2

什么构成Web 表单(而非文档)的“合法”数字签名?

选项 1:我参与了一个医生记录患者健康状况的项目。提交 Web 表单后,会生成 PDF 并使用数字 .CER 证书进行数字签名,并将 PDF 保存到文件系统中。每个医生都有自己的 .CER 文件和密码,这是要维护的真正 PITA,生成、存储和备份 PDF 的开销非常高。

还有像 CoSign 这样的第三方解决方案,它允许用户在提交表单时对 CoSign 进行身份验证,如果经过适当的身份验证,可以以某种方式对该表单进行数字签名。我相信所有这些解决方案都需要导出到各种类型的文档,然后存储文档,并要求最终签名者拥有 CoSign 帐户。那是行不通的...

所有这些签名都需要将数据存储在一个文档中,这对于许多项目来说并不理想。

选项 2:我去美国购物中心的微软商店购买了一个新的 Surface(稍后会退回:/),结账时他们给了我一个平板电脑(讽刺的是它不是 Surface)和一支笔,我记下了我的签名。另一个例子是 Square 应用程序,它还要求用户在某种触摸屏上记下他们的签名。我会假设签名作为图像存储在数据库中的某处,但这是否构成“合法”文件?

我曾在一家小型医疗设备公司工作,他们的医生在网络上评估测试并以数字方式“签署”他们的评估结果,但所做的只是上传保存在数据库中的签名图像。

选项 3:我看到的另一种方式是在当天填写我的 FAFSA 以获得大学学费资助时。他们会要求您查看条款,yada yada,然后我必须在底部输入我的法定全名“如上所示”并提交表格。他们在窗帘后面做什么

我正在从事的项目是一份简单的一页合同,适用于一家建筑公司,其中解释了要提供的所有服务,并且需要签名和日期。此表格的电子版本将收集所有需要的数据,并将其保存到一个数据存储中。

我最初的反应是提供一个基于 <canvas> 的 HTML5 元素,可以在 iPad 或其他东西上签名。数据是否需要导出到文档,然后使用数字签名进行签名,或者数据是否合法并在数据存储中“签名”?

4

2 回答 2

8

你问了几个问题,其中只有一个是合法性问题。

预先披露:我为 CoSign 工作。

第一个问题:

以数字方式签署 Web 表单与签署文档(PDF 等) 是的,这是数字签名的常见应用程序。CoSign 支持它。通常的技术是首先将 Web 表单表示为 XML 文件。然后对 XML 文件进行数字签名。CoSign 的 SAPI api 直接支持根据W3 标准对 XML 文件进行数字签名。从 SAPI 程序员指南中了解更多信息。可从CoSign 开发者网站获得

验证数字签名的 XML 文件您需要能够加密验证数字签名的 XML 文件。您可以为此使用 CoSign,或者还有许多其他应用程序也可以验证 XML 文件。Google for "verify xml digital signature" 看到一长串。数字签名的身份、意图和文档完整性的独立验证是使用标准数字签名的关键优势。

第二个问题:

有什么办法可以解决用于数字签名的数字证书个人副本的高成本? 正如您所发现的,颁发、跟踪、维护、替换和淘汰个人数字证书的成本非常高。这是使用颁发给个人签名者(智能卡、usb 令牌等)的硬件证书进行数字签名的一个常见(且很大)缺点。解决这个问题的方法是像 CoSign 和其他一些人一样集中存储证书。CoSign 自动与 Active Directory / LDAP 等同步,以摆脱单个硬件证书的支持和维护成本。

第三个问题:

外部签名者是否需要在 CoSign 框中拥有自己的帐户?那是行不通的。 对于外部签名者(组织外部的某个人,例如经常只签名一次的客户/客户/患者),可以通过编程方式创建签名帐户,对 XML 文档进行签名,然后删除该帐户。这种情况并不少见。CoSign SAPI api 支持为此目的创建/维护/删除帐户。

第四个问题:

“所有这些签名都要求将数据存储在一个不适合许多项目的文档中”,这对吗? 不,您可以按照我上面的解释对 XML 文档进行数字签名。Microsoft 的 InfoPath 表单系统、IBM Forms 系统和其他人也可以对从 Web 表单创建的 XML 文档进行签名。它是数字签名的常见应用程序。

第五个问题:

Square 和其他网络表单签名应用程序在做什么?”

在许多情况下,他们正在做“电子签名”而不是“数字签名”。

简而言之,电子签名是个人签名的图形表示。这就是文档中的全部内容。因此,文件本身并不能保证完整性或信誉不佳。即,某人可以更改文档(例如,通过策略性地添加单词“not”)并且签名看起来仍然相同。

为了增强固有的弱电子签名的强度,各种电子签名服务会将文档存储在其服务器上,从而为他们的公司提供文档完整性等方面的保证。您的选项 3 可能属于此类。Square,您的选项 2 也可能是电子签名。在他们的案例中,Square 本身保证在签署后没有任何改变。

电子签名在美国通常是合法的,但您应该咨询律师了解详情。由于依赖第三方(供应商)进行验证,许多组织不接受电子签名也是这种情况。电子签名的文件无法独立验证——您需要依赖供应商。例如,制药公司不能向 FDA 提交带有电子签名的文件,需要数字签名。在美国以外,由于技术的固有弱点,电子签名通常不再被接受。

数字签名可以对文档或 XML 文件或任何其他内容进行数字签名。数字签名通过加密技术保证文档没有被更改(完整性),签名是不可靠的(签名者标识)以及签名者在签名时的意图声明。任何人都可以使用许多地方提供的验证软件或应用程序来验证数字签名的文件。数字签名遵循开放标准,而电子签名则不遵循。

于 2013-02-05T07:14:21.647 回答
2

什么构成 Web 表单(而非文档)的“合法”数字签名?

存在现有法律和实践的问题,如果法律是由不了解电子签名、数字签名和数字数据性质的人编写的,那么它们应该是什么问题。

在我看来,电子签名(手绘签名的图像)永远不应被视为具有法律约束力,伪造电子签名数据或创建包含签名图像的伪造数据是微不足道的。它们可以并且经常用于低安全性情况,但是它们对于断言数据的真实性或完整性毫无价值。在非常有限的情况下,它们可能有些安全,例如当有一个可信的、防篡改的设备来收集手绘签名(如 EFTPOS 或可信平板电脑)时,不应将消费者和(通常)商家的平板电脑视为可信设备.

另一方面,数字签名使用加密技术嵌入可以自动验证的签名,以断言文档/数据的真实性。只要私钥的安全性保持私密并且签名算法没有发现缺陷,这是一个非常有力的保证。在我看来,假设各方都理解数字签名,这是在任何情况下都应被视为具有法律约束力的唯一电子签名形式。

可以让受信任的第三方充当公证人,来断言文档或 Web 表单提交的真实性。该系统的安全性取决于公证人的声誉,当受信任的公证人使用适当的可信赖协议完成时,它可以具有法律约束力。一些电子公证人采用某种形式的数字签名,因此他们的断言在仅由数字签名提供的保证之上增加了一层额外的保证。

许多司法管辖区允许某些类型的交易使用较弱形式的电子签名。检查您当地的法律,如果对使用较弱的签名形式有疑问,请咨询精通电子交易的律师。正确使用数字签名来消除任何疑虑。

任何有限长度的二进制流都可以签名,它不必在文档中。但是,要拥有嵌入签名而不是外部签名,所包含的数据必须支持包含签名。

于 2013-02-05T09:22:50.060 回答