¿Qué factores debo considerar para los dispositivos que aceptan firmas digitales manuscritas?

16

Hoy en día, muchos lugares le piden que entregue su firma en un dispositivo / almohadilla de firma digital.

Como estoy situado en Europa, la directiva de la UE 1999/93 / CE parece regularlo. Por lo que he descubierto hasta ahora desde la perspectiva de un dispositivo, para cumplir con la directiva tendría que:

  • tiene una clave privada incrustada en el dispositivo que está firmada por una CA de confianza, con la que se cifran la firma manuscrita y el documento
  • asegúrese de que la clave privada solo exista en el dispositivo y no sea extraíble (algunas empresas también ofrecen soluciones para iPad, por lo que la clave privada probablemente no sea obligatoria)
  • superficie de captura sensible a la presión, para que se puedan capturar los datos biométricos de la firma

¿Pero qué más se debe buscar en el dispositivo / solución para asegurarse de que las firmas aceptadas en el dispositivo sean tan válidas como sus contrapartes en papel (por ejemplo, pueden presentarse en el tribunal)?

  

Esta pregunta se presentó como una Pregunta de la semana sobre seguridad de la información .
  Lea el 19 de diciembre de 2014 entrada de blog para obtener más detalles o enviar tu propia pregunta de la semana .

    
pregunta Indrek 30.10.2012 - 15:41
fuente

2 respuestas

8

No creo que haya ninguna garantía. Si no hay una jurisprudencia previa sobre el tema, entonces esperaría que esto se redujera a una evaluación de credibilidad, basada en el testimonio de las personas involucradas, posiblemente en el testimonio de testigos expertos, y el resto de las circunstancias que rodean el caso judicial.

Tenga en cuenta que el proceso legal no trata las firmas como garantías absolutas; los consideran como parte de la totalidad de la evidencia.

Si quiere pensar en cómo garantizar que esto se presentará en el tribunal, tendría dos sugerencias. Primero, hable con un abogado. (El asesoramiento legal no es nuestro punto fuerte en este sitio). Este es el consejo más importante que puedo darle: hable con un experto legal.

Segundo, sugeriría pensar sobre esto desde una perspectiva adversa. Imagina que fueras un testigo experto contratado para demoler la credibilidad de la firma en el tribunal. ¿Cuál sería tu línea de ataque? ¿Qué diría usted, para tratar de convencer a un juez o jurado de que la firma no prueba nada? Luego, piense qué procesos o mecanismos puede implementar para hacer que esos argumentos sean menos convincentes. Tenga en cuenta que los mecanismos técnicos complejos que son difíciles de explicar a un jurado probablemente no sean una refutación efectiva; debe buscar algo que sea persuasivo en un tribunal, que no es necesariamente el mismo mecanismo que será más efectivo desde una perspectiva técnica.

Mi conjetura es que, para una transacción de bajo valor, probablemente no necesite ningún crypto. Si ha capturado una firma que parece coincidir con la forma en que Alice firma su nombre, probablemente será lo suficientemente bueno para una transacción de bajo valor. Por el contrario, para una transacción de alto valor, soy escéptico acerca de si estos dispositivos van a ser persuasivos en la corte, sin importar cuánto criptografía extraña haya puesto en ellos. Tenemos décadas de familiaridad y experiencia con firmas de tinta húmeda en papel, y entendemos sus modos de falla mucho mejor que los pads de firma digital. Mira el chip-and-pin del Reino Unido, por ejemplo; ha sufrido múltiples fallas graves de seguridad (encontradas principalmente por personas de seguridad en Cambridge), a pesar de que su esquema tiene muchos criptogramas bastante razonables que fueron diseñados y destinados a detener tales ataques.

    
respondido por el D.W. 30.10.2012 - 19:33
fuente
3

La directiva de la UE 1999/93 / EC (y su próxima sustitución) hace cumplir la equivalencia legal entre una firma electrónica calificada y una firma manuscrita en todos los Estados miembros, y "algún valor legal" para otros tipos de firmas electrónicas avanzadas. Sin embargo, esta directiva no aborda las "firmas digitales manuscritas" sino las firmas electrónicas reales, tal como están estandarizadas, por ejemplo, por PAdES o CAdES. En otras palabras, 1999/93 / EC no lo ayudará aquí, y dudo que solo las medidas técnicas garanticen que este tipo de firma se acepte en los tribunales.

editar:

Varias compañías ofrecen soluciones basadas en tabletas que dicen ser compatibles con 1999/93 / EC AdES, lo cual no creo.

Primero, las firmas electrónicas avanzadas que brindan equivalencia legal con una firma manuscrita requieren el uso de un certificado calificado (artículo 5.1 de 1999/93 / EC): las soluciones basadas en tabletas obviamente no pertenecen a esta categoría.

Para las firmas electrónicas avanzadas no calificadas, comparto la opinión de Ley de TI europea concisa :

  

"Aunque las definiciones se están formulando en una tecnología neutral   De esta forma, se refieren implícitamente a una clave pública basada en certificados.   Criptografía, también conocida como tecnología de "firma digital".

En la práctica, solo las firmas basadas en certificados proporcionan la interoperabilidad prevista por la directiva, debido a las diversas transposiciones nacionales de la definición de AdES. Por ejemplo, Act 227/2000 de la República Checa requiere que un anuncio sea

  

"creado y adjuntado a un mensaje de datos usando medios que el firmante   Puede mantener bajo su único control "

La mayoría de las soluciones basadas en tabletas (si no todas) fallarán en la parte "adjunta". De hecho, un garabato capturado en una tableta (con o sin datos biométricos) es reutilizable con cualquier documento, a diferencia de una firma digital adecuada.

    
respondido por el sam280 04.11.2012 - 21:08
fuente

Lea otras preguntas en las etiquetas