Weryfikacja podpisów

signotec-podpis1Odręczny podpis cyfrowy to innowacyjna technologia do podpisywania dokumentów elektronicznych za pomocą odręcznie składanego podpisu na tablecie lub pen padzie. Zastosowanie tej technologii pozwala na całkowite zastąpienie dokumentów papierowych wymagających podpisu, składanego jako akt oświadczenia woli klienta , dokumentami elektronicznymi podpisywanymi za pomocą odręcznego podpisu cyfrowego. Dzięki temu możemy całkowicie wyeliminować czynności drukowania, przesyłania, przechowywania i kopiowania dokumentów papierowych. Pozwoli to zaoszczędzić czas i pieniądze.

Zrozumienie technologii, metod i uwierzytelniania.

Ponieważ przedsiębiorstwa kontynuują proces zmiany tradycyjnej dokumentacji papierowej na bardziej efektywne i ekonomiczne elektroniczne substytuty, technologia podpisu elektronicznego staje się coraz ważniejszą inwestycją. Oszczędność kosztu i czasu prowadzenia działalności w formie elektronicznej są widoczne w wielu sektorach i branżach, jednak wiele firm wciąż stoi przed wyborem technologii, która będzie najlepiej dostosowana do ich potrzeb. Tworzenie, podpisywanie, przesyłanie i przechowywanie wszelkich dokumentów w postaci elektronicznej oraz w taki sposób, aby był on prawnie wiążący może wydawać się trudnym zadaniem.

Co to jest podpis elektroniczny?

“Podpis elektroniczny” oznacza dane w formie elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi i służą jako metoda uwierzytelnienia.
Z oprogramowaniem signotec można tworzyć “zaawansowane podpisy elektroniczne” zgodne z dyrektywą Parlamentu Europejskiego i Rady.

Oznacza to, że podpis elektroniczny, który spełnia następujące wymagania:

przyporządkowany jest wyłącznie podpisującemu;
jest w stanie zidentyfikować sygnatariusza;
stworzony jest za pomocą środków, które podpisujący może mieć pod swoją wyłączną kontrolą i jest powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana danych jest wykrywalna.

Istnieje kilka różnych metod istnieje dołączania “podpisów elektronicznych” do dokumentów zgodnych z tymi zapisami. Dwa typy technologii podpisu, które są powszechnie dostępne, ale znacznie różnią się od siebie formą to użycie PINu / hasła oraz klucze osobiste i digitalizowane podpisy odręczne.

PIN / hasło umieszcza pojedynczy obraz podpisu fi XED w każdym podpisanym dokumencie, gdy użytkownik wpisze hasło lub PIN. Digitalizowane własnoręczne podpisy składane za pomocą specjalnego pióra i tabletu, które przekształcają podpisu użytkownika dokładnie w wydarzenia lub obraz podsumowania. Te metody mają różne konsekwencje dla bezpieczeństwa i uwierzytelniania.

08b-121Dlaczego unikać PINu / hasła i podpisów PKI

signotec podpisPodczas gdy firmy, które zapewniają podpisy PINem mogą twierdzić, że ich technologia jest zgodna z prawem, ponieważ kwalifikują je jako “dźwięk elektroniczny, symbol lub proces”, to znacznie odbiegają one od wymagań wymienionych powyżej. W praktyce każdy z tych “podpisów” jest identyczny, jakby były wykonane pieczątką. Wygląd podpisu na dokumencie nie rejestruje podpisu osoby, ale wynik wpisania określonego hasła. Grafolog, który ogląda podpis nie może ustalić jego pochodzenia, ponieważ każda osoba może wpisać kod PIN lub hasło. Jako takie, PIN nie spełnia wymagań kryterium (4) autentykacji wymienionego powyżej. Jeżeli hasło zostanie zaatakowane, każdy dokument podpisany kiedykolwiek przy pomocy PIN byłby wątpliwy, ponieważ podpisy wyglądają identycznie i nie można sprawdzić, które są autentyczne, a które fałszywe. Z tych powodów, firmy powinny inwestować w technologię podpisu elektronicznego, który tworzy unikalny elektroniczny rekord dla każdorazowego podpisu, a nie polega na “stemplach”. Podpisy cyfrowe PKI i certyfikaty są po prostu bardziej rozbudowaną wersją technologii “stempli”, z wyjątkiem lepszego (często 128-bitowego) szyfrowania, co oznacza, że jest zbyt duży, aby go zapamiętać. Przenośność jest również ograniczona ponieważ klucz jest trwale powiązany z komputerem lub kartą, które mogą być utracone lub skradzione.

Korzystanie z odręcznych podpisów elektronicznych

Lepszym wyborem dla handlu elektronicznego są urządzenia i oprogramowanie do odręcznego podpisu. Stosowanie tabletu wydaje się logiczną alternatywą dla podpisów składanych na papierze, istnieje jednak kilka kwestii do rozważenia przy wyborze odpowiedniego systemu. Producenci sprzętu do pobierania podpisu mają własne specyfikacje, formaty danych i metodologie oprogramowania, które wpływają na bezpieczeństwo, uwierzytelnianie i legalność.

Bezpieczeństwo podpisu

Dla zachowania prywatności oraz egzekwowalności prawa, podpis elektroniczny musi pozostawać pod “kontrolą wyłącznie osoby podpisującej” aby utrzymać ważność według praw handlu elektronicznego. Aby spełnić ten wymóg, podpis musi być umieszczony lub połączony z dokumentem bezpośrednio bez żadnych kopii, a następnie dowiązany do dokumentu w taki sposób, aby późniejsze nieuprawnione próby modyfikacji dokumentu były wykrywalne. Bez obsługi tych funkcji nie byłoby możliwe do udowodnienia, że sygnatariusz rzeczywiście zgodził się na warunki pisemnej umowy lub też postać dokumentu jest identyczna z tą w momencie składania podpisu. Nic nie zastąpi skutecznej polityki bezpieczeństwa, która zapobiega przebywaniu wirusów, robaków i snifferów na stacji klienckiej lub serwerze. Sztuczki szyfrowania podpisu użyte w tablecie podłączonym do komputera PC dają fałszywe poczucie bezpieczeństwa jeśli komputer został wyposażony w szkodliwy program, klawiaturę, drukarkę, ekran, pamięć lub sniffer USB. Sprawy mogą się pogorszyć, jeśli urządzenia służące do składania podpisów elektronicznych wyposażone są w potężne mikroprocesory i oprogramowanie, ze względu na ukryte błędy i wirusy lub pamięć wewnętrzną dla danych i szyfrowania. Może to zagrażać monitorowaniu bezpieczeństwa i możliwości aktualizacji ze strony personelu IT.

Z drugiej strony, istnieje wartość w zakresie monitorowania i oceny integralności danych uzyskiwanych z tabletu taka jak częstotliwość poboru próbek oraz wykrywanie nietypowych czynności związanych z podpisaniem, które mogą wskazywać na próbę śledzenia czy też fałszowania.
Bezpieczeństwo dokumentów i dowiązywania podpisu są również ważne. Jeśli podpis nie jest powiązany z treścią pisemnej umowy, nie ma żadnej wartości, ponieważ nie byłoby dowodów włamania lub zmian dokonanych po podpisaniu. W przypadku formy papierowej grafolog może wykonać szereg specjalistycznych badań przy użyciu podczerwieni, ultrafioletu i mikroskopu w celu ustalenia czy atrament został dodany lub usunięty. W świecie elektroniki, jest to zrealizowane za pomocą technik kryptograficznych co powoduje, że podpis zostaje utracony jeśli zawartość umowy została zmieniona.

Uwierzytelnienie podpisu

Ważną cechą podpisów na papierze jest to, że mogą być indywidualnie badane i analizowane przez grafologów, a następnie w porównaniu do innych istniejących próbek. Być może największym wyzwaniem dla ważności podpisu elektronicznego jest kwestia uwierzytelniania od czasu gdy kilku dostawców technologii wspiera je narzędziami służącymi do weryfikacji. Jeśli podpisu nie można przypisać do sygnatariusza jest bezwartościowy. Podpisy elektroniczne nie są wyjątkiem i muszą być zdolne do uwierzytelnienia, aby były ważne i wiążące. Należy się upewnić, że dostawcy technologii mają narzędzia uwierzytelniania i szkolenia na miejscu przed wyborem ich rozwiązań.

Systemy, które umieszczają obraz podpisu w dokumencie elektronicznym (poprzez PIN lub wejście biometryczne) mają mniejsze znaczenie prawne niż kserokopie podpisów. Podobnie jak stempel, obiekt reprezentujący podpis jest powierzchowną reprezentacją bez danych łączącą obraz z biometryczną wydajnością i w odróżnieniu od np. faxu, nie ma rejestru transmisji. Bitmapy lub obrazy tif czy jpg nie są przydatne dla eksperta, gdyż nie zawierają szczegółowych cech do analizy, jak podpis przy pomocy atramentu.

Najbardziej dokładną, niezawodną i bezpieczną metodą pobierania podpisu jest surowa forma wydarzeń pióra. Plik tego typu nie zawiera ilustracji lub analizy podpisu, tylko wydarzenia pióra i pozycję konwertowane w wysokiej prędkości. Te dane ma dodatkową zaletę, ponieważ mogą być przechowywane w bazie danych lub powiązane z treścią dokumentu bardzo bezpiecznie, gdyż nie występują jako powszechny format pliku obrazu. Nie mogą być łatwo skopiowane lub podejrzane i wykorzystywane przez fałszerzy, ponieważ nie mają osadzonego obrazu. Ponadto, ponieważ wszystkie oryginalnie pobrane wydarzenia pióra są reprezentowany przez sam podpis elektroniczny, grafolog może później przeanalizować go punkt po punkcie przy użyciu specjalistycznego oprogramowania do analizy podpisu.

Zrozumienie biometrii i uwierzytelniania

Inną kwestią do rozważenia odnośnie odręcznych podpisów cyfrowych jest typ danych biometrycznych, które mogą być przechowywane w pliku podpisu. Siła nacisku pióra jest niewiarygodnym pomiarem biometrycznym ze względu na wysoki stopień niepewności pomiędzy poszczególnymi podpisami. Poziom nacisku, który jest wykrywany przez tablet dla danej osoby będzie się różnić zależnie od wysokości i pozycji sygnatariusza względem urządzenia, jego nastroju, pory dnia, rozmiaru piórka, ustawień oprogramowania oraz stopnia zużycia czujnika. Z tego powodu dane biometryczne oparte na sile nacisku są podatne na negatywne odpowiedzi w przypadku automatycznej lub niezależnej próby weryfikacji. Innymi słowy, gdy siła nacisku jest używana do określenia ważności jednego lub więcej podpisów, bardziej prawdopodobne jest odrzucenie niż uwierzytelnianie, nawet jeśli podpisy zostały stworzone przez tego samego użytkownika. Drastyczne różnice czynią podpisy trudne do uwierzytelnienia, nawet jeśli są one ważne.

Upewnij się, że dostawca technologii oferuje oprogramowanie do uwierzytelniania podpisu. Kilku dostawców oprogramowania oferuje rozwiązania automatycznej walidacji oparte na szablonach, ale technika ta często nie jest opłacalnym rozwiązaniem uwierzytelniania. Osoba badająca podpis nie może go samodzielnie zweryfikować. Wymaga to również od każdego użytkownika złożenia wielu podpisów, aby utworzyć szablon, co jest niepraktyczne, zwłaszcza w przypadku jednorazowej interakcji z klientem w banku czy aptece. Zautomatyzowane oprogramowanie do sprawdzania poprawności podpisu ma wiele przydatnych zastosowań, należy wybrać technologię, która jest wspierana przez niezależne narzędzia diagnostyczne. Wielu dostawców technologii obiecuje prawdziwe biometryczne podpisy, ale nie posiada narzędzi do uwierzytelniania, które uczyniły by dane znaczącymi.