Quali fattori devo considerare per i dispositivi che accettano firme digitali scritte a mano?

Naviga le tue risposte
16

In questi giorni molte località ti chiedono di dare la tua firma su un dispositivo / dispositivo per la firma digitale.

Poiché sono in Europa, la direttiva UE 1999/93 / CE sembra regolarlo. Da quanto ho scoperto finora dal punto di vista di un dispositivo, per rispettare la direttiva dovrebbe:

  • avere una chiave privata incorporata nel dispositivo che è firmata da una CA attendibile, con la quale la firma e il documento scritti a mano sono crittografati
  • assicurati che la chiave privata esista solo nel dispositivo e non sia estraibile (alcune aziende offrono anche soluzioni per iPad, quindi la chiave privata probabilmente non è obbligatoria)
  • superficie di acquisizione sensibile alla pressione, in modo che la biometria della firma possa essere catturata

Ma che altro si dovrebbe cercare nel dispositivo / soluzione per assicurarsi che le firme accettate sul dispositivo siano valide come le loro controparti cartacee (ad esempio, possono resistere in tribunale)?

This question was featured as an Information Security Question of the Week.
Read the Dec 19, 2014 blog entry for more details or submit your own Question of the Week.

    
posta Indrek 30.10.2012 - 15:41
fonte

2 risposte

8

Non penso che ci saranno garanzie. Se non ci sono precedenti giurisprudenze sull'argomento, allora mi aspetto che ciò si traduca in una valutazione della credibilità, basata sulla testimonianza delle persone coinvolte, possibilmente da testimonianze di testimoni esperti e dal resto delle circostanze che circondano il caso giudiziario.

Tieni presente che il processo legale non tratta le firme come garanzie assolute ironclad; li considerano parte della totalità delle prove.

Se vuoi pensare a come far sì che questo si presenti in tribunale, vorrei avere due suggerimenti. Per prima cosa, parla con un avvocato. (La consulenza legale non è il nostro punto di forza su questo sito.) Questo è il consiglio più importante che posso darti: parla con un esperto legale.

In secondo luogo, suggerirei di pensare a questo da una prospettiva contraddittoria. Immagina di essere un testimone esperto ingaggiato per demolire la credibilità della firma in tribunale. Quale saresti la tua linea di attacco? Cosa diresti, per cercare di convincere un giudice o una giuria che la firma non prova nulla? Quindi, pensa a quali processi o meccanismi puoi mettere in atto per rendere questi argomenti meno convincenti. Si noti che complessi meccanismi tecnici che sono difficili da spiegare a una giuria non sono suscettibili di essere una valida confutazione; devi cercare qualcosa che sia convincente in un'aula di tribunale, che non è necessariamente la stessa cosa di quale meccanismo sarà più efficace dal punto di vista tecnico.

La mia ipotesi è che, per una transazione di basso valore, probabilmente non hai bisogno di nessuna crittografia. Se hai catturato una firma che sembra corrispondere a come Alice firma il suo nome, probabilmente sarà abbastanza buono per una transazione di basso valore. Al contrario, per una transazione di alto valore, sono scettico sul fatto che questi dispositivi possano essere persuasivi in tribunale, a prescindere da quanta fantasia criptica tu abbia gettato in loro. Abbiamo decenni di familiarità ed esperienza con le firme di inchiostro bagnato su carta, e comprendiamo le loro modalità di guasto molto meglio di quanto facciamo con i signature pad digitali. Guarda il chip-e-pin del Regno Unito, ad esempio; ha sofferto di molteplici e gravi falle nella sicurezza (trovate soprattutto dagli addetti alla sicurezza di Cambridge), anche se il loro schema ha un sacco di crittografie abbastanza ragionevoli progettate e destinate a fermare tali attacchi.

    
risposta data 30.10.2012 - 19:33
fonte
3

La direttiva UE 1999/93 / CE (e la sua imminente sostituzione) applica l'equivalenza legale tra una firma elettronica qualificata e una firma autografa in tutti gli Stati membri e "un valore legale" per altri tipi di firme elettroniche avanzate. Tuttavia, questa direttiva non affronta le "firme digitali scritte a mano" ma le firme elettroniche effettive, come standardizzate ad esempio da PAdES o CAdES. In altre parole, la 1999/93 / CE non ti aiuterà qui, e dubito che le sole misure tecniche garantiranno che questo tipo di firma sia accettato in tribunale.

modifica:

Diverse aziende offrono soluzioni basate su tablet che dichiarano di essere conformi ad AdES 1999/93 / EC, cosa che non credo.

In primo luogo, le firme elettroniche avanzate che forniscono l'equivalenza legale con una firma manoscritta richiedono l'uso di un certificato qualificato (articolo 93/93 / CE articolo 5.1): le soluzioni basate su tablet ovviamente non appartengono a questa categoria.

Per le firme elettroniche avanzate non qualificate, condivido l'opinione di Legge europea concisa IT :

"Although the definitions are being formulated in a technology neutral way, they implicitly refer to certificate-based public key cryptography, also known as 'digital signature' technology."

In pratica, solo le firme basate sui certificati forniscono l'interoperabilità voluta dalla direttiva, a causa delle varie trasposizioni nazionali della definizione di AdES. Ad esempio, Legge Repubblica Ceca 227/2000 richiede che sia AdES

"created and attached to a data message using means that the signatory can maintain under his sole control"

La maggior parte (se non tutte) le soluzioni basate su tablet falliranno la parte "collegata". Infatti, uno scarabocchio catturato su un tablet (con o senza dati biometrici) è riutilizzabile con qualsiasi documento, contrariamente a una corretta firma digitale.

    
risposta data 04.11.2012 - 21:08
fonte

Leggi altre domande sui tag

Il miglior metodo per le applicazioni sandbox X in ubuntu Ogni formato hash accettato da nginx per l'autenticazione di base HTTP è debole contro la forza bruta?