security - example - cryptography que es
Cómo "firmar" digitalmente un documento (12)
No me gustan los documentos en papel. Me gusta todo lo almacenado en un servidor. Me gustaría evitar imprimir, firmar y escanear, si es posible.
¿Cómo puedo obtener firmas de personas para firmar en formularios y aún así mantenerlo digital?
El propósito de la firma es demostrar que ciertos departamentos han aprobado el documento. La mayoría de estas personas no son técnicas.
Lo ideal es que cada persona abra el documento e ingrese su nombre y cierre el documento. El problema es que, ¿cómo sé que Fred no firmó con Ralph?
¿Tiene control sobre las personas con las que está interactuando para que pueda crear claves GPG y usarlas para firmar documentos? Si es así, problema resuelto.
Cada persona que puede firmar un documento digital necesita un par de claves público / privado asignado a ellos, que no se puede falsificar.
Luego, debe encontrar la manera de mantener segura la clave privada de cada persona: ¿cómo puede esa persona usarla, pero nadie más? Hay un montón de trabajo creativo en esta área en este momento. Algunos requieren que cada persona cargue una clave de hardware (tarjeta, memoria USB, lo que sea) que debe usarse para firmar cada documento. A veces, las claves privadas se almacenan en una base de datos y el firmante debe proporcionar una contraseña para firmar un documento.
Se aplica un par de claves a un documento creando un hash del documento y luego encriptando el hash usando la clave privada. El hash cifrado es la "firma digital" y está adjuntado al documento. Como nadie más que el firmante puede usar la clave privada (supuestamente), usted sabe que la firma es auténtica.
Puede verificar la firma descifrando el hash usando la clave pública, que está disponible para todos. Si el hash descifrado no coincide, entonces el documento se modificó después de que se firmó o fue firmado por otra persona.
El término "firma" se usa un poco libremente en este contexto. No significa que alguien use la escritura a mano para firmar su nombre; significa que una persona debe dejar algún tipo de datos digitales que demuestre que aprobó el documento.
Adobe Acrobat tiene la capacidad de hacer firmas digitales.
Existe un software para agregar un componente de seguridad digital a una firma manuscrita. La firma se captura utilizando algún tipo de dispositivo de panel táctil y se almacena en el documento. Luego, el software firma digitalmente el documento completo, incluido el gráfico de la firma, para demostrar que el documento no se modificó desde que se aplicó la firma.
Hay dos formas de responder a esta pregunta:
- ¿Qué medios técnicos puedo usar para obtener firmas digitales?
- ¿Qué medios de obtención de firmas digitales puedo usar para evitar (inserte aquí el proceso de revisión interna)?
Si son solo para sus propios registros, entonces la segunda pregunta no es importante. De lo contrario, el departamento de auditoría de su organización tendrá algo que decir.
Hay una miríada de enfoques discutidos en la Criptografía Aplicada de Schneier.
Gran parte de lo que está buscando se reduce a un algoritmo de firma digital (DSA), del cual el NIST tiene uno, algoritmos de encriptación asimétrica pueden proporcionar, etc.
La ruta simple sería recoger la entrega y leer los recibos en el correo electrónico, pero eso no es infalible.
La pregunta que debe hacerse es: "¿Para qué sirve una firma física?" Una "firma digital" sirve para diferentes propósitos que uno físico. Y una firma física pierde casi todo su valor en un documento escaneado.
Lo que probablemente desee es solo una forma de que la gente diga "sí, estoy de acuerdo con esto". En ese caso, solo necesita un sitio web en el que puedan iniciar sesión y marcar una casilla.
Una cosa que hemos estado investigando es usar el pequeño panel táctil en las computadoras portátiles para obtener las firmas de los clientes. Cuando lo piensas, no es muy diferente de lo poco que utilizas para firmar las entregas de UPS. Hemos encontrado algunas API flotando con poco esfuerzo hasta el momento.
Ahora que ha aclarado lo que necesita, creo que la mejor solución es:
- Crear un sitio web
- Ofrezca a las personas inicios de sesión únicos con contraseñas
- Permitirles ver los documentos
- Tenga un formulario donde marquen una casilla que diga "Acepto tal y tal cosa"
Probablemente también desee incluir la idea de "grupos" para que pueda exponer ciertos documentos a solo "The Acme Co. Shipping Dept". y permitir que cualquier miembro de ese grupo firme en esos documentos.
Después de haber estado buscando un sistema para esto, acabo de encontrar docshaker.com en Killerstartups. Te permite hacer lo que acabas de describir a Neall.
Estoy de acuerdo, tampoco soy una persona técnica, pero firmar un documento utilizando una firma electrónica realmente no requiere ser una persona "tecnificada". Descargué un software de uno de los proveedores de firma digital autorizados de Adobe y leí el manual, que en resumen, dice ... que una firma digital legalmente vinculante debe tener una identificación de certificado legalmente vinculante. Los proveedores oficiales se mencionan en el sitio de IBM, Misrosoft y Adobe (así como en otros sitios web de proveedores de servicios). Utilicé uno que encontré en el sitio de Adobe porque necesitaba firmar digitalmente un documento PDF . Por ejemplo, use un proveedor de Microsoft (aunque, creo que el que utilicé también es compatible con el software MS).
Existen regulaciones legales que definen lo que califica como una firma digital (firma electrónica, o "firma electrónica"). En los Estados Unidos, existe un acto llamado "Ley Uniforme de Transacciones Electrónicas" (UETA, por sus siglas en inglés), que describe cómo se define y utiliza una firma digital en un contexto legal.
Básicamente, los siguientes componentes pueden estar involucrados:
- Un documento electrónico que representa el formulario con obligaciones legales cuando se aplica la firma.
- Una señal digital (imagen, sonido, etc.) aplicada adicionalmente al documento anterior, que sirve como una firma, es decir, prueba legalmente aceptada de la aprobación del documento. (El ejemplo más sencillo es aplicar una imagen transparente de la firma manuscrita de una persona en un documento PDF).
- Un par de claves de certificado digital (con validación de Autoridades de certificación aprobadas) para "sellar" el documento. Usando la clave privada para "firmar" el documento, las autoridades legales pueden usar la clave pública para verificar la integridad del documento.
- Un sistema de "bóveda" para almacenar el documento precintado para consultas legales posteriores.
Se puede argumentar que no todos los pasos son necesarios; sin embargo, en ciertas industrias, los pasos 3 y 4 son requeridos por regulaciones legales, ya que están diseñadas para evitar falsificaciones o falsificaciones. Como resultado, es muy probable que el paso 3 lo realice / con un notario, y a veces se realiza junto con el paso 2.
Para los pasos 2 y 3, las API y los ejemplos están disponibles en Internet. La API de Adobe PDF puede ocuparse de ambos pasos, y algunos componentes de código abierto pueden ocuparse de pasos individuales. Uno de esos ejemplos de uso de un componente de código abierto, iTextSharp, se encuentra en CodeProject: firma electrónica de documentos PDF con iTextSharp . Para obtener más información sobre eSignature en general, consulte la página de Wikipedia Electronic Signature .