Как стать автором
Обновить

Комментарии 28

Что-то у меня ощущение что ЦРП к именно подписи документов имеет весьма отдаленное отношение. Это скорее еще один метод аутентификации.
Т.к. ЦРП никак не «привязана» к документу.
Но при желании ее можно привязать, делать вложенные подписи как на настоящих документах
Что мешает скопировать ЦРП в другой документ. Что мешает изменить «подписанный» ЦРП документ? И это только на вскидку…
Некоторые планшеты подписи могут сами шифровать биометрию таким образом, что при последующем изменении подписанного документа, эта биометрия уже не может быть расшифрована. Так собственноручная подпись привязывается к документу. Перенос этого блока подписи в другой документ не позволит расшифровать подпись в случае споров, а значит, нельзя будет провести графологическую экспертизу поддельного документа; следовательно, документ не тот, что подписывался.

Есть немного разные подходы. В основном эти данные под NDA. Если интересно, пишите в личку. Я как раз занимаюсь планшетами для подписи и соответствующим ПО.
НЛО прилетело и опубликовало эту надпись здесь
Про защиту от копирования блока подписи и помещения его в другой документ я уже писал — если попытаться перенести блок подписи (а PDF документ представляет собой блочную структуру и подпись в нем — отдельный блок, добавленный к исходному документу), то расшифровать этот блок не представляется возможным.

Физически расписаться может и злоумышленник, аналогично тому, как и на бумаге не видно, кто поставил подпись. Для определения принадлежности подписи назначается графологическая экспертиза.

Вообще, подпись на планшете по своей сути полностью аналогична подписи на бумаге, но для графологов несет значительно больше информации, так как содержит не только графические данные и давление, но и скорость перемещения пера. Самое важное тут — правильно привязать подпись к документу таким образом, чтобы не было сомнений, что она сделана именно для конкретного документа.
НЛО прилетело и опубликовало эту надпись здесь
Думайте о подписи на планшете как об обычной подписи на бумаге. Как и подпись на бумаге — ее может поставить кто угодно. Вам и без планшетов могут сказать, что вы расписались в договоре на бумаге. Тут у кредитных организаций есть свои риски таких действий, поэтому они заинтересованы не допускать такой фрод.
По решению суда экспертизу оплатит в итоге недобросовестный залогодатель, если будет признано, что вы не брали кредит.
Для разных задач есть разные решения. Не все граждане носят с собой токены с ЭП при походе в магазин. А, например, магазины и банки заинтересованы, чтобы вы могли быстро взять кредит на холодильник. В то же время возни с бумагой и сопутствующие расходы на логистику и архивирование хочется избежать.
НЛО прилетело и опубликовало эту надпись здесь
Да, для граждан, которые не носят эцп сделали публичную оферту — если я правильно понял.

Никакая публичная оферта не заменяет необходимости подписывать кредитный договор. Его можно подписать собственноручно или с использованием квалифицированной ЭП. Если у всех клиентов есть с собой квалифицированная ЭП, то можно использовать эту технологию для отказа от бумаги. В реальной жизни у клиента ничего нет. Поэтому отказаться от бумаги используя квалифицированную ЭП не получается. Планшеты в этом случае решают задачу отказа от бумаги сильно не меняя процессы подписания.

Другой пример. Внутренний электронный документооборот на фирме

По-моему, в большинстве задач внутреннего документооборота ЭП будет предпочтительнее. Ограниченное множество сотрудников, которые административным способом обязаны носить токены или смарт карты. Полагаю, что вы в курсе, что можно использовать разные способы электронной подписи, предварительно условившись о порядке их применения. Например, вы можете осуществлять электронную подпись вводом кода из СМС. И это имеет статус простой подписи. Не могу не сказать про минусы такого варианта — небезопасные СМС, которые по сути не подтверждают владение SIM-картой и то, что такая простая подпись никак не связана с самим документом.

Что касается ЦРП, то результат подписания можно рассматривать и как обычную собственноручную подпись (пока в РФ нет отдельных законов для такого типа подписи) и как неквалифицированную ЭП.
По третьему примеру — я не знаком с форматом приема данных государственной системы ДЕЛО, но подозреваю, что она ожидает на входе именно документ с ЭП, которую может проверить. При использовании ЦРП проверка подписи производится только для спорных случаях. Пока спора нет — подпись — это просто картинка стоящая рядом с ФИО подписанта. Ответ — нет, думаю, что ЦРП тут не применим.

С больничными можно рассмотреть вариант, но тут скорее надо делать гибридный вариант, когда врач рассписывается облачной подписью. По мне так тут лучше строгую аутентификацию использовать, так как врачи — ограниченный груг лиц.

ЦРП можно предложить клиентам медучреждений подписывать всякие бумаги, тогда это оправдано.
Отлчие планшета от бумаги — на планшете не составит особого труда внедрить запись потока событий сенсора при собственноручной подписи одного документа, а затем воспроизвести её под соверешенно другим. Или показать пользователю один документ для подписи, а реально подписать другой. И ни одна экспертиза, имея на руках только один документ из этих документов (ну и образец подписи), не сможет установить ни факт подлога или подделки, ни факт собственноручной подписи. Даже имея конкретный девайс максимум сможет установить, что нет следов вмешательства в заявленные алгоритмы подписи. Но никак не сможет добросовестно утверждать, что документы подписаны собственноручно с полным пониманием того, какой документ подписывается.
на планшете не составит особого труда внедрить запись потока событий сенсора при собственноручной подписи одного документа, а затем воспроизвести её под соверешенно другим

Как я уже упоминал, есть планшеты, для которых это невозможно, так как сам документ является параметром для шифрования.

Или показать пользователю один документ для подписи, а реально подписать другой

Тут как раз лучше, чем с бумагой, где подмена документов ловкостью рук иногда практикуется (или уже нет?). Если вы начали процесс подписи, то на планшете отображается документ, который позже будет подписываться. Если вы потом захотите «подсунуть» другой документ, то он сначала опять-таки должен отобразиться на планшете.
Как технически это «невозможно»? Аппаратное шифрование на уровне сенсорного экрана ещё до того, как данные с него попадут в ОС, драйвера и приложение?
Планшет — это не только экран. Это компьютер с ARM процессором. Он может сам шифровать данные. Для защиты от манипуляций можно удалять чувствительную информацию при попытке вскрытия корпуса, аналогично тому, как это реализовано у HSM.
Это работает если я кому-то даю свой планшет на время для подписи вне зоны моего физического контроля. Это не работает, если кто-то даёт мне свой планшет, чтобы я что-то подписал. А при вскрытии корпуса такой планшет может удалять «дополнительную функциональность».
Все так.
Поэтому я упоминал про кассовые аппараты. У сделок в которых участвуют кассовые аппараты есть юридическая значимость. Их область действия весьма ограниченна, но для определенных сделок этого достаточно.
Тут что-то аналогичное. Весьма ограниченная область применения, но это не умаляет (наверно, сам не эсплуатировал) достоинств в области применения.
Ну, с кассовыми аппаратами есть нюанс: по сути они не принадлежат не продавцу, а государству, которому и продавец, и покупатель вынужденно доверяют.
А скан собственноручной подписи является ЦРП?
Скан является разновидностью клише. Собственноручной подписью не является, поскольку не позволяет исследовать ее графологические данные.
Экспертизу ЦРП можно проводить практически мгновенно, используя программный подход. Цифровой планшет регистрирует не только очертания симворлов подписи, но и другие параметры, которые анализируются в процессе экспертизы физической подписи — положение конца ручки (стилуса) в определённые моменты времени, угол наклона ручки и оказываемое на планшет давление. Данные, получаемые с помощью графических планшетов, отражают динамику мускульных движений руки, и, следовательно, являются биометрической характеристикой конкретного человека.

Это все хорошо.
Но таким образом идет привязка в конкретному оборудованию и версии алгоритмов.
Юридическая значимость — думаю, примерно как у кассовых аппаратов. И как у кассовых аппаратов, думаю область применения так же строго определенная.
Слабо представляю себе заключение договоров с помощью ЦРП. А вот скажем цифровое оформление квитанций штрафов «прямо в поле», вполне может быть.
Слабо представляю себе заключение договоров с помощью ЦРП. А вот скажем цифровое оформление квитанций штрафов «прямо в поле», вполне может быть.


Как раз для заключения договоров такая форма вполне согласуется с ГК РФ. См. главу 28, в частности ст. 434
Так договор получается непосредственно подписан сторонами/стороной в той форме, в которой стороны договорились, в частности, в форме электронного документа.

А как доказать, что стороны договорились?

См. ГК РФ — публичную оферту и акцепт. Самый простой и безрисковый способ — подписать клочок бумаги размером A5, в котором одновременно будет присоединение к оферте и СОПД. Если ЦРП зарегулируют законодательно, бумажки не понадобится.
ЭЦП — это функция от содержимого объекта подписи, содержимого подписи и приватного ключа.
ЦРП — это функция от…. От чего?
Из статьи пока очевидно, что ЦРП функция от руки подписывающего, физического устройства и алгоритма. Где там сам объект подписи, неясно.
ЦРП это графологические данные, по которым можно провести экспертизу. А так же она должна сопровождаться технической ЭП, которая защитит документ от изменений.
В некоторых системах доставки (Pickpoint, например) при выдаче посылок нужно расписаться на устройстве с маленьким узким экранчиком (LCD, без подсветки, очень низкого разрешения). Хотя наверное сам дигитайзер более приличен чем экранчик. Интересно, если в законодательстве такие системы никак не закреплены, это они чисто для себя делают?
Что если человек скажет, что он не забирал посылку, хотя забрал?
У меня проблема: я не могу дважды расписаться одинаково. Все время выходит кривая подпись, не такая как хотел. В сбербанке при оформлении счета мою подпись не принимают, заставляют вместо подписи писать фамилию и сохранить бумажечку с образцом как фамилия записана (потому что одни и те же буквы могу писать по разному, и в какой момент мне взбредет написать так, а в какой эдак, я и сам не знаю).

Как в таких условиях пользоваться ЦРП?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий