I documenti sono veramente "firmati" da DocuSign?

21

Non sono mai stato contento della spiegazione che DocuSign offre nel proprio materiale di marketing (ad es. link , link e link ). Ho una serie di domande:

  1. Per me, se voglio firmare un documento, devo crittografare l'hash del documento con la mia chiave privata, e tutti i destinatari possono verificare la firma decodificando l'hash della mia firma e confrontandola con la propria ricalcolare l'hash. Su DocuSign non riesco a vedere dove o come posso fornire la mia chiave privata (che sarebbe di per sé un enorme problema di sicurezza) né mi consentirà di mantenere privata la mia chiave privata (ad esempio, nei miei locali, non caricata sul loro server). Non c'è nemmeno menzione di alcuna chiave pubblica - in effetti non c'è modo per me di verificare l'integrità e la paternità di qualsiasi documento, dato che DocuSign semplicemente non mi dà quel tipo di metadati, devo solo prendere la parola per questo che il documento non è stato manomesso.

  2. In che modo DocuSign verifica l'identità in modo significativo? Finora tutto quello che posso dire è che possono verificare la proprietà dell'indirizzo e-mail (o almeno la casella di posta accesso ), non ricordo di essere mai stato richiesto per verificare la mia identità conducendo caricamenti di licenza o di scansione del passaporto - quindi come è quella prova dell'identità legalmente considerata? In che modo è una firma in qualche modo se non può essere collegata in modo determinabile con la mia identità di vita reale? Chiunque può richiedere uno dei miei indirizzi di Hotmail scaduti e creare un account DocuSign per me e firmare le cose con esso.

  3. Ho un problema con DocuSign che è contemporaneamente 1) il verificatore dell'identità, 2) il titolare dei documenti e 3) il generatore delle firme - il fatto che sia una singola entità legale significa che hanno la e certamente il mezzo tecnico per alterare qualsiasi documento, la sua firma e le affermazioni su quella firma; considerando i recenti eventi di notizie in cui alcuni governi delle nazioni del primo mondo cercano di costringere le aziende a decifrare i loro dati, ciò significa che non ritengo che DocuSign sia abbastanza affidabile da "firmare" qualsiasi cosa significativa. C'è anche il fatto che il codebase di DocuSign è proprietario e non accessibile - Devo prendere la parola (sulla loro homepage, non meno) che sono stati controllati in modo indipendente e che l'audit significa qualcosa.

  4. Inoltre non mi piace il modo in cui generano un'immagine "firma" falsa scritta a mano - ho pensato che è stato stabilito che avere una foto di scrittura a mano di qualcuno accanto a un testo non costituisce una firma. Sono preoccupato dell'effetto che questo può avere sugli utenti: una specie di " effetto CSI " dove il cripto-laico pensate che un'immagine della loro firma sia sufficiente e quindi applicate questo "fatto" appreso ad altre piattaforme, peggiorando così la consapevolezza del pubblico nei confronti di PKI (dopo tutti i progressi compiuti nell'educare gli utenti su SSL).

Considerati i problemi che ritengo trovati in DocuSign sopra - se sono coinvolto in un caso legale, come una controversia contrattuale, e la versione su DocuSign è presentata come prova - una parte nella causa può legittimamente rivendicare che il documento DocuSign è in buona fede, al contrario, con quanta facilità l'altra parte potrebbe mostrare che la "firma" non è affidabile?

vale a dire. qualcuno può riassumere il servizio di DocuSign e dire categoricamente se è crittograficamente o almeno legalmente valido?

    
posta The D 09.03.2016 - 10:14
fonte

6 risposte

16

Una firma è, in definitiva, un concetto legale. Quando firmi un documento, stai davvero producendo una pistola legale mirata alla tua testa (quindi di solito vuoi che altre persone firmino le cose, non firmarle tu stesso). Il valore di una firma deriva dal suo potere legale, cioè quanto permetterà di applicare la responsabilità e la colpa al firmatario. Gli elementi crittografici (RSA e così via) sono solo strumenti che possono aiutare a costruire il lato tecnico delle cose, ma ciò non può essere sufficiente. In definitiva, ci deve essere una sorta di quadro legale che definisce le firme.

Ovviamente, questo dipenderà dalla giurisdizione. Tuttavia, i paesi / stati che stanno attualmente definendo le leggi per le firme elettroniche tendono a seguire le stesse linee:

  • Una firma è vincolante purché sia stata effettivamente firmata dal presunto firmatario. Questo sembra tautologico, ma è una definizione importante: in realtà dice che il valore legale della firma non è intrinseco a una tecnologia specifica. Scrivi il tuo nome alla fine di una email è una firma.

  • Ciò che conta è l'onere della prova . Normalmente le strutture segregano i sistemi in due categorie: quelli per cui le firme sono reputate buone, ed è la parte che nega di aver firmato chi deve fare tutto il lavoro di correzione; e quelli per cui le firme sono reputate inutili a meno che non venga mostrata una prova positiva di attribuzione al presunto firmatario. "Nome alla fine di un'email" appartiene a quest'ultima categoria; una prova positiva può essere semplicemente un testimone che ha visto il firmatario digitare l'email.

  • Il riferimento per le firme sono le firme scritte a mano, che sono, tecnicamente parlando, assolutamente terribili. Sono difficili da convalidare e possono essere falsificati. Le firme manoscritte sono ancora utilizzate grazie a un quadro legale che punisce severamente chiunque neghi la propria firma. Dal momento che le firme autografe si verificano nel mondo fisico, l'atto stesso di firmare (con una penna) lascia molte tracce (testimoni e così via) così tante persone alla fine scoprono che ripudiare le proprie firme è troppo rischioso.

  • Un'ulteriore complicazione è che i sistemi legali della tradizione "Common Law" tendono a fare affidamento sulla giurisprudenza per appianare i minimi dettagli, quindi paesi come Stati Uniti e Regno Unito avranno probabilmente quadri legali per le firme che si riducono a " aspetta e vedi "(" ci vediamo in tribunale ", intendo).

In Francia (che ha un sistema legislativo molto "latino" che ama le definizioni rigorose precostituite, stile Descartes), il quadro legale definisce i sistemi che sono qualifiés , con il quale significano che hanno attraversato audit indipendenti e un processo amministrativo che ha tutta la semplicità che ci si può aspettare dalla burocrazia francese, nel senso che per questi sistemi l'onere della prova incombe su chiunque affermi che la firma non è vincolante. L'elenco delle systèmes qualifiés è pubblicato e vedo no DocuSign lì [modifica: a partire dal 21 luglio 2017, DocuSign France è ora elencato].

DocuSign ha una pagina dedicata al lato della legalità delle cose - che è infatti molto più importante della tecnologia. In particolare, dicono questo:

While DocuSign has a successful history of providing customers with all the evidence they need to defend their documents against repudiation, DocuSign is available to assist our customers with legal challenges by testifying in court to support the validity of DocuSigned documents.

che implicitamente ammette che il loro sistema tende ad essere di tipo "deve dimostrare validità", cioè non quello che vorresti - ma affermano di aver avuto buoni risultati in alcuni tribunali, e che ti aiuteranno. A quel punto, direi che se vuoi usare DocuSign per far firmare i tuoi clienti / partner commerciali, faresti meglio ad assicurarti che ci siano clausole appropriate nel tuo contratto che assicurino un strong livello di aiuto da DocuSign, con assicurazione e così via. Il tuo team di avvocati dovrebbe essere coinvolto.

    
risposta data 09.03.2016 - 21:58
fonte
3

Vedi link per una spiegazione eccezionale di come funziona effettivamente DocuSign, incluso il loro uso o crittografia (o la sua mancanza). In breve, DocuSign funziona fondamentalmente come "testimone" per attestare che qualcuno con accesso a un determinato account di un utente ha accettato i termini di un determinato documento. Sebbene DocuSign ricorra all'utilizzo della crittografia nei loro materiali di marketing, la crittografia in realtà non svolge un ruolo fondamentale nel processo di "firma".

    
risposta data 09.03.2016 - 22:13
fonte
2

1: lo cripti con la tua chiave pubblica e lo decifri con la tua chiave privata. Firmi con la tua chiave privata che viene verificata con la tua chiave pubblica. NOTA: non inviare mai la tua chiave privata da nessuna parte!

Non vedo alcun modo per ottenere la chiave pubblica di DS, il che non ha senso. Non c'è motivo di nasconderlo.

2: non richiede la verifica dell'identità del firmatario. La pagina di DocuSign al link sembra strong, ma un avvocato esperto la distruggerebbe in breve tempo. Nello specifico, rivendicano il non-ripudio "ammissibile al tribunale" per:     Firma i nomi delle parti     Firme digitali     Indirizzi email     Indirizzi IP pubblici     Ubicazione della firma (se fornita)     Catena di custodia (inviata, visualizzata, firmata, ecc.)     timestamps Il problema è che tutti questi possono essere facilmente falsificati con l'eccezione dei timestamp, che senza il resto sono inutili.

3: Hai ragione. Nota che non convalidano la tua identità, né firmano la tua chiave. Non usano la tua chiave pubblica né ti permettono di firmare con la tua chiave privata. È tutto apparentemente del loro, che non è affatto buono.

4: Non mi piace neanche quello. Mi rifiuto di consentire che la mia firma scritta venga allegata a un'e-mail non protetta.

Sei davvero sopra questo. È un po 'fasullo per le persone che non conoscono meglio. È legittimo? È un business legittimo, che esegue quelli che sembrano servizi di firma digitale di alta qualità. Certo, è molto meglio di quelle soluzioni che si basano solo su una firma grafica. È un passo nella giusta direzione. Ma c'è molto da diffidare e spero che lo risolvano presto (improbabile).

    
risposta data 14.03.2016 - 15:35
fonte
2

Mi è stato chiesto di 'firmare' un documento DocuSign e anch'io sono stato confuso dal processo.

In Canada, la firma digitale è coperta, per quanto posso dire, dal PIPEDA (Legge sulla protezione dei dati personali e sui documenti elettronici). Da una copia aggiornata al 26 ottobre 2016, la sezione "Firma elettronica sicura" afferma che:

Il Governatore in Consiglio può prescrivere una tecnologia o un processo solo se il Governatore in Consiglio è soddisfatto che si può dimostrare che

(a) la firma elettronica risultante dall'uso da parte di una persona della tecnologia o del processo è esclusiva della persona; (b) l'uso della tecnologia o del processo da parte di una persona per incorporare, allegare o associare la firma elettronica della persona a un documento elettronico è sotto il solo controllo della persona ;

(c) la tecnologia o processo può essere utilizzata per identificare la persona che utilizza la tecnologia o il processo ; e

(d) la firma elettronica può essere collegata a un documento elettronico in modo tale da poter essere utilizzata per determinare se il documento elettronico è stato modificato da quando la firma elettronica è stata incorporata in , allegato o associato al documento elettronico.

I punti chiave, se sono corretto qui e se sei in Canada, è: il processo deve essere sotto il controllo completo / esclusivo della persona che sta firmando, la firma può essere ricondotta a te e la stessa firma deve essere in grado di mostrare che il documento non è stato modificato.

Quindi, DocuSign sta effettivamente facendo la firma digitale, non tu / io.

Non capisco come, ad esempio, non creando un account con Docusign, non generando una coppia di chiavi PKI autofirmata da te stesso , DocuSign pensa che questo si qualifica come "sotto il unico controllo della persona ". Anche tutte le altre obiezioni sollevate qui mi hanno turbato. Almeno la miseria ha compagnia, eh.

    
risposta data 21.11.2016 - 03:42
fonte
0

La risposta tecnica è coperta da varie risposte sopra. La firma si basa su una catena di fiducia che collega DocuSign PKI con fiducia nella loro capacità di affermare la propria identità attraverso il framework di autenticazione DocuSign. Per illustrare il punto, gli scenari sottostanti utilizzano lo stesso meccanismo di base per fornire livelli crescenti di fiducia nella firma, e quindi il grado in cui la loro firma si sarebbe alzata in tribunale.

  1. Firma PKI DocuSign basata su un indirizzo email convalidato. Come per il mittente originale questo è probabilmente un livello di fiducia debole perché le loro sono poche garanzie se l'indirizzo di posta elettronica utilizzato per convalidare l'identità di DocuSign può essere associato a una persona reale.

  2. PUK DocuSign basato sull'autenticazione SSO (Single Sign-On) aziendale. La maggior parte delle organizzazioni utilizza SSO per stabilire un livello di riservatezza (ad esempio, la testimonianza) che un utente nei propri sistemi aziendali è chi dice di essere ad es. I processi HR aiuteranno a stabilire un legame tra una persona reale e la loro identità sui sistemi aziendali, e quindi il collegamento tra un'identità DocuSign e l'identità SSO utilizzata per autenticarla. DocuSign codifica questo nella loro firma PKI (DocuSign utente X ha firmato il documento Y in Z) e ti ha dato fiducia in DocuSign per verificare che l'utente possa fidarsi di chi ha detto di essere.

  3. PUK di DocuSign basato su SSO organizzativo con autenticazione a più fattori. Come sopra, questo fornisce un strong legame tra un'identità fisica reale e l'identità verificata SSO aziendale e l'identità DocuSign associata che viene successivamente codificata nella firma digitale di DocuSign (ad esempio, l'utente X di DocuSign ha firmato un documento alla data Y). L'autenticazione a più fattori offre un ulteriore livello di sicurezza nel fatto che l'utente che autentica in DocuSign è chi dice di essere, cioè non è solo un hacker che ha hackerato a distanza un account aziendale.

Quindi, in base a questo - e coprendo esplicitamente i tuoi punti:

  1. È un po 'mancante il punto - poiché è la capacità di Docusign di identificare gli utenti e mantenere la propria PKI sicura che è la base della fiducia nelle loro firme.

  2. Sono d'accordo con te. Non tutte le identità di DocuSign sono uguali e la fiducia si basa su fattori come l'autenticazione. Vale la pena notare che nel nostro caso d'uso proposto stiamo migliorando ulteriormente la sicurezza attraverso più firme, vale a dire che è possibile che l'utente X nell'organizzazione abbia fatto hackerare la sua identità elettronica, ma è molto meno probabile che tutte e tre le firme richieste per la firma di un documento siano state compromesse.

  3. In definitiva tutte le firme sono basate sulla fiducia: fiducia in una singola entità o fiducia in una catena di entità. Ad esempio, tutti i sistemi basati su PKI sono basati sulla fiducia nelle CA radice. Direi che avere una società controllata esternamente, con un strong impegno alla divulgazione, è altrettanto affidabile di quanto si possa ottenere. La fiducia deriva dal fatto che il valore di un'impresa sparirebbe quasi certamente se venissero scoperti o avessero violazioni della sicurezza. Hai seguito cosa è successo a RSA in seguito alle loro violazioni? Non è che tu abbia completa fiducia in DocuSign, ma ti fidi di loro relativamente ad altre opzioni. Come altri hanno detto - come sai che la firma bagnata su cui stai facendo affidamento è degna di fiducia?

  4. La firma autografa è un piacere per gli occhi. Se apri un PDF firmato, sarai in grado di convalidare la firma digitale in base alla catena di attendibilità della CA principale che ha firmato la chiave di firma di DocuSign.

risposta data 08.09.2017 - 17:25
fonte
-2

Ma la convalida della tua identità è più legata al lavoro notarile, non al diritto contrattuale. Non registro la maggior parte dei contratti che firmo, ma sono ancora legalmente vincolanti. E nessuno con cui firmo contratti mi ha mai chiesto di identificarmi positivamente al di fuori di contratti o applicazioni notarili. Diamine ... una stretta di mano può essere legalmente vincolante senza ID positivo. Ciò di cui hai bisogno per la prova è la testimonianza del fatto che ti ho stretto la mano. Contratti come il testamento di solito avranno un testimone firmatario per questo motivo. Nessuno chiede un notaio su un testamento, ma chiedono la testimonianza.

    
risposta data 30.05.2017 - 17:59
fonte

Leggi altre domande sui tag