Nunca he estado contento con la explicación que DocuSign se da en su propio material de marketing (por ejemplo, enlace , enlace y enlace ). Tengo una serie de preguntas:
-
Para mí, si quiero que se firme un documento, necesito cifrar el hash del documento con mi clave privada, y cualquier destinatario puede verificar la firma descifrando el hash de mi firma y comparándolo con el suyo. volver a calcular el hash. En DocuSign no puedo ver dónde ni cómo puedo proporcionar mi propia clave privada (lo cual sería un gran problema de seguridad en sí mismo) ni me permitirá mantener la privacidad de mi clave privada (es decir, en mis instalaciones, no cargada en su servidor). Tampoco se menciona ninguna clave pública; de hecho, no hay forma de verificar la integridad y la autoría de ningún documento, ya que DocuSign simplemente no me proporciona ese tipo de metadatos, solo tengo que decirles que el documento no ha sido manipulado.
-
¿Cómo docuSign verifica la identidad de manera significativa? Hasta ahora, todo lo que puedo decir es que pueden verificar la propiedad de la dirección de correo electrónico (o al menos el acceso del buzón), no recuerdo que se me haya pedido que verifique mi identidad a través de las licencias de conducir o las subidas de escaneo de pasaportes. ¿Cómo se considera eso legalmente la prueba de identidad? ¿De qué manera es una firma si no se puede vincular con mi identidad de la vida real? Cualquiera puede reclamar una de mis direcciones de Hotmail caducadas y crear una cuenta de DocuSign para mí y firmar las cosas con ella.
-
Tengo un problema con el hecho de que DocuSign es simultáneamente 1) el verificador de identidad, 2) el titular de los documentos y 3) el generador de las firmas: el hecho de que sea una entidad legal única significa que tienen el certificado legal. y, ciertamente, los medios técnicos para alterar cualquier documento, su firma y las reclamaciones sobre esa firma; considerando eventos de noticias recientes donde ciertos gobiernos de naciones del primer mundo intentan forzar a las empresas a descifrar sus datos, esto significa que probablemente no considero a DocuSign lo suficientemente confiable como para "firmar" nada significativo. También está el hecho de que el código base de DocuSign es propietario y no es accesible. Tengo que tomar su palabra (no menos en su página de inicio) de que han sido auditados de manera independiente y que la auditoría significa algo.
-
Tampoco me gusta cómo generan una imagen de "firma" falsa manuscrita. Pensé que se ha establecido que el simple hecho de tener una foto de la letra de cualquiera junto a algún texto no constituye una firma. Me preocupa el efecto que esto puede tener en los usuarios: un tipo de " efecto CSI " en el que lo hará el crypto-layperson piense que una imagen de su firma es suficiente y luego aplique este "hecho" aprendido a otras plataformas, lo que empeorará el conocimiento del público de PKI (después de todo el progreso que hemos hecho al educar a los usuarios sobre SSL).
Dados los problemas que creo que se encuentran en DocuSign arriba, si participé en un caso legal, como una disputa contractual, y la versión en DocuSign se presenta como prueba, cualquiera de las partes en la demanda puede reclamar legítimamente que el documento de DocuSign es bona-fide, a la inversa, ¿con qué facilidad podría la otra parte mostrar que no se puede confiar en la "firma"?
es decir, ¿Alguien puede resumir el servicio de DocuSign y decir categóricamente si es criptográficamente, o al menos legalmente, un sonido?