¿Son los documentos realmente "firmados" por DocuSign?

21

Nunca he estado contento con la explicación que DocuSign se da en su propio material de marketing (por ejemplo, enlace , enlace y enlace ). Tengo una serie de preguntas:

  1. Para mí, si quiero que se firme un documento, necesito cifrar el hash del documento con mi clave privada, y cualquier destinatario puede verificar la firma descifrando el hash de mi firma y comparándolo con el suyo. volver a calcular el hash. En DocuSign no puedo ver dónde ni cómo puedo proporcionar mi propia clave privada (lo cual sería un gran problema de seguridad en sí mismo) ni me permitirá mantener la privacidad de mi clave privada (es decir, en mis instalaciones, no cargada en su servidor). Tampoco se menciona ninguna clave pública; de hecho, no hay forma de verificar la integridad y la autoría de ningún documento, ya que DocuSign simplemente no me proporciona ese tipo de metadatos, solo tengo que decirles que el documento no ha sido manipulado.

  2. ¿Cómo docuSign verifica la identidad de manera significativa? Hasta ahora, todo lo que puedo decir es que pueden verificar la propiedad de la dirección de correo electrónico (o al menos el acceso del buzón), no recuerdo que se me haya pedido que verifique mi identidad a través de las licencias de conducir o las subidas de escaneo de pasaportes. ¿Cómo se considera eso legalmente la prueba de identidad? ¿De qué manera es una firma si no se puede vincular con mi identidad de la vida real? Cualquiera puede reclamar una de mis direcciones de Hotmail caducadas y crear una cuenta de DocuSign para mí y firmar las cosas con ella.

  3. Tengo un problema con el hecho de que DocuSign es simultáneamente 1) el verificador de identidad, 2) el titular de los documentos y 3) el generador de las firmas: el hecho de que sea una entidad legal única significa que tienen el certificado legal. y, ciertamente, los medios técnicos para alterar cualquier documento, su firma y las reclamaciones sobre esa firma; considerando eventos de noticias recientes donde ciertos gobiernos de naciones del primer mundo intentan forzar a las empresas a descifrar sus datos, esto significa que probablemente no considero a DocuSign lo suficientemente confiable como para "firmar" nada significativo. También está el hecho de que el código base de DocuSign es propietario y no es accesible. Tengo que tomar su palabra (no menos en su página de inicio) de que han sido auditados de manera independiente y que la auditoría significa algo.

  4. Tampoco me gusta cómo generan una imagen de "firma" falsa manuscrita. Pensé que se ha establecido que el simple hecho de tener una foto de la letra de cualquiera junto a algún texto no constituye una firma. Me preocupa el efecto que esto puede tener en los usuarios: un tipo de " efecto CSI " en el que lo hará el crypto-layperson piense que una imagen de su firma es suficiente y luego aplique este "hecho" aprendido a otras plataformas, lo que empeorará el conocimiento del público de PKI (después de todo el progreso que hemos hecho al educar a los usuarios sobre SSL).

Dados los problemas que creo que se encuentran en DocuSign arriba, si participé en un caso legal, como una disputa contractual, y la versión en DocuSign se presenta como prueba, cualquiera de las partes en la demanda puede reclamar legítimamente que el documento de DocuSign es bona-fide, a la inversa, ¿con qué facilidad podría la otra parte mostrar que no se puede confiar en la "firma"?

es decir, ¿Alguien puede resumir el servicio de DocuSign y decir categóricamente si es criptográficamente, o al menos legalmente, un sonido?

    
pregunta The D 09.03.2016 - 10:14
fuente

6 respuestas

16

Una firma es, en última instancia, un concepto legal. Cuando firma un documento, realmente está produciendo un arma legal dirigida a su propia cabeza (por lo que normalmente quiere que otras personas firmen cosas, no las firme usted mismo). El valor de una firma proviene de su poder legal, es decir, cuánto le permitirá aplicar la responsabilidad y la culpa al firmante. Los elementos criptográficos (RSA, etc.) son solo herramientas que pueden ayudar a construir el lado técnico de las cosas, pero eso no puede ser suficiente. En última instancia, debe haber algún tipo de marco legal que defina firmas.

Por supuesto, esto dependerá de la jurisdicción. Sin embargo, los países / estados que actualmente están definiendo leyes para firmas electrónicas tienden a ir en la misma línea:

  • Una firma es vinculante siempre y cuando haya sido firmada por el supuesto firmante. Esto parece tautológico, pero es una definición importante: realmente dice que el valor legal de la firma no es intrínseco a ninguna tecnología específica. Escribir su nombre al final de un correo electrónico es una firma.

  • Lo que importa es la carga de la prueba . Los marcos legales normalmente segregarán los sistemas en dos categorías: aquellos para los cuales se considera que las firmas son buenas, y es la parte que niega haber firmado quien debe hacer todo el trabajo de prueba; y aquellos para los cuales las firmas se consideran sin valor a menos que se muestre una prueba positiva de la atribución al supuesto firmante. "Nombre al final de un correo electrónico" pertenece a la última categoría; una prueba positiva puede ser simplemente un testigo que vio al firmante escribir el correo electrónico.

  • La referencia para las firmas son firmas manuscritas, que, técnicamente hablando, son absolutamente terribles. Son difíciles de validar, y pueden ser falsificados. Las firmas escritas a mano todavía se utilizan gracias a un marco legal que castiga severamente a cualquiera que niegue su propia firma. Dado que las firmas manuscritas ocurren en el mundo físico, el simple hecho de firmar (con un bolígrafo) deja muchos rastros (testigos, etc.), por lo que muchas personas finalmente encuentran que repudiar sus propias firmas es demasiado arriesgado.

  • Una complicación adicional es que los sistemas legales de la tradición del "derecho común" tienden a basarse en la jurisprudencia para resolver los detalles finos, por lo que países como los EE. UU. y el Reino Unido probablemente tendrán marcos legales para las firmas que se reducen a " esperar y ver "(" nos vemos en el tribunal ", quiero decir).

En Francia (que tiene un sistema de ley muy "latino" al que realmente le gustan las definiciones rigurosas preestablecidas, al estilo de Descartes), el marco legal define sistemas que son qualifiés , lo que significa que pasaron por auditorías independientes y un proceso administrativo que tiene toda la simplicidad que se puede esperar de la burocracia francesa, en el sentido de que para estos sistemas, la carga de la prueba recae en quienquiera que afirme que la firma no es vinculante. La lista de systèmes qualifiés es publicada y veo no hay DocuSign allí [editar: a partir del 21 de julio de 2017, DocuSign France ahora se encuentra en la lista].

DocuSign tiene una página dedicada al lado de la legalidad de las cosas, que de hecho es mucho Más importante que la tecnología. En particular, dicen esto:

  

Aunque DocuSign tiene un historial exitoso de proporcionar a los clientes toda la evidencia que necesitan para defender sus documentos contra el repudio, DocuSign está disponible para ayudar a nuestros clientes con los desafíos legales al declarar ante el tribunal para respaldar la validez de los documentos DocuSigned.

que implícitamente admite que su sistema tiende a ser del tipo "debe probar su validez", es decir, no es el que le gustaría, pero afirman haber tenido buenos resultados en algunos tribunales, y que te ayuden En ese momento, diría que si desea utilizar DocuSign para hacer que sus clientes / socios comerciales firmen, es mejor que se asegure de que haya cláusulas adecuadas en su contrato que aseguren un nivel sólido de ayuda de DocuSign. seguros y así sucesivamente. Su equipo de abogados debe estar involucrado.

    
respondido por el Thomas Pornin 09.03.2016 - 21:58
fuente
3

Consulte enlace para una explicación sobresaliente de cómo funciona realmente DocuSign, incluido su uso o criptografía (o la falta de ella). En resumen, DocuSign básicamente funciona como un "testigo" para certificar que alguien con acceso a la cuenta de un usuario en particular estuvo de acuerdo con los términos de un documento en particular. Aunque DocuSign promociona el uso de la criptografía en sus materiales de marketing, la criptografía en realidad no desempeña un papel integral en el proceso de "firma" real.

    
respondido por el mti2935 09.03.2016 - 22:13
fuente
2

1: Lo cifra con su clave pública y lo desencripta con su clave privada. Usted firma con su clave privada que se verifica con su clave pública. NOTA: ¡Nunca envíe su clave privada a ninguna parte!

No veo ninguna forma de obtener la clave pública de DS, lo cual no tiene sentido. No hay razón para ocultar esto.

2: No requiere verificación de la identidad del firmante. La página de DocuSign en enlace suena fuerte, pero un abogado experto lo destruiría en poco tiempo. Específicamente, reclaman el no repudio "admisible por el tribunal" para:     Nombres de las partes firmantes     Firmas digitales     Correos electrónicos     Direcciones IP públicas     Lugar de firma (si se proporciona)     Cadena de custodia (enviado, visto, firmado, etc.)     Marcas de tiempo El problema es que todo esto se puede falsificar fácilmente con la excepción de las marcas de tiempo, que sin el resto no tienen ningún valor.

3: Tienes razón. Observe que no validan su identidad, ni firman su clave. No usan su clave pública ni le permiten firmar con su clave privada. Es todo lo que parece, lo que no es bueno.

4: eso tampoco me gusta. Me niego a permitir que mi firma escrita se adjunte a un correo electrónico inseguro.

Realmente estás encima de esto. Es un poco una farsa para las personas que no conocen mejor. ¿Es legítimo? Es un negocio legítimo, que realiza lo que parecen ser servicios de firma digital de alta calidad. Por supuesto, es mucho mejor que las soluciones que solo se basan en una firma gráfica. Es un paso en la dirección correcta. Pero hay mucho de que tener cuidado, y espero que lo solucionen pronto (poco probable).

    
respondido por el Robert 14.03.2016 - 15:35
fuente
2

Se me ha pedido que "firme" un documento de DocuSign y el proceso me ha dejado perplejo.

En Canadá, la firma digital está cubierta, por lo que puedo decir, por la PIPEDA (Ley de Protección de Información Personal y Documentos Electrónicos). Desde una copia actualizada hasta el 26 de octubre de 2016, la sección sobre 'Firma electrónica segura' indica que:

El Gobernador en Consejo puede prescribir una tecnología o proceso solo si el Gobernador en Consejo está convencido de que se puede probar que

(a) la firma electrónica resultante del uso por parte de una persona de la tecnología o el proceso es exclusiva de la persona; (b) el uso de la tecnología o el proceso por parte de una persona para incorporar, adjuntar o asociar la firma electrónica de la persona a un documento electrónico está bajo el control exclusivo de la persona ;

(c) la tecnología o el proceso se puede utilizar para identificar a la persona que utiliza la tecnología o el proceso ; y

(d) la firma electrónica se puede vincular con un documento electrónico de tal manera que se pueda utilizar para determinar si el documento electrónico se ha cambiado desde que la firma electrónica se incorporó en , adjunto o asociado con el documento electrónico.

Los puntos clave, si estoy en lo cierto aquí y si estás en Canadá, son: el proceso debe estar bajo el control completo / exclusivo de la persona que firma, la firma se puede rastrear hasta usted y esa misma firma debe poder demostrar que el documento no se ha modificado.

Entonces, DocuSign está haciendo la firma digital, no tú / yo.

No entiendo cómo, por ejemplo, al no crear una cuenta con Docusign, al no generar un par de claves PKI autofirmado por parte de usted mismo , DocuSign considera que esto califica como "bajo el control exclusivo de la persona ". Todas las otras objeciones planteadas aquí también me preocuparon. Al menos la miseria tiene compañía, eh.

    
respondido por el ThaumaTechnician 21.11.2016 - 03:42
fuente
0

La respuesta técnica está cubierta por varias de las respuestas anteriores. La firma se basa en una cadena de confianza que vincula la PKI de DocuSign con la confianza en su capacidad para afirmar su identidad a través del marco de autenticación de DocuSign. Para ilustrar el punto, los escenarios a continuación utilizan el mismo mecanismo básico para proporcionar niveles crecientes de confianza en la firma y, por lo tanto, el grado en que su firma permanecería en los tribunales.

  1. Firma de PKI de DocuSign basada en una dirección de correo electrónico validada. Según el remitente original, es probablemente un nivel débil de confianza porque existen pocas garantías sobre si la dirección de correo electrónico utilizada para validar la identidad de DocuSign puede asociarse con una persona real.

  2. PKI de DocuSign basado en la autenticación habilitada para el inicio de sesión único (SSO) corporativo. La mayoría de las organizaciones usan el SSO para establecer un nivel de confianza (por ejemplo, ser testigos) de que un usuario en sus sistemas corporativos es quien dice ser, por ejemplo. Los procesos de recursos humanos ayudarán a establecer un vínculo entre una persona real y su identidad en los sistemas corporativos y, por lo tanto, el vínculo entre una identidad de DocuSign y la identidad de SSO utilizada para autenticarla. DocuSign codifica esto en su firma PKI (DocuSign, el usuario X firmó el documento Y en la Z) y, dado que confía en DocuSign para verificar el usuario, puede confiar en que fue quien dijo que era.

  3. PKI de DocuSign basado en SSO de organización con autenticación multifactor. Según lo anterior, esto proporciona un vínculo sólido entre una identidad física real y la identidad verificada de SSO corporativa, y su identidad DocuSign asociada que posteriormente se codifica en la firma digital de DocuSign (por ejemplo, el usuario X de DocuSign firmó un documento en la fecha Y). La autenticación multifactor proporciona un grado adicional de confianza de que el usuario que se autentica en DocuSign es quien dice ser, es decir, no es solo un pirata informático que ha pirateado de forma remota una cuenta corporativa.

Entonces, en base a esto, y cubriendo sus puntos explícitamente:

  1. Falta el punto, ya que es la capacidad de Docusign para identificar a los usuarios y mantener su propia PKI segura, lo que es la base de la confianza en sus firmas.

  2. Estoy de acuerdo contigo. No todas las identidades de DocuSign son iguales, y la confianza se basa en factores como la autenticación. Cabe destacar que en nuestro caso de uso propuesto estamos mejorando aún más la seguridad a través de varias firmas, es decir, es creíble que el Usuario X de la organización haya sido pirateado de su identidad electrónica, pero es mucho menos probable que las tres firmas requeridas para una firma de documento hayan sido pirateadas.

  3. En última instancia, todas las firmas se basan en la confianza, ya sea confianza en una sola entidad o confianza en una cadena de entidades. Por ejemplo, todos los sistemas basados en PKI se basan en la confianza en las CA raíz. Yo diría que tener una compañía auditada externamente, con un fuerte compromiso con la divulgación es tan confiable como es probable que obtenga. La confianza proviene del hecho de que el valor de una empresa casi seguramente desaparecería si se descubriera que están mintiendo o tienen violaciones de seguridad. ¿Seguiste lo que le sucedió a RSA después de sus violaciones? No es que tenga plena confianza en DocuSign, sino que confía en ellos en relación con otras opciones. Como otros lo han dicho, ¿cómo sabes que la firma húmeda en la que confías es confiable?

  4. La firma manuscrita es golosina. Si abre un PDF firmado, podrá validar la firma digital basada en la cadena de confianza de la CA raíz que firmó la clave de firma de DocuSign.

respondido por el Michael 08.09.2017 - 17:25
fuente
-2

Pero la validación de su identidad está más relacionada con el trabajo notarial, no con el derecho contractual. No certifico la mayoría de los contratos que firmo, pero siguen siendo legalmente vinculantes. Y nadie con quien firme contratos nunca me ha pedido que me identifique positivamente fuera de los contratos o solicitudes notariados. Diablos ... un apretón de manos puede ser legalmente vinculante sin una identificación positiva. Lo que necesitas como prueba es testigo del hecho de que te di la mano. Los contratos como los testamentos tendrán típicamente un signatario testigo por esa razón. Nadie pide un notario en un testamento, pero sí piden un testigo.

    
respondido por el Nate Clark 30.05.2017 - 17:59
fuente

Lea otras preguntas en las etiquetas