Podpis elektroniczny (lub e-podpis) i Podpis cyfrowy to bardzo podobne terminy, co powoduje pewne zamieszanie między nimi. Obydwa wskazują, że miał miejsce rodzaj prawnie uznanej operacji podpisania dokumentu elektronicznego. Jednak przyjęta definicja „podpisu elektronicznego” jest znacznie szersza niż „podpis cyfrowy” i istnieją między nimi istotne różnice.
Omówimy te różnice poniżej, ale na wynos TL; DR są podpisy cyfrowe oparte na certyfikatach (takie jak te wykonane za pomocą SSL.com Tożsamość biznesowa certyfikaty) oferują gwarancje autentyczność, integralność, niezaprzeczalność które nie są oferowane przez proste podpisy elektroniczne.
Stany Zjednoczone Podpisy elektroniczne w ustawie o handlu globalnym i krajowym (ESIGN) (2000) definiuje „podpis elektroniczny” jako „dźwięk elektroniczny, symbol lub proces, dołączony do umowy lub logicznie powiązany z umową lub innym zapisem wygenerowanym, wysłanym, przekazanym, otrzymanym lub przechowywanym za pomocą środków elektronicznych”.
W praktyce podpis elektroniczny jest często po prostu obrazem podpisu odręcznego (najczęściej wykonanego palcem lub rysikiem na tabliczce dotykowej lub ekranie). Rozwiązania do podpisywania elektronicznego mogą również obejmować jedno- lub wieloskładnikowe metody uwierzytelniania elektronicznego (np. PIN, hasło, uwierzytelnianie e-mailem itp.)
Bez bardziej szczegółowych informacji o zastosowanych procesach i technologiach termin „podpis elektroniczny” nie oznacza żadnej gwarancji walidacji osoby podpisującej dokument przez stronę trzecią ani integralności treści dokumentu od momentu jego podpisania. Może to prowadzić do złych praktyk - na przykład właściciel firmy, dla której kiedyś pracowałem, właśnie zeskanował swój podpis, który można wkleić w umowy. Z technicznego punktu widzenia jest to technicznie „podpis elektroniczny”, ale z łatwością możemy to zrobić lepiej!
W przeciwieństwie do zwykłego podpisu elektronicznego, a Podpis cyfrowy używa a PKI- cyfrowy certyfikat wydany przez urząd certyfikacji (CA), który wiąże tożsamość (np. osobę lub firmę) z parą kluczy kryptograficznych. Gdy dokument jest podpisany cyfrowo za pomocą klucza prywatnego sygnatariusza, dokładna treść dokumentu i tożsamość sygnatariusza są ze sobą powiązane, tworząc unikalny cyfrowy odcisk palca, zapewniający:
• Poświadczenie. Tożsamość osoby podpisującej dokument została potwierdzona przez zaufany publicznie urząd certyfikacji.
• Integralność. Treść dokumentu nie uległa zmianie od momentu podpisania.
• Niezaprzeczalność. Sygnatariusz nie może w sposób wiarygodny zaprzeczyć, że podpisał dokument.
Pamiętaj, że w programie Adobe Acrobat specjalny rodzaj podpisu cyfrowego znany jako podpis certyfikacyjny może opcjonalnie dopuszczać ograniczone modyfikacje podpisanego dokumentu, takie jak dodanie podpisy zatwierdzające od innych stron.
Certyfikat podpisywania dokumentów jest rodzajem Certyfikat X.509, plik cyfrowy, który wiąże tożsamość osoby lub organizacji z parą kluczy kryptograficznych składających się z klucza publicznego i prywatnego. Zazwyczaj wnioskodawca generuje parę kluczy, a następnie przesyła klucz publiczny wraz z weryfikowalnymi informacjami o swojej tożsamości do publicznie zaufanego urząd certyfikacji (CA), na przykład SSL.com. W zależności od zamierzonej aplikacji para kluczy może zostać wygenerowana na komputerze wnioskodawcy lub w ramach bezpiecznego tokena lub sprzętowego modułu bezpieczeństwa (HSM). Urząd certyfikacji sprawdza te informacje i, jeśli są ważne, wystawia wnioskodawcy podpisany certyfikat. Certyfikat może następnie służyć do tworzenia podpisów cyfrowych.
Wiele rodzajów wspólnych dokumentów elektronicznych może być podpisanych cyfrowo, w tym Microsoft Office (Dokumenty Word, arkusze kalkulacyjne Excel i prezentacje PowerPoint) i Adobe PDF. Jednak nie wszystkie certyfikaty podpisujące dokumenty są takie same. Magazyn zaufania firmy Microsoft to nie to samo, co Adobe, a wymagania firmy Adobe dotyczące certyfikatów podpisywania dokumentów są bardziej rygorystyczne. Kupując certyfikat do podpisywania dokumentów od urzędu certyfikacji, należy upewnić się, że można go używać do tworzenia zaufanych podpisów dla typów dokumentów, które chcesz podpisać.
Nie podpis elektroniczny (lub podpis elektroniczny) jest bardzo szeroko definiowany przez USA Podpisy elektroniczne w handlu globalnym i krajowym (ESIGN) działają jako „dźwięk elektroniczny, symbol lub proces, dołączony do umowy lub logicznie powiązany z umową lub innym zapisem wygenerowanym, wysłanym, zakomunikowanym, odebranym lub przechowywanym za pomocą środków elektronicznych”. W przeciwieństwie do tego a Podpis cyfrowy wymaga certyfikatu cyfrowego wydanego przez urząd certyfikacji i zapewnia tożsamość sygnatariusza oraz integralność podpisanego dokumentu.
Tak. W Stanach Zjednoczonych Podpisy elektroniczne w handlu globalnym i krajowym (ESIGN) akt nadaje podpisom elektronicznym (w tym podpisom cyfrowym) taki sam status prawny jak podpisy odręczne. The Rozporządzenie Unii Europejskiej w sprawie elektronicznej identyfikacji i usług zaufania (eIDAS) rozpoznaje wszystkie podpisy elektroniczne, ale przypisuje większą wagę PKIoparte na podpisach cyfrowych. Wiele innych narodów uznaje również legalność podpisów cyfrowych
Wymagania techniczne firmy Adobe dotyczące podpisów cyfrowych wymagają, aby klucze do podpisywania dokumentów prywatnych były generowane i przechowywane na bezpiecznym urządzeniu z uwierzytelnianiem dwuskładnikowym, takim jak token USB lub sprzętowy moduł bezpieczeństwa (HSM). Z tego powodu SSL.com wysyła swój plik certyfikaty podpisywania dokumentów on Yubikey Zatwierdzone klucze bezpieczeństwa FIPS 140-2. Te dodatkowe warstwy bezpieczeństwa zapewniają bezpieczeństwo klucza i tożsamości cyfrowej.
Jeśli posiadasz już YubiKey FIPS, możesz użyć zaświadczenie proces zamawiania i instalowania certyfikatów na urządzeniu. Dla klientów korporacyjnych witryna SSL.com może przechowywać klucze do podpisywania dokumentów na HSM w celu operacji podpisywania zbiorczego. Na życzenie możemy również wysłać certyfikaty podpisywania dokumentów na tokeny Gemalto.
Jeśli plik PDF otwarty w programie Acrobat lub Acrobat Reader zawiera jakiekolwiek prawidłowe podpisy cyfrowe, u góry dokumentu zostanie wyświetlony niebieski pasek z informacją „Podpisano i wszystkie podpisy są prawidłowe. Aby wyświetlić informacje o podpisie, w tym jego łańcuch zaufania:
• Kliknij przycisk Panel podpisów w prawym górnym rogu paska powiadomień.
• Rozwiń Szczegóły podpisu… klikając kursor po lewej stronie.
• Kliknij Szczegóły certyfikatu… otworzyć Przeglądarka certyfikatów.
Aby uzyskać informacje na temat cyfrowego podpisywania pliku PDF, zobacz Podpisz plik PDF w programie Acrobat Reader.
Jeśli dokument zawiera panel podpisów:
• Kliknij dwukrotnie panel, aby otworzyć plik Szczegóły podpisu okno
• Kliknij Zobacz i wysłuchaj , aby otworzyć Certyfikat okno.
• Użyj zakładek, aby nawigować po informacjach o certyfikacie, w tym o jego łańcuch zaufania (Ścieżka certyfikacji).
Więcej informacji na temat sprawdzania podpisów cyfrowych w pakiecie Microsoft Office (w tym podpisów niewidocznych) można znaleźć pod adresem Wyświetlanie informacji o certyfikacie w podpisanych dokumentach Microsoft Office 365.
Połączenia Zatwierdzona lista zaufania Adobe (AATL) składa się z urzędów certyfikacji (CA), które spełniają standardy Adobe dotyczące wydawania certyfikatów do podpisywania dokumentów do użytku z Adobe Acrobat, Acrobat Reader i innymi produktami Adobe. SSL.com jest członkiem programu AATL i cieszy się zaufaniem wszystkich produktów Adobe w zakresie podpisów cyfrowych.
Legalność podpisu cyfrowego
Podpisy elektroniczne i cyfrowe w USA
Prawo federalne Stanów Zjednoczonych, zgodnie z definicją zawartą w ustawie ESIGN, jest ogólnie dopuszczalne w zakresie wykonalności podpisów elektronicznych i cyfrowych. Jednak proste podpisy elektroniczne nie dają gwarancji autentyczności, integralności i niezaprzeczalności oferowanych przez podpisy cyfrowe oparte na certyfikatach. Ponadto prawo wielu krajów (w tym państw członkowskich UE, a także Chin, Indii i Korei Południowej) rozróżnia podpisy cyfrowe oparte na certyfikatach od prostych podpisów elektronicznych.
Podpisy elektroniczne i cyfrowe w Unii Europejskiej (eIDAS)
Unia Europejska Rozporządzenie w sprawie elektronicznej identyfikacji i usług zaufania (eIDAS) (obowiązujący w 2016 r.) rozpoznaje trzy różne rodzaje podpisów elektronicznych, a także pieczęcie elektroniczne przeznaczone do użytku przez osoby prawne, takie jak korporacje i inne organizacje:
- Podpisy elektroniczne. eIDAS definiuje „podpis elektroniczny” jako „dane w formie elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w formie elektronicznej i które podpisujący wykorzystuje do podpisu”. Podobnie jak ESIGN, eIDAS stwierdza również, że podpisu nie można odmówić dopuszczalności prawnej wyłącznie dlatego, że jest on w formie elektronicznej.
- Zaawansowane podpisy elektroniczne musi być jednoznacznie powiązany i identyfikujący sygnatariusza, musi zostać utworzony przy użyciu danych podpisu, z których sygnatariusz może korzystać pod ich wyłączną kontrolą, a wszelkie podpisane dane muszą być widoczne. Warunki te mogą być spełnione w przypadku certyfikatu cyfrowego wydanego przez urząd certyfikacji, takiego jak SSL.com Certyfikaty tożsamości biznesowej.
- Kwalifikowane podpisy elektroniczne mają taką samą moc prawną jak podpisy odręczne. Kwalifikowany podpis elektroniczny wymaga opartego na certyfikacie identyfikatora cyfrowego wydanego przez kwalifikowanego dostawcę usług zaufania UE (TSP) i musi być wykonany za pomocą „urządzenia do składania kwalifikowanego podpisu elektronicznego”, takiego jak token USB.
- Uszczelki elektroniczne są podobne do podpisów elektronicznych, ale zazwyczaj są kojarzone z osobami prawnymi, a nie osobami fizycznymi. eIDAS rozróżnia elektroniczny, zaawansowany, kwalifikowane pieczęcie zgodnie z tymi samymi kryteriami, które zastosowano w przypadku podpisów.
Zgodnie z definicją eIDAS zarówno kwalifikowane podpisy elektroniczne, jak i zaawansowane podpisy elektroniczne oparte na certyfikatach byłyby również uważane za typy podpisów cyfrowych, ponieważ termin ten jest zwykle używany w Stanach Zjednoczonych.
