, который устанавливает механизм функциональной эквивалентности между электронными и собственноручными подписями на международном уровне, а также для международного признания.

Канадский закон (ПИПЕДА ) пытается прояснить ситуацию, сначала определяя общую электронную подпись как «подпись, состоящую из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенных в электронный документ, прикрепленных к нему или связанных с ним», а затем определяя безопасная электронная подпись как электронная подпись с определенными свойствами. Правила безопасной электронной подписи PIPEDA уточняют определение цифровой подписи, применяемой и проверяемой особым образом.[19]

в Европейский Союз, ЕС Регулирование № 910/2014 об электронной идентификации и трастовых услугах для электронных транзакций в Европе. внутренний рынок (eIDAS ) устанавливает правовые рамки для электронных подписей. Он отменяет Директива 1999/93 / EC.[2] Текущая и применимая версия eIDAS была опубликована Европейский парламент и Европейский Совет 23 июля 2014 г. В соответствии со статьей 25 (1) регламента eIDAS, усовершенствованная электронная подпись «не может быть отказано в юридической силе и допустимости в качестве доказательства в ходе судебного разбирательства». Однако он достигнет более высокой доказательная ценность при повышении до уровня квалифицированная электронная подпись. Требуя использования квалифицированное устройство для создания электронной подписи[20] и будучи основанной на сертификате, который был выдан квалифицированным поставщиком трастовых услуг, обновленная расширенная подпись затем имеет в соответствии со статьей 25 (2) Регламента eIDAS такую ​​же юридическую силу, что и собственноручная подпись.[2][7] Однако это регулируется только в Европейском Союзе и аналогичным образом через ZertES в Швейцария. Квалифицированная электронная подпись не определена в США.[21][22]

Кодекс США определяет электронная подпись для целей законодательства США как «электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другой записью и исполняемый или принятый лицом с намерением подписать запись».[23] Это может быть электронная передача документа, содержащего подпись, как в случае факсимиле передачи, или это может быть закодированное сообщение, например телеграфия с помощью азбука Морзе.

В Соединенных Штатах определение того, что считается электронной подписью, широко и изложено в Единый закон об электронных операциях ("UETA") выпущен Национальной конференцией уполномоченных по унифицированным государственным законам (NCCUSL) в 1999 году.[24] На него повлияли ABA официальные документы комитета и единый закон, опубликованный NCCUSL. Согласно UETA, этот термин означает «электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись». Это определение и многие другие основные концепции UETA нашли отклик в США. Закон ESign 2000 г.[23] 48 штатов США, округ Колумбия и Виргинские острова США ввели в действие UETA.[25] Только Нью-Йорк и Иллинойс не приняли UETA,[25] но каждый из этих штатов принял свой собственный закон об электронных подписях.[26][27][28]По состоянию на 11 июня 2020 г. Управление по информационным технологиям штата Вашингтон утвердило УЭТА

Юридические определения

На международном уровне были приняты различные законы для облегчения торговли с использованием электронных записей и подписей в межгосударственной и иностранной торговле. Цель состоит в том, чтобы гарантировать действительность и юридическую силу договоров, заключенных в электронном виде. Например,

ПИПЕДА (Федеральный закон Канады)
(1) Электронная подпись - это «подпись, которая состоит из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенных в электронный документ, прикрепленных к нему или связанных с ним»;
(2) Безопасная электронная подпись - это электронная подпись, которая
(а) уникальна для лица, подписывающего подпись;
(b) технология или процесс, используемые для создания подписи, находятся под исключительным контролем лица, подписывающего подпись;
(c) технология или процесс могут использоваться для идентификации лица, использующего технологию или процесс; и
(d) электронная подпись может быть связана с электронным документом таким образом, чтобы ее можно было использовать для определения того, был ли электронный документ изменен с тех пор, как электронная подпись была включена в электронный документ, прикреплена к нему или связана с ним.
Закон о ESIGN Раздел 106 (Федеральный закон США)[29]
(2) ЭЛЕКТРОННАЯ - Термин «электронная» означает технологию, имеющую электрические, цифровые, магнитные, беспроводные, оптические, электромагнитные или аналогичные возможности.
(4) ЭЛЕКТРОННАЯ ЗАПИСЬ. Термин «электронная запись» означает договор или другую запись, созданную, созданную, отправленную, переданную, полученную или сохраненную с помощью электронных средств.
(5) ЭЛЕКТРОННАЯ ПОДПИСЬ. Термин «электронная подпись» означает электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другой записью и выполняемый или принятый лицом с намерением подписать запись.
GPEA Раздел 1710 (Федеральный закон США)
(1) ЭЛЕКТРОННАЯ ПОДПИСЬ. - термин «электронная подпись» означает метод подписания электронного сообщения, которое:
(A) идентифицирует и удостоверяет личность конкретного человека как источника электронного сообщения; и
(B) указывает на то, что такое лицо одобряет информацию, содержащуюся в электронном сообщении.
УЭТА Раздел 2 (Закон штата США)
(5) «Электронные» означает технологии, имеющие электрические, цифровые, магнитные, беспроводные, оптические, электромагнитные или аналогичные возможности.
(6) «Электронный агент» означает компьютерную программу или электронные или другие автоматизированные средства, используемые независимо для инициирования действия или ответа на электронные записи или исполнения полностью или частично, без проверки или действий со стороны лица.
(7) «Электронная запись» означает запись, созданную, созданную, отправленную, переданную, полученную или хранимую с помощью электронных средств.
(8) «Электронная подпись» означает электронный звук, символ или процесс, присоединенный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись.
Федеральный резерв 12 CFR 202 (федеральное постановление США)
ссылается на Закон о ESIGN
Комиссия по торговле товарными фьючерсами 17 CFR Часть 1 Sec. 1.3 (федеральные правила США)
(tt) Электронная подпись означает электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись.
Управление по контролю за продуктами и лекарствами 21 CFR Sec. 11.3 (федеральные правила США)
(5) Цифровая подпись означает электронную подпись, основанную на криптографических методах аутентификации отправителя, вычисленную с использованием набора правил и набора параметров, позволяющих проверить личность подписавшего и целостность данных.
(7) Электронная подпись означает компиляцию компьютерных данных любого символа или серии символов, выполненных, принятых или разрешенных физическим лицом в качестве юридически обязательного эквивалента его собственноручной подписи.
Ведомство США по патентам и товарным знакам 37 CFR Sec. 1.4 (федеральное постановление)
(г) (2) S-подпись. S-подпись - это подпись, вставленная между косыми чертами, но не собственноручная подпись ... (i) S-подпись должна состоять только из букв или арабских цифр, или того и другого, с соответствующими пробелами и запятыми, точками, апострофами , или дефисы для знаков препинания ... (например, / Dr. James T. Jones, Jr. /) ...
(iii) Имя подписавшего должно быть:
(A) Представлено в печатной или машинописной форме, предпочтительно непосредственно под S-подписью или рядом с ней, и
(B) Достаточно конкретны, чтобы можно было легко распознать личность подписавшего.[30]

Законы об их использовании

Смотрите также: Электронные подписи и закон

Технологические реализации (базовая технология)

Цифровая подпись

Дальнейшая информация: Цифровая подпись
Схема, показывающая, как цифровая подпись применяется, а затем проверяется.

Цифровые подписи находятся криптографический реализации электронные подписи используется как доказательство подлинность, целостность данных и неотречение коммуникаций, проведенных через Интернет. При реализации в соответствии со стандартами цифровой подписи цифровая подпись должна обеспечивать непрерывную конфиденциальность, а процесс подписания должен быть удобным и безопасным. Цифровые подписи генерируются и проверяются с помощью стандартизированных структур, таких как Алгоритм цифровой подписи (DSA)[6][32] от NIST или в соответствии с XAdES, PAdES или CAdES стандарты, установленные ETSI.[33]

Обычно процесс цифровой подписи включает три алгоритма:

  • Генерация ключа - этот алгоритм предоставляет закрытый ключ вместе с соответствующим ему открытым ключом.
  • Подписание - этот алгоритм создает подпись при получении закрытого ключа и подписываемого сообщения.
  • Проверка - этот алгоритм проверяет подлинность сообщения, проверяя его вместе с подписью и открытым ключом.[34]

Процесс цифровой подписи требует, чтобы подпись, сгенерированная как фиксированным сообщением, так и закрытым ключом, могла затем быть аутентифицирована сопровождаемым открытым ключом. Используя эти криптографические алгоритмы, подпись пользователя не может быть скопирована без доступа к его закрытому ключу.[34] А безопасный канал обычно не требуется. Применяя методы асимметричной криптографии, процесс цифровой подписи предотвращает несколько распространенных атак, когда злоумышленник пытается получить доступ с помощью следующих методов атаки.[1]

Наиболее актуальными стандартами цифровых подписей с учетом размера внутренних рынков являются Стандарт цифровой подписи (DSS)[32] посредством Национальный институт стандартов и технологий (NIST) и eIDAS Регулирование[2] принятый Европейский парламент.[4] OpenPGP это непатентованный протокол для шифрования электронной почты с помощью криптография с открытым ключом. Поддерживается PGP и GnuPG, и некоторые из S / MIME IETF стандартов и превратился в самый популярный в мире стандарт шифрования электронной почты.[35]

Биометрическая подпись

Электронная подпись может также относиться к электронным формам обработки или проверки личности посредством использования биометрических «подписей» или биологически идентифицирующих качеств человека. Такие подписи используют метод прикрепления к документу биометрических данных в качестве доказательства. Биометрические подписи включают отпечатки пальцев, геометрию руки (длина пальцев и размер ладони), рисунки радужной оболочки, характеристики голоса или даже рисунки сетчатки. Все это собирается с помощью каких-то электронных датчиков. Поскольку каждая из этих физических характеристик претендует на уникальность среди людей, каждая в некоторой степени полезна в качестве подписи.[36]

Биометрические измерения такого типа бесполезны, поскольку пароли, потому что они не могут быть изменены в случае компрометации.[нужна цитата ] Тем не менее, они могут быть полезными, за исключением того, что до настоящего времени их так легко обмануть, что у них мало уверенности в том, что человек, который якобы подписал документ, на самом деле был человеком, который это сделал. Например, воспроизведение электронного сигнала, созданного и отправленного в компьютерную систему, отвечающую за «прикрепление» подписи к документу, может быть получено с помощью методов прослушки.[нужна цитата ] В случае отпечатков пальцев японскому профессору и некоторым аспирантам удалось обмануть все коммерчески доступные считыватели отпечатков пальцев, доступные им, с помощью некоторых мармеладный мишка конфетный гель и немного изобретательности.[37] В случае изображения лица пользователя исследователи из Вьетнама успешно продемонстрировали в конце 2017 года, как специально созданная маска может победить Apple Face ID программа на iPhone X.[38]

использованная литература

  1. ^ а б Тернер, Рассвет. «Что такое цифровая подпись - что она делает и как работает». Криптоматический. Получено 7 января 2016.
  2. ^ а б c d «ПОЛОЖЕНИЕ (ЕС) № 910/2014 от 23 июля 2014 года об электронной идентификации и доверительных услугах для электронных транзакций на внутреннем рынке и отмене Директивы 1999/93 / EC». ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ. Получено 7 января 2016.
  3. ^ "Что такое электронные подписи? | Подпись |". Получено 2016-12-20.
  4. ^ а б c Тернер, Рассвет. «Основные стандарты и соответствие цифровых подписей - рассмотрение во всем мире». Криптоматический. Получено 7 января 2016.
  5. ^ «Федеральные правила доказывания | Федеральные правила доказывания | LII / Институт правовой информации». Law.cornell.edu. Получено 2015-03-06.
  6. ^ а б JA, Ashiq. «Рекомендации по предоставлению услуг цифровой подписи». Криптоматический. Получено 7 января 2016.
  7. ^ а б Тернер, Дон М. «Расширенные электронные подписи для eIDAS». Криптоматический. Получено 7 июн 2016.
  8. ^ Тернер, Дон М. «Понимание eIDAS». Криптоматический. Получено 7 июн 2016.
  9. ^ Тернер, Дон М. «Квалифицированные электронные подписи для eIDAS». Криптоматический. Получено 7 июн 2016.
  10. ^ Тернер, Дон М. «Поставщики услуг доверия согласно eIDAS». Криптоматический. Получено 23 июн 2016.
  11. ^ Хоули против Уиппла, 48 N.H. 487, 488 (1869)
  12. ^ «Вопросы конфиденциальности в федеральных системах: конституционная перспектива». Получено 2015-03-06.
  13. ^ «История законов об электронной подписи». Исаак Боуман. Архивировано из оригинал на 2015-03-11. Получено 2015-03-06.
  14. ^ [1] В архиве 16 марта 2012 г. Wayback Machine
  15. ^ "ЮНСИТРАЛ: Типовой закон об электронной торговле с руководством по принятию 1996 года" (PDF). Uncitral.org. Получено 2015-03-06.
  16. ^ Габриэль, Генри. «Новый единый закон Соединенных Штатов об электронных операциях: основные положения, история разработки и сравнение с Типовым законом ЮНСИТРАЛ об электронной торговле» (PDF). Международный институт унификации частного права (УНИДРУА). Получено 30 апреля 2011.
  17. ^ "ЮНСИТРАЛ: Типовой закон об электронных подписях с руководством по принятию 2001 г." (PDF). Uncitral.org. Получено 2015-03-06.
  18. ^ "Статус". Uncitral.org. Получено 2015-03-06.
  19. ^ [2] В архиве 5 июня 2011 г. Wayback Machine
  20. ^ Регламент eIDAS, статья 3 (12)
  21. ^ Тюнер, Дон М. «Является ли стандарт цифровой подписи NIST DSS юридически обязательным?». Криптоматический. Получено 12 мая 2016.
  22. ^ Лаборатория информационных технологий Национального института стандартов и технологий. «ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ (FIPS PUB 186-4): Стандарт цифровой подписи (DSS)» (PDF). Получено 12 мая 2016.
  23. ^ а б «Публичный закон 106-229: 30 июня 2000 г .: Закон об электронных подписях в глобальной и национальной торговле» (PDF). Frwebgate.access.gpo.gov. Получено 2015-03-06.
  24. ^ "Библиотека закона Биддла: Библиотека: • Закон Пенна". Law.upenn.edu. Архивировано из оригинал на 2014-08-14. Получено 2015-03-06.
  25. ^ а б [3] В архиве 15 января 2011 г. Wayback Machine
  26. ^ [4] В архиве 6 мая 2011 г. Wayback Machine
  27. ^ "Глава 19.34 RCW: ЗАКОН ОБ ЭЛЕКТРОННОЙ АУТЕНТИФИКАЦИИ ВАШИНГТОНА". Apps.leg.wa.gov. Получено 2015-03-06.
  28. ^ «5 ILCS 175 / Закон о безопасности электронной торговли». Ilga.gov. 2003-10-17. Получено 2015-03-06.
  29. ^ "Закон об электронных подписях в международной и национальной торговле (ESIGN)". Исаак Боуман. Архивировано из оригинал на 2015-03-11. Получено 2015-03-06.
  30. ^ "MPEP §501". Руководство USPTO по процедурам патентной экспертизы (MPEP).
  31. ^ [5] В архиве 27 сентября 2011 г. Wayback Machine
  32. ^ а б «FIPS PUB 186-4: Стандарт цифровой подписи (DSS)» (PDF). Национальный институт стандартов и технологий. Получено 7 января 2016.
  33. ^ Тернер, Дон М. «РАЗНИЦА МЕЖДУ ЭЛЕКТРОННОЙ ПОДПИСЬЮ И ЦИФРОВОЙ ПОДПИСЬЮ». Криптоматический. Получено 21 апреля 2016.
  34. ^ а б Тернер, Рассвет. «Что такое цифровая подпись - что она делает, как работает». Криптоматический. Получено 7 июн 2016.
  35. ^ «Добро пожаловать в альянс OpenPGP». OpenPGP Альянс. Получено 7 января 2016.
  36. ^ Маникпури, М. (2017). Биометрические системы безопасности для начинающих. Издательское дело. С. 20–26. ISBN  9781545708323. Получено 8 мая 2018.
  37. ^ Мацумото (2002). «Воздействие искусственных мармеладных пальцев на системы отпечатков пальцев». Труды SPIE. С. 275–289. CiteSeerX  10.1.1.100.8172.
  38. ^ «Новая маска Bkav превосходит Face ID« двойным способом »: повышен уровень серьезности, не используйте Face ID в бизнес-транзакциях». Новости в фокусе. Корпорация Бкав. 27 ноября 2017 г.. Получено 8 мая 2018.

дальнейшее чтение

  • Иеремия С. Бакли, Джон П. Кромер, Марго Х. К. Танк и Р. Дэвид Уитакер (2014). Закон электронных подписей. Издание 2014-2015 гг., Thomson Reuters.
  • Стивен Мейсон (2016). Электронные подписи в законе (4-е изд.). Институт перспективных юридических исследований Цифровой гуманитарной библиотеки SAS, Школа перспективных исследований, Лондонский университет. ISBN  978-1-911507-00-0. Бесплатная загрузка PDF в цифровой гуманитарной библиотеке.

внешние ссылки