Firma digitale di un documento con la tua coppia di chiavi pubblica / privata senza certificati?

Naviga le tue risposte
2

Ho generato una coppia di chiavi privata / pubblica utilizzando gpg.

Posso utilizzare questa coppia di chiavi per firmare digitalmente un PDF senza un certificato digitale, ma per mantenere la firma integrata nel PDF, invece di creare un file di firma separato?

Per chiarire le cose, invece di usare la carta e le firme scritte, voglio utilizzare documenti elettronici legalmente vincolanti, ma mi chiedo se questo può essere fatto senza ricorrere alla certificazione di una CA o di certificati digitali del tutto.

Capisco che c'è una differenza tra una firma elettronica e una firma digitale, ma a me sembra che la legge UE non riconosca questa differenza.

Direttiva 1999/93 / CE del Il Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativo a un quadro comunitario per le firme elettroniche definisce "firma elettronica" come "dati in forma elettronica allegati o associati logicamente ad altri dati elettronici e che servono come metodo di autenticazione." L'UE distingue tra firma elettronica e firma elettronica avanzata. Tuttavia, sembra che le firme elettroniche abbiano ancora forza legale:

  1. Member States shall ensure that an electronic signature is not denied legal effectiveness and admissibility as evidence in legal proceedings solely on the grounds that it is:

    • in electronic form, or

    • not based upon a qualified certificate, or

    • not based upon a qualified certificate issued by an accredited certification-service-provider, or

    • not created by a secure signature-creation device.

Il primo problema è che non sono sicuro se ciò significhi che la scansione di un pezzo di carta firmato ha forza legale o se si riferisce a ciò che sto cercando di realizzare. Cioè - per firmare un PDF con una chiave privata con il mio nome su di esso e allegare la mia chiave pubblica ad esso, ma tutto all'interno del file PDF.

Quest'ultimo è anche possibile? Posso firmare un PDF utilizzando la mia coppia di chiavi senza ricorrere alla certificazione da CA? Dovrei creare il mio certificato digitale o farlo senza certificati? Se dovessi creare un certificato, come lo creerei usando la mia coppia di chiavi esistente? È possibile creare certificati utilizzando Microsoft Office, ma sembra che questo generi solo un altro set di chiavi. Non ti viene mai richiesto di inserire le tue chiavi esistenti.

Inoltre, mi sembra che creare il tuo certificato possa classificarti come fornitore di certificati e quindi soggetto a requisiti legali più rigidi, motivo per cui voglio evitare del tutto i certificati.

    
posta stanny 18.04.2016 - 16:07
fonte

1 risposta

1

È possibile generare il proprio certificato. Il certificato viene quindi utilizzato per firmare digitalmente i dati, inclusa la firma di un PDF. Questo tipo di certificato è un certificato "autofirmato".

I documenti firmati con un certificato autofirmato vengono generalmente considerati con diffidenza poiché non esiste alcuna relazione di trust inerente tra il certificato del firmatario e il relying party (destinatario).

Il fatto che i documenti firmati con un certificato autofirmato siano "legali" o meno dipende dalla transazione, dal paese, dalle leggi e dai regolamenti applicabili.

DocuSign (la mia azienda) ha una panoramica dei problemi legali per le firme elettroniche in ogni paese.

Ricorda inoltre che il 99,99% dei documenti firmati non viene mai contestato in tribunale. Quindi l'altro modo di guardarlo è: se il destinatario accetta il documento firmato nel modo che tu proponi, allora è abbastanza buono.

Non preoccuparti di essere "catalogato come fornitore di certificati" a meno che non inizi a fornire certificati ad altri.

Ri: è una scansione di un pezzo di carta che ha firmato con un bollino elettronico una firma? Sì. Si chiama "Firma elettronica di base". È legale in molte giurisdizioni per molti tipi di transazioni. Inoltre, NON è legale in molte giurisdizioni per molti tipi di transazioni.

    
risposta data 19.04.2016 - 10:55
fonte

Leggi altre domande sui tag

Cos'è l'autenticazione basata sugli attributi? Qual è lo scopo dei segnaposto (ad esempio% k,% f) in alcune opzioni di GnuPG?