Estándar para representar firma digital en papel

5

Los usuarios están haciendo un trato utilizando el sitio web. Sitio web generado archivo PDF (algo así como contrato o informe). Los usuarios realizan la firma digital de este archivo (análogo a la firma manuscrita en el contrato en papel). Utilizan certificados RSA emitidos por el gobierno.

Actualmente esto funciona de la siguiente manera:

Estoy generando un archivo PDF una vez. Entonces calculo la suma de comprobación SHA-512 de ese archivo. Envío esta suma de comprobación a los usuarios, ellos realizan la firma digital de esta suma de comprobación y me envían su certificado y su firma.

Cuando genero PDF, incorporo el código QR con la URL: enlace . El usuario puede imprimir PDF, escanear este código QR, navegar por esta URL, ingresar sus detalles de inicio de sesión y descargar PDF utilizando esa URL. No hay nada que pruebe que alguien firmó ese PDF (aunque tengo firmas en la base de datos y puedo probar si es necesario).

¿Hay algún estándar para esas cosas? Como la firma digital, imprimiéndola en papel, verificando con algún software estándar, etc.

Ahora pienso en el siguiente enfoque:

El inicio es el mismo que ahora, pero cuando los usuarios firman el primer PDF, el segundo PDF se genera con su firma incorporada como código QR. El primer PDF no se elimina, por supuesto, por lo que el usuario puede descargar el primer PDF y el uso de la información de los códigos QR del segundo usuario de PDF puede verificar que las firmas son correctas. Pero, por supuesto, necesita un software especial para comprobarlo.

    
pregunta vbezhenar 10.03.2015 - 12:53
fuente

1 respuesta

5

Tu pregunta es buena. El problema básico es que una firma digital está asociada con datos digitales. Y (igualmente importante), se requiere acceso a los datos digitales originales para verificar la firma o firmas.

Por lo tanto, el medio de transmisión debe ser digital.

Tres respuestas:

La copia en papel es un puntero al original (digital) real

En este escenario, la impresión en papel contiene un código QR al original real, que se almacena en un servidor. No hay que preocuparse por probar la validez de la impresión en papel, ya que es simplemente un puntero al original real, que se almacena en su servidor.

El destinatario (el usuario de confianza) siempre deberá buscar la copia del servidor para ver su contenido y verificar su firma digital estándar.

Le gustaría incluir un mínimo de información en la impresión en papel, ya que no quiere que el destinatario piense que puede confiar en el contenido de la impresión en papel; no puede ni debe confiar en ella. no es confiable.

La copia en papel simplemente diría "El acuerdo fue firmado digitalmente en fecha por firmante . Descargue el original y verifique sus firmas utilizando el código QR".

Le sugeriría que no requiera ningún nombre de usuario o contraseña además del contenido en el código QR en sí.

Los datos de la copia en papel pueden verificarse

En este caso, desea que el destinatario pueda verificar los datos de la copia en papel sin necesidad de una versión en línea de los datos. Desafortunadamente, la impresión regular en papel no es digital (OCR no es 100% precisa o repetible)

Por lo tanto, volvería a emitir su pregunta para que sea "¿Cómo puedo transmitir datos digitales de forma confiable en papel?"

Hay respuestas para eso en estos días, incluidos los códigos de barras 3d y las fuentes especiales OCR. Dependiendo de la cantidad de contenido que haya, incluiría el texto original como un archivo pdf firmado digitalmente en el código QR. Podría incluir una copia del texto original en la página.

Usted tendría el mismo problema que el anterior: si el texto del documento se puede leer en la página, la verificación de que es exactamente igual al texto firmado fue muy difícil o poco práctica. Por otro lado, las disputas son infrecuentes. La versión impresa podría verificarse cuando sea necesario.

La copia en papel es una representación de los datos firmados

Este tipo de documentos son aceptados por las partes confiables todo el tiempo (se llaman faxes). Existe una gran cantidad de jurisprudencia sobre la validez legal de un documento enviado por fax. Las leyes difieren según el estado y el país, así que consulte a un abogado local.

Si un fax del documento original es aceptable y legal, simplemente puede imprimir una representación del documento firmado digitalmente. Esperemos que el firmante digital haya proporcionado una firma gráfica. De lo contrario, puede crear uno utilizando el nombre común del firmante a partir de su certificado y una fuente de script. El problema importante sería incluir un número de referencia para permitir que el documento original, firmado digitalmente, sea recuperado si es necesario por un desafío. DocuSign y otros proveedores hacen esto. Anote el número de referencia para la versión en línea.

    
respondido por el Larry K 11.03.2015 - 07:27
fuente

Lea otras preguntas en las etiquetas