Электронная подпись - Electronic signature

Электронная подпись или электронная подпись , относится к данным в электронном виде, который логически ассоциирован с другими данными в электронной форме , и которая используется в подписавшем подписать. Этот тип подписи имеет такой же юридический статус, что и собственноручная подпись, если он соответствует требованиям конкретного регламента, в соответствии с которым он был создан (например, eIDAS в Европейском Союзе , NIST-DSS в США или ZertES в Швейцарии ). .

Электронные подписи - это юридическая концепция, отличная от цифровых подписей , криптографического механизма, часто используемого для реализации электронных подписей. Хотя электронная подпись может быть такой же простой, как имя, введенное в электронный документ, цифровые подписи все чаще используются в электронной коммерции и в нормативных документах для реализации электронных подписей с криптографической защитой . Агентства по стандартизации, такие как NIST или ETSI, предоставляют стандарты для их реализации (например, NIST-DSS , XAdES или PAdES ). Сама по себе концепция не нова, поскольку юрисдикции общего права признали телеграфные подписи еще в середине XIX века и отправили подписи по факсу с 1980-х годов.

Описание

Электронная подпись предназначена для обеспечения безопасного и точного метода идентификации подписавшего для обеспечения беспрепятственной транзакции. Определения электронных подписей различаются в зависимости от применимой юрисдикции . Общим знаменателем в большинстве стран является уровень расширенной электронной подписи, требующий, чтобы:

1. Подписавший может быть однозначно определен и связан с подписью
2. Подписавший должен иметь исключительный контроль над закрытым ключом, который использовался для создания электронной подписи.
3. Подпись должна позволять идентифицировать, были ли подделаны сопутствующие данные после того, как сообщение было подписано.
4. В случае изменения сопроводительных данных подпись должна быть признана недействительной.

Электронные подписи могут создаваться с повышенными уровнями безопасности, каждая из которых имеет свой собственный набор требований и средств создания на различных уровнях, которые подтверждают действительность подписи. Чтобы обеспечить еще более сильную доказательную силу, чем описанная выше усовершенствованная электронная подпись, некоторые страны, такие как государства-члены Европейского Союза или Швейцария, ввели квалифицированную электронную подпись. Сложно оспорить авторство заявления, подписанного квалифицированной электронной подписью - заявление неопровержимо . Технически квалифицированная электронная подпись реализуется посредством усовершенствованной электронной подписи, в которой используется цифровой сертификат, зашифрованный с помощью устройства для создания подписи безопасности и аутентифицированный квалифицированным поставщиком услуг доверия .

В договорном праве

Еще задолго до начала Гражданской войны в США в 1861 году азбука Морзе использовалась для передачи сообщений через телеграф. Некоторые из этих сообщений были соглашениями с условиями, которые задумывались как подлежащие исполнению контракты . Раннее признание юридической силы телеграфных сообщений в качестве электронных подписей было принято в деле Верховного суда Нью-Гэмпшира Хоули против Уиппла в 1869 году.

В 1980-х годах многие компании и даже некоторые частные лица начали использовать факсимильные аппараты для высокоприоритетной или срочной доставки документов. Хотя оригинальная подпись на оригинальном документе была на бумаге, изображение подписи и ее передача были электронными.

Суды в различных юрисдикциях решили, что обязательные электронные подписи могут включать в себя соглашения, заключенные по электронной почте, ввод личного идентификационного номера (ПИН) в банкомат банка , подписание кредитного или дебетового чека с помощью цифрового перьевого планшета (приложение технологии графических планшетов ) в точке продажи , установка программного обеспечения с clickwrap лицензионного соглашения на пакете и подписание электронных документов в Интернете.

Первым соглашением, подписанным в электронном виде двумя суверенными странами, было Совместное коммюнике, в котором признается растущая важность развития электронной торговли, подписанное Соединенными Штатами и Ирландией в 1998 году.

Обеспечение соблюдения

В 1996 году Организация Объединенных Наций опубликовала Типовой закон ЮНСИТРАЛ об электронной торговле. Статья 7 Типового закона ЮНСИТРАЛ об электронной торговле оказала большое влияние на разработку законов об электронной подписи во всем мире, в том числе в США. В 2001 году ЮНСИТРАЛ завершила работу над специальным текстом - Типовым законом ЮНСИТРАЛ об электронных подписях, который был принят примерно в 30 юрисдикциях. Последним текстом ЮНСИТРАЛ, касающимся электронных подписей, является пункт 3 статьи 9 Конвенции Организации Объединенных Наций об использовании электронных сообщений в международных договорах 2005 года, который устанавливает механизм функциональной эквивалентности электронных и собственноручных подписей на международном уровне, а также для трансграничного признания.

Канадский закон ( PIPEDA ) пытается прояснить ситуацию, сначала определяя общую электронную подпись как «подпись, которая состоит из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенных в электронный документ, прикрепленных к нему или связанных с ним, "затем определение безопасной электронной подписи как электронной подписи с определенными свойствами. Правила безопасной электронной подписи PIPEDA уточняют определение цифровой подписи, применяемой и проверяемой особым образом.

В Европейском союзе Регламент ЕС № 910/2014 об электронной идентификации и доверительных услугах для электронных транзакций на внутреннем рынке Европы ( eIDAS ) устанавливает правовые рамки для электронных подписей. Он отменяет Директиву 1999/93 / EC. Текущая и применимая версия eIDAS была опубликована Европейским парламентом и Европейским советом 23 июля 2014 года. В соответствии со статьей 25 (1) регламента eIDAS усовершенствованная электронная подпись «не должна лишаться юридической силы и допустимости в качестве доказательства в судебное разбирательство ". Однако он достигнет более высокой доказательной ценности, когда будет доведен до уровня квалифицированной электронной подписи . Требуя использования квалифицированного устройства для создания электронной подписи и основанный на сертификате, выданном квалифицированным поставщиком трастовых услуг тогда обновленная расширенная подпись будет иметь в соответствии со статьей 25 (2) Регламента eIDAS такую ​​же юридическую силу, что и собственноручная подпись. Однако это регулируется только в Европейском союзе и аналогичным образом через ZertES в Швейцарии . Квалифицированная электронная подпись не является определено в Соединенных Штатах.

Кодекс США определяет электронную подпись для целей законодательства США как «электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другой записью и исполняемый или принятый лицом с намерением подписать запись. " Это может быть электронная передача документа, содержащего подпись, как в случае факсимильной передачи, или это может быть закодированное сообщение, такое как телеграфия с использованием кода Морзе .

В Соединенных Штатах определение того, что квалифицируется как электронная подпись, широко и изложено в Законе о единообразных электронных транзакциях (UETA), выпущенном Национальной конференцией уполномоченных по единообразным законам штатов (NCCUSL) в 1999 году. под влиянием официальных документов комитета ABA и единого закона, принятого NCCUSL. В соответствии с UETA этот термин означает «электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись». Это определение и многие другие ключевые концепции UETA отражены в Законе США о подписании от 2000 года. В 48 штатах США, округе Колумбия и Виргинских островах США приняли UETA. Только Нью-Йорк и Иллинойс не приняли UETA, но каждый из этих штатов принял свой собственный закон об электронных подписях. По состоянию на 11 июня 2020 года офис CIO штата Вашингтон принял UETA.

В Австралии электронная подпись признается «не обязательно записью имени, но может быть любой отметкой, которая идентифицирует это как действие стороны». В соответствии с Законами об электронных транзакциях в каждой федеральной, государственной и территориальной юрисдикции электронная подпись может считаться имеющей исковую силу, если (а) использовался метод, позволяющий идентифицировать лицо и указать намерение этого лица в отношении переданной информации, и этот метод был либо: (i) настолько надежным, насколько это соответствует цели, для которой электронное сообщение было создано или передано, с учетом всех обстоятельств, включая соответствующее соглашение; или (ii) доказано, что оно фактически само по себе выполнило указанные выше функции, или вместе с дополнительными доказательствами и лицом, которому требуется дать подпись, дает согласие на этот метод.

Юридические определения

На международном уровне были приняты различные законы для облегчения торговли с использованием электронных записей и подписей в межгосударственной и иностранной торговле. Цель состоит в том, чтобы гарантировать действительность и юридическую силу контрактов, заключенных в электронном виде. Например,

PIPEDA (Федеральный закон Канады)

(1) Электронная подпись - это «подпись, состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ , прикрепленная к нему или связанная с ним »;

(2) Безопасная электронная подпись - это электронная подпись, которая

(а) уникальна для лица, сделавшего подпись;

(b) технология или процесс, использованные для создания подписи, находятся под исключительным контролем лица, подписывающего подпись;

(c) технология или процесс могут использоваться для идентификации лица, использующего технологию или процесс; а также

(d) электронная подпись может быть связана с электронным документом таким образом, чтобы ее можно было использовать для определения того, был ли электронный документ изменен с тех пор, как электронная подпись была включена, прикреплена или связана с электронным документом.

Закон о ESIGN, раздел 106 (федеральный закон США)

(2) ЭЛЕКТРОННАЯ - Термин «электронная» означает технологию, имеющую электрические, цифровые, магнитные, беспроводные, оптические, электромагнитные или аналогичные возможности.

(4) ЭЛЕКТРОННАЯ ЗАПИСЬ. Термин «электронная запись» означает договор или другую запись, созданную, созданную, отправленную, переданную, полученную или сохраненную с помощью электронных средств.

(5) ЭЛЕКТРОННАЯ ПОДПИСЬ. Термин «электронная подпись» означает электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другой записью и выполняемый или принятый лицом с намерением подписать запись.

Регламент № 910/2014 об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке Статья 3 (Регламент Европейского Союза)

(10) «электронная подпись» означает данные в электронной форме, которые присоединены к другим данным в электронной форме или логически связаны с ними и которые используются подписавшимся для подписи;

(11) «усовершенствованная электронная подпись» означает электронную подпись, которая соответствует требованиям, изложенным в статье 26;

(12) «квалифицированная электронная подпись» означает усовершенствованную электронную подпись, которая создается квалифицированным устройством для создания электронной подписи и основана на квалифицированном сертификате для электронных подписей;

GPEA Sec 1710 (федеральный закон США)

(1) ЭЛЕКТРОННАЯ ПОДПИСЬ. - термин «электронная подпись» означает метод подписания электронного сообщения, которое:

(A) идентифицирует и удостоверяет личность конкретного человека как источника электронного сообщения; а также

(B) указывает на то, что такое лицо одобряет информацию, содержащуюся в электронном сообщении.

UETA Sec 2 (Закон штата США)

(5) «Электронный» означает технологию, имеющую электрические, цифровые, магнитные, беспроводные, оптические, электромагнитные или аналогичные возможности.

(6) «Электронный агент» означает компьютерную программу или электронные или другие автоматизированные средства, используемые независимо для инициирования действия или ответа на электронные записи или исполнения полностью или частично, без проверки или действий со стороны физического лица.

(7) «Электронная запись» означает запись, созданную, созданную, отправленную, переданную, полученную или сохраненную с помощью электронных средств.

(8) «Электронная подпись» означает электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись.

Федеральный резерв 12 CFR 202 (федеральное постановление США)

ссылается на Закон о ESIGN

Комиссия по торговле товарными фьючерсами 17 CFR Part 1 Sec. 1.3 (федеральные правила США)

(tt) Электронная подпись означает электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись.

Управление по санитарному надзору за качеством пищевых продуктов и медикаментов 21 CFR Sec. 11.3 (федеральные правила США)

(5) Цифровая подпись означает электронную подпись, основанную на криптографических методах аутентификации отправителя, вычисленную с использованием набора правил и набора параметров, позволяющих проверить личность подписавшего и целостность данных.

(7) Электронная подпись означает компиляцию компьютерных данных любого символа или серии символов, выполненных, принятых или разрешенных физическим лицом в качестве юридически обязательного эквивалента его собственноручной подписи.

США по патентам и товарным знакам 37 CFR Sec. 1.4 (федеральное постановление)

(d) (2) S-подпись. S-подпись - это подпись, вставляемая между пересылаемыми косыми чертами, но не собственноручная подпись ... (i) S-подпись должна состоять только из букв или арабских цифр, или того и другого, с соответствующими пробелами и запятыми, точками, апострофами. , или дефисы для знаков препинания ... (например, / Dr. James T. Jones, Jr ./) ...

(iii) Имя подписавшего должно быть:

(A) Представлено в печатной или машинописной форме, желательно непосредственно под S-подписью или рядом с ней, и

(B) Достаточно конкретны, чтобы можно было легко распознать личность подписавшего.

Законы об их использовании

• Австралия - Закон об электронных транзакциях 1999 г. (который включает поправки из Закона об электронных транзакциях 2011 г.), Раздел 10 - Подписи конкретно относится к электронным подписям.
• Канада - PIPEDA , его постановления и Закон Канады о доказательствах .
• Китай - Закон Китайской Народной Республики об электронной подписи (действует с 1 апреля 2005 г.)
• Коста-Рика - Закон о цифровой подписи 8454 (2005 г.)
• Хорватия 2002 г., обновлено в 2008 г.
• Чешская Республика - в настоящее время непосредственно действующие eIDAS и Zákona o službách vytvářejících důvěru pro elektronické transakce - 297/2016 Sb. (действует с 19 сентября 2016 г.), ранее Zákon o elektronickém podpisu - 227/2000 Sb. (действует с 1 октября 2000 г. по 19 сентября 2016 г., когда оно было отменено)
• Эквадор - Ley de Comercio Electronico Firmas y Mensajes de Datos
• Европейский Союз - правила внедрения eIDAS в ЕС изложены в Законе о цифровых подписях .
• Индия - Закон об информационных технологиях
• Ирак - Закон об электронных транзакциях и электронной подписи № 78 в 2012 году
• Ирландия - Закон об электронной торговле 2000 г.
• Япония - Закон об электронных подписях и сертификационных услугах, 2000 г.
• Литва - Закон об электронной идентификации и доверительных услугах для электронных транзакций
• Мексика - Закон об электронной торговле [2000]
• Малайзия - Закон о цифровой подписи 1997 г. и Постановление о цифровой подписи 1998 г. ( https://www.mcmc.gov.my/sectors/digital-signature )
• Молдова - Privind semnătura electronică şi documentul electronic ( http://lex.justice.md/md/353612/ )
• Новая Зеландия - Закон о договорном и коммерческом праве 2017 г.
• Парагвай - Ley 4017: De validez jurídica de la Firma Electrónica, la Firma Digital, los Mensajes de Datos y el Expediente Electrónico (23.12.2010) (на испанском языке) , Ley 4610: Que modifica y ampia la Ley 4017/10 ( 07.05.2012) (на испанском языке)
• Перу - Ley Nº 27269. Ley de Firmas y Certificados Digitales (28 мая 2000 г.) (на испанском языке)
• Филиппины - Закон об электронной торговле 2000 г.
• Польша - Ustawa o podpisie elektronicznym (Dziennik Ustaw z 2001 r. Nr 130 поз. 1450)
• Румыния - Legea nr. 455 DIN 18 июля 2001 Privind Semnătura electronică
• Российская Федерация - Федеральный закон Российской Федерации об электронной подписи (06.04.2011)
• Сингапур - Закон об электронных транзакциях (2010 г.) ( справочная информация , различия между ETA 1998 и ETA 2010 )
• Словакия - Zákon č.215 / 2002 o elektronickom podpise
• Словения - Закон Словении об электронной торговле и электронной подписи
• Южная Африка - Закон об электронных коммуникациях и операциях № 25, 2002 г.
• Испания - Ley 6/2020, de 11 noviembre, Regularadora de Determinados Aspectos de los servicios electrónicos de confianza
• Швейцария - ZertES
• Республика Сербская (образование Боснии и Герцеговины ) 2005 г.
• Турция - Закон об электронной подписи
• Украина - Закон об электронной подписи, 2003 г.
• Великобритания - раздел 7 Закона об электронных коммуникациях 2000 г.
• США - Закон об электронных подписях в мировой и национальной торговле
• США - Единообразный закон об электронных транзакциях - принят 48 штатами
• США - Закон об упразднении государственного документооборота (GPEA)
• США - Единый торговый кодекс (UCC)

использование

В 2016 году агентство Aberdeen Strategy and Research сообщило, что 73% «лучших в своем классе» и 34% всех других опрошенных респондентов использовали процессы электронной подписи в цепочке поставок и закупках , что дало преимущества в скорости и эффективности основных закупок. . Процент респондентов их опроса, использующих электронные подписи в процессах кредиторской и дебиторской задолженности, был немного ниже, по 53% «лучших в своем классе» респондентов в каждом случае.

Технологические реализации (базовая технология)

Цифровой подписи

Схема, показывающая, как применяется цифровая подпись, а затем проверяется.

Цифровые подписи - это криптографические реализации электронных подписей, используемые в качестве доказательства подлинности , целостности данных и отсутствия отказа от сообщений, проводимых через Интернет . При реализации в соответствии со стандартами цифровой подписи цифровая подпись должна обеспечивать непрерывную конфиденциальность, а процесс подписания должен быть удобным и безопасным. Цифровые подписи генерируются и проверяются с помощью стандартизированных структур, таких как алгоритм цифровой подписи (DSA) от NIST или в соответствии со стандартами XAdES , PAdES или CAdES , указанными ETSI .

Обычно процесс цифровой подписи включает три алгоритма:

• Генерация ключа - этот алгоритм предоставляет закрытый ключ вместе с соответствующим ему открытым ключом.
• Подписание - этот алгоритм создает подпись при получении закрытого ключа и подписываемого сообщения.
• Проверка - этот алгоритм проверяет подлинность сообщения, проверяя его вместе с подписью и открытым ключом.

Процесс цифровой подписи требует, чтобы сопровождающий его открытый ключ мог затем аутентифицировать подпись, сгенерированную как фиксированным сообщением, так и закрытым ключом. Используя эти криптографические алгоритмы, подпись пользователя не может быть реплицирована без доступа к его закрытому ключу. Безопасный канал обычно не требуется. Применяя методы асимметричной криптографии, процесс цифровой подписи предотвращает несколько распространенных атак, когда злоумышленник пытается получить доступ с помощью следующих методов атаки.

Наиболее соответствующие стандарты на цифровых подписях относительно размера внутренних рынков являются Digital Signature Standard (DSS) в Национальном институте стандартов и технологии (NIST) и eIDAS регулирование , принятом в Европейском парламенте . OpenPGP - это непатентованный протокол для шифрования электронной почты с помощью криптографии с открытым ключом . Он поддерживается PGP и GnuPG , а также некоторыми стандартами S / MIME IETF и превратился в самый популярный в мире стандарт шифрования электронной почты.

Биометрическая подпись

Электронная подпись может также относиться к электронным формам обработки или проверки личности посредством использования биометрических «подписей» или биологически идентифицирующих качеств человека. Такие подписи используют метод прикрепления к документу некоторых биометрических данных в качестве доказательства. Биометрические подписи включают отпечатки пальцев, геометрию руки (длина пальцев и размер ладони), рисунки радужной оболочки глаза, характеристики голоса, рисунки сетчатки глаза или любые другие свойства человеческого тела. Все это собирается с помощью каких-то электронных датчиков.

Биометрические измерения этого типа бесполезны в качестве паролей , потому что их нельзя изменить в случае взлома. Тем не менее, они могут быть полезными, за исключением того, что до настоящего времени их так легко обмануть, что у них мало уверенности в том, что человек, который якобы подписал документ, на самом деле был человеком, который это сделал. Например, воспроизведение электронного сигнала, созданного и отправленного в компьютерную систему, отвечающую за «прикрепление» подписи к документу, можно получить с помощью методов прослушивания телефонных разговоров. Многие имеющиеся в продаже датчики отпечатков пальцев имеют низкое разрешение и их можно обмануть недорогими предметами домашнего обихода (например, гелем из конфет с мармеладным мишкой ). В случае изображения лица пользователя, исследователи во Вьетнаме успешно продемонстрировали в конце 2017 года , как специально созданная маска может побить Apple, Face ID на iPhone X .

использованная литература

дальнейшее чтение

• Марго Х. К. Танк, Р. Дэвид Уитакер и Джеремия С. Бакли (2020). Закон электронных подписей . Издание 2020 г., Thomson Reuters.
• Стивен Мейсон (2016). Электронные подписи в законе (4-е изд.). Институт перспективных юридических исследований Цифровой гуманитарной библиотеки SAS, Школа перспективных исследований, Лондонский университет. ISBN  978-1-911507-00-0 . Бесплатная загрузка PDF-файла в цифровой гуманитарной библиотеке.

внешние ссылки

• Заключительный отчет E-Sign (2005, Европейский Союз )

• Руководство по цифровой подписи Совета по судебным исследованиям

• Динамические подписи