Что такое цифровая рукописная подпись (ЦРП)


    Русские буквы «Я», отличающиеся формой траектории, и пример нахождения экстремальных точек для быстрого сопоставления динамических кривых. Источник: Д.В. Колядин, И.Б. Петров, «Алгоритм выделения экстремальных точек применительно к задаче биометрической верификации рукописной подписи». Исследовано в России. — М.: МФТИ, 2005

    Рукописная подпись с давних времён остаётся одним из самых популярных способов подтверждения документов. Состав рукописной подписи юридически не установлен. Это может быть имя и фамилия в рукописной форме или просто крестик (“Х”): любая произвольная совокупность символов, оформленных с использованием букв, безбуквенных элементов, всевозможных завитков и штришков.

    Но сейчас обычный автограф — это больше, чем просто росчерк на бумаге. Он способен выполнять роль биометрического идентификатора, а понятие «подпись» значительно расширилось:

    • Физическая подпись (wet signature): физическая отметка на документе, поставленная человеком собственноручно. Раньше её называли просто «подпись», но сейчас иногда специально указывают определение wet, чтобы не путать с электронной подписью (ЭП) и цифровой рукописной подписью (ЦРП).
    • Электронная подпись (ЭП), она же цифровая подпись (ЦП), электронная цифровая подпись (ЭЦП).
    • Цифровая рукописная подпись (ЦРП): собственноручная подпись человека, учинённая с помощью соответствующих программных средств (в том числе планшетов, дисплеев) для подтверждения целостности и подлинности подписываемого документа в электронном виде.

    Физическая подпись (wet signature)


    Физическая подпись чернилами по бумаге по-прежнему остаётся базовым компонентом системы верификации документов, хотя в последнее время это уже не единственный и не самый надёжный способ верификации. Например, международная платёжная система MasterCard объявила об отмене собственноручной подписи с апреля 2018 года при расчёте кредитной или дебетовой картой в США и Канаде. По статистике платёжной платформы, сейчас 80% покупок по карточке в США совершаются без подтверждения подписью, а с апреля 2018 года это количество может вырасти до 100%.

    По мнению MasterCard, устранение собственноручной подписи — ещё один шаг в цифровой эволюции платежей и безопасности. Платёжная система пришла к выводу, что отказ от физической подписи никак не снижает безопасность платежей в современную эпоху, когда в массовое использование входят смарт-карты с чипами, токены авторизации, биометрические методы идентификации и новые цифровые платформы бесконтактных платежей вроде Masterpass.

    Несмотря на распространённость физической подписи, визуально достаточно сложно отличить настоящую подпись от подделки. Даже две подписи одного и того же человека могут существенно различаться. Без проведения экспертизы вы не можете быть уверены, что полученный документ действительно подписан конкретным человеком, особенно если подпись документа выполнялась без свидетелей.

    Верификация рукописной подписи требует специальной процедуры. Есть автоматизированные системы верификации, в которых алгоритмы распознавания подписи опираются на алгоритмы распознавания образов или математические методы анализа кривых. Существуют также специализированные учреждения (центры судебных экспертиз), где специально обученные эксперты выполняют экспертизу подлинности рукописной подписи. Но в любом случае ни автоматизированная, ни экспертная оценка не может на полностью гарантировать, что конкретный экземпляр подписи действительно соответствует оригиналу. Если же рукописная подпись «простая», то есть состоит из малого количества элементов (1-2 буквы), то надёжно определить её подлинность объективно невозможно. И в любом случае для проведения экспертизы требуется один или несколько «оригиналов» рукописной подписи, когда носитель подписи собственноручно расписывается в присутствии свидетелей. Только после этого можно установить, принадлежит ли ему копия, которая проходит экспертизу.

    Электронная подпись


    Электронная подпись — реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа.

    В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр (центр сертификации). Правовые условия использования ЭП регламентирует ФЗ РФ от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Последние изменения в этот закон внесены в декабре 2015 года и о них рассказывалось на «Хабрахабре». Вот два самых важных нововведения:

    1. Ведомствам издателям сертификатов запрещено вносить с сертификаты дополнительные поля и требования их обязательности. Теперь имея одну единственную квалифицированную ЭП вы можете быть авторизованы и использовать все государственные информационные системы.

    2. Теперь неважно, кем именно выдан сертификат ключа ЭП, поскольку все сертификаты проверки позволяют построить цепочки сертификатов до Головного Удостоверяющего центра, так что пользователям остаётся иметь в доверенных только сертификат ГУЦ.

    Важно отметить, что все российские квалифицированные подписи действуют только на территории РФ, и для проверки подписи необходимо дополнительно устанавливать корневой сертификат соответствующего национального удостоверяющего центра. Таким образом, основными клиентами российских УЦ являются госструктуры, которые обязаны работать с ГОСТами. А международные цифровые подписи, например компании GlobalSign, можно использовать по всему миру, в том числе в России.

    Самые большие в мире доверенные службы для электронных документов — доверенный список Adobe (AATL) и программа Microsoft Root Trust. Удостоверяющие центры и поставщики услуг доверенной службы, включённые в этот список, выпускают основанные на сертификатах цифровые идентификаторы и службы отметок времени, которые соответствуют законным и нормативным требованиям в мире, таким как стандарт ЕС eIDAS.

    Microsoft поддерживает два типа цифровых подписей, которые делятся на видимые и невидимые
    Невидимая цифровая подпись не отображается в содержимом самого документа. Но получатели документа смогут определить, что он был подписан, найдя красную ленту в строке состояния документа в нижней части экрана или просмотрев область подписи.
    Видимая цифровая подпись отображается как строка подписи, как в физическом документе. Добавление одной или нескольких строк цифровой подписи в документ позволяет вам указывать лиц, которые должны подписать документ. Подписывающее лицо применяет свою цифровую подпись в созданной строке подписи и может добавить изображение своей физической подписи. image

    Сертификат PDF Signing используется для сертифицирования и для утверждения PDF-докуметов. Получатель сертифицированного документа знает, что документ подлинный, получен от проверенного источника, и не подвергся подделке. Подписи утверждения документа является электронным аналогом рукописной подписи на физических документах.
    image

    Цифровая рукописная подпись


    Наконец, стоит упомянуть ещё об одной интересной технологии — цифровой рукописной подписи. ЦРП пока не закреплена в российском законодательстве, но есть основания предполагать, что в будущем это произойдёт. Например, в соседней Беларуси цифровые рукописные подписи легализованы с 3 марта 2018 года в банковской сфере.

    ЦРП можно проставить:

    • удалённо при помощи специальных программно-аппаратных средств (включая планшеты и дисплеи);
    • при личном присутствии клиента.

    По сути, ЦРП представляет собой цифровой аналог физической подписи. Это определённая попытка смягчить недостатки, присущие физической подписи, в том числе сложность определения аутентичности подписи.

    Экспертизу ЦРП можно проводить практически мгновенно, используя программный подход. Цифровой планшет регистрирует не только очертания символов подписи, но и другие параметры, которые анализируются в процессе экспертизы физической подписи — положение конца ручки (стилуса) в определённые моменты времени, угол наклона ручки и оказываемое на планшет давление. Данные, получаемые с помощью графических планшетов, отражают динамику мускульных движений руки, и, следовательно, являются биометрической характеристикой конкретного человека.

    Например, на иллюстрации ниже показан пример информации, собранной с планшета в процессе динамического распознавания цифровой рукописной подписи: координаты стилуса, давление, азимут и наклон.



    В случае с физической подписью перечисленные характеристики анализируют эксперты. Анализ ЦРП выполняется программно по перечисленным характеристикам с использованием техник распознавания образов, таких как алгоритм динамической трансформации временной шкалы, скрытые марковские модели и векторное квантование (нейронные сети Кохонена).

    Динамическое распознавание рукописной подписи является примером поведенческой биометрии. Методы, основанные на поведенческой биометрии, считаются лучше защищёнными от подделки, чем физиологическая биометрия со статическим распознаванием (отпечаток пальца, радужная оболочка глаза, геометрия ладони и т. д.), хотя здесь возникают определённые трудности из-за вариативности характеристик. В этой области идёт активная научно-исследовательская работа.

    Первый международный конкурс программ по верификации рукописной подписи: SVC (Signature Verification Competition) состоялся в начале 2004 года. Сейчас ежегодно проводится конференция ICFHR (International Conference on Frontiers in Handwriting Recognition), в рамках которой организовано несколько конкурсов.

    Таким образом, со временем собственноручная подпись может получить «вторую жизнь» в цифровую эпоху, если её признают надёжным методом биометрической верификации и примут соответствующее законодательство для легализации ЦРП.



    АКЦИЯ GLOBALSIGN: Wildcard SSL + 1 ГОД В ПОДАРОК
    Защитите все субдомены одним сертификатом!

    Экономьте до 30 тысяч рублей при покупке сертификата Wildcard SSL на 2 года!
    Промо-код: WC001HRFR

    Акция действует для подписчиков блога GlobalSign до 15 июня 2018 г.

    Дополнительную информацию вы можете получить у менеджеров GlobalSign по телефону: +7 (499) 678 2210 либо заполнив форму на сайте с указанием промо-кода.
    GlobalSign
    258,00
    Компания
    Поделиться публикацией

    Комментарии 28

      +2
      Что-то у меня ощущение что ЦРП к именно подписи документов имеет весьма отдаленное отношение. Это скорее еще один метод аутентификации.
      Т.к. ЦРП никак не «привязана» к документу.
        0
        Но при желании ее можно привязать, делать вложенные подписи как на настоящих документах
          0
          Что мешает скопировать ЦРП в другой документ. Что мешает изменить «подписанный» ЦРП документ? И это только на вскидку…
            0
            Некоторые планшеты подписи могут сами шифровать биометрию таким образом, что при последующем изменении подписанного документа, эта биометрия уже не может быть расшифрована. Так собственноручная подпись привязывается к документу. Перенос этого блока подписи в другой документ не позволит расшифровать подпись в случае споров, а значит, нельзя будет провести графологическую экспертизу поддельного документа; следовательно, документ не тот, что подписывался.

            Есть немного разные подходы. В основном эти данные под NDA. Если интересно, пишите в личку. Я как раз занимаюсь планшетами для подписи и соответствующим ПО.
              0
              А что мешает скопировать подпись? Т.е. эта вещь разве является идентификатором того что подписал именно конкретный человек, а не злоумышленник? Судя по статье нет, а значит получается что имеет сугубо «декоративный» харакетр, по сравнению с той же ЭЦП.
              Или я заблуждаюсь?
                0
                Про защиту от копирования блока подписи и помещения его в другой документ я уже писал — если попытаться перенести блок подписи (а PDF документ представляет собой блочную структуру и подпись в нем — отдельный блок, добавленный к исходному документу), то расшифровать этот блок не представляется возможным.

                Физически расписаться может и злоумышленник, аналогично тому, как и на бумаге не видно, кто поставил подпись. Для определения принадлежности подписи назначается графологическая экспертиза.

                Вообще, подпись на планшете по своей сути полностью аналогична подписи на бумаге, но для графологов несет значительно больше информации, так как содержит не только графические данные и давление, но и скорость перемещения пера. Самое важное тут — правильно привязать подпись к документу таким образом, чтобы не было сомнений, что она сделана именно для конкретного документа.
                  0
                  Скопировать подпись я имел ввиду подделать ввод, а не переносить уже существующую.
                  Грубый пример — за меня взяли кредит, выплат нет, кредитная организация обращается ко мне. Я утверждаю что подпись не моя, а значит я должен оплачивать экспертизу и прочие радости включая потерю личного времени.
                  Зачем мне пользоваться этой технологией при существующей технологии ЭЦП?
                    0
                    Думайте о подписи на планшете как об обычной подписи на бумаге. Как и подпись на бумаге — ее может поставить кто угодно. Вам и без планшетов могут сказать, что вы расписались в договоре на бумаге. Тут у кредитных организаций есть свои риски таких действий, поэтому они заинтересованы не допускать такой фрод.
                    По решению суда экспертизу оплатит в итоге недобросовестный залогодатель, если будет признано, что вы не брали кредит.
                    Для разных задач есть разные решения. Не все граждане носят с собой токены с ЭП при походе в магазин. А, например, магазины и банки заинтересованы, чтобы вы могли быстро взять кредит на холодильник. В то же время возни с бумагой и сопутствующие расходы на логистику и архивирование хочется избежать.
                      0
                      Да, для граждан, которые не носят эцп сделали публичную оферту — если я правильно понял. Поэтому в магазинах нас просят заполнить бланк с персональными данными и поставить не личную подпись, а галочку на согласие и обработку этих данных.

                      Я вижу, что вместо бумажки с галочкой, мне будут давать планшет, но не с галочкой, а ЦРП — хотя по факту разницы вообще никакой. разве что галочку поставить стоит бесплатно и не надо ничего внедрять.

                      Другой пример. Внутренний электронный документо оборот на фирме. Чтобы избавиться от бумаги — приказы мы подписываем эц и они имеют юридическую силу. Можно ли заменить в данному случае ЭЦП на ЦРП? Т.е. будут ли такие документы иметь юридическую силу или их все равно надо будет дублировать или в бумажном видел или подписывать ЭЦП?

                      Третий пример — тоже что и второй только внешний эдо. Могу я подписать счета, банковские выписки, или отправить письмо по какой нибудь государственной системе ДЕЛО?

                      Я может не понятно высказываю свои мысли (не все умеют это делать красиво) по примерам выше можете пояснить, сможет ли ЦРП занять место ЭЦП?

                      Почему мне это интересно? В медицину сейчас внедряют электронные больничные, и каждый больничный должен подписать врач своим ЭЦП. Так как врач ходит по разным мед. учреждениям он или должен носить свой ЭЦП за свои деньги, или каждое мед.учреждение должно купить ему ЭЦП если работа идет например на удаленном сервере и «личный» ЭЦП не получиться использовать технически. Сможет ли ЦРП заменить в этом случае ЭЦП? На вид это пока единственное где я вижу реально применение. Есть еще?
                        0
                        Да, для граждан, которые не носят эцп сделали публичную оферту — если я правильно понял.

                        Никакая публичная оферта не заменяет необходимости подписывать кредитный договор. Его можно подписать собственноручно или с использованием квалифицированной ЭП. Если у всех клиентов есть с собой квалифицированная ЭП, то можно использовать эту технологию для отказа от бумаги. В реальной жизни у клиента ничего нет. Поэтому отказаться от бумаги используя квалифицированную ЭП не получается. Планшеты в этом случае решают задачу отказа от бумаги сильно не меняя процессы подписания.

                        Другой пример. Внутренний электронный документооборот на фирме

                        По-моему, в большинстве задач внутреннего документооборота ЭП будет предпочтительнее. Ограниченное множество сотрудников, которые административным способом обязаны носить токены или смарт карты. Полагаю, что вы в курсе, что можно использовать разные способы электронной подписи, предварительно условившись о порядке их применения. Например, вы можете осуществлять электронную подпись вводом кода из СМС. И это имеет статус простой подписи. Не могу не сказать про минусы такого варианта — небезопасные СМС, которые по сути не подтверждают владение SIM-картой и то, что такая простая подпись никак не связана с самим документом.

                        Что касается ЦРП, то результат подписания можно рассматривать и как обычную собственноручную подпись (пока в РФ нет отдельных законов для такого типа подписи) и как неквалифицированную ЭП.
                        По третьему примеру — я не знаком с форматом приема данных государственной системы ДЕЛО, но подозреваю, что она ожидает на входе именно документ с ЭП, которую может проверить. При использовании ЦРП проверка подписи производится только для спорных случаях. Пока спора нет — подпись — это просто картинка стоящая рядом с ФИО подписанта. Ответ — нет, думаю, что ЦРП тут не применим.

                        С больничными можно рассмотреть вариант, но тут скорее надо делать гибридный вариант, когда врач рассписывается облачной подписью. По мне так тут лучше строгую аутентификацию использовать, так как врачи — ограниченный груг лиц.

                        ЦРП можно предложить клиентам медучреждений подписывать всякие бумаги, тогда это оправдано.
                        0
                        Отлчие планшета от бумаги — на планшете не составит особого труда внедрить запись потока событий сенсора при собственноручной подписи одного документа, а затем воспроизвести её под соверешенно другим. Или показать пользователю один документ для подписи, а реально подписать другой. И ни одна экспертиза, имея на руках только один документ из этих документов (ну и образец подписи), не сможет установить ни факт подлога или подделки, ни факт собственноручной подписи. Даже имея конкретный девайс максимум сможет установить, что нет следов вмешательства в заявленные алгоритмы подписи. Но никак не сможет добросовестно утверждать, что документы подписаны собственноручно с полным пониманием того, какой документ подписывается.
                          0
                          на планшете не составит особого труда внедрить запись потока событий сенсора при собственноручной подписи одного документа, а затем воспроизвести её под соверешенно другим

                          Как я уже упоминал, есть планшеты, для которых это невозможно, так как сам документ является параметром для шифрования.

                          Или показать пользователю один документ для подписи, а реально подписать другой

                          Тут как раз лучше, чем с бумагой, где подмена документов ловкостью рук иногда практикуется (или уже нет?). Если вы начали процесс подписи, то на планшете отображается документ, который позже будет подписываться. Если вы потом захотите «подсунуть» другой документ, то он сначала опять-таки должен отобразиться на планшете.
                            0
                            Как технически это «невозможно»? Аппаратное шифрование на уровне сенсорного экрана ещё до того, как данные с него попадут в ОС, драйвера и приложение?
                              0
                              Планшет — это не только экран. Это компьютер с ARM процессором. Он может сам шифровать данные. Для защиты от манипуляций можно удалять чувствительную информацию при попытке вскрытия корпуса, аналогично тому, как это реализовано у HSM.
                                0
                                Это работает если я кому-то даю свой планшет на время для подписи вне зоны моего физического контроля. Это не работает, если кто-то даёт мне свой планшет, чтобы я что-то подписал. А при вскрытии корпуса такой планшет может удалять «дополнительную функциональность».
                                  0
                                  Все так.
                                  Поэтому я упоминал про кассовые аппараты. У сделок в которых участвуют кассовые аппараты есть юридическая значимость. Их область действия весьма ограниченна, но для определенных сделок этого достаточно.
                                  Тут что-то аналогичное. Весьма ограниченная область применения, но это не умаляет (наверно, сам не эсплуатировал) достоинств в области применения.
                                    0
                                    Ну, с кассовыми аппаратами есть нюанс: по сути они не принадлежат не продавцу, а государству, которому и продавец, и покупатель вынужденно доверяют.
          0
          А скан собственноручной подписи является ЦРП?
            0
            Скан является разновидностью клише. Собственноручной подписью не является, поскольку не позволяет исследовать ее графологические данные.
            0
            Экспертизу ЦРП можно проводить практически мгновенно, используя программный подход. Цифровой планшет регистрирует не только очертания симворлов подписи, но и другие параметры, которые анализируются в процессе экспертизы физической подписи — положение конца ручки (стилуса) в определённые моменты времени, угол наклона ручки и оказываемое на планшет давление. Данные, получаемые с помощью графических планшетов, отражают динамику мускульных движений руки, и, следовательно, являются биометрической характеристикой конкретного человека.

            Это все хорошо.
            Но таким образом идет привязка в конкретному оборудованию и версии алгоритмов.
            Юридическая значимость — думаю, примерно как у кассовых аппаратов. И как у кассовых аппаратов, думаю область применения так же строго определенная.
            Слабо представляю себе заключение договоров с помощью ЦРП. А вот скажем цифровое оформление квитанций штрафов «прямо в поле», вполне может быть.
              0
              Слабо представляю себе заключение договоров с помощью ЦРП. А вот скажем цифровое оформление квитанций штрафов «прямо в поле», вполне может быть.


              Как раз для заключения договоров такая форма вполне согласуется с ГК РФ. См. главу 28, в частности ст. 434
              Так договор получается непосредственно подписан сторонами/стороной в той форме, в которой стороны договорились, в частности, в форме электронного документа.
                0

                А как доказать, что стороны договорились?

                  0
                  См. ГК РФ — публичную оферту и акцепт. Самый простой и безрисковый способ — подписать клочок бумаги размером A5, в котором одновременно будет присоединение к оферте и СОПД. Если ЦРП зарегулируют законодательно, бумажки не понадобится.
                  0
                  ЭЦП — это функция от содержимого объекта подписи, содержимого подписи и приватного ключа.
                  ЦРП — это функция от…. От чего?
                  Из статьи пока очевидно, что ЦРП функция от руки подписывающего, физического устройства и алгоритма. Где там сам объект подписи, неясно.
                    0
                    ЦРП это графологические данные, по которым можно провести экспертизу. А так же она должна сопровождаться технической ЭП, которая защитит документ от изменений.
                0
                del
                  0
                  В некоторых системах доставки (Pickpoint, например) при выдаче посылок нужно расписаться на устройстве с маленьким узким экранчиком (LCD, без подсветки, очень низкого разрешения). Хотя наверное сам дигитайзер более приличен чем экранчик. Интересно, если в законодательстве такие системы никак не закреплены, это они чисто для себя делают?
                  Что если человек скажет, что он не забирал посылку, хотя забрал?
                    0
                    У меня проблема: я не могу дважды расписаться одинаково. Все время выходит кривая подпись, не такая как хотел. В сбербанке при оформлении счета мою подпись не принимают, заставляют вместо подписи писать фамилию и сохранить бумажечку с образцом как фамилия записана (потому что одни и те же буквы могу писать по разному, и в какой момент мне взбредет написать так, а в какой эдак, я и сам не знаю).

                    Как в таких условиях пользоваться ЦРП?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое