Non sono mai stato contento della spiegazione che DocuSign offre nel proprio materiale di marketing (ad es. link , link e link ). Ho una serie di domande:
-
Per me, se voglio firmare un documento, devo crittografare l'hash del documento con la mia chiave privata, e tutti i destinatari possono verificare la firma decodificando l'hash della mia firma e confrontandola con la propria ricalcolare l'hash. Su DocuSign non riesco a vedere dove o come posso fornire la mia chiave privata (che sarebbe di per sé un enorme problema di sicurezza) né mi consentirà di mantenere privata la mia chiave privata (ad esempio, nei miei locali, non caricata sul loro server). Non c'è nemmeno menzione di alcuna chiave pubblica - in effetti non c'è modo per me di verificare l'integrità e la paternità di qualsiasi documento, dato che DocuSign semplicemente non mi dà quel tipo di metadati, devo solo prendere la parola per questo che il documento non è stato manomesso.
-
In che modo DocuSign verifica l'identità in modo significativo? Finora tutto quello che posso dire è che possono verificare la proprietà dell'indirizzo e-mail (o almeno la casella di posta accesso ), non ricordo di essere mai stato richiesto per verificare la mia identità conducendo caricamenti di licenza o di scansione del passaporto - quindi come è quella prova dell'identità legalmente considerata? In che modo è una firma in qualche modo se non può essere collegata in modo determinabile con la mia identità di vita reale? Chiunque può richiedere uno dei miei indirizzi di Hotmail scaduti e creare un account DocuSign per me e firmare le cose con esso.
-
Ho un problema con DocuSign che è contemporaneamente 1) il verificatore dell'identità, 2) il titolare dei documenti e 3) il generatore delle firme - il fatto che sia una singola entità legale significa che hanno la e certamente il mezzo tecnico per alterare qualsiasi documento, la sua firma e le affermazioni su quella firma; considerando i recenti eventi di notizie in cui alcuni governi delle nazioni del primo mondo cercano di costringere le aziende a decifrare i loro dati, ciò significa che non ritengo che DocuSign sia abbastanza affidabile da "firmare" qualsiasi cosa significativa. C'è anche il fatto che il codebase di DocuSign è proprietario e non accessibile - Devo prendere la parola (sulla loro homepage, non meno) che sono stati controllati in modo indipendente e che l'audit significa qualcosa.
-
Inoltre non mi piace il modo in cui generano un'immagine "firma" falsa scritta a mano - ho pensato che è stato stabilito che avere una foto di scrittura a mano di qualcuno accanto a un testo non costituisce una firma. Sono preoccupato dell'effetto che questo può avere sugli utenti: una specie di " effetto CSI " dove il cripto-laico pensate che un'immagine della loro firma sia sufficiente e quindi applicate questo "fatto" appreso ad altre piattaforme, peggiorando così la consapevolezza del pubblico nei confronti di PKI (dopo tutti i progressi compiuti nell'educare gli utenti su SSL).
Considerati i problemi che ritengo trovati in DocuSign sopra - se sono coinvolto in un caso legale, come una controversia contrattuale, e la versione su DocuSign è presentata come prova - una parte nella causa può legittimamente rivendicare che il documento DocuSign è in buona fede, al contrario, con quanta facilità l'altra parte potrebbe mostrare che la "firma" non è affidabile?
vale a dire. qualcuno può riassumere il servizio di DocuSign e dire categoricamente se è crittograficamente o almeno legalmente valido?