Получить электронную цифровую подпись физическому лицу: Электронная подпись для физических лиц | Сертификат ЭЦП для физ лиц — Удостоверяющий центр СКБ Контур

Сбор подписей на бумаге — не самый экологически или ресурсосберегающий процесс. Во-первых, необходимо распечатать хотя бы одну физическую копию контракта или соглашения. Первое лицо подписывает его, а затем отправляет следующему подписавшему. В зависимости от того, как будет принят документ, транспортировка может потребовать значительного количества топлива и энергии. Затем документ необходимо передать следующему лицу или вернуться к первоначальному владельцу.

После того, как каждый подписал бумажный документ, каждый подписавший обычно требует копию для своих собственных записей. Это означает, что используется больше бумаги и чернил, а также требуется больше энергии и топлива для отправки бумажных контрактов или соглашений каждому человеку.

Для электронных копий не нужны бумага или чернила, что помогает сохранить леса. Также нет необходимости физически отправлять контракты из точки А в точку Б и обратно.

Подумайте о затратах, традиционно связанных с подписанием документов.Это стоимость бумажной продукции, чернил или тонера, плюс стоимость обслуживания принтеров и копиров. Также необходимо учитывать почтовые расходы или курьерские расходы, а также время, потраченное на доставку конвертов в почтовое отделение или почтовый ящик или планирование доставки курьером.

Хранение файлов в облаке и сбор электронных подписей устраняет многие типичные офисные расходы. Это также рентабельно, поскольку сокращает командировочные расходы, особенно при использовании для конфиденциальных документов. С подписями на основе чернил человеку часто приходилось ехать в офис, чтобы расписаться лично или воспользоваться услугами нотариуса.Цифровые подписи подтверждают личность без дополнительных поездок или привлечения третьей стороны.

Электронно-подписанные документы могут быть более безопасными, чем бумажные. С распечатанными и подписанными документами может случиться многое. Кто-то может пролить утреннюю чашку кофе по контракту, сделав его неразборчивым. Бумажный контракт может быть отправлен в переработку или случайно уничтожен. Также может возникнуть риск физической кражи документа.

Безопасные облачные платформы могут хранить подписанные в электронной форме контракты и другие документы в целости и сохранности, вдали от посторонних глаз, злоумышленников и кофейных кружек.

Компании в любой отрасли могут извлечь выгоду из электронных подписей, и они предлагают преимущества почти для каждого отдела в бизнесе. Взгляните на несколько примеров того, как различные отделы могут извлечь выгоду из электронных подписей:

1. Продажи

Ваш отдел продаж может извлечь выгоду из повышенной скорости электронных подписей. Электронный сбор подписей на соглашениях о неразглашении информации и договорах купли-продажи избавляет от многих догадок.Ваша команда может сразу увидеть, когда человек получает и открывает контракт и когда он его подписал. Если сбор подписи задерживается, они могут быстро подтвердить, что потенциальный клиент по-прежнему заинтересован в сотрудничестве с вашей компанией.

2. Человеческие ресурсы

Использование электронных подписей может помочь вашему бизнесу произвести отличное первое впечатление на новых сотрудников. Электронные подписи помогают упростить процесс адаптации, гарантируя, что новые сотрудники получат все документы, необходимые для подписания, одним махом.Вместо того, чтобы листать страницу за страницей контракта или трудового соглашения, они могут легко перемещаться по электронному документу, гарантируя, что они подписывают или инициализируют во всех нужных местах, не пропуская подписи.

Поскольку электронные подписи сокращают или устраняют большую часть традиционной бумажной волокиты, новый сотрудник может за меньшее время превратиться из кандидата в работающий.

Отделы кадров могут воспользоваться электронной подписью даже после того, как сотрудники привлечены к работе.Использование электронных подписей при ежегодной проверке информации текущими сотрудниками или при изменении их статуса, заработной платы или льгот может упростить эти процессы.

3. Закупки

Работа с новыми поставщиками может помочь вашей компании сэкономить деньги, особенно если новый поставщик взимает меньшую плату или предоставляет более качественное обслуживание. Но процесс адаптации может занять много времени и сказаться на вашей прибыли. Используя облачную платформу, вы можете немедленно отправлять новые соглашения с поставщиками, ускоряя процесс подключения.Если вы собираете электронные подписи, ваши новые поставщики могут сразу же подписать свои соглашения и немедленно приступить к предоставлению услуг или материалов.

4. Legal

Юридический отдел может получить значительные выгоды от использования электронных подписей, соответствующих отраслевым стандартам шифрования и безопасности. Предоставление клиентам или сотрудникам электронного доступа к документам, которые им необходимо подписать, таким как соглашения о неразглашении информации и другие контракты, освобождает команду юристов от преследования уполномоченных подписывающих лиц лично, чтобы вместо этого сосредоточиться на основной юридической работе.

5. Администрирование

Сбор электронных подписей может значительно облегчить жизнь исполнительным и административным помощникам и другим членам административной группы. Если ваша группа администраторов ежедневно тратит значительную часть времени на сбор или отслеживание контрактов, сбор договоров аренды или сбор соглашений о неразглашении, использование электронной подписи может упростить их рабочие дни.

Группа администраторов также может использовать электронные подписи, чтобы при необходимости члены руководства или исполнительной группы подписывали проекты или соглашения.

6. Маркетинг

Предположим, ваша маркетинговая команда хочет работать с внешним агентством для следующей кампании вашей компании. Им просто нужно, чтобы высшее руководство одобрило это, чтобы они могли воспользоваться услугами агентства. Собирая электронные подписи у руководителей внутри компании и за пределами агентства, вы можете быстро переходить от идеи к кампании. А это, в свою очередь, позволяет вашей компании расти быстрее.

7. Финансы

Электронные подписи также могут упростить операции в финансовом отделе.Ваш финансовый отдел может утверждать счета в электронном виде, утверждать заказы на покупку и подписывать бюджеты с помощью электронной подписи. При необходимости цифровые подписи могут добавить уровень проверки и безопасности к контенту финансового отдела.

Box Sign

Недавние изменения в способах ведения бизнеса компаниями и управления их командами означают, что все больше и больше рабочих процессов и транзакций перемещаются в облако. По мере того как некоторые люди возвращаются к работе в офисе, многие считают, что удаленная работа работает лучше всего.Сейчас, как никогда раньше, потребность в безопасных и совместимых цифровых транзакциях и коммуникациях возрастает.

Enter Box Sign, который теперь является частью Content Cloud. Box Sign предоставляет электронные подписи прямо в Box. С его помощью вы получаете безопасный, легкий и простой способ подписания. Если вам нужно подписывать письма с предложениями, собирать подписи на контрактах или заставлять ваших руководителей подписывать проекты и предложения, вы можете сделать это с помощью Box Sign.

Поскольку Box Sign является неотъемлемой частью Content Cloud, вы можете использовать его со всеми другими аспектами Box.Это просто еще один шаг в процессе управления вашим контентом. Во-первых, вы можете создавать, обмениваться контентом и совместно работать над ним в Box, затем вы можете собирать необходимые подписи и, наконец, вы можете защищать и архивировать подписанный контент в Box.

Узнайте подробнее, как работает Box Sign:

Подключается к рабочим процессам

Используете ли вы Google Workspace, Microsoft 365 или другие пакеты для повышения производительности? Вы можете использовать Box Sign с приложениями и продуктами, которые предпочитает ваша компания.Content Cloud интегрируется с более чем 1500 приложениями, от Microsoft 365 до Google Docs и от Salesforce до Okta. Использование Box Sign с выбранными вами приложениями означает, что вы можете быстрее заключать сделки, быстрее подписывать контракты и в целом ускорять свои бизнес-процессы. Интеграция приложений также позволяет вашей команде работать эффективно и просто из любой точки мира.

Встраивается в приложения

Box Sign предназначен не только для электронных подписей, выполненных в Box.Вы также можете встроить его в приложения и веб-сайты своей компании, чтобы клиенты и другие пользователи могли отправлять и подписывать соглашения прямо там, где они обычно работают. Например, кредитор встраивает Box Sign на свой веб-сайт. Лицо, подающее заявку на получение ссуды, может заполнить форму прямо на веб-сайте кредитора и подписать ее прямо здесь, быстро переместив заявку в процесс утверждения.

Вам не нужно быть техническим специалистом, чтобы воспользоваться нашими API. Мы сделали их простыми в использовании. Box Sign также предлагает инструменты разработчика, которые позволяют легко добавлять электронные подписи везде, где они нужны вашей компании.

Обеспечивает безопасность и соответствие требованиям

Если вам нужны подписи на конфиденциальных документах или контент, который должен соответствовать определенным нормативным требованиям, вы можете быть уверены, что Content Cloud обеспечит безопасность и соответствие вашей информации. Box — единственная доступная платформа контента, которая также позволяет собирать совместимые и безопасные подписи.

Вот некоторые из способов, которыми Box Sign защищает ваш контент:

• 256-битное шифрование AES
• Детальные разрешения пользователей
• Упрощенное управление и соответствие
• Водяные знаки
• Полные контрольные журналы

Сегодняшние предприятия полагаются на контент больше, чем когда-либо.Вам нужен способ безопасного, быстрого и простого доступа к этому контенту. С Content Cloud вы получаете безопасную платформу, которая позволяет управлять контентом на всех этапах его жизненного цикла. С появлением Box Sign Content Cloud предлагает еще один способ рационализировать процессы управления контентом вашей организации.

Box Sign будет частью всех наших планов Business и Enterprise и унаследует профиль безопасности, соответствия и управления данными Box, включая HIPAA, SOC, ISO и FedRAMP.Независимо от того, большой у вас бизнес или маленький, Box Sign и остальная часть Content Cloud могут помочь удовлетворить ваши потребности в контенте. Свяжитесь с нами, чтобы настроить демонстрацию, чтобы увидеть действие Box Sign in и узнать, как это может помочь вашей компании.

Часто задаваемые вопросы :: Государственный секретарь Калифорнии

На этой странице рассматриваются вопросы, связанные с правилами постоянной цифровой подписи. Обратите внимание, что эти постоянные правила временно заменяются правилами по чрезвычайным ситуациям, действующими с 22.04.2020 по 20.10.2020, или до тех пор, пока эта дата не будет продлена, или до тех пор, пока правила по чрезвычайным ситуациям не станут постоянными в соответствии с нормативными актами.Информация на этой странице может не соответствовать правилам действий в чрезвычайных ситуациях. См. Правила по чрезвычайным ситуациям

.

Содержание

Что такое цифровая подпись?

В соответствии с законодательством Калифорнии цифровая подпись определяется как «электронный идентификатор, созданный компьютером и предназначенный для того, чтобы сторона, использующая его, имела такую ​​же силу и действие, как и использование подписи вручную».

В разделе 16.5 Правительственного кодекса

говорится, что цифровая подпись имеет ту же силу и действие, что и ручная подпись, если и только если:

1. Он уникален для человека, который его использует.
2. Подходит для проверки.
3. Это находится под исключительным контролем лица, использующего его.
4. Он связан с данными таким образом, что при изменении данных цифровая подпись становится недействительной, а
5. Он соответствует правилам, принятым Государственным секретарем.
В разделе 16.5 Правительственного кодекса

также говорится, что использование или принятие цифровой подписи осуществляется по усмотрению сторон транзакции, и ничто в законе не требует, чтобы государственное учреждение использовало или принимало представление документа, содержащего цифровую подпись.

Правила, принятые Государственным секретарем, определяют типы технологий, которые приемлемы для создания цифровых подписей для использования государственными организациями в Калифорнии. Они также служат руководством для государственных организаций, которые хотят использовать цифровые подписи для определенных транзакций.

В начало

Что такое поставщик цифровой подписи?

Поставщик цифровой подписи — это организация, которая предоставляет услуги подписи документов с использованием цифровых технологий. Adobe является авторизованным поставщиком цифровых подписей, которые выдаются совместно с уполномоченным центром сертификации.

В начало

Что такое центр сертификации цифровых подписей?

Центр сертификации цифровой подписи — это организация, которая выдает цифровые сертификаты, необходимые для цифровой подписи в соответствии с законодательством Калифорнии. В соответствии с постановлением Государственный секретарь ведет на своем веб-сайте «Утвержденный список центров сертификации цифровых подписей», которые уполномочены выдавать сертификаты для связи с цифровой подписью с государственными организациями в Калифорнии.

В начало

Должен ли поставщик цифровой подписи быть в «утвержденном списке» Государственного секретаря?

Нет, поставщик цифровой подписи не должен быть включен в «Утвержденный список центров сертификации цифровых подписей» Государственного секретаря, но этот поставщик должен предлагать свои услуги цифровой подписи с сертификатом, выданным центром сертификации цифровых подписей, который в списке, если подпись будет использоваться для цифровой подписи сообщений с государственными организациями.

В начало

Каковы некоторые потенциальные области применения этой технологии?

Цифровые подписи могут использоваться для многих транзакций, для которых в настоящее время требуется собственноручная подпись. Возможные варианты использования включают поступление онлайн-заявок в колледж и подачу заявлений на получение разрешений на ведение бизнеса на местном уровне.

В начало

На кого распространяются правила Калифорнии в области цифровой подписи?

Раздел 16.5 Правительственного кодекса

и постановления, принятые Государственным секретарем, влияют на государственные учреждения в Калифорнии, которые определены Правительственным кодексом как штат, регенты Калифорнийского университета, округ, город, район, государственный орган, общественный орган. агентство и любое другое политическое подразделение или государственная корпорация в штате.

В начало

Мы хотим использовать цифровые подписи, чтобы помочь нам компьютеризовать ведение табелей учета рабочего времени нашими сотрудниками. С чего начать?

В разделе 16.5 Правительственного кодекса

указано, что использование цифровых подписей осуществляется по усмотрению сторон, участвующих в транзакции. Прежде чем начать переход от бумажных документов к электронным, государственные организации должны убедиться, что все стороны сделки готовы использовать цифровые подписи.

Эти правила позволяют публичным организациям использовать цифровые подписи, созданные с помощью одной из двух различных технологий — «криптографии с открытым ключом (PKC)» и «динамики подписи».«

Чтобы начать работу публичной организации, первым делом необходимо определить уровень безопасности, необходимый для проведения транзакции. Вот некоторые вопросы, которые следует учитывать:

• Будут ли документы, содержащие подписи, передаваться по «открытой» или «закрытой» сети?
• Нужно ли проверять подпись на документе?
• Сколько времени и ресурсов можно выделить на проверку?
• Нужно ли сравнивать подпись с подписью, сделанной вручную на бумаге, или цифровой сертификат может адекватно обеспечивать универсальную проверку?
• Снизит ли возможность немедленной проверки вероятность мошенничества?
• Нужно ли будет воспроизводить документы, содержащие цифровые подписи, для публичного доступа к записям?
• Нужно ли будет использовать документы, содержащие цифровые подписи, в другом местном, государственном или федеральном агентстве? Если да, совместима ли технология с потребностями другого агентства?

Ответы на эти и множество других вопросов могут помочь публичным организациям определить подходящую технологию для использования в каждом приложении, которое включает компонент цифровой подписи.

В начало

Как нам выбирать между системой криптографии с открытым ключом (PKC) и системой динамики подписи?

Подписи

PKC обладают большей степенью проверяемости, чем подписи динамики подписи. PKC позволяет стороннюю проверку подписи, в то время как подписи с динамикой подписи требуют дополнительных действий (включая анализ почерка) для проверки подписавшего документ.

Подписи

PKC предназначены для немедленной проверки.Подписи с использованием технологии динамики подписи предназначены для обеспечения возможности проверки подписи в будущем (аналогично ненотариально заверенной подписи на бумаге).

Подписи

PKC прикрепляются к документам с использованием программных усовершенствований существующих приложений и веб-браузеров. Сигнатуры динамики подписи требуют дополнительного оборудования для создания подписей.

Подписи с динамикой подписи легче понять обычному пользователю, но они не обеспечивают уровень безопасности, присущий подписям PKC, которые можно немедленно проверить с помощью сертификата, выпущенного третьей стороной.

Государственные организации должны провести всесторонний анализ своих потребностей и сопоставить их с соответствующей технологией, одобренной для использования в утвержденных государственным секретарем постановлениях.

В начало

Почему Калифорния разрешает использование подписей, созданных динамикой подписи?

Хотя подписи с динамикой подписи требуют длительного процесса анализа почерка для достижения определенной проверки подписи, они по-прежнему «способны проверять», как того требует раздел 16 Правительственного кодекса.5. Кроме того, некоторая степень уверенности может быть также получена путем простого сравнения рукописных подписей, сделанных вручную, которые могут уже храниться в досье конкретного агентства.

Если публичному субъекту требуется немедленная абсолютная проверка подписи, то эта технология может быть не лучшим вариантом для таких транзакций.

В начало

Что такое электронная подпись?

В соответствии с законодательством Калифорнии, «электронная подпись» означает электронный звук, символ или процесс, присоединенный к электронной записи или логически связанный с ней и выполняемый или принимаемый лицом с намерением подписать электронную запись.Единый закон об электронных транзакциях (UETA) разрешает использование электронной подписи для транзакций и контрактов между сторонами в Калифорнии, включая правительственное учреждение. Одна из наиболее распространенных форм электронной подписи, используемой сегодня, — это та, которую миллионы людей используют каждый год для подписания своих налоговых деклараций. Правила электронной подписи, принятые Государственным секретарем, не применяются к определению или использованию электронных подписей, поскольку они регулируются UETA (Раздел 1633 Гражданского кодекса.1 — 1633,17).

В начало

Руководство правительства Канады по использованию электронных подписей

Из Казначейства Секретариата Канады

1.0 — Первая публикация — 15 июля 2019 г.

Уведомление

В сентябре 2017 года TBS предоставила инструкции по электронной подписи всем сотрудникам службы безопасности департамента по электронной почте. Это руководство по-прежнему применяется и должно считаться неотъемлемой частью этого документа.Этот документ дополняет и расширяет это руководство. Руководство, выпущенное в сентябре 2017 года, представлено в Приложении D для удобства пользования. Этот руководящий документ предназначен для отделов и агентств GC, рассматривающих возможность использования электронных подписей для поддержки своей повседневной деловой деятельности. Это «живой» документ, который со временем будет развиваться в ответ на извлеченные уроки, изменения в соответствующих законодательных требованиях или будущие технологические достижения в области электронной подписи.Следует отметить, что ничто, указанное в этом документе, не предназначено для замены или отмены существующего законодательства или политики. Любые такие расхождения должны быть доведены до сведения Управления Главного информационного директора Министерства финансов Канады по адресу [email protected].

На этой странице

1. Введение

1.1. Фон

В соответствии с целями инициативы правительства Канады ( GC ’s) в области цифрового правительства, GC продолжает:

• оптимизировать внутренние и внешние бизнес-процессы
• улучшить качество обслуживания канадцев

GC может достичь этих целей отчасти за счет замены бумажных процессов на более современные, быстрые и простые в использовании электронные методы.

В концепции ведения бизнеса в электронном виде нет ничего нового. Ряд юрисдикций, включая ГК и провинции и территории Канады, с середины 1990-х годов разработали законы, политику и стандарты для электронных документов и электронных подписей (электронных подписей). Эти законы:

• полагаться на международно признанные правила для создания более определенной правовой среды для электронных коммуникаций и электронной коммерции
• признает, что электронные сообщения не должны лишаться юридической силы только потому, что они находятся в электронной форме.

Независимо от того, является ли подпись бумажной или электронной, основная цель подписи одинакова.Подпись связывает человека с документом (или транзакцией) и обычно свидетельствует о намерении этого лица утвердить или быть юридически связанными его содержанием. Основная функция подписи — предоставить свидетельство подписавшего:

• идентификационный номер
• намерение подписать
• согласие на соблюдение содержания документа

Требование для подписи может быть:

• наложено актом парламента
• наложено политикой
• обычная практика

Подпись может быть подписью государственного служащего или представителя общественности (физического лица или представителя бизнеса).

В контексте федерального правительства подпись может потребоваться для:

• явное согласие, одобрение, согласие, принятие или авторизация повседневной деловой активности (например, для утверждения запроса на отпуск или официального согласия с условиями контракта)
• подчеркнуть важность транзакции или события или подтвердить, что транзакция или событие произошло, например, подтверждение того, что предложение подрядчика было получено к крайнему сроку
• обеспечивает аутентификацию источника и целостность данных, например подтверждение того, что уведомление, связанное с общественным здравоохранением, было отправлено Министерством здравоохранения Канады и не было изменено.
• удостоверяет содержание документа (то есть, документ соответствует определенным требованиям или был соблюден определенный процесс)
• подтвердить, что информация, содержащаяся в документе, является достоверной или точной.
• поддерживает стороннюю аттестацию, например, для функции электронного нотариуса
• поддерживает подотчетность, например, возможность отслеживать людей до их действий

В некоторых случаях требуется возможность поддержки электронных подписей более чем одного человека.Это требование может быть выполнено несколькими способами, в том числе с помощью электронной почты или системы управления рабочим процессом.

1.2. Назначение и сфера применения

Этот документ содержит руководство по использованию электронной подписи для поддержки повседневной деловой деятельности GC. Он призван уточнить:

• что такое электронная подпись
• какие формы электронной подписи подходят в контексте деловой активности

Настоящий документ не предназначен для использования в :

• заменяет юридическую консультацию (владельцы бизнеса всегда должны консультироваться со своим юрисконсультом)
• основа для защиты конфиденциальной информации от несанкционированного раскрытия (в этом документе не рассматриваются требования конфиденциальности)

1.3. Предполагаемая аудитория

Это руководство предназначено для отделов GC. ^{Footnote 1} , которые изучают возможность использования электронных подписей для поддержки своей повседневной деловой активности.

2. Контекст электронной подписи

2.1. Законы об электронной подписи

Юрисдикции по всему миру приняли законы, признающие действительность электронных документов и электронных подписей. Хотя рамки и определения различаются в зависимости от юрисдикции, их принципы в основном одинаковы.В Приложении А перечислены некоторые из этих источников и связанные с ними определения.

В Канаде часть 2 Закона о защите личной информации и электронных документов ( PIPEDA ) предусматривает режим, устанавливающий электронные эквиваленты бумажных документов и подписей на федеральном уровне. Часть 2 PIPEDA определяет электронную подпись как «подпись, которая состоит из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенных в электронный документ, прикрепленных к нему или связанных с ним.По сути, электронная подпись может представлять собой практически любую форму электронного представления, которая может быть связана или прикреплена к электронному документу или транзакции, включая:

• аутентификация пользователя во внутреннем приложении для утверждения чего-либо, например, когда супервизор входит в приложение для утверждения запроса на отпуск
• с помощью стилуса на сенсорном экране планшета написать подпись от руки и записать ее в электронном виде
• набранное имя или блок подписи в электронном письме
• аутентификация пользователя для доступа к веб-сайту, в сочетании с щелчком мыши на какой-либо кнопке подтверждения для фиксации намерения
• отсканированная рукописная подпись на электронном документе
• звук, например записанная голосовая команда (например, словесное подтверждение в ответ на вопрос)

Также бывают случаи, когда часть 2 PIPEDA требует использования определенного класса электронных подписей, называемых «безопасной электронной подписью».«Безопасная электронная подпись — это форма электронной подписи, основанная на асимметричной криптографии. Конкретные случаи использования, когда часть 2 PIPEDA требует безопасной электронной подписи:

• документов, используемых в качестве доказательства или доказательства (см. PIPEDA Часть 2, раздел 36)
• уплотнения (см. PIPEDA Часть 2, раздел 39)
• оригиналов документов (см. PIPEDA Часть 2, раздел 42)
• заявления, сделанные под присягой (см. PIPEDA Часть 2, раздел 44)
• утверждений, объявляющих истину (см. PIPEDA Часть 2, раздел 45)
• подписей свидетелей (см. PIPEDA Часть 2, раздел 46)

Хотя Часть 2 PIPEDA устанавливает пункты для общего применения, многие из электронных эквивалентов, описываемых в ней, основаны на структуре «согласия».Следовательно, такие положения не применяются к департаментам и агентствам, если они не решат принять участие и перечислить федеральный закон или положение, которое включает подпись (или другое применимое требование) в Приложении 2 или Приложении 3 PIPEDA. ^{Сноска 2}

За прошедшие годы, вместо того, чтобы выбирать PIPEDA, несколько департаментов и агентств внесли поправки в свои собственные уставы, чтобы внести ясность в отношении электронных подписей и электронных документов в целом. Например, Министерство занятости и социального развития Канады решило эту проблему в своем сообщении:

.

Соответствующие федеральные постановления (которые были приняты до вступления в силу PIPEDA):

Оба эти правила устанавливают требование поддержки цифровых подписей в связи с онлайн-электронными переводами.Правила о безопасной электронной подписи ^{Сноска 4} также использует термин «цифровая подпись» в своем определении безопасной электронной подписи. Таким образом, с технической точки зрения цифровая подпись и безопасная электронная подпись по сути идентичны, поскольку обе:

• — это форма электронной подписи на основе асимметричной криптографии
• полагается на инфраструктуру открытых ключей ( PKI ) для управления соответствующими закрытыми ключами подписи и общедоступными сертификатами проверки

Однако Правила безопасной электронной подписи ( SES Rules) идут дальше в нескольких отношениях, в том числе:

• раздел 2 Регламента SES предписывает особый асимметричный алгоритм для поддержки цифровых подписей
• , раздел 4 Регламента SES указывает, что выдающий удостоверяющий центр (CA) должен быть признан Министерством финансов Канады, подтверждая, что CA «имеет возможность выпускать сертификаты цифровой подписи безопасным и надежным способом.” ^{Сноска 5}
• , раздел 5 Регламента SES включает презумпцию того, что при отсутствии доказательств обратного электронные данные были подписаны лицом, которое указано в сертификате электронной подписи или которое может быть идентифицировано с помощью этого сертификата.

2.2. Определение того, когда следует использовать электронную подпись

Как уже упоминалось, есть случаи, когда закон (или политика) определяет:

• требование электронной подписи
• тип необходимой электронной подписи

Также есть случаи, когда:

• требование закона только подразумевается
• необходимость подписи установлена ​​по иной, не законодательной причине
• в любом случае тип электронной подписи может быть неуказанным или неясным

На рис. 1 показаны шаги по определению того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.Хотя на Рисунке 1 подчеркивается важность получения юридической консультации на протяжении всего процесса, обратите внимание, что различные шаги, показанные на Рисунке 1, необходимо будет выполнять в сотрудничестве с другим ключевым персоналом, где это необходимо, как указано в Приложении D. Кроме того, этот документ предлагает руководство по оценка уровней доверия (см. подраздел 2.3), которые можно использовать:

• при отсутствии определенных требований законодательства или политики
• , если требования к внедрению электронной подписи не указаны или неясны
Рисунок 1: шаги для определения требования к электронной подписи Рисунок 1 — Текстовая версия

На рисунке 1 показаны шаги для определения того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.На рисунке представлена ​​блок-схема процесса, представляющая следующие этапы:

• Шаг 1. Определите бизнес-требования
• Шаг 2: проинформированный юрисконсультом, определите, определено ли требование подписи в существующем законодательстве или политике, и если да, перейдите к Шагу 3; если нет, переходите к шагу 4
• Шаг 3: проинформированный юрисконсультом, определите, идентифицируется ли также тип электронной подписи, и, если да, перейдите к Шагу 6; если нет, переходите к шагу 5.
• Шаг 4: проинформировав юрисконсульта и данного руководящего документа, определите, есть ли неявное требование или другая законная деловая причина для подписи, и, если да, перейдите к шагу 5; в противном случае нет необходимости внедрять электронную подпись для идентифицированного бизнес-требования
• Шаг 5: определите тип электронной подписи, необходимой для информирования юрисконсульта, оценки уровня уверенности и настоящего руководства, и перейдите к Шагу 6
• Шаг 6: внедрить идентифицированное решение электронной подписи с последующей повторной оценкой с течением времени

2.3. Оценка уровней доверия

Руководство по определению требований к аутентификации описывает методологию определения минимального уровня гарантии ^{Footnote 6} , необходимого для достижения целей программы, предоставления услуги или надлежащего выполнения транзакции.

Эта методология может применяться в контексте электронных подписей. ^{Сноска 7} При оценке уровней доверия следует учитывать влияние угроз, например:

• выдача себя за другое лицо (подписывающее лицо не то, за кого себя выдает)
• отказ от авторства (подписывающий пытается отрицать, что он создал электронную подпись)
• потеря целостности данных (электронные данные были изменены с момента подписания)
• превышение полномочий (подписывающая сторона не уполномочена подписывать связанные электронные данные)

После завершения оценки и определения требований к уровню доверия можно выбрать и внедрить процедурные и технические средства контроля.Руководство по внедрению, основанное на каждом уровне гарантии, представлено в Разделе 3: Руководство по внедрению электронных подписей.

3. Руководство по внедрению электронной подписи

Как упоминалось в Разделе 2, особенности внедрения электронных подписей могут:

• требуется законом или политикой
• быть определено в результате оценки уровня доверия и других инструментов

В зависимости от контекста деловой активности или транзакции, вопросы реализации могут включать следующее:

• причина или контекст для электронной подписи ясны (подпись предназначена для утверждения, согласия, согласия, авторизации, подтверждения, подтверждения, свидетельства, нотариального заверения, удостоверения или другой цели)
• очевидно, что физические лица понимают, что они подписывают электронные данные (указание на намерение подписать)
• уровень аутентификации соизмерим с соответствующим уровнем доверия
• физическое лицо (лица) имеет право подписывать электронные данные
• метод, используемый для установления электронной подписи, соизмерим с соответствующим уровнем доверия
При необходимости фиксируется следующая вспомогательная информация
• :
  • дата и время подписания электронных данных
  • свидетельство того, что подпись действительна на момент ее подписания
• электронная подпись и вспомогательная информация связаны с подписанными электронными данными, и целостность этой информации поддерживается с использованием методов, соизмеримых с соответствующим уровнем гарантии
• возможность проверки электронной подписи поддерживается с течением времени

Обратите внимание, что требования, связанные с каждой из этих областей, будут варьироваться в зависимости от уровня гарантии, необходимого для электронной подписи, как обсуждается в следующих подразделах.

3.1. Рекомендации по аутентификации пользователей

Как отмечалось ранее, привязка лиц к подписанной электронной записи является одним из фундаментальных требований для электронной подписи, и поэтому уровень гарантии процесса аутентификации и электронной подписи тесно связаны. Текущее руководство GC по аутентификации пользователей включает следующее:

По сути, уровень доверия, необходимый для электронной подписи, диктует уровень доверия, необходимый для аутентификации пользователя, который, в свою очередь, диктует уровень доверия, необходимый для подтверждения личности и подтверждения учетных данных.Перечисленные выше руководящие документы следует использовать для определения конкретных требований на каждом уровне доверия на основе следующих рекомендаций:

• на уровне доверия 1 :
• на уровне доверия 2 :
  • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 2
  • любой из типов токенов, указанных в ITSP.030.31 для уровня доверия 2 или выше может использоваться для аутентификации
• на Уровне доверия 3 :
  • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 3
  Требуется двухфакторная аутентификация
  • (дополнительную информацию см. В Приложении B)
• на уровне доверия 4 :
  • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 4
  • необходимо использовать многофакторное криптографическое аппаратное устройство, такое как смарт-карта

Дополнительная информация о факторах аутентификации и типах токенов, связанных с аутентификацией пользователя, представлена ​​в Приложении B.

3.2. Определение метода, который будет использоваться для реализации электронных подписей

В разделе 2 обсуждались различные формы электронных подписей. В этом разделе указывается тип электронной подписи, рекомендуемый на каждом уровне доверия.

Рекомендации по электронной подписи на каждом уровне доверия следующие:

• на уровне доверия 1, допустимы любые типы электронной подписи
• на уровне гарантии 2, любой тип электронной подписи может использоваться в сочетании с требованиями аутентификации для уровня гарантии 2 или выше
• на уровне гарантии 3, некриптографическая электронная подпись может использоваться в сочетании с приемлемой двухфакторной аутентификацией, или цифровая подпись или безопасная электронная подпись может быть предпочтительнее в некоторых обстоятельствах, в зависимости от целевой среды и мер безопасности. которые на месте
• на уровне гарантии 4, требуется безопасная электронная подпись в сочетании с аппаратным устройством многофакторного шифрования

С технической точки зрения, электронная подпись на более высоком уровне доверия может также использоваться на более низких уровнях доверия (например, электронная подпись уровня 3 также может использоваться для поддержки требований к электронной подписи уровня 1 и 2. ).Однако другие факторы, такие как стоимость, удобство использования и эксплуатационные требования, также должны быть приняты во внимание, чтобы определить наиболее разумный подход.

3.3. Подтверждающая информация

Как обсуждалось в подразделе 2.1, электронная подпись — это любое электронное представление, где:

• личность человека, подписывающего данные, может быть связана с электронными данными, которые подписываются
• намерение физического лица подписать электронную запись передано каким-либо образом
• причина подписания электронных данных передается каким-либо образом

Могут быть требования о включении другой подтверждающей информации, например, времени подписания электронных данных.

Дополнительная информация, рекомендуемая на каждом уровне доверия, следующая:

• на уровне доверия 1 , вспомогательная информация должна включать:
  • электронная подпись
  • подписанные электронные данные
  Обратите внимание, что эта информация может быть неявно идентифицирована в зависимости от типа электронной транзакции.
• при Уровне доверия 2 , вспомогательная информация должна включать:
  • метод аутентификации
  • электронная подпись
  • подписанные электронные данные
  • метка времени, основанная на стандартном времени локальной системы, которая указывает время, когда электронные данные были подписаны
  Обратите внимание, что часть этой информации может быть неявно идентифицирована в зависимости от типа электронной транзакции
• на уровне гарантии 3 , вспомогательная информация будет зависеть от типа электронной подписи:
  • для электронной подписи, не основанной на криптографии, вспомогательная информация должна включать ту же информацию, что и для уровня доверия 2
  • для цифровых подписей или защищенных электронных подписей вспомогательная информация должна включать:
  • Свидетельство о поверке
  • путь сертификации
  • связанная информация об отзыве или статус на момент подписания электронных данных
• на уровне гарантии 4 , дополнительная информация:
  • — это то же самое, что цифровая подпись или безопасная электронная подпись на уровне гарантии 3
  • также должен включать безопасную метку времени ^{Сноска 8}

Другая вспомогательная информация также может потребоваться для удовлетворения конкретных потребностей бизнеса.

3.4. Системная и информационная целостность

Целостность системы и информации — еще один ключевой фактор, относящийся к:

• исходные подписанные электронные данные
• электронная подпись
• любая другая подтверждающая информация, которая может быть связана с электронной транзакцией (обсуждается в подразделе 3.3 настоящего документа)

Кроме того, целостность связи между всеми этими элементами должна оставаться неизменной с течением времени.Некоторые из этих элементов могут быть захвачены и защищены различными способами, включая использование журналов системного аудита и или как часть цифровой подписи или безопасной электронной подписи. Вся вспомогательная информация, независимо от того, где и как она хранится, в совокупности называется записью транзакции.

Ожидается, что будут введены определенные меры безопасности системы и целостности информации для защиты целостности:

• электронные транзакции
• записи транзакции

ITSG-33, Приложение 1, определяет три уровня целостности: низкий, средний и высокий.В этом документе предполагается, что системы и информация ГХ будут защищены на среднем уровне целостности. Профиль Protected B, средняя целостность и средняя доступность, определенный в ITSG-33, приложение 4A, профиль 1, следует использовать для определения минимальных мер безопасности, которые должны быть в наличии, особенно в отношении следующих семейств мер безопасности:

• контроль доступа (AC)
• аудит и отчетность (AU)
• идентификация и аутентификация (IA)
• целостность системы и информации (SI)

Рекомендации по требованиям целостности на каждом уровне доверия следующие:

• на уровне доверия 1 , применяется средний уровень целостности; однако нет необходимости вести или хранить записи транзакций
• на Уровне доверия 2 :
  • Средняя целостность применяется к электронной транзакции и записи транзакции
  • , запись транзакции должна быть сохранена в соответствии с требованиями Уровня доверия 2 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или применимым законодательством, политикой или бизнес-требованиями
• на Уровне доверия 3 :
  • Средняя целостность применяется к электронной транзакции и записи транзакции
  • при использовании цифровой подписи или безопасной электронной подписи, по крайней мере, некоторые из требований целостности будут поддерживаться самой подписью, включая целостность подписанных электронных данных
  Алгоритмы
  • и соответствующие длины ключей, одобренные канадским ведомством безопасности ( CSE ), должны использоваться в соответствии с требованиями ITSP.40.111
  • любые вспомогательные элементы, целостность которых явно не защищена цифровой подписью или безопасной электронной подписью, должны регистрироваться в журнале аудита.
  Записи транзакций
  • должны храниться в соответствии с требованиями Уровня гарантии 3 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованием
  .
• на уровне доверия 4 :
  • безопасная электронная подпись, применяемая лицом, подписывающим электронные данные, защищает подписываемые электронные данные, а сочетание факторов защищает сам процесс подписи
  • требуется безопасная метка времени, которая может быть предоставлена ​​доверенным третьим лицом.
  Алгоритмы, одобренные CSE
  • , и соответствующие длины ключей должны использоваться в соответствии с требованиями ITSP.40.111
  Записи транзакций
  • должны храниться в соответствии с требованиями Уровня уверенности 4 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованием
  .

3.5. Соображения по поводу долгосрочной валидации

Для некриптографических электронных подписей ожидается, что вся информация, необходимая для проверки подлинности подписи, будет доступна до тех пор, пока запись должна храниться.Электронная подпись должна быть проверена и подтверждена с течением времени.

Для цифровой подписи или безопасной электронной подписи существует ряд шагов, чтобы гарантировать, что операция подписи выполняется с законными учетными данными во время подписания электронной записи. Эти шаги включают проверку того, что сертификат открытого ключа соответствует закрытому ключу подписи:

• находится в пределах указанного срока действия
• не отозван
• успешно соединяется с признанным якорем доверия

Однако со временем некоторые аспекты проверки, которые были на месте, когда была подписана электронная запись, могут измениться.Например, срок действия сертификата открытого ключа может истечь или он может быть отозван. Кроме того, развитие криптографии и вычислительных возможностей может сделать криптографический алгоритм (или соответствующую длину ключа), используемый для выполнения операции подписи, уязвимым в какой-то момент в будущем.

Именно здесь становится важной концепция долгосрочной проверки ( LTV ). Поскольку обстоятельства со временем изменятся, важно криптографически привязать определенную информацию к первоначально подписанному электронному документу или записи.К такой информации относятся:

• время подписания электронного документа или записи
• сертификаты открытого ключа, необходимые для проверки подписи
• соответствующая информация о статусе отзыва сертификата на момент подписания электронной записи

Процедура LTV может быть рекурсивной, чтобы учитывать изменения обстоятельств в течение длительного периода, так что первоначально подписанный электронный документ или запись могут быть проверены в течение многих лет или даже десятилетий.Технические спецификации были разработаны для поддержки LTV на основе следующего формата или синтаксиса электронного документа или записи:

• Стандарты расширенной электронной подписи формата переносимых документов ( PAdES )
• Стандарты расширенной электронной подписи расширяемого языка разметки ( XAdES )
• Стандарты расширенной электронной подписи синтаксиса криптографических сообщений ( CAdES )

Еще одно соображение — это изменение формата исходного электронного документа или записи с данными, например, когда он конвертируется для долгосрочного архивирования.Изменение формата сделает исходную цифровую подпись или безопасную электронную подпись недействительной, поскольку проверка целостности встроенных данных завершится неудачно. На самом деле подпись может быть вообще удалена из-за конвертации. В некоторых случаях можно создать новую цифровую подпись или безопасную электронную подпись (например, используя надежный источник для проверки того, что преобразованный контент был первоначально подписан определенным лицом в определенное время). Другое возможное решение — принять стандарты, специально разработанные для решения проблем LTV, например PDF / A-2.Однако такие варианты могут быть возможны не при всех обстоятельствах, и может потребоваться другое решение, такое как сохранение метаданных, которые указывают обстоятельства, при которых исходный контент был подписан (например, кто его подписал, когда он был подписан и т. Д.) .

Хотя это ожидается крайне редко, могут быть случаи, когда сертификат открытого ключа отозван с датой и временем недействительности, установленными на какое-то время в прошлом. Это могло быть связано с несколькими причинами, включая обнаружение того, что закрытый ключ подписи был скомпрометирован, но компрометация не была обнаружена до определенного момента в будущем.Это может означать, что цифровая подпись или безопасная электронная подпись, которая считалась действительной на момент ее создания, на самом деле недействительна, поскольку статус сертификата должен был быть аннулирован во время подписания электронного документа или записи. В этом случае необходимо предпринять процедурные шаги (которые выходят за рамки настоящего документа), чтобы определить, была ли подпись создана заявленным лицом и при соответствующих обстоятельствах.

3,6. Использование сторонних поставщиков услуг

Сторонние поставщики услуг предлагают различные формы услуг электронной подписи, которые GC может использовать при соответствующих обстоятельствах.Владельцы бизнеса должны оценить, можно ли использовать сторонние сервисы на основании:

• особые бизнес-требования
• связанных минимальных уровней доверия

Кроме того, сторонние решения должны основываться на принятых в отрасли стандартах. По возможности следует избегать проприетарных решений, чтобы предотвратить привязку к поставщику и способствовать взаимодействию.

Существует ряд причин, по которым могут быть рассмотрены услуги, предоставляемые третьими сторонами.Например, сторонний поставщик может предложить подходящий продукт рабочего процесса, который отвечает потребностям отдела (то есть поддерживает заданное бизнес-требование и соответствует требованиям к электронной подписи и аудиту). Другой пример: поставщик облачных услуг предлагает приемлемые возможности электронной подписи для поддержки приложения GC, размещенного в облаке.

Еще одно соображение — когда GC взаимодействует с внешними организациями и частными лицами. Цифровые подписи, созданные GC, должны быть проверены этими внешними объектами, и поэтому необходимо будет использовать сертификаты, выпущенные CA, которые распознаются внешними по отношению к GC. ^{Footnote 9} Также могут быть обстоятельства, когда цифровая подпись создается внешним объектом, который также должен быть распознан GC.

4. Резюме

Этот документ направлен на разъяснение практики интерпретации и реализации использования электронных подписей. Его цель — предоставить экономичные и разумные решения, которые улучшат взаимодействие с пользователем и сократят время, необходимое для выполнения повседневных деловых операций, когда электронные подписи могут применяться вместо бумажных подходов.

Таблица 2 суммирует рекомендации, представленные в разделе 3 этого документа на каждом уровне доверия для:

• минимум допустимый тип электронной подписи
• уровней аутентификации
• требования к отметке времени
• вспомогательная информация, рекомендуемая на каждом уровне доверия
• Требования к целостности системы и информации
• периодов хранения записей транзакций

Таблица 2: рекомендации по внедрению электронных подписей

	Тип электронной подписи	Уровень аутентификации	Требование отметки времени	Вспомогательная информация	Целостность системы и информации	Срок хранения записи транзакции
Примечания к таблице 2 Таблица 2 Примечание 1 Выбор конкретного метода электронной подписи и связанных требований к реализации, предлагаемых на этом уровне (как указано в этой строке), должен определять владелец бизнеса.Дополнительные меры по снижению риска могут потребоваться для некриптографических электронных подписей на уровне гарантии 3. Если программный токен на основе PKI используется для поддержки требования электронной подписи, процесс аутентификации должен быть дополнен соответствующим вторым токеном аутентификации. Вернуться к таблице 2 примечание 1 реферер Таблица 2 Примечание 2 На этом уровне гарантии должно использоваться многофакторное аппаратное криптографическое устройство.Хотя устройство с многофакторным одноразовым паролем соответствует требованиям аутентификации для уровня надежности 4, оно не имеет необходимых функций для поддержки безопасной электронной подписи. Вернуться к таблице 2 примечание 2 реферер
Уровень доверия 1	Э-подпись	Любая форма аутентификации	Без оговорки	электронная подпись, подписанные данные	Средняя целостность	Без оговорки
Уровень доверия 2	Э-подпись	Уровень доверия 2 или выше	Дата и время локальной системы	Метод аутентификации, электронная подпись, подписанные данные, отметка времени	Средняя целостность	Как предусмотрено для Уровня доверия 2 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованиями
Уровень доверия 3 таблица 2 примечание 1	Э-подпись	Уровень доверия 3 или выше (двухфакторная аутентификация обязательна)	Дата и время локальной системы	Определяется по типу: для некриптографической электронной подписи, включая метод аутентификации, ES, подписанные электронные данные, отметку времени для криптографической электронной подписи, добавьте сертификат проверки и путь сертификации, а также связанную информацию об отзыве	Средняя целостность; для криптографической электронной подписи части будут иметь цифровую подпись	Как предусмотрено для Уровня доверия 3 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованиями
Уровень доверия 4	Безопасная электронная подпись	Только уровень доверия 4 таблица 2 примечание 2	Безопасная отметка времени	SES, подписанные электронные данные, сертификат проверки и путь сертификации, а также соответствующая информация об отзыве, безопасная отметка времени	Цифровая подпись	Как предусмотрено для Уровня доверия 4 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованиями

Приложение A: источники и определения, связанные с электронными подписями

В этом приложении перечислены источники информации из национальных и международных юрисдикций, касающиеся электронных подписей. Также приведены определения терминов, используемых в этих источниках.

Эта информация используется для определения основных концепций электронных подписей, изложенных в этом документе.Источники из неканадских юрисдикций включены в следующие номера:

• демонстрируют широту охвата
• выделяет терминологию, используемую в других юрисдикциях, что особенно полезно там, где может потребоваться совместимость с другими юрисдикциями.

Канадские федеральные законы и постановления, касающиеся электронных подписей, включают:

Кроме того, на веб-сайте Министерства юстиции Канады есть более 20 федеральных законов и почти 30 нормативных актов, в которых упоминается «электронная подпись.” ^{Сноска 10}

Большинство канадских провинциальных и территориальных юрисдикций приняли законы об электронной торговле и транзакциях, которые предоставляют электронные эквиваленты бумажных подписей, наряду с другими требованиями, путем принятия принципов, установленных в Типовом законе Канадской конференции по единообразному праву (Закон о единообразной электронной торговле ( UECA )). ^{Footnote 11} UECA является технологически нейтральным и определяет «электронную подпись» как электронную информацию, которую лицо создает или принимает для подписания записи и которая прикреплена к записи или связана с ней.Электронная подпись, определенная таким образом, действует как подпись в законе. Как указано в руководстве УЕКА, сам закон не устанавливает никаких технических стандартов для изготовления действующей подписи. В результате электронные подписи могут быть созданы разными способами, если иное не предписано правилами. ^{Сноска 12}

Неканадские источники интереса, которые касаются терминов и понятий, связанных с электронными подписями, включают:

Конкретные термины, определенные в этих источниках, включают следующее (см. Таблицу A1):

• электронная подпись
• безопасная электронная подпись
• цифровая подпись
• расширенная электронная подпись ( AdES )
• квалифицированная электронная подпись ( QES )

Таблица A1: термины и определения, относящиеся к электронным подписям

Срок	Источник	Определение
электронная подпись	PIPEDA, Часть 2	«подпись, состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним»
	УЕКА	«информация в электронной форме, которую лицо создало или приняло для подписания документа и которая находится в документе, прикреплена к нему или связана с ним»
	УЭТА	«электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись»
	ЭЛЕКТРОННЫЙ ЗНАК	«электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другой записью и исполняемый или принятый лицом с намерением подписать запись»
	eIDAS	«данные в электронной форме, которые прикреплены или логически связаны с другими данными в электронной форме и которые используются подписавшимся для подписи»
	Типовой закон ЮНСИТРАЛ об электронных подписях	«данные в электронной форме в сообщении данных, прикрепленные к нему или логически связанные с ним, которые могут использоваться для идентификации подписавшего в отношении сообщения данных и для обозначения согласия подписавшего с информацией, содержащейся в сообщении данных»
безопасная электронная подпись	PIPEDA Часть 2	PIPEDA Часть 2, разделы 31 (1), 48 (1) и 48 (2) в совокупности определяют «безопасную электронную подпись» как «электронную подпись, которая является результатом применения технологии или процесса…» со следующими характеристиками : «электронная подпись, полученная в результате использования человеком технологии или процесса, уникальна для этого человека; использование технологии или процесса лицом для включения, прикрепления или связывания электронной подписи лица с электронным документом находится под исключительным контролем этого лица; технология или процесс могут быть использованы для идентификации человека, использующего технологию или процесс; и , электронная подпись может быть связана с электронным документом таким образом, что ее можно использовать для определения того, был ли электронный документ изменен с тех пор, как электронная подпись была включена в электронный документ, прикреплена к нему или связана с ним.”
	Положение СЭС	«защищенная электронная подпись в отношении данных, содержащихся в электронном документе, — это цифровая подпись, которая возникает в результате выполнения следующих друг за другом операций: применение хэш-функции к данным для создания дайджеста сообщения; применение закрытого ключа для шифрования дайджеста сообщения; включение, прикрепление к электронному документу или связь с электронным документом зашифрованного дайджеста сообщения; передача электронного документа и зашифрованного дайджеста сообщения вместе с сертификат цифровой подписи или средство доступа к сертификату электронной подписи; и после получения электронного документа, зашифрованного дайджеста сообщения и сертификата цифровой подписи или средства доступа к сертификату электронной подписи, применение открытого ключа, содержащегося в сертификате цифровой подписи, для расшифровки зашифрованного профиля сообщения и создания профиля сообщения, указанного в параграфе (а), применение хеш-функции к данным, содержащимся в электронном документе, для создания дайджеста нового сообщения, проверка того, что при сравнении дайджесты сообщений, упомянутые в параграфе (a) и подпункте (ii), идентичны, и проверка того, что сертификат электронной подписи действителен в соответствии с разделом 3 (Регламента SES).”
цифровая подпись	Правила электронных платежей и Правила проведения платежей и расчетов	«результат преобразования сообщения с помощью криптосистемы с использованием таких ключей, что лицо, имеющее исходное сообщение, может определить: , было ли преобразование создано с использованием ключа, соответствующего ключу подписавшего, и , было ли сообщение изменено с момента преобразования.”
	ITSP.40.111	«криптографическое преобразование данных, обеспечивающее аутентификацию, целостность данных и неотказуемость подписывающего лица».
AdES	eIDAS	«электронная подпись, которая однозначно связана с подписавшим, способна идентифицировать подписавшего, создана с использованием данных для создания электронной подписи, которые подписавший может с высокой степенью уверенности использовать под своим единственным контролем, и связана с данные, подписанные таким образом, чтобы можно было обнаружить любое последующее изменение данных.”
QES	eIDAS	«усовершенствованная электронная подпись, которая создается квалифицированным устройством для создания электронной подписи и основана на квалифицированном сертификате для электронных подписей».

Хотя Типовой закон ЮНСИТРАЛ об электронных подписях ( PDF , 249 КБ) не дает четкого определения, в нем также используется термин «цифровая подпись» в соответствии с определением части 2 PIPEDA.

Определения, приведенные в таблице A1, приводят к следующим наблюдениям:

• Хотя существует множество определений «электронной подписи», цель каждого из них, по сути, одинакова.
• С технической точки зрения, термины «безопасная электронная подпись», «цифровая подпись», «AdES» и «QES» ar и по существу эквивалентны. Все они основаны на асимметричной криптографии и полагаются на инфраструктуру открытых ключей (PKI) для управления связанными ключами и сертификатами.Тем не мение:
  • В Регламенте SES есть особые требования, которые применяются к термину «безопасная электронная подпись»
  • есть также более строгие требования к реализации, связанные с QES

Следует также отметить, что описание, приведенное в Регламенте SES, настолько детально, что фактически предписывает конкретный алгоритм цифровой подписи. ^{Footnote 13} Было ли это намеренно (для обеспечения взаимодействия) или нет (в то время предполагалось, что все алгоритмы цифровой подписи имеют одинаковые математические свойства), неясно.В любом случае следует проконсультироваться с ITSP.40.111 для утвержденных алгоритмов и связанных длин ключей.

Приложение B: факторы аутентификации пользователей и типы токенов

Цель этого Приложения — помочь прояснить, какие типы маркеров аутентификации, описанные в ITSP.30.031, могут использоваться на каждом уровне гарантии. Хотя для получения дополнительных сведений следует обращаться к ITSP.30.031, некоторые из основных концепций, связанных с факторами аутентификации и токенами, представлены здесь для удобства читателя.

По сути, факторы аутентификации описываются как:

• то, что знает пользователь
• то, что есть у пользователя
• что-то у пользователя

Типы токенов для «чего-то, что знает пользователь»:

• запомненных секретных токенов (пароль, связанный с учетной записью или идентификатором пользователя)
• предварительно зарегистрированных токенов знаний (например, заранее заданные ответы на набор контрольных вопросов)

Типы токенов для «чего-то, что есть у пользователя»:

• поисковых секретных жетона (статическая сетка или карты «бинго»)
• дополнительных токенов (push-уведомление на внешнее устройство, например смартфон)
• устройств с однофакторным одноразовым паролем (OTP) (токен открытой аутентификации (OATH))
• однофакторное криптографическое устройство (USB-ключ со встроенными криптографическими возможностями и безопасным хранилищем ключей)

Типы токенов «Что-то вы есть» включают биометрические данные, такие как отпечаток пальца, сканирование сетчатки глаза и распознавание лиц.Однако в соответствии с ITSP.30.031 биометрия может использоваться только в сценарии многофакторной аутентификации, например при использовании сканирования отпечатка пальца для разблокировки аппаратного токена. ^{Сноска 14}

Многофакторные токены включают:

• многофакторных устройств OTP, таких как устройство OTP, для которого требуется локальная аутентификация пользователя перед отображением кода доступа
• многофакторных аппаратных криптографических устройств, таких как смарт-карта ^{Footnote 15}

Многофакторная аутентификация (или, более конкретно, двухфакторная аутентификация) также может быть достигнута путем объединения соответствующего токена «что-то, что вы знаете» с соответствующим токеном «что-то у вас есть».Рекомендации по приемлемым двухфакторным решениям представлены в Рекомендациях по двухфакторной аутентификации пользователей в корпоративном домене правительства Канады.

В таблице B1 приведены допустимые типы маркеров на каждом уровне доверия.

Таблица B1: электронные подписи и методы аутентификации

	Запомненный секретный токен таблица B1 примечание 1	Предварительно зарегистрированный токен знаний	Поисковый секретный токен	Внеполосный токен	Однофакторное устройство OTP	Однофакторное криптографическое устройство	Многофакторный программный криптографический токен	Многофакторное устройство OTP	Многофакторное криптографическое устройство
Таблица B1 Примечания Таблица B1 Примечание 1 Запомненный секрет обычно представляет собой пароль, связанный с определенным идентификатором пользователя.Разница между запомненным секретом уровня доверия 1 и запомненным секретом уровня доверия 2 заключается в надежности пароля. Пароль должен соответствовать минимальным требованиям к стойкости и энтропии, прежде чем его можно будет считать достаточным для запомненного секрета уровня доверия 2. Дополнительную информацию см. В Приложении B к ITSP.30.031. Вернуться к таблице B1 примечание 1 реферер Таблица B1 Примечание 2 Как отмечалось выше, соответствующая комбинация двух токенов уровня доверия 2 также может использоваться для достижения эквивалента токена уровня доверия 3, как указано в ITSP.30.031. Например, запомненный секретный маркер уровня гарантии 2, используемый в сочетании с соответствующим внеполосным маркером (например, «push-уведомление» на смартфон, управляемый сборщиком мусора), эквивалентен маркеру уровня гарантии 3 и, следовательно, может быть используется в тандеме для поддержки электронных подписей на уровне доверия 3. Вернуться к таблице B1 примечание 2 реферер Таблица B1 Примечание 3 Многофакторного устройства OTP достаточно для аутентификации уровня надежности 4; тем не менее, он не имеет необходимых функций для создания цифровой подписи или безопасной электронной подписи, что является обязательным на уровне доверия 4. Вернуться к таблице B1 примечание 3 реферер
Уровень доверия 1	Есть	Есть	Есть	Есть	Есть	Есть	Есть	Есть	Есть
Уровень доверия 2	Есть	Есть	Есть	Есть	Есть	Есть	Есть	Есть	Есть
Уровень доверия 3 таблица B1 примечание 2	№	№	№	№	№	№	№	Есть	Есть
Уровень доверия 4	№	№	№	№	№	№	№	№ таблица B1 примечание 3	Есть

Приложение C: примеры хозяйственной деятельности

Цель этого Приложения — предоставить примеры видов деловой активности, которые могут соответствовать каждому уровню доверия.В общем, по мере того, как возрастает важность и / или ценность деловой активности, увеличивается и соответствующий уровень доверия. Тем не менее, следует отметить, что примеры деловой активности, представленные здесь, предназначены только для иллюстративных целей и никоим образом не предназначены для предписания .

Отдельные отделы должны проводить свои собственные оценки в контексте своих бизнес-потребностей и требований. Общей целью должно быть:

• использовать существующие инвестиции там, где это возможно (отделы должны использовать то, что у них уже есть, где это имеет смысл)
• улучшить взаимодействие с пользователем
• внедрять рентабельные и разумные решения, соответствующие оцененному уровню гарантии

Таблица C1: примеры хозяйственной деятельности

Уровень гарантии	Деловые операции (только примеры)
Уровень доверия 4	Финансовые операции в Интернете, где действующее законодательство требует цифровой подписи или безопасной электронной подписи (например, Положения об электронных платежах и Положения о требованиях к платежам и расчетам ) Сценарии использования PIPEDA, часть 2 , если применимо Обязательные контракты с внешними организациями, стоимость которых превышает определенную долларовую стоимость (на основе допуска к риску, определяемого оценкой отдела)
Уровень доверия 3	Утверждение руководством финансовых операций, не требующих цифровой подписи или безопасной электронной подписи (например, утверждение требований о расходах сотрудников) Обязательные контракты с внешними организациями, стоимость которых ниже определенной долларовой стоимости (на основе допустимости риска, определяемой ведомственной оценкой) Здесь может применяться один или несколько примеров деловой активности, представленных ниже в рамках Уровня гарантии 2 (допуск к риску зависит от отдела; некоторые отделы могут принять решение о внедрении более строгих мер безопасности для некоторых видов деятельности, указанных ниже в рамках Уровня гарантии 2)
Уровень доверия 2	Оставить заявку и согласовать Запросы и разрешения на поездки Подача и согласование табелей учета рабочего времени Подача претензий по расходам (но не утверждения) Подача онлайн определенных заявок или форм от внешних пользователей Межведомственные меморандумы о взаимопонимании
Уровень доверия 1	Ежедневная переписка практически без каких-либо обязательств от имени отправителя или GC

Приложение D: руководство отправлено DSO по электронной почте

18 сентября 2017 г.

(Обратите внимание, что заголовки и ссылки на некоторые ссылки на исходную документацию были обновлены, чтобы отразить самые последние доступные версии.)

Кому: DSO

Следующее руководство по использованию электронных подписей для проверки безопасности предоставляется в ответ на обсуждения в Совете безопасности правительства Канады (GCSC), и было сочтено, что это будет полезно для всех DSO.

Целью получения подписи лица на формах проверки безопасности является подтверждение того, что они подтверждают, что они были проинформированы о том, что их личная информация будет собрана, и получить их согласие на то, что их личная информация будет раскрыта для целей проверки безопасности (как указано в Положения о конфиденциальности и согласии), а также в соответствии с разделами 7 и 8 Закона о конфиденциальности .Также важно продемонстрировать, что лицо намеревается быть связанным обязательствами, прилагаемыми к этой подписи.

В форме проверки безопасности подпись не обязательно должна иметь определенную форму, чтобы иметь юридическую силу, и служит той же цели, независимо от того, является ли она «мокрой» или электронной. Мокрая подпись создается, когда человек маркирует документ своим именем чернилами, которым требуется время для высыхания. В Законе о защите личной информации и электронных документах (PIPEDA) электронная подпись определяется как «состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним. .”

Департаменты и агентства, желающие продолжить использование электронных подписей в качестве альтернативы традиционной мокрой подписи, должны учитывать следующее, чтобы определить, является ли такой шаг жизнеспособным в их операционной среде, и иметь возможность снизить любой потенциальный правовой риск, который может возникнуть .

• Внедрение электронных подписей в отделе или агентстве должно осуществляться в сотрудничестве с заинтересованными сторонами в области ИТ и бизнеса (при необходимости), и при необходимости можно проконсультироваться с юрисконсультом отдела.
• Тип используемой технологии и подход к ее внедрению должны соответствовать Стратегическому плану правительства Канады по управлению информацией и информационным технологиям на 2017–2021 годы.
• Положения о конфиденциальности и согласии должны быть такими же, как и в бумажных формах, чтобы гарантировать отсутствие расхождений между двумя форматами.
• Базовый процесс и стандартные рабочие процедуры, связанные со сбором, получением и хранением электронных документов и связанных с ними подписей, должны быть задокументированы и последовательно реализованы.
• Если использование электронной подписи когда-либо будет оспорено в суде, департамент или агентство должны будут иметь возможность продемонстрировать надежность системы / технологии и лежащих в основе процессов и процедур и предоставить доказательства того, что во всех существенных случаях ИТ-система (системы) ) / используемое (ые) устройство (а) работали должным образом или, в противном случае, нет других разумных оснований сомневаться в целостности электронной подписи.

Для получения дополнительных указаний вы можете обратиться к стандарту Канадского общего совета по стандартам, озаглавленному «Электронные записи как документальные доказательства», который предоставляет информацию и рекомендации по разработке политик, процедур, процессов и документации, которые поддерживают надежность, точность и подлинность электронных записей. Кроме того, Директива по управлению идентификационной информацией и Стандарт по удостоверению личности и удостоверению личности содержат рекомендации по проверке личности физических лиц, которые в равной степени применимы к использованию электронных подписей.

Мы надеемся, что это поможет. С любыми вопросами обращайтесь по адресу [email protected].

С уважением,
Рита Уиттл
Генеральный директор по политике безопасности и управления идентификационной информацией, главный информационный директор, филиал
Казначейство Секретариата Канады / Правительство Канады
[email protected] / Тел: 613-369-9683 / TTY: 613-369-9371

Сноски

Сноска 1

В этом документе «департаменты» обозначают федеральные департаменты и агентства.

Вернуться к сноске 1 реферер

Сноска 2

Исключением из требования о включении является раздел 36 PIPEDA.

Вернуться к сноске 2 реферер

Сноска 3

В настоящее время существует более 20 федеральных законов и почти 30 нормативных актов, перечисленных на веб-сайте Министерства юстиции Канады, которые содержат ссылки на «электронную подпись» (на основе поиска термина «электронная подпись» с использованием инструмента расширенного поиска Министерства юстиции Канады. ).

Вернуться к сноске 3 реферер

Сноска 4

Правила о безопасной электронной подписи являются приложением как к PIPEDA, так и к Закону о доказательствах Канады .

Вернуться к сноске 4 реферер

Сноска 5

В настоящее время рассматривается как описание алгоритма, так и процесс распознавания.

Вернуться к сноске 5 реферер

Сноска 6

Обратите внимание, что уровни доверия не следует путать с уровнями полномочий.

Вернуться к сноске 6 реферер

Сноска 7

Обратите внимание, что другие инструменты, такие как ITSG 33: Руководство по категоризации безопасности , также могут использоваться для помощи в процессе оценки.

Вернуться к сноске 7 реферер

Сноска 8

Безопасная метка времени получена из надежного источника. Целостность безопасной отметки времени защищена криптографически.

Вернуться к сноске 8 реферер

Сноска 9

Обратите внимание, что электронные подписи, созданные с использованием сертификатов, выпущенных внутренними центрами сертификации GC, такими как CA Internal Credential Management (ICM), обычно не способны поддерживать взаимодействие с внешними объектами, поскольку выдающий CA не является признанным якорем доверия за пределами GC. (Существует ограниченное количество исключений, когда ICM выдает сертификаты внешним объектам, но такие исключения не предлагают жизнеспособного долгосрочного решения.)

Вернуться к сноске 9 реферер

Сноска 10

На основе поиска по запросу «электронная подпись» с помощью инструмента расширенного поиска Министерства юстиции Канады.

Вернуться к сноске 10 реферер

Сноска 11

Электронные эквиваленты подписи, содержащиеся в законах провинций и территорий об электронных транзакциях, не применяются к GC.

Вернуться к сноске 11 реферер

Сноска 12

УЕКА заявляет, что органы, ответственные за требование о юридической подписи, могут принимать постановления, если считается, что ситуация предполагает определенную степень надежности идентификации или связи с документом, который нужно подписать. Точно так же подписи, представленные правительству (провинциальному и территориальному), должны соответствовать требованиям информационных технологий и любым правилам, касающимся метода их создания или их надежности.См. Обсуждение Канадской конференцией по единообразному праву Единообразного закона об электронной торговле .

Вернуться к сноске 12 реферер

Сноска 13

Свойства, указанные в Регламенте SES, описывают цифровую подпись, основанную на алгоритме Rivet, Shamir, Adleman (RSA). Другие алгоритмы цифровой подписи, такие как алгоритм цифровой подписи с эллиптической кривой (ECDSA), также действительны, но имеют другие математические свойства, которые не полностью соответствуют описанию в Правилах SES.

Вернуться к сноске 13 реферер

Сноска 14

По мере развития биометрических технологий это ограничение может быть пересмотрено.

Вернуться к сноске 14 реферер

Сноска 15

Обратите внимание, что многофакторный программный криптографический токен (например, программный токен на основе PKI, такой как программный токен myKEY) здесь намеренно опущен, поскольку он не считается адекватным многофакторным решением в соответствии с инструкциями, приведенными в ITSP. .30.031. Кроме того, программных токенов на основе PKI недостаточно на уровне гарантии 3, если процесс аутентификации не связан с другим подходящим токеном уровня гарантии 2 (который обычно не поддерживается в существующих развертываниях GC).

Вернуться к сноске 15 реферер

Что такое цифровые подписи? | Entrust

Что такое цифровые подписи?

Цифровые подписи, основанные на проверенной технологии инфраструктуры открытых ключей (PKI), широко признаны в качестве передового метода обеспечения цифровой проверки электронных транзакций.

Цифровые подписи обеспечивают «неотказ от авторства» — возможность идентифицировать автора и то, был ли документ изменен с момента его цифровой подписи.

Эта функция особенно полезна для рабочих процессов, где требуется одно или несколько утверждений, таких как управление цепочкой поставок или финансовое управление такими формами, как отчеты о расходах. Цифровые подписи дают клиентам, гражданам и потребителям уверенность в том, что материал действительно поступил от исходной организации.

В зависимости от требований организации Entrust может помочь с различными решениями для внедрения цифровых подписей. Сертификаты Entrust для Adobe CDS позволяют подписывать сертификаты подписи документов Entrust, а цифровые сертификаты от Entrust Managed Services PKI могут подписывать различные форматы и включать функции аутентификации и шифрования. Entrust также предлагает безопасную доставку электронных выписок через портфель продуктов Entelligence.

Все мы знакомы с бумажными подписями — собственноручной подписью на бумажном документе.Помимо юридических и договорных вопросов, основными характеристиками бумажной подписи являются:

• предназначен для привязки к конкретному человеку;
• обычно показывает обязательство, относящееся к определенному документу, с точным значением в зависимости от контекста.

Несмотря на то, что бумажные подписи далеки от совершенства, они на удивление хорошо служат во многих частях мира в качестве основы для деловых и юридических сделок. Общества научились использовать бумажные подписи в обстоятельствах, когда физическая маркировка на бумажном документе, дополненная достаточными средствами контроля и контекста, обеспечивает достаточное отзывное свидетельство обязательства, связанного с этим документом со стороны маркирующей стороны.Доказательства важны для восстановления обстоятельств, в редких случаях последующих споров.

Как работают цифровые подписи?

Цифровая подпись — это термин, используемый для маркировки или подписи электронного документа с помощью процесса, который должен быть аналогичен бумажным подписям, но который использует технологию, известную как криптография с открытым ключом. От подписей в электронном мире требуются дополнительные свойства безопасности. Это связано с тем, что вероятность споров резко возрастает для электронных транзакций без личных встреч и при наличии потенциально необнаружимых изменений в электронных документах.Цифровые подписи решают обе эти проблемы и обеспечивают гораздо большую внутреннюю безопасность, чем бумажные подписи. По сравнению со всеми другими формами подписей, цифровые подписи являются наиболее легко проверяемыми и наиболее надежными с точки зрения обеспечения целостности документа.

В чем разница между бумажными и цифровыми подписями?

Цифровую подпись можно рассматривать как числовое значение, представленное в виде последовательности символов и вычисляемое с помощью математической формулы.Формула зависит от двух входных данных: последовательности символов, представляющих электронные данные, которые должны быть подписаны, и секретного числа, называемого закрытым ключом подписи, связанного с подписывающей стороной и доступ к которому имеет только эта сторона. (Соответствующий открытый ключ, который может быть опубликован для всеобщего обозрения, как номер телефона в телефонном справочнике, позволяет проверить подпись.) Полученное вычисленное значение, представляющее цифровую подпись, затем прикрепляется к электронным данным так же, как бумажная подпись. становится частью бумажного документа.

Это дает два важных результата:

1. Цифровая подпись может быть однозначно связана с конкретным подписанным документом, потому что первый ввод — это точная последовательность символов, представляющих эти данные.
2. Подпись может быть однозначно связана с подписывающим лицом, потому что вторым входом является закрытый ключ, которым управляет только это лицо.

Проверка подлинности цифровой подписи также основана на формуле.Здесь формула зависит от трех входных параметров: последовательности символов, представляющих предположительно изначально подписанные электронные данные, открытого ключа подписывающей стороны и значения, представляющего предположительно подлинную цифровую подпись. Формула дает простой ответ: да или нет. «Да» означает, что цифровая подпись действительно является подлинной цифровой подписью представленных электронных данных и связана со стороной, связанной с используемым открытым ключом.

Как создается цифровая подпись?

1. фиксирует весь контекст электронной транзакции или документа, а также то, что именно подписывающая сторона берет на себя;
2. , гарантирующий, что данные, отображаемые пользователю, точно отражают данные, которые должны быть подписаны цифровой подписью;
3. , требующий от пользователя дать сигнал о понимании взятого на себя обязательства и желании быть связанным с ним;
4. аутентификации пользователя для того, чтобы закрытый ключ пользователя стал доступным для подписывающего устройства;
5. вычисление подписи на основе закрытого ключа подписывающей стороны и подписываемых данных;
6. сервер отметок времени, необязательно добавляющий поле времени и даты к данным и подписи подписывающего лица, а затем подписывающий; и
7. пересылает подписанную транзакцию для обработки, хранения или последующей проверки.

   No related posts.