Журнал о системах электронного документооборота (СЭД)
Электронные документы и обмен ими (ЮЗЭД)

Палец + iPhone = подпись?

  15 комментариев Добавить в закладки

Некоторым людям и компаниям удается преподносить уже известные вещи, как нечто революционно-прорывное. В прошлом году компания  Apple явила миру  "невиданный" доселе сервис - видеозвонок FaceTime. Еще в 2003 году британский мобильный оператор "3" (связь третьего поколения, на тот момент UMTS) предлагал этот сервис всем желающим, переманивая абонентов с операторов "второго поколения".  Отечественные операторы с запуском 3G-сетей в 2007-2010 годах также стали предлагать услугу "видеозвонок". Несмотря на это, многие считают Apple пионером в области мобильной видеосвязи.

Примерно такое же чувство возникло у меня и моих коллег после прочтения заметки на engadget  о революционном приложении для iPhone/iPad/iPod touch - EasySign, позволяющем "на ходу" подписывать электронные документы. Если кому лень смотреть, могу рассказать. Пользователь пальцем на экране рисует подпись, и она сохраняется как картинка. "Подписанием" документа, по мнению авторов приложения, считается вставка этой картинки и заполнением вручную (!) полей с именем, должностью, датой подписи и комментарием. Документ преобразуется в pdf и отправляется адресату. Платить придется за каждый документ, точнее $4.95 за каждые 20 документов. Сие приложение преподносится как прорыв в области делопроизводства. Действительно, если ты не в офисе, тебе пришлось бы искать компьютер с принтером, распечатать документ, подписать его, потом сканировать, и уже скан отправить адресату. Жуть, одним словом.

 Удивительно, что среди комментариев сей новости немало восторженных отзывов. Другая половина комментаторов была более сдержана - были перечислены не менее полдюжины платных и бесплатных аналогов, высказаны сомнения в надежности такого способа подписания документов. Что же касается PC, то мне довелось видеть несколько приложений с подобным функционалом, и от зарубежных и от отечественных разработчиков. Вдобавок к нехитрым функциям вставки картинки эти приложения подписывали документы самой, что ни на есть настоящей ЭЦП. Картинка использовалась скорее для информативности, этакий экивок в бумажное прошлое. Я бы даже сказал стимпанк.

В EasySign никаких ЭЦП, судя по рекламному ролику, нет. Просто картинка и текст. Даже дата подписи ставится не автоматически, пользователь сам вводит дату... по своему усмотрению. Не знаю, можно ли это назвать простой электронной подписью? И какова легитимность у такого документа? Как вы думаете?

Ещё материалы автора
Похожие записи
Комментарии (15)
Наталья Храмцовская 05 марта 2011 г. 17:36  

Не знаю, можно ли это назвать простой электронной подписью? И какова легитимность у такого документа? Как вы думаете?
В англосаксонских странах - это вполне легальная подпись, да и в Европе она допустима. Законодательство может, однако, для конкретных видов документов требовать чего-то посерьёзнее.
 
Даже дата подписи ставится не автоматически, пользователь сам вводит дату... по своему усмотрению.

Какой ужас! Ну прямо как ... при подписании бумажных документов!
Сергей Бушмелев 09 марта 2011 г. 10:40  
Ну прямо как ... при подписании бумажных документов!
Вот именно! И это в то время когда космические корабли бороздят просторы Большого театра электронные технологии позволяют  четко фиксировать дату документа (time stamp), что, впрочем, может пригодиться и самому подписанту. А может, и как раз наоборот, не позволит ему смошенничать.
Что же до технологии, то, на мой неискушенный взгляд, вполне пойдет для случаев, когда сторонам и третьим лицам экономически невыгодно подделывать подписи и отказываться от них. Только ль много таких примеров наберется?
Наталья Храмцовская 09 марта 2011 г. 11:37  

Только ль много таких примеров наберется?

За рубежом ЭЦП непопулярна (этот неудобный факт наши безопасники признавать не любят). За рубежом подавляющее большинство деловых доументов подписывается без использования криптографии, и даже у нас примеров использования такой "простой" подписи много, достаточно полистать ту же арбитражную практику.
Сергей Бушмелев 09 марта 2011 г. 15:04  
и даже у нас примеров использования такой "простой" подписи много, достаточно полистать ту же арбитражную практику.
Не спорю. К тому же у Вас на блоге есть интересные примеры... Могу понять, когда признается сообщение электронной почты - есть авторизация при входе в почтовый клиент или ОС, есть сервер, где ведутся логи. Есть информационные системы типа АБС, где информация фиксируется в нескольких регистрах, и можно затребовать выписки из этих регистров, чтобы доказать/опровергнуть некоторое утверждение. Есть биометрические системы - планшеты для подписания, которые фиксируют степень надавливания, скорость, ритм и массу других параметров, позволяющих создать шаблон и потом сравнивать с ним. Есть собственноручная подпись, которая изучалась несколько веков, и  сложилась кое-какая практика ее анализа. Все перечисленные способы обладают определенной стойкостью против подделки.
В случае, что я привел в блоге, формируется документ, который просто содержит некую картинку. Если рассматривать это документ в связке с почтовым сообщением, то еще куда не шло, есть лог на сервере, есть пара "логин/пароль". Если же выгрузить документ из почтового приложения, то он лишается значительной степени защиты, что, на мой взгляд, нужно использовать какие-то дополнительные механизмы защиты.
Андрей Подкин 09 марта 2011 г. 15:26  
Если же выгрузить документ из почтового приложения, то он лишается значительной степени защиты, что, на мой взгляд, нужно использовать какие-то дополнительные механизмы защиты.
Если превентивно рассматривать каждого человека, пользующегося подобной системой, как мошенника, то, конечно, все плохо.
Но я читал про такой сценарий использования EasySign: получаем документ, подписываем и отправляем обратно вместо того, чтобы распечатать, подписать собственноручной подписью и отправить по факсу. И здесь уже с безопасностью (защитой) все отлично.
Сергей Бушмелев 09 марта 2011 г. 15:45  
вместо того, чтобы распечатать, подписать собственноручной подписью и отправить по факсу. И здесь уже с безопасностью (защитой) все отлично. Изменить | Удалить
Не сказал бы, что использование EasySign будет полностью эквиваленто "традиционной" процедуре. В традиционном сценарии у подписанта остается на руках собственноручно подписанный бумажный документ, с которым можно будет сличить скан.
Андрей Подкин 09 марта 2011 г. 15:50  
В традиционном сценарии у подписанта остается на руках собственноручно подписанный бумажный документ, с которым можно будет сличить скан.
Тогда мне остается только повториться: "Если превентивно рассматривать каждого человека, пользующегося подобной системой, как мошенника, то, конечно, все плохо" :-)
Сергей Бушмелев 09 марта 2011 г. 17:03  
Тогда мне остается только повториться: "Если превентивно рассматривать каждого человека, пользующегося подобной системой, как мошенника, то, конечно, все плохо" :-)
Безопасность системы должна быть адекватна рискам. Исли принятьна веру постулат, что стоимость системы безопасности не должна быть больше возможного ущерба, считайте сами, каков может быть максимальный ущерб для системы безопасности на EasySign. Как там в анекдоте про Неуловимого Джо?
Наталья Храмцовская 09 марта 2011 г. 17:17  

Знаете основной принцип законодательного регулирования делопроизводства в англосаксонских странах, применяемый уже столетиями? "Те документы, которые устраивают коммерсантов, хороши и для суда". Законодательство, без крайней на то нужды, не должно лоббировать какую-то определенную технологию, хотя оно может и должно учитывать технологию при определении доказательной силы документов.

Кстати говоря, огромная слабость многих специалистов ИТ и безопасности состоит в том, что они знают только защиту на уровне индивидуального документа, и не в курсе того, что подлинность документа часто куда более надежно устанавливается по контексту (по месту документа во взаимоотношениях партнеров, по его взаимосвязи с другими документами,  по тому, наступили ли предусмотренные документом последствия и т.д.).

Андрей Подкин 09 марта 2011 г. 17:19  
Безопасность системы должна быть адекватна рискам. Исли принятьна веру постулат, что стоимость системы безопасности не должна быть больше возможного ущерба, считайте сами, каков может быть максимальный ущерб для системы безопасности на EasySign. Как там в анекдоте про Неуловимого Джо?
Ничего не понял.
Рассмотрим конкретную ситуацию: У меня малый бизнес. Есть постоянный контрагент (не обязательно многолетний партнер, но появился не вчера и опыт успешной работы с ним есть). Я начинаю реальные действия (оплату, отгрузку, запуск в производство и т.д.), когда мне приходит факс/скан/EasySign с подписью директора (или другого уполномоченного лица). И где здесь проблема безопасности? Если постоянный контрагент решит меня "кинуть", ему и EasySign не понадобится. Скан подделывается намного проще на компьютере.
 
Вообще, я бы рекомендовал примерять ИТ-решения не только к крупным корпорациям с сотнями сотрудников во внутренней службе безопасности ;-)
Сергей Бушмелев 09 марта 2011 г. 17:33  

Андрей, в твоем случае хватило бы и телефонного звонка, и просто e-mail с приаттаченным файлом в любом формате, безо всякой картинки с подписю. EasySign в данном случае - пятое колесо.

Андрей Подкин 09 марта 2011 г. 17:49  
Андрей, в твоем случае хватило бы и телефонного звонка, и просто e-mail с приаттаченным файлом в любом формате, безо всякой картинки с подписю. EasySign в данном случае - пятое колесо.
Так мне и приходит e-mail с аттачем. Это контрагент использует EasySign. И если ему так удобнее, то меня как бы не должно волновать, какое это колесо :-)
Сергей Бушмелев 09 марта 2011 г. 18:04  

Это контрагент использует EasySign.


А сам ты бы пользовался EasySign или его аналогом на Android по предложенной цене ($4.95 за 20 документов)?


Андрей Подкин 09 марта 2011 г. 18:17  
А сам ты бы пользовался EasySign или его аналогом на Android по предложенной цене ($4.95 за 20 документов)?
В моем реальном текущем положении - нет, конечно. Будь я бизнесменом - все очень сильно зависело бы от специфики взаимоотношений с контрагентами. Но скорее нет, чем да. Приложения я люблю покупать раз и навсегда. А на полноценный реальный сервис по подписке это не тянет.
Сейчас обсуждают
Больше комментариев