НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Подписание электронного документа простой электронной подписью с помощью доверенного сервиса

Андрей Колесов
10.12.2015 21:00:48

Как известно, простая ЭП (ПЭП)– это аналог (по закону, с точки зрения ее юридической значимости) собственноручной рукописной подписи человека. "Непростые" (квалифицированные) – печати, негербовая (неквалицифированная) и гербовая (квалифицированная).

А теперь вопрос: как можно применит ПЭП на практике? Например, вы хотите оформить в электронном виде заявление на оптуск или подписать расписку о получении денег.
На практике получается так. Мне присылают по е-почте документ (Word-файл), я его распечатываю, подписываю (даже ничего не вписывая дополнительно) и… А дальще два варианта
1) отвожу (отправляю по почте) подписанную бумагу
2) сканирую, отправляю скан (я так и не могу понять – почему одни организации принимают скан в качестве нормального документа, а другие – нет).

Но в любом случае – без бумаги не обойтись.
Однако недавно я обошелся.

Дело было на конференции VeeamOn в Лас-Вегасе. В программу для журналистов входила экскурсия на ЦОД Supernap (об этом – в предыдущем посте), и оказалось, что для визита нужно подписать документ – о соблюдении правил и неразглашении информации (что именно – там указывалось). И подписание состоялось как раз электронным образом, за два дня до самого визита.

Это выглядело так. Мне пришло письмо от компании Switch (владелец ЦОДа), в котором мне предлагалось подписать документ, приложенный к письму. Я открыл документ, это был PDF-файл.



Прочитал текст, никаких изысков там не было, внизу, где было место для подписи, было написано: если я готов подписать, то нужно нажать тут. Я нажал и попал в окно какого-то Web-сервиса (к сожалению, точно не зафиксировал, но кажется, это было сервис Adobe, но это – не точно).



Как видите, тут можно было подписать рукописно, но все это делал на своем нетбуке, у которого сенсорного ввода нет. Второй вариант – с помощью клавиатуры. Я ввел Имя-Фамилия и в окне показался некий рукописный вариант.

Дальше нажимаю Apply, и попадаю обратно в файл-документ, где уже видна эта подпись.



Нажимаю "Сохранить" и отправляю подписанный документ по почте в режиме ответа. А потом получаю письмо от них с прикрепленным тем же самым файлом с подписью. Сохраняю файл у себя.

Без чтения текста, эта операция занимает, столько же времени, сколько подписание бумажного, в пределах полуминуты. Все очень просто и понятно.

В чем тут фишка? Насколько я понимаю, основная проблема – как корректно вставить графическую подпись в файл документ.
Казалось бы, есть простой вариант: изобразить графически свою подпись (это было легко сделать на старых таблетах с тонким пером, на современных – сложнее), вырезать ее в отдельный файл, а потом вставить его в тот же Word-файл. Но понятно, что это очень некорректно – так можно штамповать подписи сотнями. И где доказательство, что это сделал именно я?

Как я понимаю, фишка заключается именно в использовании некоторого доверенного сервиса, где я и подписывал. Доказательством того, что это был именно я, является то, что я вошел в сервис в авторизованном виде – из своего почтового клиента, в ключом в виде моего личного адреса. Вставку графики-подписи в документ выполнял сервис, который в случае необходимости мог бы подтвердить, что это подпись именно владельца данного почтового адреса.

Но ведь я рукописно не подписывался. Подпись нарисовал за меня сервис. Где гарантия, что другой человек не подпишется моим именем со своего почтового адреса?
Как я понимаю, что сервис реализует каждый раз уникальный вариант подчерка, в зависимости от ключа авторизации (адрес). То есть у адреса будет другой вариант подчерка.

В общем, получается, что данные сервис выполняет функции электронного нотариуса, которых фиксируется, что подпись тут стоит именно этого человека.

Все очень просто. И наверное, - недорого. Я лично ничего не платил. smile:)

Комментариев: 13

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

10.12.2015 22:26:24

Андрей, на мой непросвещенный взгляд, подчерк тут не играет большой роли. Получатель подписанного документа (в данном случае Switch) должен откуда-то с высокой достоверностью знать ваш настоящий почтовый адрес. По-видимому, он получил этот адрес от организатора конференции (Veeam), и ему для данного случая такой гарантии вполне достаточно. Если кто-то попытается поставить подпись от вашего имени с другого почтового аккаунта, то она принята не будет.

У меня тут возник вопрос на другую тему. В приведенных вами сканах есть фраза
"I agree to verify the accuracy of all facts pertaining to Switch to be included in any of my .... publications."
Что, действительно пришлось согласовывать свой предыдущий пост с Switch?

11.12.2015 09:15:02

Нет, конечно smile:-)
Разве эта фраза говорит о необходимости согласования?
Я понял это фразу, как то, что я согласен соблюдать точноость всех сведений, относящихся к Switch,...
Если бы в документе было указание на согласование, то должны были бы приведены данные - с кем и как.

Хотя, вопрос о документе "неразглашении" сам по себе тоже интересен. Я не очень понял его смысл. Точнее, там есть конкретные пункты, но они вполне очевидны
1. Соблюдать правила поведения на объекте (в частности, не фотографировать)
2. Использовать полученные материалы только в статье, посвященной данному туру

Причем, второй пункт относится, по факту, только к фото (как объекту авторского права - это их фото).

На самом деле, мой пост вообще не очень связан с конкретным туром. В нем ничего не говорится, в частности, о внутреннем устройстве ЦОДа. При подготовке поста я просмотрел массу публикаций по теме (публикаций за несколько лет). Вся приведенная тут инфо - это инфо из открытых источников. smile:-)

В общем: документ солидный, но мало к чему обязывающий smile:-)

11.12.2015 06:03:43

У gmail есть подобный сервис (сам не пробовал). Там даже третью сторону не придется подтягивать, доверенный сервис реализован самим гуглом. И подписывать можно не только файлы но и свои текстовые майлы (если я все правильно понял из описания сервиса).

Платность/бесплатность сервиса не уточнял, т.к. он мне пока не нужен.

11.12.2015 09:17:58

Я слышал раньше о подобных сервисах, просто впервые пришлось использовать.
Вешь, на мой взгляд очень простая и вполне очевидная.
Если бы МКС, вместо того, чтобы заниматься "полетами на Марс", сделало бы такое сервис, это было бы больше пользы, чем все остальное... smile:)

11.12.2015 10:51:09

Я правильно понимаю, что если кто-то ломает твой почтовый сервер, то он получает возможность использовать твою подпись?

Сразу вспомнил анекдот. «И тут, Петька, у меня карта попёрла» smile:).

11.12.2015 13:15:56

Риск, конечно, есть. Но ведь такая подпись используется не для самых критичных дел.
А если кто-то подделает подпись и печать на бумажном документе? Тоже риск.
Кстати, сейчас подумал о том, всегда ли графолог сможет выявить фальшивую рукописную подпись, если она изготовлена при помощи современных технологий. Представим себе, что образец подписи у злоумышленника есть. Далее она сканируется, передается программе, которая вносит в нее некоторые небольшие вариации, которые с точки зрения графолога у реального человека допустимы. Потом перьевой плоттер рисует ее на нужном документе.

Цитата
Сразу вспомнил анекдот...

11.12.2015 13:27:45

В бумажном случае можно доказывать на косвенных. В документах ставится дата (в идеале — и время). Если человек доказывает, что тогда он был в другом месте (вообще в другом городе) и физически не мог подписать документ, то это аргумент. Понятно, что сама по себе подпись тоже не особо какая защита. Но физическое присутствие на момент подписания — это лишний критерий. Чем критериев больше, тем лучше.

Что касается некритичных документов… Так эта проблема давно решена. «Вась, помнишь мою закорючку, черкани там за меня в конторе».

11.12.2015 13:40:00

Риски есть всегда. Сделать "закорючку за Васю" без его ведома сделать на бумаге НАМНОГО проще, чем взломать его почтовый ящик.

Да, важную роль играют косвенные доказательства. В случае с электронной их НАМНОГО больше и они более объектный. Точно фиксируется время, по IP - место. Доверенный сервис, как дважды два докажет, что операция была произведена именно с моего нетбука и в сети в отеле Лас-Вегаса, где проходила конференция.

Разумеется, речь идет не критичных операциях, не финансовых. Этих документов полно, начиная с заявления на отпуск...

11.12.2015 13:49:58

Ну в плане некритичных документов у нас жизнь заметно налаживается. Я помню, когда для брони номера в гостинице я получал какие-то бланки, распечатывал, подписывал, сканировал, оправлял. Сейчас в те же гостиницы бронирую на сайте без всяких подписей.

И гостиница от этого не разорилась smile:).

11.12.2015 14:03:07

Чего-то я вообще не очень понимаю - о чем ты. Зашел на сайт, выбрал, оплатил... Давно уже забыл, как было по другому

11.12.2015 13:44:51

В электронном варианте проблема "попроси Васю" на 99% отпадает сама собой. Ты можешь просто сделать все нужные операции из любого места, например, расписаться в получении зарплаты. Точнее, даже расписываться не нужно, поскольку деньги поступают на твою карты и ты автоматом расписываешься в получении.

11.12.2015 13:51:26

Кстати, о картах. Я сталкивался с методом «подписи» (доказательства, что я — это я) методом перевода какой-то незначительной суммы с карты.

11.12.2015 14:10:23

Это проверка действительности карты, редко, но такое бывает - списывается 1 р, а потом возвращается.
Проверка, что "я есть я" делается просто - через отправку одноразового кода на адрес почты или на телефон.
Взломать почтовый ящик и украсть телефон одновременно - сложно. Очень smile:-)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии